Conta de Usuário Classes Privilege em Junos
Ao criar contas de usuário no Junos, você vai querer associar aquele usuário com uma classe de privilégio. Existem quatro classes de privilégios de login padrão em um dispositivo Junos OS, cada um permitindo o seu próprio conjunto de funções autorizadas. Você também pode criar sua própria classe privilégio único.
Classe Privilege | Descrição | Recomendação de uso |
---|---|---|
Super-usuário | UMA super-usuário pode executar qualquer alloperations e no dispositivo. | Reservar este nível de privilégio para as pessoas-chave que monitoram andmaintain todos os aspectos de seus dispositivos. |
Operador | A operador está autorizado a trabalhar modo imobilizado para verificar o status do dispositivo e as routingprotocols, estatísticas claras, e realizar operações de reset, incluindo reiniciar processos de roteamento e reiniciar thedevice. | Esta classe pode olhar para a configuração do dispositivo, butcan't modificá-lo. Este nível de privilégio é para a equipe networkoperations que é responsável pelo acompanhamento yourdevices. |
Somente leitura | alguém com somente leitura privilégio canonly monitorar o status dos protocolos de dispositivos e de roteamento. | Dá para observadores de baixo nível da rede que devem receber anengineer ou administrador quando vêem algo errado. |
Não autorizado | não autorizado é uma classe com noprivileges em tudo no dispositivo. | Quando os usuários nesta classe log in, o Junos OS softwareimmediately registra-los. Parece estranho, mas esta classe pode beuseful se esses usuários Faz ter privilégios sobre OtherDevices. |
Você pode estar tentado a colocar cada usuário válida para o super-usuário classe e ser feito com ele, mas isso geralmente é um grande erro. Os super-users pode fazer literalmente tudo, incluindo a concessão de privilégios de super-usuário para outros usuários. Um truque bem conhecido é entrar rapidamente no como um super-usuário e criar um ID de usuário de aparência inocente (# 147-guest-1 # 148-), que também só acontece de ter privilégios de super-usuário e log novamente. Mas o estrago está feito.
Todos vão alegar que eles não podem fazer o seu trabalho a menos que tenham privilégios de super-usuário. Isso não faz sentido. Salve sua classe super-utilizador para as pessoas que realmente necessitam.
As classes de privilégio pré-definidos são fornecidos em Junos como uma conveniência. Junos tem reunir uma coleção de permissões juntos, que você pode usar para fins comuns. Mas você não tem que fazer isso. Você pode conceder permissões individuais, criando sua própria classe.
Por exemplo, você pode criar explicitamente uma classe chamada configuradores a quem é concedido explicitamente permissão para editar um arquivo de configuração, mas nada mais. Realista? Talvez não. Mas ele não funciona.
[Editar login do sistema] user @ configuradores junos-device # set classe permissões configurar
Isto, naturalmente, é a resposta para onde os usuários podem ser configurado para ler -No-mundo legível rastrear arquivos (e nada mais, se quiser). Se você conceder vestígio permissão para uma classe de usuário, você permitir que os usuários nesta arquivos de rastreamento de vista de classe e traçar as configurações do arquivo. Muitas das classes de usuários pré-definidos incluem essa permissão (e muitos outros).