OpenConfig AAA コマンドから Junos オペレーションへのマッピング

メモ：

ジュニパーネットワークスACXシリーズ、EXシリーズ、MXシリーズ、PTXシリーズ、QFXシリーズでサポートされているデータモデルのバージョンとJunos OSリリースについては、 OpenConfigデータモデルのバージョンのトピックを参照してください。

以下の表は、OpenConfig AAA設定とJunos OSでの関連設定とのマッピングを示しています。

表 1: グローバル AAA 設定
表 2: RADIUS サーバーの構成
表 3: アカウンティングイベントの設定
表 4: アカウンティング方法の設定
表 5: 権限ロールの設定
表 6: 承認アクセス許可の構成: 承認アクセス許可の構成
表 7: 承認アクセス許可の設定
表 8: 認可ポリシーと要求正規表現の設定
表 9 表 9:TACACSサーバー設定
表 10: AAA 管理者およびユーザの設定

表 1: グローバル AAA 設定
コマンド名	OpenConfig コマンドパス	Junos の設定
	コマンドパスのプレフィックス: `/system/aaa`
構成名	`/server-groups/server-group/config/name`	未対応メモ： Junos OSには、このパスに相当する設定はありません。設定されたサーバーグループ名は、RADIUS/TACACS 属性の設定で使用されます。
サーバー構成アドレス	`/server-groups/server-group/servers/server/config/address`	未対応メモ： Junos OSには、このパスに相当する設定はありません。設定されたサーバーアドレスは、RADIUS/TACACS属性設定で使用されます。
サーバー構成名	`/server-groups/server-group/servers/server/config/name`	未対応メモ： Junos OSには、このパスに相当する設定はありません。サーバーを識別するために、サーバー名を構成できます。
構成タイムアウト	`/server-groups/server-group/servers/server/config/timeout`	未対応メモ： Junos OSには、このパスに相当する設定はありません。ただし、設定されるタイムアウトは、Junos OS`edit radius-server`または`edit tacplus-server`階層レベルのパラメーターから`timeout`取得されます。

表 2: RADIUS サーバーの構成
コマンド名	OpenConfig コマンドパス	Junos の設定
	コマンドパスのプレフィックス: `/system/aaa`
認証ポート	`/server-groups/server-group/servers/server/radius/config/auth-port`	`set system radius-server address port port` メモ： `address`値は、の後に`server`設定された値から導出されます。`port`値は、と同じ値です。`auth-port.`
再送信試行	`/server-groups/server-group/servers/server/radius/config/retransmit-attempts`	`set system radius-server address retryretry` メモ： `address`値は、の後に`server`設定された値から導出されます。`retry`値は、に指定された`retransmit-attempts`値と同じです。
秘密鍵	`/server-groups/server-group/servers/server/radius/config/secret-key`	`set system radius-server address secret secret` メモ： `address`値は、の後に`server`設定された値から導出されます。`secret`値は、に指定された`secret-key`値と同じです。
送信元アドレス	`/server-groups/server-group/servers/server/radius/config/source-address`	`set system radius-server address source-address source-address` メモ： `address`値は、の後に設定された`server.`値から導き出されます。`source-address`値は、に指定された`source-address`値と同じ値です。

表 3: アカウンティングイベントの設定
コマンド名	OpenConfig Configuration	Junos の設定
イベント	openconfig-system:system { aaa { accounting { events { event <event-type>{ config { event-type <value> } } } } } }	system { accounting { events [ … ]; } }
OpenConfig 構成には、に対して `event-type`2 つの値があります。 Junos OS イベントタイプにマッピングされるAAA_ACCOUNTING_EVENT `interactive-commands` Junos OSにマッピングされるAAA_ACCOUNTING_EVENT_LOGIN `login`

表 4: アカウンティング方法の設定
コマンド名	OpenConfig Configuration	Junos の設定
会計方法	openconfig-system:system { aaa { accounting { config { accounting-method [ … ]; } } } }	system { accounting { destination { radius / tacplus { server { <name> secret <>; <name> secret <>; } } } } }
の `accounting-method` OpenConfig 値は、 `RADIUS_ALL`、 abd `LOCAL`です`TACACS_ALL`。OpenConfig `accounting-method` の設定と`server-groups`設定を組み合わせることで、Junos 階層`/system/accounting/destination`が生成されます。

表 5: 権限ロールの設定
コマンド名	OpenConfig Configuration	Junos の設定
役割	openconfig-system:system { aaa { authorization { roles { role <rolename> { ……… ………. } } } } }	system { login { class <name> { ….. ….. } } }
OpenConfig ユーザー定義 `role` は、Junos パラメーターにマップされます `login classes` 。

表 6: 承認アクセス許可の設定
コマンド名	OpenConfig Configuration	Junos の設定
アクセス許可	openconfig-system:system { aaa { authorization { roles { role <rolename> { permissions [ … ]; } }	system { login { class <name> { permissions [ … ]; } } }
OpenConfig ユーザー定義 `permissions` はリーフリストであり、Junos リーフリスト `permissions` パラメーターにマップされます。に使用できる OpenConfig 値 `permissions` とそれに対応する Junos 値は、以下のとおりです。 OpenConfig Junos ADMIN admin ADMIN CONTROL admin-control ALL all MAINTENANCE maintenance VIEW view VIEW_CONFIG view-configuration

