EN ESTA PÁGINA

Descripción general de los niveles de privilegios de acceso
Ejemplo: Configurar permisos de usuario con niveles de privilegios de acceso
Expresiones regulares para permitir y denegar comandos de modo operativo, instrucciones de configuración y jerarquías
Cómo definir privilegios de acceso con instrucciones allow-configuration y deny-configuration
Ejemplo: Usar lógica aditiva con expresiones regulares para especificar privilegios de acceso
Ejemplo: Configurar permisos de usuario con privilegios de acceso para comandos de modo operativo
Ejemplo: Configurar permisos de usuario con privilegios de acceso para instrucciones de configuración y jerarquías

Privilegios de acceso de usuario

Usted (el administrador del sistema) concede a los usuarios acceso o permisos a comandos y niveles e instrucciones de jerarquía de configuración. Los usuarios sólo pueden ejecutar esos comandos y ver y configurar sólo aquellas instrucciones para las que tienen privilegios de acceso. También puede usar expresiones regulares extendidas para especificar qué comandos del modo operativo, instrucciones de configuración y jerarquías están permitidos o denegados para los usuarios. Esta práctica impide que usuarios no autorizados ejecuten comandos confidenciales o configuren instrucciones que puedan dañar la red.

Descripción general de los niveles de privilegios de acceso

Cada comando y declaración de configuración de CLI de nivel superior tiene un nivel de privilegio de acceso asociado. Los usuarios solo pueden ejecutar esos comandos y configurar y ver solo aquellas instrucciones para las que tienen privilegios de acceso. Uno o más indicadores de permisos definen los privilegios de acceso para cada clase de inicio de sesión.

Para cada clase de inicio de sesión, también puede permitir o denegar explícitamente el uso de comandos de modo operativo y modo de configuración y jerarquías de instrucciones que, de otro modo, se permitirían o denegarían mediante un nivel de privilegios especificado en la permissions instrucción.

Indicadores de permisos de clase de inicio de sesión
Permitir y denegar comandos individuales y jerarquías de instrucciones para clases de inicio de sesión

Indicadores de permisos de clase de inicio de sesión

Los indicadores de permisos se utilizan para conceder a un usuario acceso a los comandos del modo operativo y a los niveles e instrucciones de jerarquía de configuración. Los indicadores de permisos se configuran para la clase de inicio de sesión del usuario en el nivel jerárquico [edit system login class] . Cuando se especifica un determinado indicador de permisos, el usuario obtiene acceso a los comandos y a los niveles e instrucciones de jerarquía de configuración que corresponden a ese indicador. Para conceder acceso a todos los comandos e instrucciones de configuración, utilice la marca de all permisos.

Nota:

Cada comando enumerado representa ese comando y todos los subcomandos con ese comando como prefijo. Cada instrucción de configuración enumerada representa la parte superior de la jerarquía de configuración a la que ese indicador concede acceso.

La permissions instrucción especifica uno o varios de los indicadores de permisos enumerados en Tabla 1. Los indicadores de permisos no son acumulativos. Para cada clase, debe enumerar todos los indicadores de permisos necesarios, incluso view para mostrar información y configure entrar en el modo de configuración. Dos formas de permisos controlan el acceso de un usuario a las partes individuales de la configuración:

Formulario "sin formato": proporciona capacidad de solo lectura para ese tipo de permiso. Un ejemplo es interface.
-control form: proporciona capacidad de lectura y escritura para ese tipo de permiso. Un ejemplo es interface-control.

Para los indicadores de permisos que conceden acceso a los niveles e instrucciones de jerarquía de configuración, los indicadores de formulario sin formato conceden privilegios de solo lectura a esa configuración. Por ejemplo, la marca de interface permiso concede acceso de solo lectura al nivel jerárquico [edit interfaces] . El -control formulario del indicador concede acceso de lectura y escritura a esa configuración. Por ejemplo, el interface-control indicador concede acceso de lectura y escritura al nivel de [edit interfaces] jerarquía.

Tabla 1 enumera los indicadores de permisos de clase de inicio de sesión que puede configurar incluyendo la permissions instrucción en el nivel de [edit system login class class-name] jerarquía.

Los indicadores de permisos conceden un conjunto específico de privilegios de acceso. Cada indicador de permisos se muestra con los comandos de modo operativo o modo de configuración y los niveles e instrucciones de jerarquía de configuración para los que ese indicador concede acceso.

Tabla 1: Indicadores de permisos de clase de inicio de sesión
Indicador de permiso	Description
`access`	Puede ver la configuración de acceso en modo operativo o en modo de configuración.
`access-control`	Puede ver y configurar la información de acceso en el nivel jerárquico `[edit access]` .
`admin`	Puede ver la información de la cuenta de usuario en modo operativo o modo de configuración.
`admin-control`	Puede ver la información de la cuenta de usuario y configurarla en el nivel jerárquico `[edit system]` .
`all`	Puede acceder a todos los comandos del modo operativo y del modo de configuración. Puede modificar la configuración en todos los niveles de jerarquía de configuración.
`clear`	Puede borrar (eliminar) información que el dispositivo aprende de la red y almacena en varias bases de datos de red (usando los `clear` comandos).
`configure`	Puede entrar en el modo de configuración (con el `configure` comando) y confirmar configuraciones (con el `commit` comando).
`control`	Puede realizar todas las operaciones de nivel de control, todas las operaciones configuradas con los indicadores de `-control` permisos.
`field`	Puede ver comandos de depuración de campos. Reservado para soporte de depuración.
`firewall`	Puede ver la configuración del filtro del firewall en modo operativo o en modo de configuración.
`firewall-control`	Puede ver y configurar la información del filtro del firewall en el nivel jerárquico `[edit firewall]` .
`floppy`	Puede leer y escribir en los medios extraíbles.
`flow-tap`	Puede ver la configuración flow-tap en modo operativo o en modo de configuración.
`flow-tap-control`	Puede ver y configurar información de flujo y pulsación en el nivel jerárquico `[edit services flow-tap]` .
`flow-tap-operation`	Puede realizar solicitudes de flow-tap al enrutador o conmutador. Por ejemplo, un cliente del Protocolo de control dinámico de tareas (DTCP) debe tener `flow-tap-operation` permiso para autenticarse Junos OS como usuario administrativo. Nota: La `flow-tap-operation` opción no se incluye en el indicador de `all-control` permisos.
`idp-profiler-operation`	Puede ver los datos del generador de perfiles.
`interface`	Puede ver la configuración de la interfaz en modo operativo y modo de configuración.
`interface-control`	Puede ver el chasis, la clase de servicio (CoS), los grupos, las opciones de reenvío y la información de configuración de las interfaces. Puede modificar la configuración en los siguientes niveles jerárquicos: `[edit chassis]` `[edit class-of-service]` `[edit groups]` `[edit forwarding-options]` `[edit interfaces]`
`maintenance`	Puede realizar el mantenimiento del sistema, incluido el inicio de un shell local en el dispositivo y convertirse en el superusuario en el shell (usando el `su root` comando) y detener y reiniciar el dispositivo (usando los `request system` comandos).
`network`	Puede tener acceso a la red mediante los `ping`comandos , `ssh`, `telnet`y `traceroute` .
`pgcp-session-mirroring`	Puede ver la configuración de creación de reflejo de la `pgcp` sesión.
`pgcp-session-mirroring-control`	Puede modificar la configuración de creación de reflejo de la `pgcp` sesión.
`reset`	Puede reiniciar procesos de software mediante el `restart` comando.
`rollback`	Puede utilizar el `rollback` comando para volver a una configuración confirmada anteriormente.
`routing`	Puede ver información general de enrutamiento, protocolo de enrutamiento y configuración de políticas de enrutamiento en modo de configuración y modo operativo.
`routing-control`	Puede ver y configurar enrutamiento general en el nivel de `[edit routing-options]` jerarquía, protocolos de enrutamiento en el `[edit protocols]` nivel de jerarquía e información de políticas de enrutamiento en el nivel de `[edit policy-options]` jerarquía.
`secret`	Puede ver contraseñas y otras claves de autenticación en la configuración.
`secret-control`	Puede ver y modificar contraseñas y otras claves de autenticación en la configuración.
`security`	Puede ver información de configuración de seguridad en modo operativo y modo de configuración.
`security-control`	Puede ver y configurar la información de seguridad en el nivel jerárquico `[edit security]` .
`shell`	Puede iniciar un shell local en el enrutador o conmutador mediante el `start shell` comando.
`snmp`	Puede ver la información de configuración del Protocolo simple de administración de redes (SNMP) en modo operativo o en modo de configuración.
`snmp-control`	Puede ver y modificar la información de configuración de SNMP en el nivel jerárquico `[edit snmp]` .
	Puede ver la información de configuración del almacenamiento de canal de fibra en el nivel jerárquico `[edit fc-fabrics]` .
	Puede modificar la información de configuración del almacenamiento del canal de fibra en el nivel jerárquico `[edit fc-fabrics]` .
`system`	Puede ver información a nivel de sistema en modo operativo o modo de configuración.
`system-control`	Puede ver y modificar la información de configuración de nivel de sistema en el nivel de `[edit system]` jerarquía.
`trace`	Puede ver la configuración del archivo de seguimiento y configurar las propiedades del archivo de seguimiento.
`trace-control`	Puede modificar la configuración del archivo de seguimiento y configurar las propiedades del archivo de seguimiento.
	Puede ver la configuración unificada del borde en la `[edit unified-edge]` jerarquía.
	Puede modificar la configuración unificada relacionada con el borde en la `[edit unified-edge]` jerarquía.
`view`	Puede usar varios comandos para mostrar valores y estadísticas actuales de todo el sistema, tabla de enrutamiento y específicos del protocolo. No se puede ver la configuración secreta.
`view-configuration`	Puede ver toda la configuración, excepto secretos, scripts del sistema y opciones de eventos. Nota: Solo los usuarios con el permiso pueden ver el script de confirmación, el script de operación o la configuración del `maintenance` script de eventos.

