- play_arrow ログインクラスとログイン設定
- play_arrow ユーザー アクセス用のパスワード
- play_arrow トラステッドプラットフォームモジュール
- play_arrow ユーザー認証
- play_arrow リモート アクセス管理
- play_arrow アクセス・コントロール
- アクセス制御認証方法
- Uブートに無人モードを使用したEXシリーズスイッチへの不正アクセスの防止
- Uブートに無人モードを使用したEXシリーズスイッチへの不正アクセスの防止
- 認証用のRADIUSサーバー設定
- RADIUS over TLS(RADSEC)
- 802.1X 認証
- MAC RADIUS認証
- 802.1XとRADIUSアカウンティング
- 例:EXシリーズスイッチで、シングルサプリカント構成またはマルチサプリカント構成に対応する802.1Xを設定する
- 例:会議室に802.1Xを設定し、企業への訪問者にEXシリーズスイッチ上でインターネットアクセスを提供する
- 802.1XまたはMAC RADIUS認証に対応したインターフェイス
- 802.1Xの静的MACバイパスおよびMAC RADIUS認証
- MAC RADIUS認証のためのPEAPの設定
- キャプティブポータル認証
- EXシリーズスイッチでの柔軟な認証順序
- サーバー障害時のフォールバックおよび認証
- 認証セッション タイムアウト
- セントラル Web 認証
- カラーレスポートへのダイナミックVLAN割り当て
- EXシリーズスイッチでのVoIP
- play_arrow IEEE 802.1xポートベースネットワークアクセス制御の設定
- play_arrow 拡張LANモードでのIEEE 802.1xポートベースネットワークアクセス制御の設定
- 拡張LANモードのMXシリーズルーター向け802.1Xの概要
- 拡張LANモードのMXシリーズルーターでの802.1XとLLDPおよびLLDP-MEDについて
- 拡張LANモードにおけるMXシリーズルーターでの802.1XとRADIUSアカウンティングについて
- 拡張LANモードにおけるMXシリーズルーターでの802.1XとVoIPについて
- 拡張LANモードのMXシリーズルーター上の802.1XのゲストVLANについて
- 拡張LANモードのMXシリーズルーター上の802.1Xの動的VLANについて
- 拡張LANモードのMXシリーズルーターにおけるサーバー障害時のフォールバックおよび認証についての理解
- 拡張LANモードのMXシリーズルーターでの802.1X RADIUSアカウンティングの設定
- 拡張LANモードのMXシリーズルーターでの802.1Xインターフェイス設定の構成
- 拡張LANモードのMXシリーズルーターでのLLDP-MEDの設定
- 拡張LANモードのMXシリーズルーターでLLDPを設定する
- 拡張LANモードのMXシリーズルーターでのサーバー障害フォールバックの設定
- MXシリーズルーターでのキャプティブポータル認証について
- MXシリーズルーターの認証セッションタイムアウトについて
- 拡張LANモードにおけるMXシリーズルーターの認証プロセスフロー
- 拡張LANモードのMXシリーズルーターでのRADIUSサーバー接続の指定
- 拡張LANモードのMXシリーズルーターでのキャプティブポータル認証の設定
- MXシリーズルーターでのキャプティブポータル認証ログインページの設計
- 拡張LANモードのMXシリーズルーターでの認証の静的MACバイパスの設定
- 拡張LANモードのMXシリーズルーターでの認証セッションタイムアウトの制御
- 拡張LANモードのMXシリーズルーターでのMAC RADIUS認証の設定
- 例:MXシリーズルーターでのMAC RADIUS認証の設定
- 例:MXシリーズルーターでのキャプティブポータル認証の設定
- 例:802.1X用RADIUSサーバーをMXシリーズルーターに接続する
- 例:会議室に802.1Xを設定し、企業への訪問者にMXシリーズルーター上でインターネットアクセスを提供する
- 例:MX シリーズルーターでの認証の静的 MAC バイパスの設定
- 例:MXシリーズルーターで802.1XまたはMAC RADIUS認証が有効なインターフェイス上の複数のサプリカントへのファイアウォールフィルターの適用
- play_arrow デバイスの検出
- play_arrow ドメイン名のセキュリティ
- play_arrow パーミッション フラグ
- アクセス
- アクセス制御
- 管理者
- 管理者制御
- all
- クリア
- 構成
- コントロール
- 畑
- ファイアウォール
- ファイアウォール制御
- フロッピー
- フロータップ
- フロータップ制御
- フロータップ操作
- IDPプロファイラ操作
- インターフェイス
- インターフェイス制御
- maintenance
- ネットワーク
- pgcp-session-mirroring
- pgcp-session-mirroring-control
- リセット
- rollback
- ルーティング
- ルーティング制御
