User Account Klassen Privilege in Junos

Wanneer u gebruikersaccounts in Junos te creëren, zal u wilt dat de gebruiker koppelen aan een privilege klasse. Vier standaard login voorrecht klassen bestaan ​​op een Junos OS-apparaat liggen en die zijn eigen set van toegestane vormen van gebruik. U kunt ook uw eigen unieke voorrecht klasse.

Privilege Klasse Beschrijving Gebruik Aanbeveling
Super-user Een super-gebruiker kan elke en alle bewerkingen uitvoeren op het apparaat. Reserveer dit privilege niveau voor de belangrijkste mensen die alle aspecten van uw apparaten te controleren en te handhaven.
Operator Een exploitant mag werken in de operationele modus om de status van het apparaat en de routing-protocollen, duidelijke statistieken bekijken, en reset-operaties, met inbegrip van het opnieuw opstarten routing processen en opnieuw opstarten van het apparaat uit te voeren. Deze klasse kunt kijken naar de configuratie van het apparaat, maar kan het niet wijzigen. Dit privilege niveau is voor het netwerk operations team dat verantwoordelijk is voor het toezicht op uw apparaten.
Alleen lezen Iemand met alleen-lezen privilege kan alleen de status van het apparaat en routing protocollen monitoren. Geven aan low-level watchers van het netwerk die een ingenieur of beheerder moet krijgen als ze iets verkeerd zien.
Onbevoegd onbevoegd is een klasse zonder privileges helemaal op het apparaat. Wanneer gebruikers in deze klasse inloggen, het Junos OS software logt ze onmiddellijk uit. Het klinkt vreemd, maar deze klasse kan handig zijn als deze gebruikers hebben privileges op andere apparaten.

Je bent misschien geneigd om elke geldige gebruikersnaam in de super-user class gezet en worden gedaan met het, maar dit is meestal een grote fout. Super-gebruikers kunnen letterlijk alles, inclusief de toekenning van super-user rechten aan andere gebruikers doen. Een bekende truc is om snel in te loggen als een super-user en maak een onschuldig ogende gebruikers-ID ("gast-1") die ook toevallig super-user privileges te hebben en log weer uit. Maar de schade is gedaan.

Iedereen zal beweren dat ze kunnen hun werk niet doen, tenzij ze hebben super-user privileges. Dit is onzin. Sla uw super-user klasse voor mensen die het echt nodig hebben.

De voorgedefinieerde privilege lessen worden gegeven in Junos voor uw gemak. Junos heeft verzamelen een verzameling van toestemmingen samen die u kunt gebruiken voor algemene doeleinden. Maar je hoeft niet om dat te doen. U kunt afzonderlijke machtigingen door het creëren van je eigen klasse.

Zo kunt u expliciet maken van een klasse met de naam configurators die expliciet toestemming om een ​​configuratiebestand maar niets anders bewerkt worden verleend. Realistisch? Misschien niet. Maar het werkt.

[Bewerken systeem login]
gebruiker @ junos-apparaat # set klasse configurators permissies configureren

Dit, natuurlijk, is het antwoord op waar gebruikers kunnen worden ingesteld om no-wereld-leesbare trace-bestanden (en niets anders, als je wilt) te lezen. Als u trace toestemming verlenen aan een gebruiker klasse, laat je gebruikers in deze klasse uitzicht trace bestanden en trace bestand met instellingen. Veel van de vooraf gedefinieerde gebruiker klassen zijn deze toestemming (en vele anderen).