Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

用户访问权限

您(系统管理员)授予用户对命令和配置层次结构级别及语句的访问权限。用户只能执行这些命令,并且只能查看和配置他们具有访问权限的语句。您还可以使用扩展正则表达式来指定允许用户允许或拒绝哪些操作模式命令、配置语句和层次结构。这种做法可防止未经授权的用户执行敏感命令或配置可能对网络造成损害的语句。

访问权限级别概述

每个顶级 CLI 命令和 配置语句 都有一个关联的访问权限级别。用户只能执行这些命令,并且只能配置和查看他们具有访问权限的语句。一个或多个权限标志定义每个登录类的访问权限。

对于每个登录类,您还可以显式允许或拒绝使用操作方式和配置方式命令和语句层次结构,否则语句中 permissions 指定的特权级别将允许或拒绝这些命令和语句层次结构。

登录类权限标志

您可以使用权限标志授予用户对操作模式命令以及配置层次结构级别和语句的访问权限。您可以在层次结构级别为 [edit system login class] 用户的登录类配置权限标志。指定特定权限标志时,用户将获得对命令以及与该标志对应的配置层次结构级别和语句的访问权限。要授予对所有命令和配置语句的访问权限, all 请使用权限标志。

注:

列出的每个命令都表示该命令以及以该命令为前缀的所有子命令。列出的每个 配置语句 都表示该标志授予访问权限的配置层次结构的顶部。

permissions 语句指定 中 表 1列出的一个或多个权限标志。权限标志不是累积的。对于每个类,您必须列出所需的所有权限标志,包括 view 显示信息和 configure 进入配置模式的权限标志。两种形式的权限控制用户对配置各个部分的访问:

  • “纯”表单 - 为该权限类型提供只读功能。例如 interface

  • -control form - 为该权限类型提供读写功能。例如 interface-control

对于授予对配置层次结构级别和语句的访问权限的权限标志,纯表单标志授予对该配置的只读权限。例如,权限标志授予 interface[edit interfaces] 层次结构级别的只读访问权限。-control标志的形式授予对该配置的读写访问权限。例如,该 interface-control 标志授予对 [edit interfaces] 层次结构级别的读写访问权限。

表 1列出了可通过在层次结构级别包含permissions[edit system login class class-name]语句来配置的登录类权限标志。

权限标志授予一组特定的访问权限。每个权限标志都与操作模式或配置模式命令以及该标志授予访问权限的配置层次结构级别和语句一起列出。

表 1: 登录类权限标志

权限标志

Description

access

可以在操作模式或配置模式下查看访问配置。

access-control

可以在层次结构级别查看 [edit access] 和配置访问信息。

admin

可以在操作模式或配置模式下查看用户帐户信息。

admin-control

可以查看用户帐户信息并在层次结构级别对其进行 [edit system] 配置。

all

可以访问所有操作模式命令和配置模式命令。可以修改所有配置层次结构级别的配置。

clear

可以清除(删除)设备从网络中学习并存储在各种网络数据库中的信息(使用 clear 命令)。

configure

可以进入配置模式(使用 configure 命令)并提交配置(使用 commit 命令)。

control

可以执行所有控件级操作 — 使用权限标志配置的所有 -control 操作。

field

可以查看字段调试命令。保留用于调试支持。

firewall

可以在操作模式或配置模式下查看 防火墙过滤器 配置。

firewall-control

可以在层次结构级别查看 [edit firewall] 和配置防火墙过滤器信息。

floppy

可以读取和写入可移动媒体。

flow-tap

可以在操作模式或配置模式下查看流水龙头配置。

flow-tap-control

可以在层次结构级别查看 [edit services flow-tap] 和配置流水龙头信息。

flow-tap-operation

可以向路由器或交换机发出流点请求。例如,动态任务控制协议 (DTCP) 客户端必须具有 flow-tap-operation 以管理用户身份对自身 Junos OS 进行身份验证的权限。

注:

该选项不包含在 flow-tap-operation 权限标志中 all-control

idp-profiler-operation

可以查看探查器数据。

interface

可以在操作模式和配置模式下查看接口配置。

interface-control

可以查看机箱、 服务等级 (CoS)、组、转发选项和接口配置信息。可以在以下层次结构级别修改配置:

  • [edit chassis]

  • [edit class-of-service]

  • [edit groups]

  • [edit forwarding-options]

  • [edit interfaces]

maintenance

可以执行系统维护,包括在设备上启动本地 shell,成为 shell 中的超级用户(使用 su root 命令),以及停止和重新启动设备(使用 request system 命令)。

network

可以使用 、 sshtelnettraceroute命令访问ping网络。

pgcp-session-mirroring

可以查看 pgcp 会话镜像配置。

pgcp-session-mirroring-control

可以修改 pgcp 会话镜像配置。

reset

可以使用命令 restart 重新启动软件进程。

rollback

可以使用命令 rollback 返回到之前提交的配置。

routing

可以在配置模式和操作模式下查看常规路由、路由协议和路由策略配置信息。

routing-control

可以在层次结构级别查看 [edit routing-options] 和配置常规路由、层次结构级别的路由协议 [edit protocols] 以及层次结构级别的路由策略信息 [edit policy-options]

secret

可以在配置中查看密码和其他身份验证密钥。

secret-control

可以在配置中查看和修改密码和其他身份验证密钥。

security

可以在操作模式和配置模式下查看安全配置信息。

security-control

可以在层次结构级别查看 [edit security] 和配置安全信息。

shell

可以使用命令 start shell 在路由器或交换机上启动本地 shell。

snmp

可以在操作模式或配置模式下查看简单网络管理协议 (SNMP) 配置信息。

snmp-control

可以在层次结构级别查看 [edit snmp] 和修改 SNMP 配置信息。

可以在层次结构级别查看 [edit fc-fabrics] 光纤通道存储配置信息。

可以在层次结构级别修改 [edit fc-fabrics] 光纤通道存储配置信息。

system

可以在操作模式或配置模式下查看系统级信息。

system-control

可以在层次结构级别查看 [edit system] 和修改系统级配置信息。

trace

可以查看跟踪文件设置并配置跟踪文件属性。

trace-control

可以修改跟踪文件设置并配置跟踪文件属性。

可以查看层次结构的 [edit unified-edge] 统一边缘配置。

可以在层次结构中 [edit unified-edge] 修改统一的边缘相关配置。

view

可以使用各种命令显示当前系统范围、路由表和协议特定的值和统计信息。无法查看密钥配置。

view-configuration

可以查看除机密、系统脚本和事件选项之外的所有配置。

注:

只有具有该 maintenance 权限的用户才能查看提交脚本、操作脚本或事件脚本配置。

允许和拒绝登录类的单个命令和语句层次结构

默认情况下,所有顶级 CLI 命令和配置层次结构级别都具有关联的访问权限级别。用户只能执行这些命令,并且只能查看和配置他们具有访问权限的语句。对于每个登录类,您可以显式允许和拒绝使用操作方式和配置方式命令和语句层次结构,否则语句中 permissions 指定的特权级别将允许或拒绝这些命令和语句层次结构。

权限标志授予用户对操作模式和配置模式命令以及配置层次结构级别和语句的访问权限。通过在层次结构级别对 [edit system login class] 用户的登录类指定特定权限标志,可以授予用户对相应命令和配置层次结构级别及语句的访问权限。要授予对所有命令和配置语句的访问权限, all 请使用权限标志。

您可以通过为登录类配置 allow-commandsdeny-commandsallow-configuration、 和deny-configuration语句来显式允许或拒绝使用命令和语句。在语句中,可以使用扩展正则表达式来定义允许或拒绝分配给类的用户的命令和语句。

示例:使用访问权限级别配置用户权限

此示例配置登录类的用户权限。您可以为登录类配置用户权限以防止用户执行未经授权的网络操作。用户只能执行这些命令,并且只能查看和修改他们具有访问权限的语句。此约束可防止未经授权的用户执行敏感命令或配置可能对网络造成损害的语句。

要求

配置此示例之前,不需要除设备初始化之外的特殊配置。

概述

每个顶级 CLI 命令和每个配置语句都有一个与之关联的访问权限级别。配置登录类时,可以显式允许或拒绝使用操作方式和配置模式命令和配置语句。用户只能执行这些命令,并且只能查看和配置他们具有访问权限的语句。

通过在语句中 permissions 指定一个或多个权限标志,可以定义每个登录类的访问权限。权限标志授予用户对命令、语句和层次结构的访问权限。权限标志不是累积的。对于每个登录类,您必须列出所需的所有权限标志,包括 view 显示信息和 configure 进入配置方式的权限标志。通过在用户的登录类上指定特定权限标志,可以授予用户对相应命令、语句和层次结构的访问权限。要授予对所有命令和配置语句的访问权限, all 请使用权限标志。权限标志为权限类型提供只读(“纯”表单)和读写(以 -control 结尾的表单)功能。

注:

all当用户发出rollback启用了权限标志的rollback命令时,登录类权限位优先于扩展正则表达式。

要为登录类配置用户访问权限级别,请在层次结构级别包含permissions[edit system login class class-name]语句,后跟权限标志。将多个权限配置为括在方括号中的以空格分隔的列表:

提示:

要查看可用权限,请使用 CLI 的上下文相关帮助,并在语句后 permissions 键入问号 (?):

配置

此示例配置 snmp-admin 登录类。此登录类中的用户只能配置和查看 SNMP 参数。

使用访问权限级别配置用户权限

分步过程

要配置登录类的访问权限:

  1. snmp-admin使用 configuresnmpsnmp-control权限标志配置登录类。

    配置的权限标志为 SNMP 提供读取 (snmp) 和读写 (snmp-control) 功能,这是此登录类唯一允许的访问权限。所有其他访问权限都将被拒绝。

  2. 创建分配给登录类的 snmp-admin 用户帐户。

结果

在配置模式下,输入 show system login 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

配置设备后,进入 commit 配置模式。

验证

使用分配给新登录类的用户名登录,并确认配置工作正常。

验证 SNMP 配置

目的

验证登录类中的 snmp-admin 用户可以配置 SNMP。

操作

在配置模式下,在 [edit snmp] 层次结构级别配置 SNMP 语句。

意义

登录类中的 snmp-admin 用户可以配置 SNMP 参数。用户可以配置这些参数,因为为此类指定的权限标志包括 snmp(读取功能)和 snmp-control(读取和写入功能)权限位。

验证非 SNMP 配置

目的

验证登录类中的 snmp-admin 用户无法修改非 SNMP 配置语句。

操作

在配置模式下,尝试配置任何非 SNMP 语句,例如层次结构中的 interfaces 语句。

意义

登录类中的 snmp-admin 用户无法配置层次结构, [edit interfaces] 因为为此类指定的权限标志不允许它。在这种情况下,CLI 会发出一条错误消息。

允许和拒绝操作模式命令、配置语句和层次结构的正则表达式

本主题包含以下部分:

了解允许和拒绝语句

每个顶级 CLI 命令和配置语句层次结构都有一个与之关联的访问权限级别。每个登录类都可以显式允许或拒绝使用操作模式和配置模式命令以及配置层次结构和语句,否则特权级别会允许或拒绝这些命令和语句。用户只能执行这些命令,并且只能查看和配置他们具有访问权限的语句。

每个登录类的访问权限由语句[edit system login class class-name]permissions指定的一个或多个权限标志在层次结构级别定义。此外,您可以通过定义扩展正则表达式来允许或拒绝使用特定命令和配置层次结构。您可以通过为登录类配置以下语句来指定正则表达式:

  • allow-commandsdeny-commands— 允许或拒绝对操作模式和配置模式命令的访问。

  • allow-configurationdeny-configuration— 允许或拒绝对特定配置层次结构的访问。

    注:

    这些语句执行较慢的匹配速度较慢,具有更大的灵活性,尤其是在通配符匹配中。但是,如果配置了大量全路径正则表达式或通配符表达式,则可能需要很长时间来评估所有可能的语句,这可能会对性能产生负面影响。

  • allow-commands-regexpsdeny-commands-regexps— 允许或拒绝使用正则表达式字符串访问特定命令。

  • allow-configuration-regexpsdeny-configuration-regexps— 使用正则表达式字符串允许或拒绝对特定配置层次结构的访问。

注:

如果现有配置使用 allow/deny-commands or allow/deny-configuration 语句,则对 or allow/deny-configuration-regexps 语句使用相同的allow/deny-commands-regexps配置选项可能不会产生相同的结果。搜索和匹配方法在这些语句的两种形式上有所不同。

使用这些语句显式 allow/deny-* 允许命令和配置语句层次结构会增加语句已 permissions 定义的权限。同样,使用这些语句显式 allow/deny-* 拒绝命令和配置语句层次结构会删除该语句已定义的权限 permissions

例如,在以下配置中, configure 该权限使登录类中的用户能够进入配置模式。此外,该 allow-configuration 表达式允许用户修改层次结构级别的配置 [edit system services] 并提交它。