- 秘密
- シークレット制御
- セキュリティ
- セキュリティ制御
- 貝
- SNMP
- snmp制御
- 制
- システム制御
- trace
- トレース制御
- view
- ビュー構成
- play_arrow 設定ステートメントと運用コマンド
ユーザー アカウント
システム管理者は、Junos OS を使用してルーター、スイッチ、およびセキュリティユーザーのアカウントを作成できます。すべてのユーザーは、いずれかのシステムログインクラスに属します。
ユーザーアカウントを作成して、ユーザーがルーター、スイッチ、またはセキュリティデバイスにアクセスできるようにします。すべてのユーザーは、デバイスにログインする前に、定義済みのユーザーアカウントを保持している必要があります。ユーザーアカウントを作成し、各ユーザーアカウントのログイン名と識別情報を定義します。
ユーザーアカウントの概要
ユーザーアカウントは、ユーザーがデバイスにアクセスする方法の1つを提供します。アカウントごとに、ユーザーのログイン名、パスワード、追加のユーザー情報を定義します。アカウントを作成すると、ソフトウェアはユーザー向けのホームディレクトリを作成します。
ユーザー root向けのアカウントは、常に設定内に存在しています。root向けのパスワードを root-authenticationステートメントを使用して構成できます。
リモート認証サーバーを使用してユーザーに関する情報を集中的に保存するのが一般的ですが、各デバイスで少なくとも1つ以上の非ルートユーザーを構成するのも良い方法です。このようにすれば、リモート認証サーバーへの接続が切断されても、デバイスへのアクセスが可能になります。この非ルートユーザーには、通常、 などの一般的な名前がありますadmin。
ユーザーアカウントごとに、以下を定義できます。
ユーザー名(必須):ユーザーを識別する名前。固有でなければなりません。ユーザー名にスペース、コロン、コンマを使用することは控えてください。ユーザー名は最大64文字です。
ユーザーの氏名:(オプション)氏名にスペースが含まれている場合は、引用符で囲みます。コロンやコンマは使用しないでください。
ユーザー識別子(UID):(オプション)ユーザーアカウント名に関連付けられた数字識別子。設定をコミットするとUIDが自動的に割り当てられるため、手動で設定する必要はありません。ただし、UIDを手動で設定する場合は、100~64,000 の範囲で固有の値を使用します。
ユーザーのアクセス権限:(必須)
[edit system login]階層のclassステートメントで定義されたログインクラスのいずれか、またはデフォルトのログインクラスのいずれかです。デバイスアクセス用の認証方法やパスワード(必須):パスワードのデータベースに入る前に、MD5方式の暗号を使用して暗号Junos OS化し、SSHキー、メッセージダイジェスト5(MD5)パスワード、またはプレーンテキストパスワードを使用することができます。各方法で、ユーザーのパスワードを指定できます。
plain-text-passwordオプションを設定する場合、パスワードを入力して確認するプロンプトが表示されます。content_copy zoom_out_map[edit system login user username] user@host# set authentication plain-text-password New password: type password here Retype new password: retype password here
有効なプレーンテキストパスワードを作成するには、以下を確認してください。
6~128文字であること。
ほとんどの文字クラス(大文字、小文字、数字、句点、その他の特殊文字)を含めますが、制御文字は含まれません。
大文字/小文字または文字クラスを1つ以上含みます。
Junos-FIPS とCommon Criteriaには、以下の特別パスワード要件があります。それらは:
- 長さは10~20文字。
- 定義された文字セット(大文字、小文字、数字、句点、その他の特殊文字)の5つのうち、少なくとも3つ使用する。
Junos-FIPSがデバイスにインストールされている場合、特別パスワード要件を遵守しなければならないか、パスワードが構成されない。
SSH認証では、SSHキー ファイルのコンテンツを設定にコピーできます。また、SSHキー情報を直接設定することもできます。load-key-fileステートメントを使用して、以前生成されたSSHキーファイルを読み込みます(例えば、ssh-keygenを使用する)。load-key-file引数は、ファイルのロケーションおよび名前へのパスです。load-key-fileステートメントは、RSA(SSHバージョン1およびSSHバージョン2)パブリックキーを読み込みます。SSHキーファイルのコンテンツは、load-key-fileステートメントを設定した直後に設定にコピーされます。
以下のトランスポートレイヤーセキュリティ(TLS)バージョンと暗号スイート(RSAホストキー)組み合わせは使用しないでください。失敗します。