Permitir y denegar comandos individuales y jerarquías de instrucciones para clases de inicio de sesión

De forma predeterminada, todos los comandos CLI de nivel superior y los niveles de jerarquía de configuración tienen niveles de privilegios de acceso asociados. Los usuarios sólo pueden ejecutar esos comandos y ver y configurar sólo aquellas instrucciones para las que tienen privilegios de acceso. Para cada clase de inicio de sesión, puede permitir y denegar explícitamente el uso de comandos de modo operativo y modo de configuración y jerarquías de instrucciones que, de otro modo, se permitirían o denegarían mediante un nivel de privilegios especificado en la permissions instrucción.

Los indicadores de permisos conceden al usuario acceso a los comandos del modo operativo y del modo de configuración, así como a los niveles e instrucciones de la jerarquía de configuración. Al especificar un indicador de permisos específico en la clase de inicio de sesión del usuario en el nivel jerárquico [edit system login class] , se concede al usuario acceso a los comandos e instrucciones de jerarquía de configuración correspondientes. Para conceder acceso a todos los comandos e instrucciones de configuración, utilice la marca de all permisos.

Puede permitir o denegar explícitamente el uso de comandos e instrucciones configurando las allow-commandsinstrucciones, deny-commandsallow-configuration, y deny-configuration para una clase de inicio de sesión. En las instrucciones, se utilizan expresiones regulares extendidas para definir qué comandos e instrucciones permitir o denegar a los usuarios asignados a la clase.

Ejemplo: Configurar permisos de usuario con niveles de privilegios de acceso

En este ejemplo se configuran los permisos de usuario para una clase de inicio de sesión. Los permisos de usuario para una clase de inicio de sesión se configuran para evitar que los usuarios realicen acciones de red no autorizadas. Los usuarios sólo pueden ejecutar esos comandos y ver y modificar sólo aquellas instrucciones para las que tienen privilegios de acceso. Esta restricción impide que usuarios no autorizados ejecuten comandos confidenciales o instrucciones de configuración que puedan dañar la red.

Requisitos
Descripción general
Configuración
Verificación

Requisitos

No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de configurar este ejemplo.

Descripción general

Cada comando de CLI de nivel superior y cada instrucción de configuración tiene un nivel de privilegio de acceso asociado. Al configurar una clase de inicio de sesión, puede permitir o denegar explícitamente el uso de comandos e instrucciones de configuración y de modo operativo. Los usuarios sólo pueden ejecutar esos comandos y ver y configurar sólo aquellas instrucciones para las que tienen privilegios de acceso.

Los privilegios de acceso para cada clase de inicio de sesión se definen especificando uno o varios indicadores de permisos en la permissions instrucción. Los indicadores de permisos conceden a un usuario acceso a comandos, instrucciones y jerarquías. Los indicadores de permisos no son acumulativos. Para cada clase de inicio de sesión, debe enumerar todos los indicadores de permisos necesarios, incluso view para mostrar información y configure entrar en el modo de configuración. Al especificar un indicador de permiso específico en la clase de inicio de sesión del usuario, se concede al usuario acceso a los comandos, instrucciones y jerarquías correspondientes. Para conceder acceso a todos los comandos e instrucciones de configuración, utilice la marca de all permisos. Los indicadores de permisos proporcionan capacidad de solo lectura ("simple") y de lectura y escritura (formulario que termina en -control) para un tipo de permiso.

Nota:

Los all bits de permiso de la clase de inicio de sesión tienen prioridad sobre las expresiones regulares extendidas cuando un usuario emite un rollback comando con el indicador de rollback permisos habilitado.

Para configurar los niveles de privilegios de acceso de usuario para una clase de inicio de sesión, incluya la permissions instrucción en el nivel de [edit system login class class-name] jerarquía, seguida de los indicadores de permisos. Configure varios permisos como una lista separada por espacios entre corchetes:

Consejo:

Para ver los permisos disponibles, use la ayuda contextual de la CLI y escriba un signo de interrogación (?) después de la permissions instrucción:

Configuración

En este ejemplo se configura la clase login snmp-admin . Los usuarios de esta clase de inicio de sesión sólo pueden configurar y ver parámetros SNMP.

Configurar permisos de usuario con niveles de privilegios de acceso
Resultados

Configurar permisos de usuario con niveles de privilegios de acceso

Procedimiento paso a paso

Para configurar los privilegios de acceso para la clase de inicio de sesión:

Configure la clase de snmp-admin inicio de sesión con los indicadores , snmpy snmp-control permisosconfigure.
Los indicadores de permisos configurados proporcionan capacidad de lectura (snmp) y de lectura y escritura (snmp-control) para SNMP, y este es el único privilegio de acceso permitido para esta clase de inicio de sesión. Se deniegan todos los demás privilegios de acceso.

Cree las cuentas de usuario asignadas a la clase de inicio de snmp-admin sesión.

Resultados

En el modo de configuración, confirme la configuración introduciendo el show system login comando. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Después de configurar el dispositivo, ingrese commit al modo de configuración.

Verificación

Inicie sesión con un nombre de usuario asignado a la nueva clase de inicio de sesión y confirme que la configuración funciona correctamente.

Verificar la configuración de SNMP
Verificar la configuración que no es SNMP

Propósito

Compruebe que un usuario de la snmp-admin clase login puede configurar SNMP.

Acción

En el modo de configuración, configure las instrucciones SNMP en el nivel de [edit snmp] jerarquía.

Significado

El usuario de la snmp-admin clase login puede configurar parámetros SNMP. El usuario puede configurar estos parámetros porque los indicadores de permisos especificados para esta clase incluyen bits de permisos snmp (capacidades de lectura) y snmp-control (capacidades de lectura y escritura).

Verificar la configuración que no es SNMP

Propósito
Acción
Significado

Propósito

Compruebe que un usuario de la snmp-admin clase login no puede modificar instrucciones de configuración que no sean SNMP.

Acción

En el modo de configuración, intente configurar cualquier instrucción que no sea SNMP, como una instrucción de la interfaces jerarquía.

Significado

El usuario de la snmp-admin clase de inicio de sesión no puede configurar la [edit interfaces] jerarquía porque los indicadores de permisos especificados para esta clase no lo permiten. En este caso, la CLI emite un mensaje de error.

Expresiones regulares para permitir y denegar comandos de modo operativo, instrucciones de configuración y jerarquías

Este tema contiene las siguientes secciones:

Descripción de las instrucciones Allow y Deniy
Descripción de la sintaxis de la instrucción Allow y Deny
Descripción de la precedencia y coincidencia de instrucciones Allow and Deniy
Descripción de las reglas de instrucción Permitir y Denegar
Descripción de las diferencias para las instrucciones *-regexps
Uso de expresiones regulares en servidores de autorización remotos
Especificar expresiones regulares
Operadores de expresiones regulares
Ejemplos de expresiones regulares

Descripción de las instrucciones Allow y Deniy

Cada jerarquía de instrucciones de configuración y comando CLI de nivel superior tiene asociado un nivel de privilegios de acceso. Cada clase de inicio de sesión puede permitir o denegar explícitamente el uso de comandos de modo operativo y modo de configuración y jerarquías de configuración e instrucciones que de otro modo serían permitidas o denegadas por un nivel de privilegios. Los usuarios sólo pueden ejecutar esos comandos y ver y configurar sólo aquellas instrucciones para las que tienen privilegios de acceso.

Los privilegios de acceso para cada clase de inicio de sesión se definen mediante uno o más indicadores de permisos especificados en la permissions instrucción en el nivel de [edit system login class class-name] jerarquía. Además, puede permitir o denegar el uso de comandos y jerarquías de configuración específicos mediante la definición de expresiones regulares extendidas. Puede especificar las expresiones regulares configurando las instrucciones siguientes para una clase de inicio de sesión:

allow-commands y deny-commands—Permitir o denegar el acceso a los comandos del modo operativo y del modo de configuración.
allow-configuration y deny-configuration—Permitir o denegar el acceso a jerarquías de configuración específicas.

