ログインクラスの概要
Junos OSログインクラスでは、そのクラスに割り当てたユーザーのアクセス権限、CLIコマンドやステートメントの使用許可、およびセッションアイドル時間を定義します。お客様(システム管理者)は、個々のユーザーアカウントにログインクラスを適用することで、そのユーザーに特定の権限と許可を割り当てることができます。
ログインクラスの概要
Junos OSを実行するデバイスにログインできるすべてのユーザーは、ログインクラスにいる必要があります。各ログインクラスには以下が定義されています。
-
ネットワークデバイスにログインする時にユーザーが持つアクセス権限
-
ユーザーが実行できるコマンドと実行できないコマンド
-
ユーザーが表示または変更できる設定ステートメントとできない設定ステートメント
-
システムがユーザーの接続を切断する前に、ログインセッションがアイドル状態を維持できる期間
任意のログイン クラス数を定義できます。ただし、個別のユーザーアカウントに割り当てるのは1つのログインクラスのみです。
事前定義されたログインクラスはJunos OSに含まれ、表 1に表示されます。事前定義されたログインクラスを変更することはできません。
ログインクラス |
パーミッションフラグセット |
|---|---|
|
クリア、ネットワーク、リセット、トレース、およびビュー |
|
view |
|
all |
|
なし |
事前定義されたログインクラス名を変更することはできません。事前定義されたクラス名で
setのコマンドを実行する場合、デバイスはログインクラス名に-localを追加し、以下の警告を出します。warning: '<class-name>' is a predefined class name; changing to '<class-name>-local'
事前定義されたログインクラスで
renameまたはcopyのコマンドを実行することはできません。その場合、以下のエラーメッセージが表示されます。error: target '<class-name>' is a predefined class
パーミッションビット
各トップレベルのCLIコマンドと各設定ステートメントには、それに関連付けられたアクセス権限レベルがあります。ユーザーは、アクセス権限のあるコマンドのみを実行し、アクセス権限のあるステートメントのみを設定および表示できます。各ログインクラスでは、アクセス権限を決定する1つ以上のパーミッションビットが定義されます。
この2つの形式のアクセス許可では、ユーザーが設定の個々の部分を表示または変更できるかどうかを制御します。
-
「プレーン」フォーム—アクセス許可タイプに読み取り専用機能のみ提供します。
interfaceがその例です。 -
-controlフォーム - パーミッション タイプに読み取りと書き込み機能を提供します。interface-controlがその例です。
表 2は、パーミッションフラグと関連付けられたアクセス権限について概要を説明します。
|
パーミッション フラグ |
説明 |
|---|---|
|
動作モードまたは構成モードでアクセス構成を表示できます。 |
|
|
|
|
|
動作モードまたは構成モードでユーザー アカウント情報を表示できます。 |
|
|
ユーザーアカウント情報を表示し、 |
|
|
すべての運用モードのコマンドと構成モードのコマンドにアクセスできます。すべての構成階層レベルで構成を変更できます。 |
|
|
デバイスがネットワークから学習して、さまざまなネットワーク データベースに保存した情報を消去(削除)できます( |
|
|
構成モード( |
|
|
すべての制御レベルの操作( |
|
|
フィールド デバッグ コマンドを表示できます。デバッグ サポート用に予約されています。 |
|
|
ファイアウォール フィルターの設定を動作モードまたは構成モードで表示できます。 |
|
|
|
|
|
リムーバブル メディアの読み取りと書き込みができます。 |
|
|
フロータップの設定を動作モードまたは構成モードで表示できます。 |
|
|
|
|
|
ルーターまたはスイッチへのフロータップ要求を行うことができます。たとえば、Dynamic Tasking Control Protocol(DTCP)クライアントは、自身を 管理者ユーザーJunos OSに認証するため、 パーミッションを持 注:
この |
|
|
プロファイラ データを表示できます。 |
|
|
インターフェイスの設定を動作モードまたは構成モードで表示できます。 |
|
|
シャーシ、サービス クラス(CoS)、グループ、転送オプション、インターフェイスの構成情報を表示できます。以下の階層レベルで構成を変更できます。
|
|
|
デバイス上でのローカル シェルの起動、シェル内でのスーパーユーザーへの切り替え( |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
構成モードおよび運用モードにおいて、通常のルーティング、ルーティング プロトコル、ルーティング ポリシーの設定情報を表示できます。 |
|
|
|
|
|
構成内のパスワードやその他の認証キーを表示できます。 |
|
|
構成内のパスワードやその他の認証キーを表示および変更できます。 |
|
|
運用モードおよび構成モードでセキュリティ設定情報を表示できます。 |
|
|
|
|
|
|
|
|
運用モードおよび構成モードで簡易ネットワーク管理プロトコル(SNMP)の設定情報を表示できます。 |
|
|
|
|
|
|
|
|
|
|
|
動作モードまたは構成モードでシステム レベルの情報を表示できます。 |
|
|
|
|
|
トレース ファイルの設定およびトレース ファイル プロパティの構成を表示できます。 |
|
|