表 7: 承認アクセス許可の設定
コマンド名	OpenConfig Configuration	Junos の設定
アクセス許可	openconfig-system:system { aaa { authorization { roles { role foo { config { policies { policy PERMIT REQUEST_RPC { request-regex /gnmi.gNMI/Set; } } } } } } } }	system { login { class foo { allow-grpc-rpc-regexps /gnmi.gNMI/Set; } } }

表 7: 承認アクセス許可の設定

コマンド名

OpenConfig Configuration

Junos の設定

アクセス許可

openconfig-system:system {
    aaa {
        authorization {
            roles {
                role foo {
                    config {
                        policies {
                               policy PERMIT REQUEST_RPC {
                                    request-regex /gnmi.gNMI/Set;
                               }
                            }
                        }
                    }
                }
        }
    }
}

system {
    login {
        class foo {
            allow-grpc-rpc-regexps /gnmi.gNMI/Set;
        }
    }
}

表 8: 認可ポリシーと要求正規表現の設定
コマンド名	OpenConfig Configuration	Junos の設定
ポリシー	openconfig-system:system { aaa { authorization { roles { role foo { config { policies { policy <action> <request-type> { request-regex [ … ]; } } } } } } }	system { login { class foo { deny-commands-regexps [ … ]; OR allow-commands-regexps [ … ]; OR deny-configuration-regexps [ … ]; OR allow-configuration-regexps [ … ]; OR deny-grpc-rpc-regexps [ … ]; OR allow-grpc-rpc-regexps [ … ]; } } }
OpenConfig `policies` の設定は、さまざまな許可および拒否 (*regexps) パラメータに変換されます。に使用できるOpenConfig値 `action`、 `request-type`、および `request-regex` は、以下のJunos構成パラメーターに変換します。 action request-type OpenConfig request-regex translates to: PERMIT REQUEST_CONFIG allow-configuration-regexps DENY REQUEST_CONFIG deny-configuration-regexps PERMIT REQUEST_RPC allow-grpc-rpc-regexps DENY REQUEST_RPC deny-grpc-rpc-regexps PERMIT REQUEST_COMMAND allow-commands-regexps DENY REQUEST_COMMAND deny-commands-regexps
例	openconfig-system:system { aaa { authorization { roles { role foo { config { rolename foo; policies { policy DENY REQUEST_COMMAND { request-regex [ "clear interfaces" "show interfaces" ]; } } } } } } } }	system { login { class foo { deny-commands-regexps [ "clear interfaces" "show interfaces" ]; } } }
例	openconfig-system:system { aaa { authorization { roles { role foo { config { policies { policy PERMIT REQUEST_RPC { request-regex /gnmi.gNMI/Set; } } } } } } } }	system { login { class foo { allow-grpc-rpc-regexps /gnmi.gNMI/Set; } } }

表 9: TACACS サーバの設定
コマンド名	OpenConfig コマンドパス	Junos の設定
	コマンドパスのプレフィックス: `/system/aaa`
構成ポート	`/server-groups/server-group/servers/server/tacacs/config/port`	`set system tacplus-server address port port` メモ： `address`値は、の後に設定された`server.`値から導き出されます。`port`値は、に指定された`port`値と同じ値です。
秘密鍵	`/server-groups/server-group/servers/server/tacacs/config/secret-key`	`set system tacplus-server address secret secret` メモ： `address`値は、の後に`server`設定された値から導出されます。`secret`値は、に指定された`secret-key`値と同じです。
送信元アドレス	`/server-groups/server-group/servers/server/tacacs/config/source-address`	`set system tacplus-server address source-address source-address` メモ： `address`値は、の後に`server`設定された値から導出されます。`source-address`値は、に指定された`source-address`値と同じです。

表 10: AAA 管理者およびユーザの設定
コマンド名	OpenConfig コマンドパス	Junos の設定
	コマンドパスのプレフィックス: `/system/aaa`
管理者パスワード	`/authentication/admin-user/config/admin-password`	`set system root-authentication plain-text-password` メモ： `plain-text-password-authentication`値は、に`admin-password`設定された値から導出されます。
管理者パスワードハッシュ	`/authentication/admin-user/config/admin-password-hashed`	`set system root-authentication encrypted-password encrypted-password` メモ： `encrypted-password`値は、に`admin-password-hashed`設定された値から導出されます。
認証方法	`/authentication/config/authentication-method`	`set system authentication-order` メモ： `authentication-order`値は、に`authentication-method`設定された値から導出されます。
パスワード	`/authentication/users/user/config/password`	`set system login user user-name authentication plain-text-password plain-text-password` メモ： `user-name`値は、に`user`設定された値から導出されます。`plain-text-password`値は、に`password`設定された値から導出されます。
パスワードハッシュ	`/authentication/users/user/config/password-hashed`	`set system login user user-name authentication encrypted-password encrypted-password` メモ： `user-name`値は、に`user`設定された値から導出されます。`encrypted-password`値は、に`password-hashed`設定された値から導出されます。
役割	`/authentication/users/user/config/role`	`set system login user user-name class class` メモ： `user-name`値は、に`user`設定された値から導出されます。`class`値は、に`role`設定された値から導出されます。
名	`/authentication/users/user/config/username`	未対応メモ： Junos OSに対応する設定はありません。