同样,在以下配置中,登录类用户可以执行权限标志允许的所有操作 all ,但用户无法在层次结构级别查看 [edit system services] 或修改配置:

了解允许和拒绝语句语法

在每个登录类中只能配置 allow/deny-* 一次语句。配置语句时:

  • 您可以根据需要配置任意数量的正则表达式。

  • 正则表达式不区分大小写

allow/deny-commands语句与语句互allow/deny-commands-regexps斥,语句allow/deny-configuration与语句互allow/deny-configuration-regexps斥。例如,不能在同一登录类中同时配置两者allow-configurationallow-configuration-regexps

要定义对命令的访问权限,请使用 and allow-commandsdeny-commands 语句指定扩展正则表达式。将每个完整的独立表达式括在括号 ( ) 中,并使用竖线 ( | ) 符号分隔表达式。不要在与管道符号连接的正则表达式之间使用空格。完整表达式括在双引号中。

例如:

使用语句指定 allow-commands 复杂正则表达式时,必须使用锚点。例如:

要定义对配置层次结构各部分的访问权限,请在 和allow-configurationdeny-configuration语句中指定扩展正则表达式。将完整路径括在括号 ( ) 中,并使用竖线 ( | ) 符号分隔表达式。不要在与管道符号连接的正则表达式之间使用空格。完整表达式括在双引号中。

例如:

使用 or allow/deny-commands-regexpsallow/deny-configuration-regexps 语句指定扩展正则表达式时,请将每个表达式括在引号 (“ ”) 内,并使用空格分隔表达式。将多个表达式括在方括号 [ ] 中。例如:

要匹配的正则表达式字符串中不支持修饰符 set,例如 、 logcount 。如果使用修饰符,则不会匹配任何内容。

正确的配置:

配置不正确:

了解允许和拒绝语句优先级和匹配

默认情况下, allow-commandsallow-configurationdeny-commands 则表达式优先于和 deny-configuration 表达式。因此,如果为 and allow-commandsdeny-commands 语句配置相同的命令,则 allow 操作优先于拒绝操作。同样,如果为 and allow-configurationdeny-configuration 语句配置相同的语句,则允许操作优先于拒绝操作。

例如,以下配置允许登录类中的 test 用户使用该命令安装 request system software add 软件,即使该 deny-commands 语句包含相同的命令也是如此:

同样,以下配置允许登录类测试中的 test 用户查看和修改 [edit system services] 配置层次结构,即使该 deny-configuration 语句包含相同的层次结构也是如此:

如果 and allow-commandsdeny-commands 语句具有命令的两个不同变体,则始终执行最长匹配。以下配置允许登录类中的 test 用户执行命令, commit synchronize 但不允许 commit 执行命令。这是因为 commit synchronize 是 和 commit synchronize之间的commit最长匹配项,并且为 指定allow-commands了 。

以下配置允许登录类中的 test 用户执行命令, commit 但不允许 commit synchronize 执行命令。这是因为 commit synchronize 是 和 commit synchronize之间的commit最长匹配项,并且为 指定deny-commands了 。

与其他语句相比,语句的默认 *-regexps 行为是 deny-commands-regexpsdeny-configuration-regexps 正则表达式优先 allow-commands-regexps 于 和 allow-configuration-regexps 表达式。您可以在层次结构级别配置 regex-additive-logic 语句 [edit system] ,以强制 allow-configuration-regexps 正则表达式 deny-configuration-regexps 优先于语句。通过配置该语句,您可以拒绝更高级别的配置层次结构,然后仅允许用户访问特定的子层次结构。

了解允许和拒绝语句规则

allow/deny-commandsallow/deny-configurationallow/deny-commands-regexpsallow/deny-configuration-regexps 语句优先于登录类权限。配置这些语句时,以下规则适用:

  • deny-commands语句的allow-commands正则表达式还可以包括 commitloadrollbacksavestatusupdate 命令。

  • all当用户发出rollback启用了权限标志的rollback命令时,登录类权限位优先于扩展正则表达式。

  • 指定扩展正则表达式时,用户无法发出 load override 命令。用户只能发出 mergereplacepatch 配置命令。

  • 表示正则表达式时,可以使用 * 通配符。但是,必须将其用作正则表达式的一部分。不能将 or [ .* ] 用作[ * ]唯一的表达式。此外,不能 allow-configuration 使用表达式(如 (interfaces (description (|.*)))配置语句,因为这的计算结果为 allow-configuration .*

了解 *-正则表达式语句的差异

本节概述了语句和allow/deny-configuration-regexps语句之间的差异allow/deny-configuration

语句将 allow/deny-configuration-regexps 正则表达式拆分为标记,并将每个部分与指定配置的完整路径的每个部分进行匹配,而 allow/deny-configuration 语句则与完整字符串匹配。对于 allow/deny-configuration-regexps 语句,您可以配置一组字符串,其中每个字符串都是一个正则表达式,字符串的术语之间有空格。此语法提供非常快速的匹配,但提供的灵活性较低。要指定通配符表达式,必须为要匹配的空格分隔字符串的每个标记设置通配符,这使得对这些语句使用通配符表达式变得更加困难。

例如:

  • 使用允许配置正则表达式匹配一个令牌的正则表达式

    此示例显示 这是 options 与语句的第一个标记唯一匹配的表达式。

    上述配置与以下语句匹配:

    • 设置策略选项 条件 condition 动态数据库

    • 设置路由选项 静态路由 static-route 下一跃点 next-hop

    • 设置事件选项 生成事件 event 时间间隔 seconds

    上述配置与以下语句不匹配:

    • 系统主机名主机选项

    • 接口 interface-name 说明 选项

  • 使用允许配置正则表达式匹配三个令牌的正则表达式

    此示例显示这是 ssh 与语句的第三个标记唯一匹配的表达式。

    在前面的示例中,这三个标记分别包括 .*.*.*ssh

    上述配置与以下语句匹配:

    • 系统主机名主机名-SSH

    • 系统服务 SSH

    • 系统服务出站-SSH

    上述配置与以下语句不匹配:

    • 接口 interface-name 说明 SSH

使用语句来限制配置访问比使用该deny-configurationdeny-configuration-regexps语句更容易。表 2说明了如何在不同的配置中使用 AND deny-configurationdeny-configuration-regexps 语句来实现限制对特定配置的访问的相同结果。

