ログインクラスの概要

Junos OS Evolved ログインクラスは、そのクラスに割り当てられたユーザーのアクセス権限、CLIコマンドとステートメントの使用許可、およびセッションアイドル時間を定義します。システム管理者は、個々のユーザーアカウントにログインクラスを適用して、特定の権限と権限をユーザーに割り当てることができます。

ログインクラスの概要

Junos OS Evolvedを実行しているデバイスにログインできるすべてのユーザーは、ログインクラスである必要があります。各ログインクラスは、以下を定義します。

ユーザーがネットワークデバイスにログインするときのアクセス権限
ユーザーが実行できるコマンドと実行できないコマンド
ユーザーが表示または変更できる設定ステートメントとできない設定ステートメント
システムがユーザーを切断する前にログインセッションがアイドル状態にできる時間

任意の数のログインクラスを定義できます。ただし、個々のユーザーアカウントに割り当てるログインクラスは1つだけです。

Junos OS Evolved には、表1に示す事前定義されたログインクラスが含まれています。事前定義されたログインクラスを変更することはできません。

表 1: 事前定義されたシステムログインクラス
ログインクラス	パーミッションフラグセット
`operator`	クリア、ネットワーク、リセット、トレース、およびビュー
`read-only`	ビュー
`superuser` または `super-user`	すべての
`unauthorized`	なし

メモ：

事前定義されたログインクラス名を変更することはできません。事前定義されたクラス名でコマンドを set 発行した場合、デバイスはログインクラス名に追加 -local し、以下の警告を発行します。
事前定義されたログインクラスでまたは copy コマンドを発行renameすることはできません。これを実行すると、以下のエラーメッセージが表示されます。

パーミッションビット
個々のコマンドとステートメント階層を拒否または許可する

パーミッションビット

トップレベルのCLIコマンドと各設定ステートメントには、それぞれに関連付けられたアクセス権限レベルがあります。ユーザーはこれらのコマンドのみを実行し、アクセス権限を持つステートメントのみを設定および表示できます。各ログインクラスは、アクセス権限を決定する1つ以上のパーミッションビットを定義します。

アクセス許可の 2 つのフォームは、ユーザーが構成の個々の部分を表示または変更できるかどうかを制御します。

「プレーン」フォーム — アクセス許可タイプに読み取り専用機能を提供します。例として、 .interface
-controlフォーム — パーミッションタイプに読み取りと書き込み機能を提供します。例として、 .interface-control

