Vidéo: Linux Tutorial for Beginners: Introduction to Linux Operating System 2024
Lorsque vous créez des comptes d'utilisateur dans Junos, vous devez associer cet utilisateur à une classe de privilèges. Quatre classes de privilèges de connexion standard existent sur un périphérique Junos OS, chacune autorisant son propre ensemble de fonctions autorisées. Vous pouvez également créer votre propre classe de privilèges unique.
| Classe de privilèges | Description | Recommandation d'utilisation |
|---|---|---|
| Super-utilisateur | Un super-utilisateur peut effectuer toutes les opérations
sur l'appareil. |
Réservez ce niveau de privilège pour les personnes clés qui surveillent et
la gestion de tous les aspects de vos appareils. |
| Opérateur | Un opérateur est autorisé à travailler en mode opérationnel
pour vérifier l'état du périphérique et des protocoles de routage , effacer les statistiques et effectuer des opérations de réinitialisation, y compris redémarrer les processus de routage et redémarrer l'appareil . |
Cette classe peut regarder la configuration de l'appareil, mais
ne peut pas la modifier. Ce niveau de privilège est destiné à l'équipe des opérations réseau responsable de la surveillance de vos périphériques. |
| Lecture seule | Quelqu'un avec un privilège en lecture seule peut
surveiller uniquement l'état du périphérique et les protocoles de routage. |
Donnez aux observateurs de bas niveau du réseau qui doivent obtenir un ingénieur ou un administrateur
lorsqu'ils voient quelque chose qui cloche. |
| Unauthorized | non autorisé est une classe sans privilèges
sur l'appareil. |
Lorsque les utilisateurs de cette classe se connectent, le logiciel Junos OS
les déconnecte immédiatement. Cela semble étrange, mais cette classe peut être utile si ces utilisateurs ont des privilèges sur d'autres périphériques. |
Vous pourriez être tenté de mettre tous les utilisateurs valides dans la classe des super-utilisateurs et d'en finir, mais cela est généralement une grosse erreur. Les super-utilisateurs peuvent littéralement tout , y compris l'octroi de privilèges de super-utilisateur à d'autres utilisateurs. Une astuce bien connue consiste à se connecter rapidement en tant que super-utilisateur et à créer un ID utilisateur d'apparence innocente ("guest-1") qui possède également des privilèges de super-utilisateur et se déconnecte à nouveau. Mais le mal est fait.
Tout le monde prétend qu'il ne peut pas faire son travail à moins d'avoir des privilèges de super-utilisateur. Ça n'a pas de sens. Enregistrez votre classe de super-utilisateur pour les personnes qui en ont vraiment besoin.
Les classes de privilèges prédéfinies sont fournies dans Junos pour plus de commodité. Junos a réuni une collection d'autorisations que vous pouvez utiliser à des fins communes. Mais tu n'as pas à faire ça. Vous pouvez accorder des autorisations individuelles en créant votre propre classe.
Par exemple, vous pouvez créer explicitement une classe appelée configurateurs à qui l'autorisation est explicitement accordée d'éditer un fichier de configuration mais rien d'autre.Réaliste? Peut être pas. Mais, il fonctionne.
[modifier la connexion au système] user @ junos-device # définir les configurateurs de classe permissions configure
Ceci est bien sûr la réponse à la question de savoir où les utilisateurs peuvent être configurés pour lire des fichiers de trace non lisibles (et rien d'autre, si tu veux). Si vous accordez l'autorisation de suivi à une classe d'utilisateurs, vous permettez aux utilisateurs de cette classe d'afficher les fichiers de trace et les paramètres de fichier de trace. La plupart des classes d'utilisateurs prédéfinies incluent cette autorisation (et bien d'autres).