表 2: 使用拒绝配置和拒绝配置正则表达式语句限制配置访问

配置被拒绝

用: deny-configuration

用: deny-configuration-regexps

结果

xnm-ssl

[edit system]
login {
    class test {
        permissions configure;
         allow-configuration .*;
        deny-configuration .*xnm-ssl;
    }
}
[edit system]
login {
    class test {
        permissions configure;
         allow-configuration .*;
        deny-configuration-regexps ".* .* .*-ssl"";
    }
}

以下配置语句被拒绝:

  • 系统服务 XNM-SSL

ssh

[edit system]
login {
    class test {
        permissions configure;
        allow-configuration .*;
        deny-configuration ".*ssh";
    }
}
[edit system]
login {
    class test {
        permissions configure;
        allow-configuration .*;
        deny-configuration-regexps ".*ssh";
        deny-configuration-regexps ".* .*ssh";
        deny-configuration-regexps ".* .* .*ssh";
    }
}

以下配置语句被拒绝:

  • 系统主机名主机名-SSH

  • 系统服务 SSH

  • 系统服务出站-SSH

  • 安全 SSH 已知主机

尽管当您需要简单配置时,这些 allow/deny-configuration 语句也很有用,但这些 allow/deny-configuration-regexps 语句提供了更好的性能,并克服了在语句中 allow/deny-configuration 组合表达式时存在的歧义。

在远程授权服务器上使用正则表达式

您可以使用扩展正则表达式指定允许或拒绝某些用户的操作模式和配置模式命令以及配置语句和层次结构。您可以在层次结构级别的 、 allow/deny-configurationallow/deny-commands-regexpsallow/deny-configuration-regexps[edit system login class class-name]语句中allow/deny-commands本地指定这些正则表达式。您可以通过在授权服务器的配置中指定瞻博网络供应商特定的 TACACS+ 或 RADIUS 属性来远程指定这些正则表达式。在本地和远程配置授权参数时,设备会将 TACACS+ 或 RADIUS 授权期间收到的正则表达式与本地设备上定义的任何正则表达式合并。

注:

从 Junos OS 18.1 版开始, allow-commands-regexps TACACS+ 授权支持和 deny-commands-regexps 语句。

使用 、 deny-commandsallow-configurationdeny-configuration语句在本地allow-commands配置中指定多个正则表达式时,可以在括号内配置正则表达式,并使用竖线符号分隔它们。将完整表达式括在双引号中。例如,可以使用以下语法指定多个 allow-commands 参数:

RADIUS 授权服务器使用以下属性和语法:

TACACS+ 授权服务器使用以下属性和语法:

使用 、 deny-commands-regexpsallow-configuration-regexpsdeny-configuration-regexps语句在本地allow-commands-regexps配置中指定多个正则表达式时,可以在双引号内配置正则表达式,并使用空格运算符将它们分隔开。将完整表达式括在方括号中。例如,可以使用以下语法指定多个允许命令参数:

RADIUS 授权服务器使用以下属性和语法:

TACACS+ 授权服务器使用以下属性和语法:

RADIUS 和 TACACS+ 服务器还支持简化语法,您可以在单独的行上指定每个单独的表达式。例如,RADIUS 服务器的简化语法为:

同样,TACACS+ 服务器的简化语法为:

表 3 使用正则表达式区分本地授权配置和 TACACS+ 服务器授权配置。

表 3: 使用正则表达式的本地和远程授权配置示例

本地配置

远程 TACACS+ 配置

login {
    class local {
        permissions configure;
        allow-commands "(ping .*)|(traceroute .*)|(show .*)|(configure .*)|(edit)|(exit)|(commit)|(rollback .*)";
        deny-commands .*;
        allow-configuration "(interfaces .* unit 0 family ethernet-switching vlan mem.* .*)|(interfaces .* native.* .*)|(interfaces .* unit 0 family ethernet-switching interface-mo.* .*)|(interfaces .* unit .*)|(interfaces .* disable)|(interfaces .* description .*)|(vlans .* vlan-.* .*)"
        deny-configuration .*;
    }
}
user = remote {
    login = username
    service = junos-exec {
        allow-commands1 = "ping .*"
        allow-commands2 = "traceroute .*"
        allow-commands3 = "show .*"
        allow-commands4 = "configure"
        allow-commands5 = "edit"
        allow-commands6 = "exit"
        allow-commands7 = "commit"
        allow-commands8 = ".*xml-mode"
        allow-commands9 = ".*netconf.*"
        allow-commands10 = ".*need-trailer"
        allow-commands11 = "rollback.*"
        allow-commands12 = "junoscript"
        deny-commands1 = ".*"
        allow-configuration1 = "interfaces .* unit 0 family ethernet-switching vlan mem.* .*"
        allow-configuration2 = "interfaces .* native.* .*"
        allow-configuration3 = "interfaces .* unit 0 family ethernet-switching interface-mo.* .*"
        allow-configuration4 = "interfaces .* unit .*"
        allow-configuration5 = "interfaces .* disable"
        allow-configuration6 = "interfaces .* description .*"
        allow-configuration7 = "interfaces .*"
        allow-configuration8 = "vlans .* vlan-.* .*"
        deny-configuration1 = ".*"
        local-user-name = local-username
        user-permissions = "configure"
    }
}
注:
  • 您需要通过发出以下三个命令来显式允许在本地或远程访问 NETCONF 模式:xml-modenetconfneed-trailer

  • 使用该 deny-configuration = ".*" 语句时,必须使用该语句允许 allow-configuration 所有所需的配置。但是,此配置可能会影响语句允许的 allow-configuration 正则表达式缓冲区限制。如果超过此限制,则允许的配置可能不起作用。

指定正则表达式

警告:

为命令和配置语句指定正则表达式时,请密切注意以下示例。语法无效的正则表达式可能不会产生预期的结果,即使提交配置时没有任何错误也是如此。

应以与执行完整命令或语句相同的方式为命令和配置语句指定正则表达式。 表 4 列出了用于为 AND [edit interfaces][edit vlans] 语句层次结构配置访问权限的正则表达式。

表 4: 指定正则表达式

陈述

正则表达式

配置说明

[edit interfaces]

set接口命令按如下方式执行:

[edit]
user@host# set interfaces interface-name unit interface-unit-number

语句 set interfaces 本身不完整,需要执行 unit 语句的选项。

因此,拒绝 set interfaces 配置所需的正则表达式必须指定整个可执行字符串 .* ,并使用运算符代替语句变量:

[edit system login class class-name]
user@host# set permissions configure
user@host# set deny-configuration "interfaces .* unit .*"
  • .*运算符表示从指定点开始为该特定命令或语句的所有内容。在此示例中,它表示具有任何单位值的任何接口名称。

