- play_arrow ユーザー アカウント
- play_arrow ユーザー アクセス用のパスワード
- play_arrow トラステッドプラットフォームモジュール
- play_arrow ユーザー認証
- play_arrow リモート アクセス管理
- play_arrow アクセス・コントロール
- アクセス制御認証方法
- Uブートに無人モードを使用したEXシリーズスイッチへの不正アクセスの防止
- Uブートに無人モードを使用したEXシリーズスイッチへの不正アクセスの防止
- 認証用のRADIUSサーバー設定
- RADIUS over TLS(RADSEC)
- 802.1X 認証
- MAC RADIUS認証
- 802.1XとRADIUSアカウンティング
- 例:EXシリーズスイッチで、シングルサプリカント構成またはマルチサプリカント構成に対応する802.1Xを設定する
- 例:会議室に802.1Xを設定し、企業への訪問者にEXシリーズスイッチ上でインターネットアクセスを提供する
- 802.1XまたはMAC RADIUS認証に対応したインターフェイス
- 802.1Xの静的MACバイパスおよびMAC RADIUS認証
- MAC RADIUS認証のためのPEAPの設定
- キャプティブポータル認証
- EXシリーズスイッチでの柔軟な認証順序
- サーバー障害時のフォールバックおよび認証
- 認証セッション タイムアウト
- セントラル Web 認証
- カラーレスポートへのダイナミックVLAN割り当て
- EXシリーズスイッチでのVoIP
- play_arrow IEEE 802.1xポートベースネットワークアクセス制御の設定
- play_arrow 拡張LANモードでのIEEE 802.1xポートベースネットワークアクセス制御の設定
- 拡張LANモードのMXシリーズルーター向け802.1Xの概要
- 拡張LANモードのMXシリーズルーターでの802.1XとLLDPおよびLLDP-MEDについて
- 拡張LANモードにおけるMXシリーズルーターでの802.1XとRADIUSアカウンティングについて
- 拡張LANモードにおけるMXシリーズルーターでの802.1XとVoIPについて
- 拡張LANモードのMXシリーズルーター上の802.1XのゲストVLANについて
- 拡張LANモードのMXシリーズルーター上の802.1Xの動的VLANについて
- 拡張LANモードのMXシリーズルーターにおけるサーバー障害時のフォールバックおよび認証についての理解
- 拡張LANモードのMXシリーズルーターでの802.1X RADIUSアカウンティングの設定
- 拡張LANモードのMXシリーズルーターでの802.1Xインターフェイス設定の構成
- 拡張LANモードのMXシリーズルーターでのLLDP-MEDの設定
- 拡張LANモードのMXシリーズルーターでLLDPを設定する
- 拡張LANモードのMXシリーズルーターでのサーバー障害フォールバックの設定
- MXシリーズルーターでのキャプティブポータル認証について
- MXシリーズルーターの認証セッションタイムアウトについて
- 拡張LANモードにおけるMXシリーズルーターの認証プロセスフロー
- 拡張LANモードのMXシリーズルーターでのRADIUSサーバー接続の指定
- 拡張LANモードのMXシリーズルーターでのキャプティブポータル認証の設定
- MXシリーズルーターでのキャプティブポータル認証ログインページの設計
- 拡張LANモードのMXシリーズルーターでの認証の静的MACバイパスの設定
- 拡張LANモードのMXシリーズルーターでの認証セッションタイムアウトの制御
- 拡張LANモードのMXシリーズルーターでのMAC RADIUS認証の設定
- 例:MXシリーズルーターでのMAC RADIUS認証の設定
- 例:MXシリーズルーターでのキャプティブポータル認証の設定
- 例:802.1X用RADIUSサーバーをMXシリーズルーターに接続する
- 例:会議室に802.1Xを設定し、企業への訪問者にMXシリーズルーター上でインターネットアクセスを提供する
- 例:MX シリーズルーターでの認証の静的 MAC バイパスの設定
- 例:MXシリーズルーターで802.1XまたはMAC RADIUS認証が有効なインターフェイス上の複数のサプリカントへのファイアウォールフィルターの適用
- play_arrow デバイスの検出
- play_arrow ドメイン名のセキュリティ
- play_arrow パーミッション フラグ
- アクセス
- アクセス制御
- 管理者
- 管理者制御
- all
- クリア
- 構成
- コントロール
- 畑
- ファイアウォール
- ファイアウォール制御
- フロッピー
- フロータップ
- フロータップ制御
- フロータップ操作
- IDPプロファイラ操作
- インターフェイス
- インターフェイス制御
- maintenance
- ネットワーク
- pgcp-session-mirroring
- pgcp-session-mirroring-control
- リセット
- rollback
- ルーティング
- ルーティング制御
- 秘密
- シークレット制御
- セキュリティ
- セキュリティ制御
- 貝
- SNMP
- snmp制御
- 制
- システム制御
- trace
- トレース制御
- view
- ビュー構成
- play_arrow 設定ステートメントと運用コマンド
ログインクラスの概要
