ldap-options
構文
ldap-options { revert-interval seconds; base-distinguished-name base-distinguished-name; search { admin-search; } allowed-groups { group-name { address-assignment { pool pool-name; } } } ldap-server { ip address; } } address-assignment { pool pool-name1 { family inet { network 100.127.255.255/10; xauth-attributes { primary-dns 100.127.255.255/12; secondary-dns 110.127.255.255/12; primary-wins 100.127.255.255/12; secondary-wins 110.127.255.255/12; } } } pool pool-name2 { family inet { network 120.127.255.255/10; xauth-attributes { primary-dns 120.127.255.255/12; secondary-dns 130.127.255.255/12; primary-wins 120.127.255.255/12; secondary-wins 130.127.255.255/12; } } } } firewall-authentication { web-authentication { default-profile default-profile-name; } }
階層レベル
[edit access], [edit access profile profile-name authentication-order ldap]
説明
LDAP 認証オプションを設定します。
ユーザー認証されたユーザーグループに対して、 コマンドを使用してユーザーグループ ldap-options
を設定できます。役割が割り当てられたユーザーは、LDAP グループメンバーシップに従って認証できます。この属性は allowed-groups
、グループ メンバーシップに従って割り当てられたユーザーを認証します。どのユーザー・グループもユーザー・グループと一致しない場合、そのユーザーはシステムにアクセスできません。
メンバーシップ特性は、構成に従って LDAP サーバーから照会されます。ファイアウォール認証後、認証されたグループに関連付けられたプールからIPアドレスをユーザーに割り当てることができます。
オプション
allowed-groups | 特定のグループのメンバーのみにサインインを許可します。グループ リストは 255 バイトに制限されています。 LDAP サーバーからメンバーシップ属性を受け取る順序によって、構成済み(許可)グループとユーザーを関連付ける方法が決まります。ユーザーを照合するには、LDAP サーバーから受信したリスト内の最初のグループのうち、構成されたグループのいずれかに一致するものが使用されます。 複数のグループのメンバーであるユーザーは、LDAP サーバーの応答の順序に応じて、いずれかのグループからリソースを取得できます。ユーザーに目的のリソースを確実に割り当てるために、ユーザーは 1 つのグループにのみ属することをお勧めします。 |
group-name | 許可するグループの名前。 |
name | アドレス プール名 |
残りのオプションについては、個別に説明します。 詳細については、CLI エクスプローラー でステートメントを検索するか、「構文」セクションでリンクされたステートメントをクリックしてください。
必要な権限レベル
access—設定でこのステートメントを表示します。
access-control—設定にこのステートメントを追加します。
リリース情報
Junos OSのリリース8.5で導入されたステートメント。
allowed-groups
Junos OS のリリース 21.4R1 で導入された オプション。