  • deny-configuration "interfaces .*" 指定语句是不正确的,并且不会拒绝对指定登录类的接口配置的访问。

  • 正则表达式中可以包含其他有效选项。例如:

    [edit system login class class-name]
    user@host# set permissions configure
    user@host# set deny-configuration "interfaces .* description .*"
    
    [edit system login class class-name]
    user@host# set permissions configure
    user@host# set allow-configuration-regexps [ "interfaces .* description .*" "interfaces .* unit .* description .*" "interfaces .* unit .* family inet address .*" "interfaces.* disable" ]
    
    [edit system login class class-name]
    user@host# set permissions configure
    user@host# set allow-configuration "interfaces .* unit 0 family ethernet-switching vlan mem.* .*"
    

    请注意:mem.*当指定的正则表达式中应包含以关键字开头的mem多个字符串时,将使用此示例中的正则表达式。当预计只 member 包含一个字符串时, member .* 使用正则表达式。

[edit vlans]

set VLAN 命令的执行方式如下:

[edit]
user@host# set vlans vlan-name vlan-id vlan-id

在这里, set vlans 语句本身并不完整,需要 vlan-id 执行语句的选项。

因此,允许 set vlans 配置所需的正则表达式必须指定整个可执行字符串,并使用 .* 运算符代替语句变量:

[edit system login class class-name]
user@host# set permissions configure
user@host# set allow-configuration "vlans .* vlan-id .*"
  • .*运算符表示从指定点开始为该特定命令或语句的所有内容。在此示例中,它用任何 VLAN ID 表示任何 VLAN 名称。

  • 语句层次结构下 [edit vlans] 的其他有效选项可以包含在正则表达式中。例如:

    [edit system login class class-name]
    user@host# set permissions configure
    user@host# set allow-configuration-regexps [ "vlans .* vlan-id .*" "vlans .* vlan-id .* description .*" "vlans .* vlan-id .* filter .*" ]
    

正则表达式运算符

表 5 列出了可用于允许或拒绝操作和配置模式的常用正则表达式运算符。

命令正则表达式实现 POSIX 1003.2 中定义的扩展(现代)正则表达式。

表 5: 常用正则表达式运算符

操作人员

火柴

示例

|

由管道分隔的两个或多个术语之一。每个术语必须是括在括号 ( ) 中的完整独立表达式,管道和相邻括号之间没有空格。

[edit system login class test]
user@host# set permissions configure
user@host# set allow-commands "(ping)|(traceroute)|(show system alarms)|(show system software)"
user@host# set deny-configuration "(access)|(access-profile)|(accounting-options)|(applications)|(apply-groups)|(bridge-domains)|(chassis)|(class-of-service)"

使用上述配置,分配给测试登录类的用户的操作模式访问权限仅限于语句中 allow-commands 指定的命令。他们还有权访问配置模式,但不包括语句中 deny-configuration 指定的层次结构级别。

^

在表达式的开头,用于表示命令的开始位置,其中可能存在一些歧义。

[edit system login class test]
user@host# set permissions interface
user@host# set permissions interface-control
user@host# set allow-commands "(^show) (log|interfaces|policer))|(^monitor)"

通过上述配置,分配给测试登录类的用户有权查看和配置接口配置。该 allow-commands 语句授予对以 和 showmonitor 关键字开头的命令的访问权限。

对于第一个筛选器,指定的命令包括 show logshow interfacesshow policer 命令。第二个筛选器指定以 monitor 关键字开头的所有命令,例如 或 monitor interfacesmonitor traffic 命令。

$

命令末尾的字符。用于表示在该点之前必须完全匹配的命令。

[edit system login class test]
user@host# set permissions interface
user@host# set allow-commands "(show interfaces$)"

使用上述配置,分配给测试登录类的用户可以在配置模式下查看接口配置。用户还可以使用 show configuration 操作模式命令查看接口配置。但是,语句中 allow-commands 指定的正则表达式将用户限制为仅 show interfaces 执行命令,并拒绝访问命令扩展(如 show interfaces detailshow interfaces extensive)。

[ ]

字母或数字的范围。若要分隔范围的开头和结尾,请使用连字符 ( - )。

[edit system login class test]
user@host# set permissions clear
user@host# set permissions configure
user@host# set permissions network
user@host# set permissions trace
user@host# set permissions view
user@host# set allow-configuration-regexps [ "interfaces [gx]e-.* unit [0-9]* description .*" ]

使用上述配置,分配给测试登录类的用户具有操作员级别的用户权限。这些用户还有权在指定的接口名称和单元号(0 到 9)范围内配置接口。

( )

一组命令,指示要计算的完整独立表达式。然后将结果作为整体表达式的一部分进行评估。如前所述,括号必须与管道操作员一起使用。

[edit system login class test]
user@host# set permissions all
user@host# set allow-commands "(clear)|(configure)"
user@host# deny-commands "(mtrace)|(start)|(delete)"

通过上述配置,分配给测试登录类的用户具有超级用户级权限,并有权访问语句中 allow-commands 指定的命令。

*

零个或多个术语。

[edit system login class test]
user@host# set permissions configure
user@host# set deny-configuration "(system login class m*)"

使用上述配置,分配给登录用户名以 开头 m 的测试登录类的用户将被拒绝配置访问。

+

一个或多个术语。

[edit system login class test]
user@host# set permissions configure
user@host# set deny-configuration "(system login class m+)"

使用上述配置,分配给登录用户名以 开头 m 的测试登录类的用户将被拒绝配置访问。

除空格 “ ” 之外的任何字符。

[edit system login class test]
user@host# set permissions configure
user@host# set deny-configuration "(system login class m.)"