Junos OSログインクラスでは、そのクラスに割り当てたユーザーのアクセス権限、CLIコマンドやステートメントの使用許可、およびセッションアイドル時間を定義します。お客様(システム管理者)は、個々のユーザーアカウントにログインクラスを適用することで、そのユーザーに特定の権限と許可を割り当てることができます。
ログインクラスの概要
Junos OSを実行するデバイスにログインできるすべてのユーザーは、ログインクラスにいる必要があります。各ログインクラスには以下が定義されています。
ネットワークデバイスにログインする時にユーザーが持つアクセス権限
ユーザーが実行できるコマンドと実行できないコマンド
ユーザーが表示または変更できる設定ステートメントとできない設定ステートメント
システムがユーザーの接続を切断する前に、ログインセッションがアイドル状態を維持できる期間
任意のログイン クラス数を定義できます。ただし、個別のユーザーアカウントに割り当てるのは1つのログインクラスのみです。
事前定義されたログインクラスはJunos OSに含まれ、表 1に表示されます。事前定義されたログインクラスを変更することはできません。
ログインクラス | パーミッションフラグセット |
|---|---|
| クリア、ネットワーク、リセット、トレース、およびビュー |
| view |
| all |
| なし |
operatorまたはread-only事前定義されたログインクラスを使用する場合は、SFTPおよびSCPサーバー機能は無効になります。
Junos OS Evolved リリース23.4R2以降、superuserログインクラスは/var/log/ディレクトリに書き込むことはできません。rootユーザーのみが、書き込むことが出来ます/var/log/。
パーミッションビット
各トップレベルのCLIコマンドと各設定ステートメントには、それに関連付けられたアクセス権限レベルがあります。ユーザーは、アクセス権限のあるコマンドのみを実行し、アクセス権限のあるステートメントのみを設定および表示できます。各ログインクラスでは、アクセス権限を決定する1つ以上のパーミッションビットが定義されます。
この2つの形式のアクセス許可では、ユーザーが設定の個々の部分を表示または変更できるかどうかを制御します。
「プレーン」フォーム—アクセス許可タイプに読み取り専用機能のみ提供します。
interfaceがその例です。-controlフォーム - パーミッション タイプに読み取りと書き込み機能を提供します。interface-controlがその例です。
表 2は、パーミッションフラグと関連付けられたアクセス権限について概要を説明します。
パーミッション フラグ | 説明 |
|---|---|
動作モードまたは構成モードでアクセス構成を表示できます。 | |
| |
動作モードまたは構成モードでユーザー アカウント情報を表示できます。 | |
ユーザーアカウント情報を表示し、 | |
すべての運用モードのコマンドと構成モードのコマンドにアクセスできます。すべての構成階層レベルで構成を変更できます。 | |
デバイスがネットワークから学習して、さまざまなネットワーク データベースに保存した情報を消去(削除)できます( | |
構成モード( | |
すべての制御レベルの操作( | |
フィールド デバッグ コマンドを表示できます。デバッグ サポート用に予約されています。 | |
ファイアウォール フィルターの設定を動作モードまたは構成モードで表示できます。 | |
| |
リムーバブル メディアの読み取りと書き込みができます。 | |
フロータップの設定を動作モードまたは構成モードで表示できます。 | |
| |
ルーターまたはスイッチへのフロータップ要求を行うことができます。たとえば、Dynamic Tasking Control Protocol(DTCP)クライアントは、自身を 管理者ユーザーJunos OSに認証するため、 パーミッションを持 注: この | |
プロファイラ データを表示できます。 | |
インターフェイスの設定を動作モードまたは構成モードで表示できます。 | |
シャーシ、サービス クラス(CoS)、グループ、転送オプション、インターフェイスの構成情報を表示できます。以下の階層レベルで構成を変更できます。
| |
デバイス上でのローカル シェルの起動、シェル内でのスーパーユーザーへの切り替え( | |
| |
| |
| |
| |
| |
構成モードおよび運用モードにおいて、通常のルーティング、ルーティング プロトコル、ルーティング ポリシーの設定情報を表示できます。 | |
| |
構成内のパスワードやその他の認証キーを表示できます。 | |
構成内のパスワードやその他の認証キーを表示および変更できます。 | |
運用モードおよび構成モードでセキュリティ設定情報を表示できます。 | |
| |
| |
運用モードおよび構成モードで簡易ネットワーク管理プロトコル(SNMP)の設定情報を表示できます。 | |
| |
| |
| |
動作モードまたは構成モードでシステム レベルの情報を表示できます。 | |
| |
トレース ファイルの設定およびトレース ファイル プロパティの構成を表示できます。 | |
トレースファイルの設定およびトレース ファイル プロパティの構成を変更できます。 | |
| |
| |
さまざまなコマンドを使って、システム全体、ルーティング テーブル、プロトコル固有の現在の値や統計情報を表示できます。シークレット構成は表示できません。 | |