Nota:
Estas instrucciones realizan una coincidencia más lenta, con más flexibilidad, especialmente en la coincidencia de comodines. Sin embargo, puede llevar mucho tiempo evaluar todas las instrucciones posibles si se configura un gran número de expresiones regulares de ruta de acceso completo o expresiones comodín, lo que posiblemente afecte negativamente al rendimiento.
allow-commands-regexps y deny-commands-regexps—Permitir o denegar el acceso a comandos concretos mediante cadenas de expresiones regulares.
allow-configuration-regexps y deny-configuration-regexps—Permitir o denegar el acceso a jerarquías de configuración específicas mediante cadenas de expresiones regulares.

Nota:

Si las configuraciones existentes utilizan las allow/deny-commands instrucciones o allow/deny-configuration , es posible que el uso de las mismas opciones de configuración con las allow/deny-commands-regexps instrucciones or allow/deny-configuration-regexps no produzca los mismos resultados. Los métodos de búsqueda y coincidencia difieren en las dos formas de estas instrucciones.

Si se permiten explícitamente comandos y jerarquías de instrucciones de configuración mediante las instrucciones, allow/deny-* se suman a los permisos que la permissions instrucción ya define. Del mismo modo, la denegación explícita de comandos y jerarquías de instrucciones de configuración mediante las instrucciones quita los allow/deny-* permisos que la permissions instrucción ya define.

Por ejemplo, en la siguiente configuración, el configure permiso permite a los usuarios de la clase login entrar en modo de configuración. Además, la allow-configuration expresión permite a los usuarios modificar la configuración en el nivel de [edit system services] jerarquía y confirmarla.

De forma similar, en la siguiente configuración, el usuario de clase de inicio de sesión puede realizar todas las operaciones que permite el all indicador de permisos, excepto que el usuario no puede ver ni modificar la configuración en el nivel de [edit system services] jerarquía:

Descripción de la sintaxis de la instrucción Allow y Deny

Sólo puede configurar una allow/deny-* instrucción una vez en cada clase de inicio de sesión. Al configurar una instrucción:

Puede configurar tantas expresiones regulares como sea necesario.
Las expresiones regulares no distinguen entre mayúsculas y minúsculas

Las allow/deny-commands instrucciones son mutuamente excluyentes con las allow/deny-commands-regexps instrucciones, y las allow/deny-configuration declaraciones son mutuamente excluyentes con las allow/deny-configuration-regexps declaraciones. Por ejemplo, no puede configurar ambos allow-configuration y allow-configuration-regexps en la misma clase de inicio de sesión.

Para definir privilegios de acceso a comandos, especifique expresiones regulares extendidas mediante las allow-commands instrucciones y deny-commands . Incluya cada expresión independiente completa entre paréntesis ( ) y utilice el símbolo de barra vertical ( | ) para separar las expresiones. No utilice espacios entre expresiones regulares que estén conectadas con el símbolo de barra vertical. La expresión completa está entre comillas dobles.

Por ejemplo:

Debe utilizar anclajes al especificar expresiones regulares complejas con la allow-commands instrucción. Por ejemplo:

Para definir privilegios de acceso a partes de la jerarquía de configuración, especifique expresiones regulares extendidas en las allow-configuration instrucciones y deny-configuration . Incluya los trazados completos entre paréntesis ( ) y utilice el símbolo de barra vertical ( | ) para separar las expresiones. No utilice espacios entre expresiones regulares que estén conectadas con el símbolo de barra vertical. La expresión completa está entre comillas dobles.

Por ejemplo:

Cuando especifique expresiones regulares extendidas mediante las allow/deny-commands-regexps instrucciones o allow/deny-configuration-regexps , encierre cada expresión entre comillas (" ") y separe las expresiones con un espacio. Incluya varias expresiones entre corchetes [ ]. Por ejemplo:

Los modificadores como set, logy count no se admiten dentro de la cadena de expresión regular que se va a emparejar. Si usa un modificador, no se empareja nada.

Configuración correcta:

Configuración incorrecta:

Descripción de la precedencia y coincidencia de instrucciones Allow and Deniy

De forma predeterminada, las allow-commands expresiones y allow-configuration regular tienen prioridad sobre deny-commands las deny-configuration expresiones. Por lo tanto, si configura el mismo comando para las allow-commands instrucciones y deny-commands , la operación allow tiene prioridad sobre la operación deny. Del mismo modo, si configura la misma instrucción para las allow-configuration instrucciones y deny-configuration , la operación allow tiene prioridad sobre la operación de denegación.

Por ejemplo, la siguiente configuración permite a un usuario de la test clase login instalar software mediante el request system software add comando, aunque la deny-commands instrucción incluya el mismo comando:

De forma similar, la siguiente configuración permite a un usuario de la prueba de test clase login ver y modificar la jerarquía de [edit system services] configuración, aunque la deny-configuration instrucción incluya la misma jerarquía:

Si las allow-commands instrucciones y deny-commands tienen dos variantes diferentes de un comando, siempre se ejecuta la coincidencia más larga. La siguiente configuración permite que un usuario de la test clase login ejecute el commit synchronize comando pero no el commit comando. Esto se debe a que commit synchronize es la coincidencia más larga entre commit y commit synchronize, y se especifica para allow-commands.

La siguiente configuración permite que un usuario de la test clase login ejecute el commit comando pero no el commit synchronize comando. Esto se debe a que commit synchronize es la coincidencia más larga entre commit y commit synchronize, y se especifica para deny-commands.

A diferencia de las otras instrucciones, el comportamiento predeterminado de las *-regexps instrucciones es que las deny-configuration-regexpsdeny-commands-regexps expresiones y regular tienen prioridad sobre allow-commands-regexps las expresiones andallow-configuration-regexps. Puede configurar la regex-additive-logic instrucción en el nivel de [edit system] jerarquía para forzar que las allow-configuration-regexps expresiones regulares tengan prioridad sobre las deny-configuration-regexps instrucciones. La configuración de la instrucción permite denegar las jerarquías de configuración en un nivel superior y, a continuación, sólo permitir el acceso del usuario a subjerarquías específicas.

Descripción de las reglas de instrucción Permitir y Denegar

Las allow/deny-commandsinstrucciones, allow/deny-configuration, allow/deny-commands-regexpsy allow/deny-configuration-regexps tienen prioridad sobre los permisos de clase de inicio de sesión. Al configurar estas instrucciones, se aplican las siguientes reglas:

Las expresiones regulares para allow-commands las instrucciones y deny-commands también pueden incluir los commitcomandos , load, saverollbackstatus, , y update .
Los all bits de permiso de la clase de inicio de sesión tienen prioridad sobre las expresiones regulares extendidas cuando un usuario emite el rollback comando con el indicador de rollback permisos habilitado.
Los usuarios no pueden emitir el load override comando al especificar una expresión regular extendida. Los usuarios solo pueden emitir los comandos , mergereplacey patch configuración.
Puede utilizar el carácter comodín * al denotar expresiones regulares. Sin embargo, debe usarlo como parte de una expresión regular. No puede usar [ * ] o [ .* ] como la única expresión. Además, no puede configurar la allow-configuration instrucción con una expresión como , porque (interfaces (description (|.*))se evalúa como allow-configuration .*.

Descripción de las diferencias para las instrucciones *-regexps

En esta sección se describen las diferencias entre las allow/deny-configuration instrucciones y las allow/deny-configuration-regexps instrucciones.

Las allow/deny-configuration-regexps instrucciones dividen la expresión regular en tokens y hacen coincidir cada pieza con cada parte de la ruta completa de la configuración especificada, mientras que las allow/deny-configuration instrucciones coinciden con la cadena completa. Para allow/deny-configuration-regexps las instrucciones, se configura un conjunto de cadenas en el que cada cadena es una expresión regular, con espacios entre los términos de la cadena. Esta sintaxis proporciona una coincidencia muy rápida, pero ofrece menos flexibilidad. Para especificar expresiones comodín, debe configurar caracteres comodín para cada token de la cadena delimitada por espacio que desee que coincida, lo que dificulta el uso de expresiones comodín para estas instrucciones.

Por ejemplo:

Expresión regular que coincide con un token mediante allow-configuration-regexps

En este ejemplo se muestra que options es la única expresión coincidente con el primer token de la instrucción.
La configuración anterior coincide con las siguientes instrucciones:
- set policy-options condition condition dynamic-db
- establecer opciones de enrutamiento ruta static-route estática próximo salto next-hop
- establecer opciones de eventos generar intervalo de tiempo de eventos eventseconds
La configuración anterior no coincide con las siguientes instrucciones:
- system host-name host-options
- Opciones de descripción de interfaces interface-name
Expresión regular que hace coincidir tres tokens mediante allow-configuration-regexps

En este ejemplo se muestra que ssh es la única expresión coincidente con el tercer token de la instrucción.
En el ejemplo anterior, los tres tokens incluyen .*, .*, y , respectivamente .*ssh.