使用上述配置,分配给登录用户名以 开头 m 的测试登录类的用户将被拒绝配置访问。

.*

从指定点开始的一切。

[edit system login class test]
user@host# set permissions configure
user@host# set deny-configuration "(system login class m .*)"

使用上述配置,分配给登录用户名以 开头 m 的测试登录类的用户将被拒绝配置访问。

同样,该 deny-configuration "protocols .*" 语句拒绝层次结构级别下 [edit protocols] 的所有配置访问。

注:
  • *+.操作可以通过使用 .*来实现。

  • deny-commands .*deny-configuration .*语句分别拒绝访问所有操作模式命令和配置层次结构。

注:

不支持正 ! 则表达式运算符。

正则表达式示例

表 6 列出了用于允许两个配置层次结构下的配置选项的正则表达式 —[edit system ntp server][edit protocols rip]—作为指定正则表达式的示例。

注:

表 6 不提供所有配置语句和层次结构的所有正则表达式和关键字的完整列表。表中列出的正则表达式仅针对和[edit protocols rip]语句层次结构进行[edit system ntp server]验证。

表 6: 正则表达式示例

语句层次结构

正则表达式

允许的配置

拒绝配置

[edit system ntp server]

     

钥匙 key-number

[edit system login class test]
set permissions configure
set allow-configuration-regexps [ "system ntp server .*" "system ntp server .* key .*" ]
set deny-configuration-regexps [ "system ntp server .* version .*" "system ntp server .* prefer" ]
  • 服务器 IP

  • 服务器 IP 和密钥

  • 版本

  • 喜欢

版本 version-number

[edit system login class test]
set permissions configure
set allow-configuration-regexps [ "system ntp server .*" "system ntp server .* version .*" ]
set deny-configuration-regexps [ "system ntp server .* key .*" "system ntp server .* prefer" ]
  • 服务器 IP

  • 服务器 IP 和版本

  • 密钥

  • 喜欢

喜欢

[edit system login class test]
set permissions configure
set allow-configuration-regexps [ "system ntp server .*" "system ntp server .* prefer" ];
set deny-configuration-regexps [ "system ntp server .* key .*" "system ntp server .* version .*" ]
  • 服务器 IP

  • 服务器 IP 和首选

  • 密钥

  • 版本

[edit protocols rip]

     

消息大小 message-size

[edit system login class test]
set permissions configure
set allow-configuration-regexps "protocols rip message-size .*"
set deny-configuration-regexps [ "protocols rip metric-in .*" "protocols rip route-timeout .*" "protocols rip update-interval .*" ]
  • 消息大小

  • 公制输入

  • 路由超时

  • 更新间隔

公制输入 metric-in

[edit system login class test]
set permissions configure
set  allow-configuration-regexps "protocols rip metric-in .*"
set  deny-configuration-regexps [ "protocols rip message-size .*" "protocols rip route-timeout .*" "protocols rip update-interval .*" ]
  • 公制输入

  • 消息大小

  • 路由超时

  • 更新间隔

路由超时 route-timeout

[edit system login class test]
set permissions configure
set allow-configuration-regexps "protocols rip route-timeout .*"
set deny-configuration-regexps [ "protocols rip metric-in .*" "protocols rip message-size .*" "protocols rip update-interval .*" ]
  • 路由超时

  • 消息大小

  • 公制输入

  • 更新间隔

更新间隔 update-interval

[edit system login class test]
set permissions configure
set allow-configuration-regexps "protocols rip update-interval .*"
set deny-configuration-regexps [ "protocols rip metric-in .*" "protocols rip route-timeout .*" "protocols rip message-size .*" ]
  • 更新间隔

  • 消息大小

  • 公制输入

  • 路由超时

如何使用允许配置和拒绝配置语句定义访问权限

您可以使用以下类型的语句的组合来定义配置语句层次结构的访问权限:

  • 权限标志

  • allow-configurationdeny-configuration 声明

权限标志定义了用户或登录类可以访问和控制的更大边界。allow-configurationdeny-configuration语句包含一个或多个允许或拒绝特定配置层次结构和语句的正则表达式。allow-configurationdeny-configuration语句优先于权限标志,使管理员能够更好地控制用户可以查看和配置的层次结构和语句。

本主题通过显示使用这些语句的登录类配置的示例来说明如何使用和deny-configuration语句定义访问权限allow-configuration。示例 1 到 3 创建允许用户访问除语句中 deny-configuration 定义的命令和语句之外的所有命令和语句的登录类。

请注意, 权限位权限标志 可以互换使用。

示例 1

要创建一个允许用户执行所有命令并配置除 telnet 参数之外的所有内容的登录类:

  1. 将用户的登录类权限设置为 all
  2. 包括以下 deny-configuration 语句。

示例 2

要创建一个登录类,该类允许用户执行所有命令并配置除名称以“m”开头的任何登录类中的语句之外的所有内容:

  1. 将用户的登录类权限设置为 all

  2. 包括以下 deny-configuration 语句。

示例 3

要创建允许用户执行所有命令并配置除或[edit system services]层次结构级别之外[edit system login class]的所有内容的登录类,请执行以下操作:

  1. 将用户的登录类权限设置为 all

  2. 包括以下 deny-configuration 语句:

以下示例说明如何使用 and allow-configurationdeny-configuration 语句来确定层次结构级别的权限 [edit system services]

例 4

要创建允许用户仅在层次结构级别具有 [edit system services] 完全配置特权的登录类,请执行以下操作:

  1. 将用户的登录类权限设置为 configure

  2. 包括以下 allow-configuration 语句:

例 5

要创建一个登录类,以允许用户对所有命令和除层次结构级别之外 [edit system services] 的所有配置层次结构具有完全权限,请执行以下操作:

  1. 将用户的登录类权限设置为 all

  2. 包括以下 deny-configuration 语句。

示例:将加法逻辑与正则表达式一起使用以指定访问权限

此示例说明在使用正则表达式设置配置访问权限时如何使用加法逻辑。

要求

此示例使用运行 Junos OS 16.1 或更高版本的设备。

概述

您可以定义正则表达式来控制谁可以对配置进行更改以及他们可以更改哪些内容。这些正则表达式指示允许登录类中的用户访问的特定配置层次结构。例如,您可以定义允许用户修改一组路由实例的正则表达式,并定义阻止用户对任何其他路由实例或其他配置级别进行更改的正则表达式。您可以通过为登录类配置 and allow-configuration-regexpsdeny-configuration-regexps 语句来定义正则表达式。

默认情况下, deny-configuration-regexps 语句优先于 allow-configuration-regexps 语句。如果配置层次结构出现在登录类的语句中 deny-configuration-regexps ,那么无论该语句的内容 allow-configuration-regexps 如何,该类中的用户都看不到该配置层次结构。如果配置层次结构未出现在语句中 deny-configuration-regexps ,那么当它出现在语句中 allow-configuration-regexps 时,该层次结构对该类中的用户可见。

您可以通过为语句启用 *-configuration-regexps 加法逻辑来更改此默认行为。启用加法逻辑时, allow-configuration-regexps 语句优先于 deny-configuration-regexps 语句。

因此,如果语句拒绝访问给定级别(协议 .*)的所有配置层次结构,但allow-configuration-regexps语句允许访问一个子层次结构(协议 bgp .*),则deny-configuration-regexps默认情况下,设备拒绝该登录类中的用户访问层次结构,因为deny-configuration-regexps该语句优先。但是,如果启用加法逻辑,则设备将允许该登录类中的用户访问指定的子层次结构,因为在这种情况下优先 allow-configuration-regexps

