Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ログインクラスの概要

Junos OSログインクラスでは、そのクラスに割り当てたユーザーのアクセス権限、CLIコマンドやステートメントの使用許可、およびセッションアイドル時間を定義します。お客様(システム管理者)は、個々のユーザーアカウントにログインクラスを適用することで、そのユーザーに特定の権限と許可を割り当てることができます。

ログインクラスの概要

Junos OSを実行するデバイスにログインできるすべてのユーザーは、ログインクラスにいる必要があります。各ログインクラスには以下が定義されています。

  • ネットワークデバイスにログインする時にユーザーが持つアクセス権限

  • ユーザーが実行できるコマンドと実行できないコマンド

  • ユーザーが表示または変更できる設定ステートメントとできない設定ステートメント

  • システムがユーザーの接続を切断する前に、ログインセッションがアイドル状態を維持できる期間

任意のログイン クラス数を定義できます。ただし、個別のユーザーアカウントに割り当てるのは1つのログインクラスのみです。

事前定義されたログインクラスはJunos OSに含まれ、表 1に表示されます。事前定義されたログインクラスを変更することはできません。

表 1: 事前定義されたシステムログインクラス

ログインクラス

パーミッションフラグセット

operator

クリア、ネットワーク、リセット、トレース、およびビュー

read-only

view

superuserまたは super-user

all

unauthorized

なし

注:
  • 事前定義されたログインクラス名を変更することはできません。事前定義されたクラス名でsetのコマンドを実行する場合、デバイスはログインクラス名に-localを追加し、以下の警告を出します。

  • 事前定義されたログインクラスでrenameまたはcopyのコマンドを実行することはできません。その場合、以下のエラーメッセージが表示されます。

パーミッションビット

各トップレベルのCLIコマンドと各設定ステートメントには、それに関連付けられたアクセス権限レベルがあります。ユーザーは、アクセス権限のあるコマンドのみを実行し、アクセス権限のあるステートメントのみを設定および表示できます。各ログインクラスでは、アクセス権限を決定する1つ以上のパーミッションビットが定義されます。

この2つの形式のアクセス許可では、ユーザーが設定の個々の部分を表示または変更できるかどうかを制御します。

  • 「プレーン」フォーム—アクセス許可タイプに読み取り専用機能のみ提供します。interface がその例です。

  • -control フォーム - パーミッション タイプに読み取りと書き込み機能を提供します。interface-control がその例です。

表 2は、パーミッションフラグと関連付けられたアクセス権限について概要を説明します。

表 2: ログインクラスのパーミッション フラグ

パーミッション フラグ

説明

access

動作モードまたは構成モードでアクセス構成を表示できます。

access-control

[edit access] 階層レベルでアクセス情報を表示および設定できます。

admin

動作モードまたは構成モードでユーザー アカウント情報を表示できます。

admin-control

ユーザーアカウント情報を表示し、[edit system] 階層レベルで設定できます。

all

すべての運用モードのコマンドと構成モードのコマンドにアクセスできます。すべての構成階層レベルで構成を変更できます。

clear

デバイスがネットワークから学習して、さまざまなネットワーク データベースに保存した情報を消去(削除)できます(clear コマンドを使用)。

configure

構成モード(configure コマンドを使用)およびコミット設定(commit コマンドを使用)に移行できます。

control

すべての制御レベルの操作(-control パーミッション フラグが設定されたすべての操作)が実行できます。

field

フィールド デバッグ コマンドを表示できます。デバッグ サポート用に予約されています。

firewall

ファイアウォール フィルターの設定を動作モードまたは構成モードで表示できます。

firewall-control

[edit firewall] 階層レベルでのファイアウォール フィルターの情報を表示および設定できます。

floppy

リムーバブル メディアの読み取りと書き込みができます。

flow-tap

フロータップの設定を動作モードまたは構成モードで表示できます。

flow-tap-control

[edit services flow-tap] 階層レベルでのフロータップ情報を表示および設定できます。

flow-tap-operation

ルーターまたはスイッチへのフロータップ要求を行うことができます。たとえば、Dynamic Tasking Control Protocol(DTCP)クライアントは、自身を 管理者ユーザーJunos OSに認証するため、 パーミッションを持flow-tap-operationっている必要があります。

注:

この flow-tap-operation オプションは、all-control パーミッション フラグには含まれていません。

idp-profiler-operation

プロファイラ データを表示できます。

interface

インターフェイスの設定を動作モードまたは構成モードで表示できます。

interface-control

シャーシ、サービス クラス(CoS)、グループ、転送オプション、インターフェイスの構成情報を表示できます。以下の階層レベルで構成を変更できます。

  • [edit chassis]

  • [edit class-of-service]

  • [edit groups]

  • [edit forwarding-options]

  • [edit interfaces]

maintenance

デバイス上でのローカル シェルの起動、シェル内でのスーパーユーザーへの切り替え(su root コマンドを使用)、デバイスの停止および再起動(request system コマンドを使用)など、システム保守を実行できます。

network

pingsshtelnettraceroute コマンドを使ってネットワークにアクセスできます。

pgcp-session-mirroring

pgcp セッション ミラーリングの設定を表示できます。

pgcp-session-mirroring-control

pgcp セッション ミラーリングの設定を変更できます。

reset

restart コマンドを使ってソフトウェア プロセスを再開できます。

rollback

rollback コマンドを使って以前にコミットした構成に戻すことができます。

routing

構成モードおよび運用モードにおいて、通常のルーティング、ルーティング プロトコル、ルーティング ポリシーの設定情報を表示できます。

routing-control

[edit routing-options] 階層レベルでの通常のルーティング、[edit protocols] 階層レベルでのルーティング プロトコル、[edit policy-options] 階層レベルでのルーティング ポリシーの情報を表示および構成できます。

