Wenn Sie Benutzerkonten in Junos erstellen, möchten Sie diesen Benutzer einer Privileg-Klasse zuordnen. Auf einem Junos OS-Gerät sind vier Standard-Anmeldeberechtigungsklassen vorhanden, die jeweils eigene autorisierte Funktionen zulassen. Sie können auch eine eigene eindeutige Berechtigungsklasse erstellen.
| Privilegierungsklasse | Beschreibung | Nutzungsempfehlung |
|---|---|---|
| Superuser | Ein Superuser kann alle
-Operationen auf dem Gerät ausführen. |
Reservieren Sie diese Berechtigungsebene für die Schlüsselpersonen, die alle Aspekte Ihrer Geräte überwachen und
verwalten. |
| Operator | Ein Operator darf im
-Betriebsmodus arbeiten, um den Status des Geräts und die Routing -Protokolle zu überprüfen, Statistiken zu löschen und Reset-Operationen durchzuführen, einschließlich Neustart der Routing-Prozesse und Neustart des Geräts. |
Diese Klasse kann die Gerätekonfiguration anzeigen, aber
kann sie nicht ändern. Diese Berechtigungsebene ist für das Netzwerkteam , das für die Überwachung Ihrer -Geräte zuständig ist. |
| Schreibgeschützt | Jemand mit Nur-Lese-Berechtigung kann
nur den Status des Geräts und die Routing-Protokolle überwachen. |
Weisen Sie die Low-Level-Beobachter des Netzwerks zu, die einen
Techniker oder Administrator erhalten müssen, wenn sie etwas Falsches sehen. |
| Nicht autorisiert | Unautorisiert ist eine Klasse ohne
Berechtigungen auf dem Gerät. |
Wenn sich Benutzer in dieser Klasse anmelden, werden sie von der Junos OS-Software
sofort abgemeldet. Es klingt seltsam, aber diese Klasse kann nützlich sein, wenn diese Benutzer tun Berechtigungen auf anderen Geräten haben. |
Sie könnten versucht sein, jeden gültigen Benutzer in die Super-Benutzerklasse zu bringen und damit fertig zu werden, aber das ist normalerweise ein großer Fehler. Super-Benutzer können buchstäblich alles tun, einschließlich der Gewährung von Super-Benutzer-Privilegien für andere Benutzer. Ein bekannter Trick besteht darin, sich schnell als Superuser einzuloggen und eine unschuldig aussehende Benutzer-ID ("guest-1") zu erstellen, die zufälligerweise auch Super-User-Rechte besitzt und sich wieder abmeldet. Aber der Schaden ist angerichtet.
Jeder behauptet, er könne seine Arbeit nicht erledigen, wenn er nicht über Superuser-Rechte verfügt. Das ist schwachsinn. Speichern Sie Ihre Super-User-Klasse für Leute, die sie wirklich brauchen.
Die vordefinierten Berechtigungsklassen werden in Junos zur Vereinfachung bereitgestellt. Junos hat eine Sammlung von Berechtigungen zusammengestellt, die Sie für allgemeine Zwecke verwenden können. Aber das musst du nicht tun. Sie können einzelne Berechtigungen erteilen, indem Sie eine eigene Klasse erstellen.
Sie können beispielsweise explizit eine Klasse namens Konfiguratoren erstellen, denen explizit die Berechtigung zum Bearbeiten einer Konfigurationsdatei erteilt wird, aber nichts anderes.Realistisch? Vielleicht nicht. Aber es funktioniert.
[Systemanmeldung bearbeiten] user @ junos-gerät # set class configurators permissions configure
Dies ist natürlich die Antwort darauf, wo Benutzer so eingestellt werden können, dass sie nicht lesbare Trace-Dateien lesen (und sonst nichts)., wenn du möchtest). Wenn Sie einer Benutzerklasse eine Trace-Berechtigung erteilen, können Sie Benutzern in dieser Klasse Trace-Dateien und Tracedatei-Einstellungen anzeigen. Viele der vordefinierten Benutzerklassen enthalten diese Berechtigung (und viele andere).