表 2 は、パーミッションフラグと関連するアクセス権限の概要を示しています。

表 2: ログインクラスのパーミッションフラグ
パーミッションフラグ	説明
`access`	動作モードまたは設定モードでアクセス設定を表示できます。
`access-control`	階層レベルでアクセス情報を `[edit access]` 表示および構成できます。
`admin`	動作モードまたは構成モードでユーザーアカウント情報を表示できます。
`admin-control`	ユーザーアカウント情報を表示し、階層レベルで `[edit system]` 設定できます。
`all`	すべての動作モードコマンドと設定モードコマンドにアクセスできます。すべての設定階層レベルで設定を変更できます。
`clear`	デバイスがネットワークから学習し、さまざまなネットワークデータベースに保存する情報を消去(削除)できます(コマンドを `clear` 使用)。
`configure`	設定モード(コマンドを `configure` 使用)とコミット設定(コマンドを使用)に `commit` 入ることができます。
`control`	すべての制御レベルの操作(パーミッションフラグで設定されたすべての操作)を `-control` 実行できます。
`field`	フィールドデバッグコマンドを表示できます。デバッグサポート用に予約されています。
`firewall`	ファイアウォールフィルターの設定を動作モードまたは構成モードで表示できます。
`firewall-control`	階層レベルでファイアウォールフィルター情報を `[edit firewall]` 表示および構成できます。
`floppy`	リムーバブルメディアの読み取りと書き込みができます。
`flow-tap`	フロータップ設定を動作モードまたは設定モードで表示できます。
`flow-tap-control`	階層レベルでフロータップ情報を `[edit services flow-tap]` 表示および設定できます。
`flow-tap-operation`	ルーターやスイッチにフロータップ要求を行うことができます。たとえば、Dynamic Tasking Control Protocol(DTCP)クライアントは、それ自体を認証する権限を持ち、 `flow-tap-operation` 管理ユーザーとして Junos OS Evolved する必要があります。メモ：オプションは `flow-tap-operation` 、パーミッションフラグに `all-control` 含まれていません。
`idp-profiler-operation`	プロファイラデータを表示できます。
`interface`	インターフェイスの設定を動作モードおよび設定モードで表示できます。
`interface-control`	シャーシ、サービスクラス (CoS)、グループ、転送オプション、インターフェイス設定情報を表示できます。以下の階層レベルで設定を変更できます。 `[edit chassis]` `[edit class-of-service]` `[edit groups]` `[edit forwarding-options]` `[edit interfaces]`
`maintenance`	デバイスでローカルシェルを起動し、シェル内でスーパーユーザーになる(コマンドを使用)、デバイスの停止と再起動(コマンドを使用 `su root` )など、システムの保守を `request system` 実行できます。
`network`	、 `sshtelnet`、および `traceroute` コマンドを`ping`使用してネットワークにアクセスできます。
`pgcp-session-mirroring`	セッションミラーリングの `pgcp` 設定を表示できます。
`pgcp-session-mirroring-control`	セッションミラーリング設定を `pgcp` 変更できます。
`reset`	コマンドを使用してソフトウェアプロセスを `restart` 再起動できます。
`rollback`	コマンドを `rollback` 使用して、以前にコミットされた設定に戻すことができます。
`routing`	一般的なルーティング、ルーティングプロトコル、ルーティングポリシーの設定情報を、設定モードと運用モードで表示できます。
`routing-control`	階層レベルでの一般的なルーティング、階層レベルの `[edit routing-options]` ルーティングプロトコル、および階層レベルでの `[edit protocols]` ルーティングポリシー情報を `[edit policy-options]` 表示および設定できます。
`secret`	構成内のパスワードやその他の認証キーを表示できます。
`secret-control`	構成内のパスワードやその他の認証キーを表示および変更できます。
`security`	運用モードと設定モードでセキュリティ設定情報を表示できます。
`security-control`	階層レベルでセキュリティ情報を `[edit security]` 表示および設定できます。
`shell`	コマンドを使用して、ルーターまたはスイッチでローカルシェルを `start shell` 開始できます。
`snmp`	運用モードまたは構成モードで、SNMP(簡易ネットワーク管理プロトコル)設定情報を表示できます。
`snmp-control`	階層レベルで SNMP 設定情報を `[edit snmp]` 表示および変更できます。
`system`	運用モードまたは構成モードでシステムレベルの情報を表示できます。
`system-control`	階層レベルでシステムレベルの設定情報を `[edit system]` 表示および変更できます。
`trace`	トレースファイルの設定を表示し、トレースファイルのプロパティを構成できます。
`trace-control`	トレースファイルの設定を変更し、トレースファイルのプロパティを構成できます。
`view`	さまざまなコマンドを使用して、現在のシステム全体、ルーティングテーブル、プロトコル固有の値と統計を表示できます。シークレット構成を表示できません。
`view-configuration`	シークレット、システムスクリプト、イベントオプションを除くすべての構成を表示できます。メモ：パーミッションを `maintenance` 持つユーザーのみが、コミットスクリプト、opスクリプト、またはイベントスクリプトの設定を表示できます。

個々のコマンドとステートメント階層を拒否または許可する

デフォルトでは、最上位の CLI コマンドとステートメントには、関連するアクセス権限レベルがあります。ユーザーはこれらのコマンドのみを実行し、アクセス権限を持つステートメントのみを表示および設定できます。ログインクラスごとに、パーミッションビットによって許可または拒否される動作モードコマンドや設定モードコマンド、設定ステートメント階層の使用をユーザーに明示的に拒否または許可できます。

例:特定の権限を持つログインクラスを作成する

ログインクラスを定義して、特定の権限や制限をユーザーのグループに割り当て、機密性の高いコマンドに適切なユーザーのみがアクセスできるようにします。デフォルトでは、ジュニパーネットワークスデバイスには、オペレーター、読み取り専用、スーパーユーザーまたはスーパーユーザー、および不正の4種類のログインクラスが設定されています。

カスタムログインクラスを作成して、デフォルトのログインクラスにはないさまざまなパーミッションの組み合わせを定義できます。以下の例では、3つのカスタムログインクラスを示しています。それぞれに特定の権限と非アクティブタイマーがあります。非アクティブタイマーは、ユーザーが長時間非アクティブになっている場合に、ユーザーをネットワークから切断することでネットワークセキュリティを保護するのに役立ちます。ユーザーを切断することで、ユーザーがスイッチまたはルーターにログインしている無人のアカウントを放置した場合に生じる潜在的なセキュリティリスクを防ぐことができます。ここで示すパーミッションタイマーと非アクティブタイマーは、ほんの一例に過ぎません。組織に合わせて値をカスタマイズする必要があります。

3つのログインクラスとその権限は次のとおりです。3つのログインクラスはすべて、5分間の休止タイマーを使用します。

observation-統計情報と設定のみを表示できます。
operation構成を表示および変更できます
engineering—無制限のアクセスとコントロール