RSAホストキーを使用:
TLS_1.0@DHE-RSA-AES128-SHA
TLS_1.0@DHE-RSA-AES256-SHA
ユーザーアカウントおよびルートログインでは、ユーザー認証向けに複数のパブリックRSAキーを設定できます。ユーザーアカウントまたはルートとしてログインすると、設定されたパブリックキーが参照され、プライベートキーがユーザーアカウントのいずれかに一致するかどうかを判定します。
SSHキーエントリーを表示するには、設定モードコマshowンドを使用します。たとえば、以下のように表示されます。
[edit system login user boojum]
user@host# set authentication load-key-file my-host:.ssh/id_rsa.pub
.file.19692 | 0 KB | 0.3 kB/s | ETA: 00:00:00 | 100%
[edit system login user boojum]
user@host# show
authentication {
ssh-rsa "$ABC123"; # SECRET-DATA
}
Junos-FIPS Crypto Officerとユーザーアカウントの概要
Junos-FIPSは、制限されたユーザーロールセットを定義します。幅広い機能をユーザーに提供できるJunos OSとは異なり、FIPS 140-2では特定のタイプのユーザー(Crypto Officer、User、Maintenance)が定義されます。Crypto OfficerとFIPS Userは、すべてのFIPS関連構成タスクを実行し、すべてのFIPS関連コマンドを発行します。Crypto OfficerとFIPS Userの構成は、FIPS 140-2のガイドラインに従う必要があります。通常、Crypto OfficerのみがFIPS関連のタスクを実行できます。
Crypto Officerユーザーの構成
Junos-FIPS では、FIPS 140-2で義務付けられているユーザーへの権限許可をより細かく管理することができます。FIPS 140-2に準拠させる場合は、secret、security、maintenance パーミッションビットが設定されているJunos-FIPSユーザーはすべてCrypto Officerになります。ほとんどの場合、Crypto Officer用の super-user クラスを予約する必要があります。FIPS Userは、secret、security、maintenance ビットセットが設定されていない任意のJunos-FIPSユーザーとして定義できます。
FIPS Userの構成
Crypto OfficerがFIPS Userをセットアップします。通常、FIPS Userは、Crypto Officer用に予約されている特定のパーミッションを有します。例えば、FIPS Userに対して、システムおよび個別の AS-II FIPS PICをゼロ化するパーミッションを与えることができます。
例:新しいユーザーアカウントの設定
この例では、新しいユーザー アカウントを設定する方法について説明します。
要件
この機能を使用する前に、特別な設定は必要ありません。
概要
新しいユーザー アカウントを、デバイスのローカル データベースに追加できます。各アカウント向けに、システム管理者は、ユーザーのログイン名とパスワードを定義し、アクセス権限のログイン クラスを指定します。ログインパスワードは、以下の基準を満たす必要があります。
パスワードは、6 文字以上でなければなりません。
パスワードには、ほとんどの文字クラス(アルファベット、数字、特殊文字)を使用することができますが、制御文字は使用できません。
パスワードには、大文字 / 小文字または文字クラスを 1 つ以上変更して使用する必要があります。
この例では、operator-and-boot というログイン クラスを作成し、それによってデバイスを再起動します。任意のログイン クラス数を定義できます。次に、operator-and-boot ログイン クラスが、次のビットで定義されたコマンドを使用できるようにします。
クリア
ネットワーク
リセット
trace
権限を表示
次に、ユーザー アカウントを作成し、デバイスへのアクセスを有効にします。ユーザー名を randomuser に、ログイン クラスを superuser に設定します。最後に、ユーザー向けに暗号化したパスワードを定義します。
設定
手順
CLIクイック構成
この例を手早く設定するには、以下のコマンドをコピーして、テキストファイルに貼り付けます。改行を削除し、ネットワーク設定に合わせて必要な変更を加え、コマンドを[edit]階層レベルのCLIにコピー、貼り付けしてから、設定モードでcommitを入力します。
set system login class operator-and-boot allow-commands "request system reboot" set system login class operator-and-boot permissions [clear network reset trace view] set system login user randomuser class superuser authentication encrypted-password $1$ABC123