secret

構成内のパスワードやその他の認証キーを表示できます。

secret-control

構成内のパスワードやその他の認証キーを表示および変更できます。

security

運用モードおよび構成モードでセキュリティ設定情報を表示できます。

security-control

[edit security] 階層レベルでのセキュリティ情報を表示および設定できます。

shell

start shellコマンドを使って、ルーターまたはスイッチ上のローカルシェルを起動できます。

snmp

運用モードおよび構成モードで簡易ネットワーク管理プロトコル(SNMP)の設定情報を表示できます。

snmp-control

[edit snmp]階層レベルでのSNMPの設定情報を表示できます。

[edit fc-fabrics]階層レベルで、ファイバーチャネルストレージ設定情報を表示できます。

[edit fc-fabrics]階層レベルで、ファイバーチャネルストレージ設定情報を変更できます。

system

動作モードまたは構成モードでシステム レベルの情報を表示できます。

system-control

[edit system] 階層レベルでのシステム レベルの設定情報を表示できます。

trace

トレース ファイルの設定およびトレース ファイル プロパティの構成を表示できます。

trace-control

トレースファイルの設定およびトレース ファイル プロパティの構成を変更できます。

[edit unified-edge] 階層で統一されたエッジ設定を表示できます。

[edit unified-edge]階層で統一されたエッジ関連設定を変更できます。

view

さまざまなコマンドを使って、システム全体、ルーティング テーブル、プロトコル固有の現在の値や統計情報を表示できます。シークレット構成は表示できません。

view-configuration

シークレット、システム スクリプト、イベント オプションを除くすべての構成を表示できます。

注:

maintenance パーミッションを持つユーザーだけが、コミット スクリプト、運用スクリプト、イベント スクリプトの構成を表示できます。

個々のコマンドとステートメント階層を拒否または許可する

デフォルトでは、トップレベルのCLIコマンドおよびステートメントには、関連するアクセス権限レベルがあります。ユーザーは、アクセス権限のあるコマンドのみを実行し、アクセス権限のあるステートメントのみを表示および設定できます。各ログインクラスに対して、パーミッションビットによって許可または拒否されたであろう、ユーザーによる動作モードコマンドと設定モードコマンド、および設定ステートメント階層の使用を明示的に拒否または許可できます。

例:特定の権限を持つログインクラスの作成

ログインクラスを定義することで、特定の権限や制限をユーザーのグループに割り当てることができ、機密性の高いコマンドを適切なユーザーのみがアクセスできるようにします。デフォルトでは、ジュニパーネットワークスのデバイスには、次の4種類の事前設定された権限を持つログインクラスが設定されています。オペレーター、リードオンリー、スーパーユーザーまたはスーパー・ユーザー、および権限なし。

カスタムログインクラスを作成して、デフォルトのログインクラスにはない権限のさまざまな組み合わせを定義することができます。次の例では、3つのカスタムログインクラスを設定し、それぞれに特定の権限と休止タイマーを設定しています。休止タイマーは、ユーザーが長時間にわたって非アクティブの場合にネットワークから切断することで、ネットワークセキュリティを保護するのに役立ちます。ユーザーを切断することで、ユーザーがスイッチやルーターにログインしたまま無人のアカウントを放置した場合に生じる潜在的なセキュリティリスクを防ぐことができます。ここで示されている権限と休止タイマーはあくまでも例であり、組織に合わせて値をカスタマイズする必要があります。

3つのログインクラスとその権限は以下のとおりです。3 つのログインクラスはすべて、5分の休止タイマーを使用します。

  • observation—統計情報と構成のみを表示できます
  • operation—構成を表示および変更できます
  • engineering—無制限のアクセスおよびコントロール

ログインクラスの完全一致アクセス権限の理解

完全一致アクセス権限を使用すると、正確な設定文字列を明示的に許可または拒否して、ログインクラスのアクセス制御ルールを定義できます。Junos OSおよびJunos OS Evolvedリリース23.4R1以降、 allow-configuration-exact-match および deny-configuration-exact-match 設定ステートメントを使用して、完全一致アクセス権限を制御できます。

メリット

  • 特定のサブ階層の削除を許可しながら、上位レベルの構成階層の削除を制限します。これにより、よりターゲットを絞ったコマンド許可がサポートされます。

  • 削除 set 拒否された場合でも、階層上でコマンドが許可されたままであることを確認してください。このように setdelete の承認を分離することで、より柔軟なアクセス制御が可能になります。

  • 正規表現に加えて、正確な設定コマンド文字列を許可または拒否します。これにより、必要に応じて非常に具体的なアクセス ルールを構成できます。

  • ローカルルールに加えて、外部TACACS+サーバーからの高度な認証ルールも活用できます。これにより、一元的なポリシー管理が容易になります。

[edit system login class name]階層レベルで、allow-configuration-exact-matchおよびdeny-configuration-exact-match設定ステートメントを使用して完全一致アクセス権限を設定できます。次のいずれかの演算子で始まる階層文字列を使用します。

  • set
  • delete
  • active
  • deactivate

ワイルドカード文字もサポートされています。例えば、 deny-configuration-exact-match delete interfaces* ステートメントでは、ワイルドカード文字 * を使用してすべてのインターフェイスを指定しています。

特定の構成階層で delete または deactivateが拒否された場合でも、allow-configuration-exact-match を使用することで set または activate コマンドを許可できます。同じオペレータと設定で allow-configuration-exact-matchdeny-configuration-exact-match の両方を設定すると、設定アクセスが拒否されます。

新しい完全一致ルールは、ローカルまたは外部のTACACS+サーバーで設定できます。