シークレット、システム スクリプト、イベント オプションを除くすべての構成を表示できます。 注:
|
個々のコマンドとステートメント階層を拒否または許可する
デフォルトでは、トップレベルのCLIコマンドおよびステートメントには、関連するアクセス権限レベルがあります。ユーザーは、アクセス権限のあるコマンドのみを実行し、アクセス権限のあるステートメントのみを表示および設定できます。各ログインクラスに対して、パーミッションビットによって許可または拒否されたであろう、ユーザーによる動作モードコマンドと設定モードコマンド、および設定ステートメント階層の使用を明示的に拒否または許可できます。
例:特定の権限を持つログインクラスの作成
ログインクラスを定義することで、特定の権限や制限をユーザーのグループに割り当てることができ、機密性の高いコマンドを適切なユーザーのみがアクセスできるようにします。デフォルトでは、ジュニパーネットワークスのデバイスには、次の4種類の事前設定された権限を持つログインクラスが設定されています。オペレーター、リードオンリー、スーパーユーザーまたはスーパー・ユーザー、および権限なし。
カスタムログインクラスを作成して、デフォルトのログインクラスにはない権限のさまざまな組み合わせを定義することができます。次の例では、3つのカスタムログインクラスを設定し、それぞれに特定の権限と休止タイマーを設定しています。休止タイマーは、ユーザーが長時間にわたって非アクティブの場合にネットワークから切断することで、ネットワークセキュリティを保護するのに役立ちます。ユーザーを切断することで、ユーザーがスイッチやルーターにログインしたまま無人のアカウントを放置した場合に生じる潜在的なセキュリティリスクを防ぐことができます。ここで示されている権限と休止タイマーはあくまでも例であり、組織に合わせて値をカスタマイズする必要があります。
3つのログインクラスとその権限は以下のとおりです。3 つのログインクラスはすべて、5分の休止タイマーを使用します。
observation—統計情報と構成のみを表示できますoperation—構成を表示および変更できますengineering—無制限のアクセスおよびコントロール
[edit]
system {
login {
class observation {
idle-timeout 5;
permissions [ view ];
}
class operation {
idle-timeout 5;
permissions [ admin clear configure interface interface-control network
reset routing routing-control snmp snmp-control trace-control
firewall-control rollback ];
}
class engineering {
idle-timeout 5;
permissions all;
}
}
}
ログインクラスの完全一致アクセス権限の理解
完全一致アクセス権限を使用すると、正確な設定文字列を明示的に許可または拒否して、ログインクラスのアクセス制御ルールを定義できます。Junos OSおよびJunos OS Evolvedリリース23.4R1以降、 allow-configuration-exact-match および deny-configuration-exact-match 設定ステートメントを使用して、完全一致アクセス権限を制御できます。
メリット
特定のサブ階層の削除を許可しながら、上位レベルの構成階層の削除を制限します。これにより、よりターゲットを絞ったコマンド許可がサポートされます。
削除
set拒否された場合でも、階層上でコマンドが許可されたままであることを確認してください。このようにsetとdeleteの承認を分離することで、より柔軟なアクセス制御が可能になります。正規表現に加えて、正確な設定コマンド文字列を許可または拒否します。これにより、必要に応じて非常に具体的なアクセス ルールを構成できます。
ローカルルールに加えて、外部TACACS+サーバーからの高度な認証ルールも活用できます。これにより、一元的なポリシー管理が容易になります。
[edit system login class name]階層レベルで、allow-configuration-exact-matchおよびdeny-configuration-exact-match設定ステートメントを使用して完全一致アクセス権限を設定できます。次のいずれかの演算子で始まる階層文字列を使用します。
setdeleteactivedeactivate
ワイルドカード文字もサポートされています。例えば、 deny-configuration-exact-match delete interfaces* ステートメントでは、ワイルドカード文字 * を使用してすべてのインターフェイスを指定しています。
特定の構成階層で delete または deactivateが拒否された場合でも、allow-configuration-exact-match を使用することで set または activate コマンドを許可できます。同じオペレータと設定で allow-configuration-exact-match と deny-configuration-exact-match の両方を設定すると、設定アクセスが拒否されます。
新しい完全一致ルールは、ローカルまたは外部のTACACS+サーバーで設定できます。