La configuración anterior coincide con las siguientes instrucciones:
- system-host-name hostname-ssh
- Servicios del sistema SSH
- Servicios del sistema salientes-SSH
La configuración anterior no coincide con la siguiente instrucción:
- Descripción de interfaces interface-nameSSH

Es más fácil utilizar la instrucción para restringir el deny-configuration acceso a la configuración que utilizar la deny-configuration-regexps instrucción. Tabla 2 Ilustra el uso de las deny-configuration instrucciones y deny-configuration-regexps en diferentes configuraciones para lograr el mismo resultado de restringir el acceso a una configuración determinada.

Tabla 2: Restricción del acceso a la configuración mediante las instrucciones deny-configuration y deny-configuration-regexps
Configuración denegada	Usando: `deny-configuration`	Usando: `deny-configuration-regexps`	Resultado
`xnm-ssl`	[edit system] login { class test { permissions configure; allow-configuration .; deny-configuration .xnm-ssl; } }	[edit system] login { class test { permissions configure; allow-configuration .; deny-configuration-regexps ". .* .*-ssl""; } }	Se deniega la siguiente instrucción de configuración: Servicios del sistema XNM-SSL
`ssh`	[edit system] login { class test { permissions configure; allow-configuration .; deny-configuration ".ssh"; } }	[edit system] login { class test { permissions configure; allow-configuration .; deny-configuration-regexps ".ssh"; deny-configuration-regexps ".* .ssh"; deny-configuration-regexps ". .* .*ssh"; } }	Se deniegan las siguientes instrucciones de configuración: system-host-name hostname-ssh Servicios del sistema SSH Servicios del sistema salientes-SSH seguridad ssh-known-host

Configuración denegada

Usando: deny-configuration

Usando: deny-configuration-regexps

Resultado

xnm-ssl

[edit system]
login {
    class test {
        permissions configure;
         allow-configuration .*;
        deny-configuration .*xnm-ssl;
    }
}

[edit system]
login {
    class test {
        permissions configure;
         allow-configuration .*;
        deny-configuration-regexps ".* .* .*-ssl"";
    }
}

Se deniega la siguiente instrucción de configuración:

Servicios del sistema XNM-SSL

ssh

[edit system]
login {
    class test {
        permissions configure;
        allow-configuration .*;
        deny-configuration ".*ssh";
    }
}

[edit system]
login {
    class test {
        permissions configure;
        allow-configuration .*;
        deny-configuration-regexps ".*ssh";
        deny-configuration-regexps ".* .*ssh";
        deny-configuration-regexps ".* .* .*ssh";
    }
}

Se deniegan las siguientes instrucciones de configuración:

system-host-name hostname-ssh
Servicios del sistema SSH
Servicios del sistema salientes-SSH
seguridad ssh-known-host

Aunque las allow/deny-configuration instrucciones también son útiles cuando se desea una configuración sencilla, las allow/deny-configuration-regexps instrucciones proporcionan un mejor rendimiento y superan la ambigüedad que existía al combinar expresiones en las allow/deny-configuration instrucciones.

Uso de expresiones regulares en servidores de autorización remotos

Puede usar expresiones regulares extendidas para especificar qué comandos de modo operativo y modo de configuración e instrucciones de configuración y jerarquías están permitidos o denegados para determinados usuarios. Estas expresiones regulares se especifican localmente en las allow/deny-commandsinstrucciones, allow/deny-configurationallow/deny-commands-regexps y allow/deny-configuration-regexps en el nivel jerárquico[edit system login class class-name]. Estas expresiones regulares se especifican de forma remota especificando atributos TACACS+ o RADIUS específicos del proveedor de Juniper Networks en la configuración del servidor de autorización. Cuando se configuran los parámetros de autorización tanto local como remotamente, el dispositivo combina las expresiones regulares recibidas durante la autorización TACACS+ o RADIUS con cualquier expresión regular definida en el dispositivo local.

Nota:

A partir de Junos OS versión 18.1, las instrucciones y deny-commands-regexps se admiten para la allow-commands-regexps autorización TACACS+.

Cuando se especifican varias expresiones regulares en una configuración local mediante las allow-commandsinstrucciones, deny-commands, allow-configuration, o deny-configuration bien, se configuran las expresiones regulares entre paréntesis y se separan mediante el símbolo de barra vertical. Escriba la expresión completa entre comillas dobles. Por ejemplo, puede especificar varios allow-commands parámetros con la siguiente sintaxis:

El servidor de autorización RADIUS utiliza los siguientes atributos y sintaxis:

El servidor de autorización TACACS+ utiliza los siguientes atributos y sintaxis:

Cuando se especifican varias expresiones regulares en una configuración local mediante las allow-commands-regexpsinstrucciones, deny-commands-regexps, allow-configuration-regexps, o deny-configuration-regexps bien, se configuran las expresiones regulares entre comillas dobles y se separan mediante el operador space. Escriba la expresión completa entre corchetes. Por ejemplo, puede especificar varios parámetros allow-commands con la siguiente sintaxis:

El servidor de autorización RADIUS utiliza los siguientes atributos y sintaxis:

El servidor de autorización TACACS+ utiliza los siguientes atributos y sintaxis:

Los servidores RADIUS y TACACS+ también admiten una sintaxis simplificada en la que se especifica cada expresión individual en una línea independiente. Por ejemplo, la sintaxis simplificada del servidor RADIUS es:

Del mismo modo, la sintaxis simplificada del servidor TACACS+ es:

Tabla 3 diferencia la configuración de autorización local y la configuración de autorización del servidor TACACS+ mediante expresiones regulares.

Tabla 3: Configuración de autorización local y remota de ejemplo mediante expresiones regulares
Configuración local	Configuración remota de TACACS+
login { class local { permissions configure; allow-commands "(ping .)\|(traceroute .)\|(show .)\|(configure .)\|(edit)\|(exit)\|(commit)\|(rollback .)"; deny-commands .; allow-configuration "(interfaces .* unit 0 family ethernet-switching vlan mem.* .)\|(interfaces . native.* .)\|(interfaces . unit 0 family ethernet-switching interface-mo.* .)\|(interfaces . unit .)\|(interfaces . disable)\|(interfaces .* description .)\|(vlans . vlan-.* .)" deny-configuration .; } }	user = remote { login = username service = junos-exec { allow-commands1 = "ping ." allow-commands2 = "traceroute ." allow-commands3 = "show ." allow-commands4 = "configure" allow-commands5 = "edit" allow-commands6 = "exit" allow-commands7 = "commit" `allow-commands8 = ".xml-mode"` `allow-commands9 = ".netconf."` `allow-commands10 = ".need-trailer"` allow-commands11 = "rollback." allow-commands12 = "junoscript" deny-commands1 = "." allow-configuration1 = "interfaces . unit 0 family ethernet-switching vlan mem.* ." allow-configuration2 = "interfaces . native.* ." allow-configuration3 = "interfaces . unit 0 family ethernet-switching interface-mo.* ." allow-configuration4 = "interfaces . unit ." allow-configuration5 = "interfaces . disable" allow-configuration6 = "interfaces .* description ." allow-configuration7 = "interfaces ." allow-configuration8 = "vlans .* vlan-.* ." deny-configuration1 = "." local-user-name = `local-username` user-permissions = "configure" } }

Tabla 3: Configuración de autorización local y remota de ejemplo mediante expresiones regulares

Configuración local

Configuración remota de TACACS+

login {
    class local {
        permissions configure;
        allow-commands "(ping .*)|(traceroute .*)|(show .*)|(configure .*)|(edit)|(exit)|(commit)|(rollback .*)";
        deny-commands .*;
        allow-configuration "(interfaces .* unit 0 family ethernet-switching vlan mem.* .*)|(interfaces .* native.* .*)|(interfaces .* unit 0 family ethernet-switching interface-mo.* .*)|(interfaces .* unit .*)|(interfaces .* disable)|(interfaces .* description .*)|(vlans .* vlan-.* .*)"
        deny-configuration .*;
    }
}

user = remote {
    login = username
    service = junos-exec {
        allow-commands1 = "ping .*"
        allow-commands2 = "traceroute .*"
        allow-commands3 = "show .*"
        allow-commands4 = "configure"
        allow-commands5 = "edit"
        allow-commands6 = "exit"
        allow-commands7 = "commit"
        allow-commands8 = ".*xml-mode"
        allow-commands9 = ".*netconf.*"
        allow-commands10 = ".*need-trailer"
        allow-commands11 = "rollback.*"
        allow-commands12 = "junoscript"
        deny-commands1 = ".*"
        allow-configuration1 = "interfaces .* unit 0 family ethernet-switching vlan mem.* .*"
        allow-configuration2 = "interfaces .* native.* .*"
        allow-configuration3 = "interfaces .* unit 0 family ethernet-switching interface-mo.* .*"
        allow-configuration4 = "interfaces .* unit .*"
        allow-configuration5 = "interfaces .* disable"
        allow-configuration6 = "interfaces .* description .*"
        allow-configuration7 = "interfaces .*"
        allow-configuration8 = "vlans .* vlan-.* .*"
        deny-configuration1 = ".*"
        local-user-name = local-username
        user-permissions = "configure"
    }
}

Nota:

Debe permitir explícitamente el acceso al modo NETCONF, ya sea local o remotamente, emitiendo los tres comandos siguientes: xml-mode, netconf, y need-trailer.
Cuando utilice la deny-configuration = ".*" instrucción, debe permitir que todas las configuraciones deseadas utilicen la allow-configuration instrucción. Sin embargo, esta configuración puede afectar al límite de búfer de expresiones regulares permitidas para la allow-configuration instrucción. Si se supera este límite, es posible que la configuración permitida no funcione.

