Video: Linux Tutorial for Beginners: Introduction to Linux Operating System 2024
Wanneer u gebruikersaccounts maakt in Junos, wilt u die gebruiker koppelen aan een privilege-klasse. Er zijn vier standaard aanmeldingsrechtenclasseklassen op een Junos OS-apparaat, die elk een eigen reeks geautoriseerde functies toestaan. U kunt ook uw eigen unieke privilege-klasse maken.
Privilege-klasse | Beschrijving | Gebruiksaanbeveling |
---|---|---|
Supergebruiker | Een supergebruiker kan alle
-bewerkingen op het apparaat uitvoeren. |
Bewaar dit bevoegdheidsniveau voor de belangrijkste mensen die toezicht houden en
alle aspecten van uw apparaten onderhouden. |
Operator | Een operator mag werken in de operationele modus
om de status van het apparaat en de routing -protocollen te controleren, statistieken te wissen en resetbewerkingen uit te voeren, inclusief routingprocessen voor opnieuw starten en het -apparaat opnieuw opstarten. |
Deze klasse kan de apparaatconfiguratie bekijken, maar
kan deze niet wijzigen. Dit bevoegdheidsniveau is voor het netwerk operatieteam dat verantwoordelijk is voor het controleren van uw apparaten. |
Alleen-lezen | Iemand met alleen-lezen machtiging kan
alleen de status van het apparaat en routeringsprotocollen controleren. |
Geef kijkers op een laag niveau van het netwerk die een
-technicus of -beheerder moeten krijgen als ze iets niet kloppen. |
Niet-geautoriseerd | ongeautoriseerd is een klasse zonder
-rechten op het apparaat. |
Wanneer gebruikers in deze klasse zich aanmelden, logt de Junos OS-software
ze onmiddellijk uit. Het klinkt raar, maar deze klasse kan nuttig zijn als deze gebruikers rechten hebben op andere apparaten. |
Je kunt in de verleiding komen om elke geldige gebruiker in de supergebruikersklasse te plaatsen en er klaar mee te zijn, maar dat is meestal een grote fout. Supergebruikers kunnen letterlijk alles doen, inclusief het verlenen van supergebruikersrechten aan andere gebruikers. Een bekende truc is om snel in te loggen als een supergebruiker en een onschuldig ogende gebruikers-ID ("guest-1") te maken die toevallig ook over supergebruikersrechten beschikt en weer uitlogt. Maar de schade is aangericht.
Iedereen zal beweren dat hij zijn werk niet kan doen tenzij hij supergebruikersrechten heeft. Dit is onzin. Sla je supergebruikersklasse op voor mensen die het echt nodig hebben.
De voorgedefinieerde privilege klassen worden voor het gemak in Junos aangeboden. Junos heeft een verzameling machtigingen verzameld die u voor gemeenschappelijke doeleinden kunt gebruiken. Maar dat hoeft u niet te doen. U kunt individuele machtigingen verlenen door uw eigen klasse te maken.
U kunt bijvoorbeeld expliciet een klasse maken met de naam configurators die expliciet toestemming krijgen om een configuratiebestand te bewerken, maar niets anders.Realistisch? Misschien niet. Maar het werkt.
[bewerk systeemlogin] user @ junos-device # stel class configurators in permissions configure
Dit is natuurlijk het antwoord op waar gebruikers kunnen worden ingesteld om niet-wereld-leesbare tracebestanden te lezen (en niets anders, Als je dat wil). Als u traceerrechten verleent aan een gebruikersklasse, kunt u gebruikers in deze klasse traceringsbestanden en traceerbestand-instellingen laten bekijken. Veel van de vooraf gedefinieerde gebruikersklassen bevatten deze toestemming (en vele andere).