配置

分步过程

要启用加法逻辑以显式允许给定登录类中的用户访问一个或多个单独的配置层次结构:

  1. 包括该 deny-configuration-regexps 语句,并显式拒绝对配置层次结构的访问。

    例如:

  2. 包括语句 allow-configuration-regexps ,并为要允许的特定层次结构定义正则表达式。

    例如:

  3. 为 和allow-configuration-regexpsdeny-configuration-regexps正则表达式启用加法逻辑。

  4. 将登录类分配给一个或多个用户。

  5. 提交更改。

    分配给此登录类的用户有权访问语句中包含的 allow-configuration-regexps 配置层次结构,但无权访问语句中 deny-configuration-regexps 指定的其他层次结构。

注:

配置 regex-additive-logic 语句时,行为更改将应用于所有登录类中存在的所有 allow-configuration-regexpsdeny-configuration-regexps 语句。如果启用加法逻辑,则应评估现有语句是否有任何影响,并根据需要更新这些语句中的正则表达式。

例子

将正则表达式与加法逻辑结合使用

目的

本节提供了使用加法逻辑的正则表达式示例,为您提供创建适合您的系统的配置的想法。

允许特定路由实例

以下示例登录类包含一个正则表达式,该表达式允许配置名称以 ; 开头CUST-VRF-的路由实例,例如、 CUST-VRF-1CUST-VRF-25CUST-VRF-100等。该示例还包括一个正则表达式,用于阻止配置任何路由实例。

缺省情况下,该 deny-configuration-regexps 语句优先,并且先前的配置会阻止登录类中的用户配置任何路由实例,而不管名称如何。

但是,如果配置以下语句, allow-configuration-regexps 则该语句优先。因此,用户可以配置名称以 开头 CUST-VRF-的路由实例,但用户不能配置任何其他路由实例。

仅允许 BGP 对等配置

以下示例登录类包含阻止在层次结构级别进行 [edit protocols] 配置但允许配置 BGP 对等方的正则表达式:

缺省情况下,以前的配置会阻止登录类中的用户对 下 [edit protocols]的任何层次结构进行更改。

但是,如果配置以下语句,则登录类中的用户可以对 BGP 对等方进行更改,但用户无法在允许的层次结构级别之外配置其他协议或其他 BGP 语句。

验证

要验证是否已正确设置访问权限:

  1. 配置登录类并提交更改。

  2. 将登录类 username分配给 .

  3. 以分配的新 username 登录类身份登录。

  4. 尝试配置允许的层次结构级别。

    • 您应该能够在已允许的层次结构级别中配置语句。

    • 被拒绝的层次结构级别不应可见。

    • 任何允许或拒绝的表达式都应优先于语句授予 permissions 的任何权限。

示例:使用操作模式命令的访问权限配置用户权限

此示例说明如何配置定制登录类并为操作方式命令分配访问权限。登录类中的用户只能执行他们有权访问的命令。这可以防止未经授权的用户执行可能对网络造成损害的敏感命令。

要求

此示例使用以下硬件和软件组件:

  • 一台瞻博网络设备

  • 一台 TACACS+(或 RADIUS)服务器

开始之前,请在设备和 TACACS+ 服务器之间建立 TCP 连接。对于 RADIUS 服务器,请在设备和 RADIUS 服务器之间建立 UDP 连接。

概述和拓扑

图 1 说明了一个简单的拓扑,其中路由器 R1 是瞻博网络设备,具有与 TACACS+ 服务器建立的 TCP 连接。

图 1: 拓扑学拓扑学

此示例使用 R1 配置三个自定义登录类:类 1、类 2 和类 3。每个类通过配置 permissions 语句和使用 and allow-commandsdeny-commands 语句定义扩展正则表达式来定义用户的访问权限。

每个登录类的用途如下:

  • Class1—仅使用语句定义 allow-commands 用户的访问权限。此登录类提供操作员级别的用户权限和重新启动设备的授权。

  • Class2—仅使用语句定义 deny-commands 用户的访问权限。此登录类提供操作员级别的用户权限并拒绝对命令的 set 访问。

  • Class3— 使用 和 deny-commands 语句allow-commands定义用户的访问权限。此登录类提供访问接口和查看设备信息的超级用户级用户权限和授权。它还拒绝访问 editconfigure 命令。

路由器 R1 有三个不同的用户(用户 1、用户 2 和用户 3),分别分配给 Class1、Class2 和 Class3 登录类。

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后进入 commit 配置模式。

R1

配置路由器 R1 的身份验证参数

分步过程

要配置路由器 R1 身份验证:

  1. 配置 R1 尝试对用户进行身份验证的顺序。在此示例中,首先是 TACACS+ 服务器身份验证,然后是 RADIUS 服务器身份验证,然后是本地密码。

  2. 配置 TACACS+ 服务器。

  3. 配置 RADIUS 服务器。

  4. 配置 R1 计费参数。

使用 allow 命令语句(类 1)配置访问权限

分步过程

要使用 allow-commands 语句指定正则表达式:

  1. 配置 Class1 登录类并分配操作员级别的用户权限。

  2. allow-commands配置正则表达式以使类中的用户能够重新启动设备。

  3. 配置 Class1 登录类的用户帐户。

使用拒绝命令语句(类 2)配置访问权限

分步过程

要使用 deny-commands 语句指定正则表达式:

  1. 配置 Class2 登录类并分配操作员级别的用户权限。

  2. 配置 deny-commands 正则表达式以防止类中的用户执行 set 命令。

  3. 配置 Class2 登录类的用户帐户。

使用允许命令和拒绝命令语句配置访问权限(类 3)

分步过程

要使用和deny-commands语句指定allow-commands正则表达式,请执行以下操作:

  1. 配置 Class3 登录类并分配超级用户级权限。

  2. deny-commands配置正则表达式以防止类中的用户执行任何命令。

  3. allow-commands配置正则表达式以允许用户进入配置模式。

  4. 配置 Class3 登录类的用户帐户。

结果

在配置模式下,输入 show system 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

验证

以分配给新登录类的用户名登录,并确认配置工作正常。

验证 class1 配置

目的

验证 Class1 登录类中允许的权限和命令是否正常工作。

操作

在操作模式下,运行 show system users 命令。

在操作模式下,运行 request system reboot 命令。

意义

为其分配了 User1 的 Class1 登录类具有操作员级别的用户权限,并允许该类中的用户执行 request system reboot 命令。

预定义的操作员登录类指定了以下权限标志:

  • clear- 可以使用命令清除 clear (删除)设备从网络中获知并存储在各种网络数据库中的信息。

  • network- 可以使用 、 sshtelnet、 和traceroute命令访问ping网络。

  • reset- 可以使用命令重新启动软件进程 restart

  • trace- 可以查看追踪文件设置并配置追踪文件属性。

  • view—可以使用各种命令显示当前系统范围、路由表和协议特定的值和统计信息。无法查看密钥配置。

对于 Class1 登录类,除了上述用户权限外,User1 还可以执行 request system reboot 命令。第一个输出将查看权限显示为运算符,第二个输出显示 User1 可以作为运算符执行的唯一 request system 命令是 request system reboot 命令。

验证 class2 配置

目的

验证 Class2 登录类允许的权限和命令是否正常工作。

操作

在操作模式下,运行 ping 命令。

在 CLI 提示符下,检查可用的命令。

在 CLI 提示符下,执行任何 set 命令。

意义

为其分配了 User2 的 Class2 登录类具有操作员级别的用户权限,并拒绝访问所有 set 命令。

为预定义操作员登录类指定的权限标志与为 Class1 指定的权限标志相同。

验证 Class3 配置

目的

验证 Class3 登录类允许的权限和命令是否正常工作。

操作

在操作模式下,检查可用的命令。

进入配置模式。

意义

为其分配了 User3 的 Class3 登录类具有超级用户(所有)权限,但此类仅允许用户执行 configure 命令。该类拒绝访问所有其他操作模式命令。由于语句中 allow/deny-commands 指定的正则表达式优先于用户权限,因此 R1 上的 User3 只能访问配置模式,并被拒绝访问所有其他操作模式命令。

示例:使用配置语句和层次结构的访问权限配置用户权限

此示例说明如何配置定制登录类以及如何为特定配置层次结构分配访问权限。登录类中的用户只能查看和修改他们有权访问的那些配置语句和层次结构。这可以防止未经授权的用户修改可能对网络造成损害的设备配置。

要求

此示例使用以下硬件和软件组件:

  • 一台瞻博网络设备

  • 一台 TACACS+(或 RADIUS)服务器

开始之前,请在设备和 TACACS+ 服务器之间建立 TCP 连接。对于 RADIUS 服务器,请在设备和 RADIUS 服务器之间建立 UDP 连接。

概述和拓扑

图 2 说明了一个简单的拓扑,其中路由器 R1 是瞻博网络设备,具有与 TACACS+ 服务器建立的 TCP 连接。

图 2: 拓扑学拓扑学

此示例使用 R1 配置两个自定义登录类:1 类和 2 类。每个类通过配置permissions语句和使用 、 deny-configurationallow-configuration-regexpsdeny-configuration-regexps语句定义allow-configuration扩展正则表达式来定义用户的访问权限。

每个登录类的用途如下:

  • Class1— 使用 and allow-configurationdeny-configuration 语句定义用户的访问权限。此登录类仅提供配置 [edit interfaces] 层次结构的访问权限,并拒绝设备上的所有其他访问。为此,用户权限包括 configure 提供配置访问权限。此外,该 allow-configuration 语句允许访问接口配置,并且该 deny-configuration 语句拒绝访问所有其他配置层次结构。由于 allow 语句优先于 deny 语句,因此分配给 Class1 登录类的用户只能 [edit interfaces] 访问层次结构级别。

  • Class2— 使用 and allow-configuration-regexpsdeny-configuration-regexps 语句定义用户的访问权限。此登录类提供超级用户级别的用户权限,并显式允许在多个层次结构级别下为接口进行配置。它还拒绝对 [edit system][edit protocols] 层次结构级别的访问。

路由器 R1 有两个用户 User1 和 User2,分别分配给 Class1 和 Class2 登录类。

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后进入 commit 配置模式。

R1

配置路由器 R1 的身份验证参数

分步过程

要配置路由器 R1 身份验证:

  1. 配置 R1 尝试对用户进行身份验证的顺序。在此示例中,首先是 TACACS+ 服务器身份验证,然后是 RADIUS 服务器身份验证,然后是本地密码。

  2. 配置 TACACS+ 服务器。

  3. 配置 RADIUS 服务器。

  4. 配置 R1 计费参数。

使用允许配置和拒绝配置语句(Class1)配置访问权限

分步过程

要使用 allow-configurationdeny-configuration 语句指定正则表达式,请执行以下操作:

  1. 配置具有 configure 权限的 Class1 登录类。

  2. 配置 allow-configuration 正则表达式以允许类中的用户查看和修改 [edit interfaces] 部分层次结构级别。

  3. 配置 deny-configuration 正则表达式以拒绝对所有配置层次结构的访问。

  4. 配置 Class1 登录类的用户帐户。

使用允许配置正则表达式和拒绝配置正则表达式语句 (Class2) 配置访问权限

分步过程

要使用 allow-configuration-regexpsdeny-configuration-regexps 语句指定正则表达式,请执行以下操作:

  1. 配置 Class2 登录类并分配超级用户(所有)权限。

  2. 配置 allow-configuration-regexps 正则表达式以允许类中的用户访问层次结构级别下的 [edit interfaces] 多个层次结构。

  3. deny-configuration-regexps配置正则表达式以防止类中的用户查看或修改和[edit protocols]层次结构级别的配置[edit system]

  4. 配置 Class2 登录类的用户帐户。

结果

在配置模式下,输入 show system 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的说明,以便进行更正。

验证

以分配给新登录类的用户名登录,并确认配置工作正常。

验证 Class1 配置

目的

验证 Class1 登录类中允许的权限是否正常工作。

操作

在操作模式下,检查可用的命令。

在配置模式下,检查可用的配置权限。

意义

User1 具有 configure 用户权限,如第一个输出所示。此外,在配置模式下,User1 有权访问 interfaces 层次结构级别,但只能访问该层次结构级别,如第二个输出所示。

验证 Class2 配置

目的

验证 Class2 配置是否按预期工作。

操作

在配置模式下,访问 interfaces 配置。

在配置模式下,访问 systemprotocols 配置层次结构。

意义

User2 有权在 R1 上配置接口,但用户无权查看或修改 [edit system] OR [edit protocols] 层次结构级别。

变更历史表

是否支持某项功能取决于您使用的平台和版本。 使用 Feature Explorer 查看您使用的平台是否支持某项功能。

版本
说明
18.1
从 Junos OS 18.1 版开始, allow-commands-regexps TACACS+ 授权支持和 deny-commands-regexps 语句。