Especificar expresiones regulares

Advertencia:

Cuando especifique expresiones regulares para comandos e instrucciones de configuración, preste mucha atención a los siguientes ejemplos. Es posible que una expresión regular con sintaxis no válida no produzca los resultados deseados, incluso si la configuración se confirma sin ningún error.

Debe especificar expresiones regulares para los comandos y las instrucciones de configuración de la misma manera que ejecuta el comando o la instrucción completos. Tabla 4 enumera las expresiones regulares para configurar privilegios de acceso para las jerarquías de [edit interfaces] instrucciones y[edit vlans].

Tabla 4: Especificar expresiones regulares
Declaración	Expresión regular	Notas de configuración
`[edit interfaces]` El `set` comando para interfaces se ejecuta de la siguiente manera: [edit] user@host# `set interfaces interface-name unit interface-unit-number`	La `set interfaces` instrucción está incompleta por sí misma y requiere la opción para `unit` ejecutarla. Como resultado, la expresión regular necesaria para denegar la `set interfaces` configuración debe especificar toda la cadena ejecutable con el `.` operador en lugar de variables de instrucción: [edit system login class `class-name`] user@host# `set permissions configure` user@host# `set deny-configuration "interfaces . unit .*"`	El `.` operador denota todo desde el punto especificado en adelante para ese comando o instrucción en particular. En este ejemplo, denota cualquier nombre de interfaz con cualquier valor unitario. Especificar sólo la `deny-configuration "interfaces ."` instrucción es incorrecto y no deniega el acceso a la configuración de interfaces para la clase de inicio de sesión especificada. Se pueden incluir otras opciones válidas en la expresión regular. Por ejemplo: [edit system login class `class-name`] user@host# `set permissions configure` user@host# `set deny-configuration "interfaces .* description ."` [edit system login class `class-name`] user@host# `set permissions configure` user@host# `set allow-configuration-regexps [ "interfaces . description ." "interfaces . unit .* description ." "interfaces . unit .* family inet address ." "interfaces. disable" ]` [edit system login class `class-name`] user@host# `set permissions configure` user@host# `set allow-configuration "interfaces .* unit 0 family ethernet-switching vlan mem.* ."` Nota: La `mem.` expresión regular de este ejemplo se usa cuando se espera que se incluyan varias cadenas que comiencen por la `mem` palabra clave en la expresión regular especificada. Cuando sólo se espera que se incluya una `member` cadena, se utiliza la `member .*` expresión regular.
`[edit vlans]` El `set` comando para VLAN se ejecuta de la siguiente manera: [edit] user@host# `set vlans vlan-name vlan-id vlan-id`	Aquí, la `set vlans` instrucción está incompleta por sí misma y requiere la opción para `vlan-id` ejecutarla. Como resultado, la expresión regular necesaria para permitir la `set vlans` configuración debe especificar toda la cadena ejecutable con el `.` operador en lugar de variables de instrucción: [edit system login class `class-name`] user@host# `set permissions configure` user@host# `set allow-configuration "vlans . vlan-id .*"`	El `.` operador denota todo desde el punto especificado en adelante para ese comando o instrucción en particular. En este ejemplo, denota cualquier nombre de VLAN con cualquier ID de VLAN. En la expresión regular se pueden incluir otras opciones válidas en la `[edit vlans]` jerarquía de instrucciones. Por ejemplo: [edit system login class `class-name`] user@host# `set permissions configure` user@host# `set allow-configuration-regexps [ "vlans . vlan-id ." "vlans . vlan-id .* description ." "vlans . vlan-id .* filter .*" ]`

Operadores de expresiones regulares

Tabla 5 enumera los operadores de expresiones regulares comunes que puede usar para permitir o denegar los modos operativo y de configuración.

Las expresiones regulares de comando implementan las expresiones regulares extendidas (modernas), tal como se definen en POSIX 1003.2.

Tabla 5: Operadores comunes de expresiones regulares
Operador	Cerilla	Ejemplo
\|	Uno de dos o más términos separados por la tubería. Cada término debe ser una expresión independiente completa entre paréntesis ( ), sin espacios entre la barra vertical y los paréntesis adyacentes.	[edit system login class test] user@host# `set permissions configure` user@host# `set allow-commands "(ping)\|(traceroute)\|(show system alarms)\|(show system software)"` user@host# `set deny-configuration "(access)\|(access-profile)\|(accounting-options)\|(applications)\|(apply-groups)\|(bridge-domains)\|(chassis)\|(class-of-service)"` Con la configuración anterior, los usuarios asignados a la clase de inicio de sesión de prueba tienen acceso al modo operativo restringido solo a los comandos especificados en la `allow-commands` instrucción. También tienen acceso al modo de configuración, excluyendo los niveles de jerarquía especificados en la `deny-configuration` instrucción.
^	Al principio de una expresión, se usa para indicar dónde comienza el comando, donde puede haber cierta ambigüedad.	[edit system login class test] user@host# `set permissions interface` user@host# `set permissions interface-control` user@host# `set allow-commands "(^show) (log\|interfaces\|policer))\|(^monitor)"` Con la configuración anterior, los usuarios asignados a la clase de inicio de sesión de prueba tienen acceso a la visualización y configuración de la configuración de la interfaz. La `allow-commands` instrucción concede acceso a comandos que comienzan con las `show` palabras clave y `monitor` . Para el primer filtro, los comandos especificados incluyen los `show log`comandos , `show interfaces`y `show policer` . El segundo filtro especifica todos los comandos que comienzan con la `monitor` palabra clave, como los comandos o `monitor interfacesmonitor traffic` .
$	Carácter al final de un comando. Se utiliza para denotar un comando que debe coincidir exactamente hasta ese punto.	[edit system login class test] user@host# `set permissions interface` user@host# `set allow-commands "(show interfaces$)"` Con la configuración anterior, los usuarios asignados a la clase de inicio de sesión de prueba pueden ver la configuración de las interfaces en modo de configuración. Los usuarios también pueden ver la configuración de la interfaz con el comando de `show configuration` modo operativo. Sin embargo, la expresión regular especificada en la `allow-commands` instrucción restringe a los usuarios para que ejecuten sólo el `show interfaces` comando y deniega el acceso a las extensiones de comando como `show interfaces detail` o `show interfaces extensive`.
[ ]	Rango de letras o dígitos. Para separar el principio y el final de un intervalo, utilice un guión ( - ).	[edit system login class test] user@host# `set permissions clear` user@host# `set permissions configure` user@host# `set permissions network` user@host# `set permissions trace` user@host# `set permissions view` user@host# `set allow-configuration-regexps [ "interfaces [gx]e-.* unit [0-9]* description .*" ]` Con la configuración anterior, los usuarios asignados a la clase de inicio de sesión de prueba tienen permisos de usuario de nivel de operador. Estos usuarios también tienen acceso para configurar interfaces dentro del intervalo especificado de nombre de interfaz y número de unidad (0 a 9).
( )	Un grupo de comandos que indican una expresión completa e independiente que se va a evaluar. El resultado se evalúa como parte de la expresión general. Los paréntesis deben usarse junto con los operadores de tuberías, como se explicó.	[edit system login class test] user@host# `set permissions all` user@host# `set allow-commands "(clear)\|(configure)"` user@host# `deny-commands "(mtrace)\|(start)\|(delete)"` Con la configuración anterior, los usuarios asignados a la clase de inicio de sesión de prueba tienen permisos de nivel de superusuario y tienen acceso a los comandos especificados en la `allow-commands` instrucción.
*	Cero o más términos.	[edit system login class test] user@host# `set permissions configure` user@host# `set deny-configuration "(system login class m*)"` Con la configuración anterior, a los usuarios asignados a la clase de inicio de sesión de prueba cuyo nombre de usuario de inicio de sesión comienza con `m` se les deniega el acceso a la configuración.
+	Uno o más términos.	[edit system login class test] user@host# `set permissions configure` user@host# `set deny-configuration "(system login class m+)"` Con la configuración anterior, a los usuarios asignados a la clase de inicio de sesión de prueba cuyo nombre de usuario de inicio de sesión comienza con `m` se les deniega el acceso a la configuración.
.	Cualquier carácter excepto un espacio " ".	[edit system login class test] user@host# `set permissions configure` user@host# `set deny-configuration "(system login class m.)"` Con la configuración anterior, a los usuarios asignados a la clase de inicio de sesión de prueba cuyo nombre de usuario de inicio de sesión comienza con `m` se les deniega el acceso a la configuración.
.*	Todo desde el punto especificado en adelante.	[edit system login class test] user@host# `set permissions configure` user@host# `set deny-configuration "(system login class m .)"` Con la configuración anterior, a los usuarios asignados a la clase de inicio de sesión de prueba cuyo nombre de usuario de inicio de sesión comienza con `m` se les deniega el acceso a la configuración. Del mismo modo, la `deny-configuration "protocols ."` instrucción deniega todo acceso a la configuración en el nivel de `[edit protocols]` jerarquía. Nota: Las operaciones , `+`, y `.` se pueden lograr utilizando `.`. Las `deny-commands .` instrucciones y `deny-configuration .` deniegan el acceso a todos los comandos del modo operativo y a las jerarquías de configuración, respectivamente.