トレースファイルの設定およびトレース ファイル プロパティの構成を変更できます。 |
|
|
|
|
|
|
|
|
さまざまなコマンドを使って、システム全体、ルーティング テーブル、プロトコル固有の現在の値や統計情報を表示できます。シークレット構成は表示できません。 |
|
|
シークレット、システム スクリプト、イベント オプションを除くすべての構成を表示できます。 注:
|
個々のコマンドとステートメント階層を拒否または許可する
デフォルトでは、トップレベルのCLIコマンドおよびステートメントには、関連するアクセス権限レベルがあります。ユーザーは、アクセス権限のあるコマンドのみを実行し、アクセス権限のあるステートメントのみを表示および設定できます。各ログインクラスに対して、パーミッションビットによって許可または拒否されたであろう、ユーザーによる動作モードコマンドと設定モードコマンド、および設定ステートメント階層の使用を明示的に拒否または許可できます。
例:特定の権限を持つログインクラスの作成
ログインクラスを定義することで、特定の権限や制限をユーザーのグループに割り当てることができ、機密性の高いコマンドを適切なユーザーのみがアクセスできるようにします。デフォルトでは、ジュニパーネットワークスのデバイスには、次の4種類の事前設定された権限を持つログインクラスが設定されています。オペレーター、リードオンリー、スーパーユーザーまたはスーパー・ユーザー、および権限なし。
カスタムログインクラスを作成して、デフォルトのログインクラスにはない権限のさまざまな組み合わせを定義することができます。次の例では、3つのカスタムログインクラスを設定し、それぞれに特定の権限と休止タイマーを設定しています。休止タイマーは、ユーザーが長時間にわたって非アクティブの場合にネットワークから切断することで、ネットワークセキュリティを保護するのに役立ちます。ユーザーを切断することで、ユーザーがスイッチやルーターにログインしたまま無人のアカウントを放置した場合に生じる潜在的なセキュリティリスクを防ぐことができます。ここで示されている権限と休止タイマーはあくまでも例であり、組織に合わせて値をカスタマイズする必要があります。
3つのログインクラスとその権限は以下のとおりです。3 つのログインクラスはすべて、5分の休止タイマーを使用します。
observation—統計情報と構成のみを表示できますoperation—構成を表示および変更できますengineering—無制限のアクセスおよびコントロール
[edit]
system {
login {
class observation {
idle-timeout 5;
permissions [ view ];
}
class operation {
idle-timeout 5;
permissions [ admin clear configure interface interface-control network
reset routing routing-control snmp snmp-control trace-control
firewall-control rollback ];
}
class engineering {
idle-timeout 5;
permissions all;
}
}
}
ログインクラスの完全一致アクセス権限の理解
完全一致アクセス権限を使用すると、正確な設定文字列を明示的に許可または拒否して、ログインクラスのアクセス制御ルールを定義できます。Junos OSおよびJunos OS Evolvedリリース23.4R1以降、 allow-configuration-exact-match および deny-configuration-exact-match 設定ステートメントを使用して、完全一致アクセス権限を制御できます。
メリット
-
特定のサブ階層の削除を許可しながら、上位レベルの構成階層の削除を制限します。これにより、よりターゲットを絞ったコマンド許可がサポートされます。
-
削除
set拒否された場合でも、階層上でコマンドが許可されたままであることを確認してください。このようにsetとdeleteの承認を分離することで、より柔軟なアクセス制御が可能になります。 -
正規表現に加えて、正確な設定コマンド文字列を許可または拒否します。これにより、必要に応じて非常に具体的なアクセス ルールを構成できます。
-
ローカルルールに加えて、外部TACACS+サーバーからの高度な認証ルールも活用できます。これにより、一元的なポリシー管理が容易になります。
[edit system login class name]階層レベルで、allow-configuration-exact-matchおよびdeny-configuration-exact-match設定ステートメントを使用して完全一致アクセス権限を設定できます。次のいずれかの演算子で始まる階層文字列を使用します。
setdeleteactivedeactivate
ワイルドカード文字もサポートされています。例えば、 deny-configuration-exact-match delete interfaces* ステートメントでは、ワイルドカード文字 * を使用してすべてのインターフェイスを指定しています。
特定の構成階層で delete または deactivateが拒否された場合でも、allow-configuration-exact-match を使用することで set または activate コマンドを許可できます。同じオペレータと設定で allow-configuration-exact-match と deny-configuration-exact-match の両方を設定すると、設定アクセスが拒否されます。
新しい完全一致ルールは、ローカルまたは外部のTACACS+サーバーで設定できます。