class (Defining Login Classes) | Juniper Networks

Junos OS can map RADIUS- and TACACS -authenticated users to a
locally defined user account or user template account, which defines the user’s access
privileges. You can also optionally configure a user’s access privileges by defining
Juniper Networks RADIUS and TACACS vendor-specific attributes (VSAs) on the respective
authentication server.

A user’s login class defines the set of permissions that determines which operational
mode and configuration mode commands a user is authorized to execute and which areas of
the configuration a user can view and modify. A login class can also define regular
expressions that allow or deny a user the ability to execute certain commands or view
and modify certain areas of the configuration, in addition to what the permission flags
authorize. A login class can include the following statements to define user
authorization:

Similarly, a RADIUS or TACACS server configuration can use Juniper Networks VSAs to
define specific permissions or regular expressions that determine a user’s access
privileges. For the list of supported RADIUS and TACACS VSAs, see the following:

You can define user permissions on the RADIUS or TACACS server as a list of
space-separated values.

A RADIUS or TACACS server can also define Juniper Networks VSAs that use a single
extended regular expression (as defined in POSIX 1003.2) to allow or deny a user the
ability to execute certain commands or view and modify areas of the configuration. You
enclose multiple commands or configuration hierarchies in parentheses and separate them
using a pipe symbol. If the regular expression contains any spaces, operators, or
wildcard characters, enclose it in quotation marks. When you configure authorization
parameters both locally and remotely, the device merges the regular expressions received
during TACACS or RADIUS authorization with any regular expressions defined on the local
device.

RADIUS and TACACS servers also support configuring attributes that correspond to the
same *-regexps statements that you can configure on the local device.
The *-regexps TACACS attributes and the *-Regexps
RADIUS attributes use the same regular expression syntax as the previous attributes, but
they enable you to configure regular expressions with variables.

On a RADIUS or TACACS server, you can also define the attributes using a simplified
syntax where you specify each individual expression on a separate line.

For a RADIUS server, specify the individual regular expressions using the following
syntax:

Juniper-User-Permissions  = "permission-flag1",
Juniper-User-Permissions  = "permission-flag2",
Juniper-User-Permissions  = "permission-flagn",
Juniper-Allow-Commands  = "cmd1",
Juniper-Allow-Commands  = "cmd2",
Juniper-Allow-Commands  = "cmdn",
Juniper-Deny-Commands  = "cmd1",
Juniper-Deny-Commands  = "cmd2",
Juniper-Deny-Commands  = "cmdn",
Juniper-Allow-Configuration  = "config1",
Juniper-Allow-Configuration  = "config2",
Juniper-Allow-Configuration  = "confign",
Juniper-Deny-Configuration  = "config1",
Juniper-Deny-Configuration  = "config2",
Juniper-Deny-Configuration  = "confign",

For a TACACS server, specify the individual regular expressions using the following
syntax:

user-permissions1 = "permission-flag1"
user-permissions2 = "permission-flag2"
user-permissionsn = "permission-flagn"
allow-commands1 = "cmd1"
allow-commands2 = "cmd2"
allow-commandsn = "cmdn"
deny-commands1 = "cmd1"
deny-commands2 = "cmd2"
deny-commandsn = "cmdn"
allow-configuration1 = "config1"
allow-configuration2 = "config2"
allow-configurationn = "confign"
deny-configuration1 = "config1"
deny-configuration2 = "config2"
deny-configurationn = "confign"

Users can verify their class, permissions, and command and configuration authorization by
issuing the show cli authorization operational mode command.

user@host> show cli authorization

Junos OS могут соотоставить RADIUS- и TACACS -authenticated пользователей с локально определенной учетной записью пользователя или учетной записью шаблона пользователя, которая определяет права доступа пользователя. Можно также дополнительно настроить пользовательские привилегии доступа, определив атрибуты Juniper Networks RADIUS и TACACS для поставщика (VSAs) на соответствующем сервере аутентификации.

Класс входа пользователя определяет набор разрешений, которые определяют, какой режим работы и команды режима конфигурации пользователь может выполнять, а какие области конфигурации пользователь может просматривать и изменять. Класс входа также может определять регулярные выражения, которые позволяют или запретить пользователю возможность выполнять определенные команды или просматривать и изменять определенные области конфигурации, в дополнение к тем разрешениям, которые авторизируют флаги разрешений. Класс входа может включать в себя следующие утверждения для определения авторизации пользователя:

Аналогичным образом конфигурация RADIUS или сервера TACACS может использовать Juniper Networks VSAs для определения определенных разрешений или регулярных выражений, определяя права доступа пользователя. Список поддерживаемых RADIUS TACACS VSAS см. в следующем:

На сервере RADIUS TACACS можно определить пользовательские разрешения как список значений, разделенных пространством.

Сервер RADIUS или TACACS также может определить Juniper Networks VSAs, которые используют одно расширенное регулярное выражение (как определено в POSIX 1003.2), чтобы разрешить или запретить пользователю возможность выполнения определенных команд или просматривать и изменять области конфигурации. Несколько команд или иерархий конфигурации заключены в скобки и разделяют их с помощью символа канала. Если регулярное выражение содержит пробелы, операторы или поддиамые символы, занося их в кавычках. При настройке параметров авторизации как локально, так и удаленно, устройство объединяет регулярные выражения, полученные во время TACACS или RADIUS авторизации с любыми регулярными выражениями, определенными на локальном устройстве.

RADIUS серверы TACACS также поддерживают настройку атрибутов, соответствующих тем же утверждениям, что можно настроить на *-regexps локальном устройстве. Атрибуты TACACS и атрибуты RADIUS используют тот же синтаксис регулярных выражений, что и предыдущие атрибуты, но они позволяют настраивать регулярные выражения с *-regexps*-Regexps переменными.

На сервере RADIUS TACACS можно также определить атрибуты с помощью упрощенного синтаксиса, в котором каждое отдельное выражение указывается на отдельной строке.

Для сервера RADIUS регулярные выражения, используя следующий синтаксис:

Juniper-User-Permissions  = "permission-flag1",
Juniper-User-Permissions  = "permission-flag2",
Juniper-User-Permissions  = "permission-flagn",
Juniper-Allow-Commands  = "cmd1",
Juniper-Allow-Commands  = "cmd2",
Juniper-Allow-Commands  = "cmdn",
Juniper-Deny-Commands  = "cmd1",
Juniper-Deny-Commands  = "cmd2",
Juniper-Deny-Commands  = "cmdn",
Juniper-Allow-Configuration  = "config1",
Juniper-Allow-Configuration  = "config2",
Juniper-Allow-Configuration  = "confign",
Juniper-Deny-Configuration  = "config1",
Juniper-Deny-Configuration  = "config2",
Juniper-Deny-Configuration  = "confign",

Для сервера TACACS укажите регулярные выражения, используя следующий синтаксис:

user-permissions1 = "permission-flag1"
user-permissions2 = "permission-flag2"
user-permissionsn = "permission-flagn"
allow-commands1 = "cmd1"
allow-commands2 = "cmd2"
allow-commandsn = "cmdn"
deny-commands1 = "cmd1"
deny-commands2 = "cmd2"
deny-commandsn = "cmdn"
allow-configuration1 = "config1"
allow-configuration2 = "config2"
allow-configurationn = "confign"
deny-configuration1 = "config1"
deny-configuration2 = "config2"
deny-configurationn = "confign"

Пользователи могут проверить свои класс, разрешения, а также команду и авторизацию конфигурации, выдав show cli authorization команду operational mode.

user@host> show cli authorization