Nota:

No se admite el ! operador de expresión regular.

Ejemplos de expresiones regulares

Tabla 6 enumera las expresiones regulares utilizadas para permitir opciones de configuración en dos jerarquías de configuración:[edit system ntp server] y [edit protocols rip]—como ejemplo para especificar expresiones regulares.

Nota:

Tabla 6 No proporciona una lista completa de todas las expresiones regulares y palabras clave para todas las instrucciones de configuración y jerarquías. Las expresiones regulares enumeradas en la tabla sólo se validan para las jerarquías de [edit system ntp server] instrucciones y [edit protocols rip] .

Tabla 6: Ejemplos de expresiones regulares
Jerarquía de instrucciones	Expresiones regulares	Configuración permitida	Configuración denegada
`[edit system ntp server]`
llave `key-number`	[edit system login class test] set permissions configure set allow-configuration-regexps [ "system ntp server ." "system ntp server . key ." ] set deny-configuration-regexps [ "system ntp server . version ." "system ntp server . prefer" ]	IP del servidor IP y clave del servidor	Versión preferir
Versión `version-number`	[edit system login class test] set permissions configure set allow-configuration-regexps [ "system ntp server ." "system ntp server . version ." ] set deny-configuration-regexps [ "system ntp server . key ." "system ntp server . prefer" ]	IP del servidor IP y versión del servidor	clave preferir
preferir	[edit system login class test] set permissions configure set allow-configuration-regexps [ "system ntp server ." "system ntp server . prefer" ]; set deny-configuration-regexps [ "system ntp server .* key ." "system ntp server . version .*" ]	IP del servidor IP del servidor y prefieren	clave Versión
`[edit protocols rip]`
tamaño del mensaje `message-size`	[edit system login class test] set permissions configure set allow-configuration-regexps "protocols rip message-size ." set deny-configuration-regexps [ "protocols rip metric-in ." "protocols rip route-timeout ." "protocols rip update-interval ." ]	tamaño del mensaje	entrada métrica tiempo de espera de ruta intervalo de actualización
entrada métrica `metric-in`	[edit system login class test] set permissions configure set allow-configuration-regexps "protocols rip metric-in ." set deny-configuration-regexps [ "protocols rip message-size ." "protocols rip route-timeout ." "protocols rip update-interval ." ]	entrada métrica	tamaño del mensaje tiempo de espera de ruta intervalo de actualización
tiempo de espera de ruta `route-timeout`	[edit system login class test] set permissions configure set allow-configuration-regexps "protocols rip route-timeout ." set deny-configuration-regexps [ "protocols rip metric-in ." "protocols rip message-size ." "protocols rip update-interval ." ]	tiempo de espera de ruta	tamaño del mensaje entrada métrica intervalo de actualización
intervalo de actualización `update-interval`	[edit system login class test] set permissions configure set allow-configuration-regexps "protocols rip update-interval ." set deny-configuration-regexps [ "protocols rip metric-in ." "protocols rip route-timeout ." "protocols rip message-size ." ]	intervalo de actualización	tamaño del mensaje entrada métrica tiempo de espera de ruta

Cómo definir privilegios de acceso con instrucciones allow-configuration y deny-configuration

Puede definir privilegios de acceso para jerarquías de instrucciones de configuración mediante una combinación de los siguientes tipos de instrucciones:

indicadores de permisos
allow-configuration y deny-configuration declaraciones

Las marcas de permisos definen los límites más amplios de lo que una persona o clase de inicio de sesión puede acceder y controlar. Las allow-configuration instrucciones y deny-configuration contienen una o varias expresiones regulares que permiten o niegan jerarquías e instrucciones de configuración específicas. Las allow-configuration instrucciones y deny-configuration tienen prioridad sobre los indicadores de permisos y otorgan al administrador un control más preciso sobre exactamente qué jerarquías e instrucciones puede ver y configurar el usuario.

En este tema se explica cómo definir instrucciones and de privilegios de acceso mostrando allow-configurationdeny-configuration ejemplos de configuraciones de clases de inicio de sesión que utilizan estas instrucciones. Los ejemplos del 1 al 3 crean clases de inicio de sesión que permiten a los usuarios tener acceso a todos los comandos e instrucciones, excepto a los definidos en la deny-configuration instrucción.

Tenga en cuenta que el bit de permiso y el indicador de permiso se usan indistintamente.

Ejemplo 1

Para crear una clase de inicio de sesión que permita al usuario ejecutar todos los comandos y configurar todo excepto los parámetros telnet:

Establezca los permisos de clase de inicio de sesión del usuario en all.

Incluya la siguiente deny-configuration instrucción.

Ejemplo 2

Para crear una clase de inicio de sesión que permita al usuario ejecutar todos los comandos y configurar todo excepto las instrucciones dentro de cualquier clase de inicio de sesión cuyo nombre comience con "m":

Establezca los permisos de clase de inicio de sesión del usuario en all.

Incluya la siguiente deny-configuration instrucción.

Ejemplo 3

Para crear una clase de inicio de sesión que permita al usuario ejecutar todos los comandos y configurar todo excepto los niveles de [edit system login class] jerarquía o [edit system services] :

Establezca los permisos de clase de inicio de sesión del usuario en all.

Incluya la siguiente deny-configuration declaración:

En los ejemplos siguientes se muestra cómo utilizar las instrucciones y deny-configuration para determinar los allow-configuration permisos inversos entre sí para el nivel de [edit system services] jerarquía.

Ejemplo 4

Para crear una clase de inicio de sesión que permita al usuario tener privilegios de configuración completos solo en el nivel de [edit system services] jerarquía:

Establezca los permisos de clase de inicio de sesión del usuario en configure.

Incluya la siguiente allow-configuration declaración:

Ejemplo 5

Para crear una clase de inicio de sesión que permita al usuario permisos completos para todos los comandos y todas las jerarquías de configuración, excepto el nivel de [edit system services] jerarquía:

Establezca los permisos de clase de inicio de sesión del usuario en all.

Incluya la siguiente deny-configuration instrucción.

Ejemplo: Usar lógica aditiva con expresiones regulares para especificar privilegios de acceso

En este ejemplo se muestra cómo usar la lógica aditiva cuando se utilizan expresiones regulares para configurar privilegios de acceso a la configuración.

Requisitos
Descripción general
Configuración
Ejemplos

Requisitos

En este ejemplo se utiliza un dispositivo que ejecuta Junos OS versión 16.1 o posterior.

Descripción general

Puede definir expresiones regulares para controlar quién puede realizar cambios en la configuración y qué pueden cambiar. Estas expresiones regulares indican jerarquías de configuración específicas a las que los usuarios de una clase de inicio de sesión pueden acceder. Por ejemplo, puede definir expresiones regulares que permitan a los usuarios modificar un grupo de instancias de enrutamiento y definir expresiones regulares que impidan que los usuarios realicen cambios en cualquier otra instancia de enrutamiento o en otros niveles de configuración. Las expresiones regulares se definen configurando las allow-configuration-regexps instrucciones y deny-configuration-regexps para una clase de inicio de sesión.

De forma predeterminada, la deny-configuration-regexps instrucción tiene prioridad sobre la allow-configuration-regexps instrucción. Si aparece una jerarquía de configuración en una deny-configuration-regexps instrucción para una clase de inicio de sesión, no es visible para los usuarios de esa clase, independientemente del contenido de la allow-configuration-regexps instrucción. Si una jerarquía de configuración no aparece en una deny-configuration-regexps instrucción, será visible para los usuarios de esa clase si aparece en una allow-configuration-regexps instrucción.

Puede cambiar este comportamiento predeterminado habilitando la lógica aditiva para las *-configuration-regexps instrucciones. Cuando se habilita la lógica aditiva, la allow-configuration-regexps instrucción tiene prioridad sobre la deny-configuration-regexps instrucción.

Por lo tanto, si la instrucción deniega el deny-configuration-regexps acceso a todas las jerarquías de configuración en un nivel dado (protocolos .*) pero la instrucción permite el allow-configuration-regexps acceso a una subjerarquía (protocolos bgp .*), entonces de forma predeterminada el dispositivo deniega el acceso a las jerarquías para los usuarios de esa clase de inicio de sesión porque la deny-configuration-regexps instrucción tiene prioridad. Sin embargo, si habilita la lógica aditiva, el dispositivo permite el acceso a la subjerarquía especificada para los usuarios de esa clase de inicio de sesión, ya que en allow-configuration-regexps este caso tiene prioridad.

Configuración

Procedimiento paso a paso

Para habilitar la lógica aditiva para permitir explícitamente que los usuarios de una clase de inicio de sesión determinada accedan a una o más jerarquías de configuración individuales:

Incluya la instrucción y deniegue explícitamente el deny-configuration-regexps acceso a las jerarquías de configuración.

Por ejemplo:

Incluya la allow-configuration-regexps instrucción y defina expresiones regulares para las jerarquías específicas que se van a permitir.

Por ejemplo:

Habilite la lógica aditiva para las allow-configuration-regexps expresiones y deny-configuration-regexps regulares.

Asigne la clase de inicio de sesión a uno o más usuarios.

Confirme los cambios.

Los usuarios asignados a esta clase de inicio de sesión tienen acceso a las jerarquías de configuración incluidas en la allow-configuration-regexps instrucción, pero no tienen acceso a las demás jerarquías especificadas en la deny-configuration-regexps instrucción.

Nota:

Al configurar la regex-additive-logic instrucción, el cambio de comportamiento se aplica a todas las allow-configuration-regexps instrucciones y deny-configuration-regexps presentes en todas las clases de inicio de sesión. Si habilita la lógica aditiva, debe evaluar las instrucciones existentes para detectar cualquier impacto y actualizar las expresiones regulares de esas instrucciones según corresponda.

Ejemplos

Usar expresiones regulares con lógica aditiva

Propósito

En esta sección se proporcionan ejemplos de expresiones regulares que utilizan la lógica aditiva para proporcionar ideas para crear configuraciones adecuadas para su sistema.

Permitir instancias de enrutamiento específicas

La siguiente clase de inicio de sesión de ejemplo incluye una expresión regular que permite la configuración de instancias de enrutamiento cuyos nombres comienzan por CUST-VRF-; por ejemplo, CUST-VRF-1, , CUST-VRF-25CUST-VRF-100, etc. En el ejemplo también se incluye una expresión regular que impide la configuración de ninguna instancia de enrutamiento.

De forma predeterminada, la deny-configuration-regexps instrucción tiene prioridad y la configuración anterior impide que los usuarios de la clase login configuren instancias de enrutamiento, independientemente del nombre.

Sin embargo, si configura la instrucción siguiente, la allow-configuration-regexps instrucción tiene prioridad. Por lo tanto, los usuarios pueden configurar instancias de enrutamiento cuyos nombres empiecen por CUST-VRF-, pero los usuarios no pueden configurar ninguna otra instancia de enrutamiento.

Permitir solo la configuración del par BGP

La siguiente clase de inicio de sesión de ejemplo incluye expresiones regulares que impiden la configuración en el nivel de jerarquía pero permiten la [edit protocols] configuración de pares BGP:

De forma predeterminada, la configuración anterior impide que los usuarios de la clase de inicio de sesión realicen cambios en las jerarquías de [edit protocols].

Sin embargo, si configura la instrucción siguiente, los usuarios de la clase login pueden realizar cambios en los pares BGP, pero los usuarios no pueden configurar otros protocolos u otras instrucciones BGP fuera del nivel de jerarquía permitido.

Verificación

Para comprobar que ha configurado correctamente los privilegios de acceso:

Configure una clase de inicio de sesión y confirme los cambios.
Asigne la clase de inicio de sesión a un usernamearchivo .
Inicie sesión como se username le asignó con la nueva clase de inicio de sesión.
Intente configurar los niveles de jerarquía permitidos.
- Debe poder configurar instrucciones en los niveles de jerarquía permitidos.
- Los niveles de jerarquía que se niegan no deben ser visibles.
- Cualquier expresión permitida o denegada debe tener prioridad sobre cualquier permiso concedido con la permissions instrucción.

Ejemplo: Configurar permisos de usuario con privilegios de acceso para comandos de modo operativo

En este ejemplo se muestra cómo configurar clases de inicio de sesión personalizadas y asignar privilegios de acceso para comandos de modo operativo. Los usuarios de la clase de inicio de sesión sólo pueden ejecutar los comandos para los que tienen acceso. Esto evita que usuarios no autorizados ejecuten comandos confidenciales que podrían causar daños a la red.

Requisitos
Descripción general y topología
Configuración
Verificación

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

Un dispositivo de Juniper Networks
Un servidor TACACS+ (o RADIUS)

Antes de comenzar, establezca una conexión TCP entre el dispositivo y el servidor TACACS+. En el caso del servidor RADIUS, establezca una conexión UDP entre el dispositivo y el servidor RADIUS.

Descripción general y topología

Figura 1 ilustra una topología simple, donde el enrutador R1 es un dispositivo de Juniper Networks y tiene una conexión TCP establecida con un servidor TACACS+.

Figura 1: Topología

En este ejemplo se configura R1 con tres clases de inicio de sesión personalizadas: Clase 1, Clase2 y Clase 3. Cada clase define privilegios de acceso para el usuario mediante la configuración de la permissions instrucción y la definición de expresiones regulares extendidas mediante las allow-commands instrucciones y deny-commands .

El propósito de cada clase de inicio de sesión es el siguiente:

Class1: define privilegios de acceso para el usuario sólo con la allow-commands instrucción. Esta clase de inicio de sesión proporciona permisos de usuario a nivel de operador y autorización para reiniciar el dispositivo.
Class2: define privilegios de acceso para el usuario sólo con la deny-commands instrucción. Esta clase de inicio de sesión proporciona permisos de usuario a nivel de operador y deniega el acceso a set los comandos.
Class3: define privilegios de acceso para el usuario con las allow-commands instrucciones y deny-commands . Esta clase de inicio de sesión proporciona permisos de usuario de nivel de superusuario y autorización para acceder a las interfaces y ver la información del dispositivo. También deniega el acceso a los edit comandos y configure .

El enrutador R1 tiene tres usuarios diferentes, User1, User2 y User3, asignados a las clases de inicio de sesión Class1, Class2 y Class3, respectivamente.

Configuración

Configuración rápida de CLI
Configurar parámetros de autenticación para el enrutador R1
Configurar privilegios de acceso con la instrucción allow-commands (Class1)
Configurar privilegios de acceso con la instrucción deny-commands (Class2)
Configurar privilegios de acceso con las instrucciones allow-commands y deny-commands (Class3)
Resultados

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de [edit] jerarquía y, a continuación, ingrese commit al modo de configuración.

Configurar parámetros de autenticación para el enrutador R1

Procedimiento paso a paso

Para configurar la autenticación del enrutador R1:

Configure el orden en que R1 intenta autenticar al usuario. En este ejemplo, primero se realiza la autenticación del servidor TACACS+, seguida de la autenticación del servidor RADIUS y, a continuación, de la contraseña local.

Configure el servidor TACACS+.

Configure el servidor RADIUS.

Configure los parámetros contables de R1.

Configurar privilegios de acceso con la instrucción allow-commands (Class1)

Procedimiento paso a paso

Para especificar expresiones regulares mediante la allow-commands instrucción:

Configure la clase de inicio de sesión Class1 y asigne permisos de usuario de nivel de operador.
Configure la allow-commands expresión regular para permitir que los usuarios de la clase reinicien el dispositivo.

Configure la cuenta de usuario para la clase de inicio de sesión Class1.

Configurar privilegios de acceso con la instrucción deny-commands (Class2)

Procedimiento paso a paso

Para especificar expresiones regulares mediante la deny-commands instrucción:

Configure la clase de inicio de sesión de Class2 y asigne permisos de usuario de nivel de operador.
Configure la deny-commands expresión regular para impedir que los usuarios de la clase ejecuten set comandos.

Configure la cuenta de usuario para la clase de inicio de sesión Class2.

Configurar privilegios de acceso con las instrucciones allow-commands y deny-commands (Class3)

Procedimiento paso a paso

Para especificar expresiones regulares utilizando las allow-commands instrucciones y deny-commands :

Configure la clase de inicio de sesión de Class3 y asigne permisos de nivel de superusuario.
Configure la deny-commands expresión regular para impedir que los usuarios de la clase ejecuten comandos.
Configure la expresión regular para permitir a los usuarios entrar en el allow-commands modo de configuración.

Configure la cuenta de usuario para la clase de inicio de sesión Class3.

Resultados

En el modo de configuración, confirme la configuración introduciendo el show system comando. Si el resultado no muestra la configuración deseada, repita las instrucciones en este ejemplo para corregir la configuración.

Verificación

Inicie sesión con el nombre de usuario asignado con la nueva clase de inicio de sesión y confirme que la configuración funciona correctamente.

Comprobación de la configuración de Class1
Comprobación de la configuración de Class2
Comprobación de la configuración de Class3

Comprobación de la configuración de Class1

Propósito
Acción
Significado

Propósito

Compruebe que los permisos y comandos permitidos en la clase de inicio de sesión Class1 funcionan.

Acción

En el modo operativo, ejecute el show system users comando.

En el modo operativo, ejecute el request system reboot comando.

Significado

La clase de inicio de sesión Class1 a la que está asignado User1 tiene permisos de usuario de nivel de operador y permite a los usuarios de la clase ejecutar el request system reboot comando.

La clase de inicio de sesión de operador predefinida tiene los siguientes indicadores de permisos especificados:

clear: puede usar clear comandos para borrar (eliminar) la información que el dispositivo aprende de la red y almacena en varias bases de datos de red.
network: puede acceder a la red mediante los pingcomandos , ssh, telnety traceroute .
reset: puede reiniciar procesos de software mediante el restart comando.
trace: puede ver la configuración del archivo de seguimiento y configurar las propiedades del archivo de seguimiento.
view: puede utilizar varios comandos para mostrar valores y estadísticas actuales de todo el sistema, de la tabla de enrutamiento y específicos del protocolo. No se puede ver la configuración secreta.

Para la clase de inicio de sesión Class1, además de los permisos de usuario mencionados anteriormente, User1 puede ejecutar el request system reboot comando. El primer resultado muestra los permisos de vista como un operador, y el segundo resultado muestra que el único request system comando que User1 puede ejecutar como operador es el request system reboot comando.

Comprobación de la configuración de Class2

Propósito
Acción
Significado

Propósito

Compruebe que los permisos y comandos permitidos para la clase de inicio de sesión Class2 funcionan.

Acción

En el modo operativo, ejecute el ping comando.

En el indicador de la CLI, compruebe los comandos disponibles.

Desde el indicador de la CLI, ejecute cualquier comando set.

Significado

La clase de inicio de sesión Class2 a la que está asignado User2 tiene permisos de usuario de nivel de operador y deniega el acceso a todos los set comandos.

Los indicadores de permisos especificados para la clase de inicio de sesión de operador predefinida son los mismos que los especificados para Class1.

Comprobación de la configuración de Class3

Propósito
Acción
Significado

Propósito

Compruebe que los permisos y comandos permitidos para la clase de inicio de sesión Class3 funcionan.

Acción

En el modo operativo, compruebe los comandos disponibles.

Ingrese al modo de configuración.

Significado

La clase de inicio de sesión Class3 a la que está asignado User3 tiene permisos de superusuario (todos), pero esta clase solo permite a los usuarios ejecutar el configure comando. La clase deniega el acceso a todos los demás comandos del modo operativo. Dado que las expresiones regulares especificadas en las allow/deny-commands instrucciones tienen prioridad sobre los permisos de usuario, Usuario3 en R1 sólo tiene acceso al modo de configuración y se le deniega el acceso a todos los demás comandos del modo operativo.

Ejemplo: Configurar permisos de usuario con privilegios de acceso para instrucciones de configuración y jerarquías

En este ejemplo se muestra cómo configurar clases de inicio de sesión personalizadas y asignar privilegios de acceso a jerarquías de configuración específicas. Los usuarios de la clase login sólo pueden ver y modificar las instrucciones de configuración y las jerarquías a las que tienen acceso. Esto evita que usuarios no autorizados modifiquen configuraciones de dispositivos que podrían causar daños a la red.

Requisitos
Descripción general y topología
Configuración
Verificación

Requisitos

En este ejemplo, se utilizan los siguientes componentes de hardware y software:

Un dispositivo de Juniper Networks
Un servidor TACACS+ (o RADIUS)

Antes de comenzar, establezca una conexión TCP entre el dispositivo y el servidor TACACS+. En el caso del servidor RADIUS, establezca una conexión UDP entre el dispositivo y el servidor RADIUS.

Descripción general y topología

Figura 2 ilustra una topología simple, donde el enrutador R1 es un dispositivo de Juniper Networks y tiene una conexión TCP establecida con un servidor TACACS+.

Figura 2: Topología

En este ejemplo se configura R1 con dos clases de inicio de sesión personalizadas: Clase1 y Clase2. Cada clase define los privilegios de acceso para el usuario mediante la configuración de la permissions instrucción y la definición de expresiones regulares extendidas mediante las allow-configurationinstrucciones , deny-configurationallow-configuration-regexps, y deny-configuration-regexps .

El propósito de cada clase de inicio de sesión es el siguiente:

Class1: define privilegios de acceso para el usuario con las allow-configuration instrucciones y deny-configuration . Esta clase de inicio de sesión proporciona acceso solo para configurar la [edit interfaces] jerarquía y deniega el resto del acceso en el dispositivo. Para ello, los permisos de usuario incluyen configure para proporcionar acceso a la configuración. Además, la allow-configuration instrucción permite el acceso a la configuración de interfaces y la deny-configuration instrucción deniega el acceso a todas las demás jerarquías de configuración. Dado que la instrucción allow tiene prioridad sobre la instrucción deny, los usuarios asignados a la clase de inicio de sesión Class1 sólo pueden tener acceso al nivel de [edit interfaces] jerarquía.
Class2: define privilegios de acceso para el usuario con las allow-configuration-regexps instrucciones y deny-configuration-regexps . Esta clase de inicio de sesión proporciona permisos de usuario a nivel de superusuario y permite explícitamente la configuración en varios niveles de jerarquía para las interfaces. También deniega el acceso a los [edit system] niveles jerárquico y [edit protocols] .

El enrutador R1 tiene dos usuarios, User1 y User2, asignados a las clases de inicio de sesión Class1 y Class2, respectivamente.

Configuración

Configuración rápida de CLI
Configurar parámetros de autenticación para el enrutador R1
Configurar privilegios de acceso con las instrucciones allow-configuration y deny-configuration (Class1)
Configurar privilegios de acceso con las instrucciones allow-configuration-regexps y deny-configuration-regexps (Class2)
Resultados

Configuración rápida de CLI

Configurar parámetros de autenticación para el enrutador R1

Procedimiento paso a paso

Para configurar la autenticación del enrutador R1:

Configure el orden en que R1 intenta autenticar al usuario. En este ejemplo, primero se realiza la autenticación del servidor TACACS+, seguida de la autenticación del servidor RADIUS y, a continuación, de la contraseña local.

Configure el servidor TACACS+.

Configure el servidor RADIUS.

Configure los parámetros contables R1.

Configurar privilegios de acceso con las instrucciones allow-configuration y deny-configuration (Class1)

Procedimiento paso a paso

Para especificar expresiones regulares mediante las allow-configuration instrucciones y deny-configuration :

Configure la clase de inicio de sesión Class1 con configure permisos.

Configure la allow-configuration expresión regular para permitir a los usuarios de la clase ver y modificar parte del [edit interfaces] nivel de jerarquía.
Configure la expresión regular para denegar el deny-configuration acceso a todas las jerarquías de configuración.

Configure la cuenta de usuario para la clase de inicio de sesión Class1.

Configurar privilegios de acceso con las instrucciones allow-configuration-regexps y deny-configuration-regexps (Class2)

Procedimiento paso a paso

Para especificar expresiones regulares mediante las allow-configuration-regexps instrucciones y deny-configuration-regexps :

Configure la clase de inicio de sesión de Class2 y asigne permisos de superusuario (todos).

Configure la allow-configuration-regexps expresión regular para permitir a los usuarios de la clase tener acceso a varias jerarquías por debajo del nivel de [edit interfaces] jerarquía.

Configure la deny-configuration-regexps expresión regular para impedir que los usuarios de la clase vean o modifiquen la configuración en los niveles de [edit system] jerarquía y [edit protocols] .

Configure la cuenta de usuario para la clase de inicio de sesión Class2.

Resultados

Verificación

Inicie sesión con el nombre de usuario asignado con la nueva clase de inicio de sesión y confirme que la configuración funciona correctamente.

Comprobar la configuración de Class1
Comprobar la configuración de Class2

Comprobar la configuración de Class1

Propósito
Acción
Significado

Propósito

Compruebe que los permisos permitidos en la clase de inicio de sesión Class1 funcionan.

Acción

En el modo operativo, compruebe los comandos disponibles.

En el modo de configuración, compruebe los permisos de configuración disponibles.

Significado

User1 tiene configure permisos de usuario, como se ve en el primer resultado. Además, en el modo de configuración, User1 tiene acceso al nivel de interfaces jerarquía, pero solo a ese nivel de jerarquía, como se ve en el segundo resultado.

Comprobar la configuración de Class2

Propósito
Acción
Significado

Propósito

Compruebe que la configuración de Class2 funciona como se esperaba.

Acción

En el modo de configuración, acceda a la interfaces configuración.

En el modo de configuración, acceda a las jerarquías de systemprotocols configuración.

Significado

El usuario2 tiene permisos para configurar interfaces en R1, pero el usuario no tiene permiso para ver o modificar los niveles de [edit system] jerarquía o [edit protocols] .

Tabla de historial de cambios

La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice Feature Explorer a fin de determinar si una función es compatible con la plataforma.

Liberación

Descripción

18.1

A partir de Junos OS versión 18.1, las instrucciones y deny-commands-regexps se admiten para la allow-commands-regexps autorización TACACS+.