ステップバイステップでの手順
新しいユーザーの設定方法
ログイン クラスの名前を設定し、再起動コマンドの使用を許可します。
content_copy zoom_out_map[edit system login] user@host# set class operator-and-boot allow-commands “request system reboot”
ログイン クラスに許可ビットを設定します。
content_copy zoom_out_map[edit system login] user@host# set class operator-and-boot permissions [clear network reset trace view]
ユーザーに、ユーザー名、ログイン クラス、暗号化されたパスワードを設定します。
content_copy zoom_out_map[edit system login] user@host# set userrandomuser class superuser authentication encrypted-password $1$ABC123
GUI クイックコンフィグレーション
ステップバイステップでの手順
新しいユーザーの設定方法
J-Webユーザー インターフェースで、
Configure>System Properties>User Managementを選択します。Editをクリックします。「ユーザー管理の編集」ダイアログボックスが表示されます。Usersタブを選択します。Addをクリックして、新しいユーザーを追加します。「ユーザーの追加」ダイアログ ボックスが表示されます。「ユーザー名」のボックスに、固有のユーザー名を入力します。
ユーザー名には、スペース、コロン、コンマは使用しないでください。
「ユーザー ID」ボックスに、独自のユーザー ID を入力します。
「フルネーム」のボックスに、ユーザーの氏名を入力します。
氏名にスペースが含まれている場合は、引用符で囲みます。コロンとコンマは使用しないでください。
「パスワード」と「パスワードの確認」ボックスで、ユーザーのログイン パスワードを入力して、入力を確認します。
「ログイン クラス」のリストから、ユーザーのアクセス権限を選択します。
operatorread-onlyunauthorized
このリストには、全てのユーザー定義のログイン クラスも含まれています。
「ユーザーの追加」ダイアログ ボックスと「ユーザー管理の編集」ダイアログ ボックスで
OKをクリックします。OKをクリックして、設定を確認し、設定の候補としてそれを保存します。デバイスを設定した後、
Commit Options>Commitをクリックします。
結果
設定モードで、show system loginコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show system login
class operator-and-boot {
permissions [ clear network reset trace view ];
allow-commands "request system reboot";
}
user randomuser {
class superuser;
authentication {
encrypted-password "$1$ABC123";
}
}
次の例では、4 人のユーザー向けのアカウントの作成方法を示しています。また、テンプレート ユーザーremote向けのアカウントの作成方法も示します。すべてのユーザーは、デフォルトのシステム ログイン クラスのいずれかを使用します。
[edit]
system {
login {
user philip {
full-name “Philip of Macedonia”;
uid 1001;
class super-user;
authentication {
encrypted-password “$ABC123”;
}
}
user alexander {
full-name “Alexander the Great”;
uid 1002;
class operator;
authentication {
encrypted-password “$ABC123”;
}
}
user darius {
full-name “Darius King of Persia”;
uid 1003;
class operator;
authentication {
ssh-rsa “1024 37 12341234@ecbatana.per”;
}
}
user anonymous {
class unauthorized;
}
user remote {
full-name “All remote users”;
uid 9999;
class read-only;
}
}
}
デバイスの設定後、コンフィギュレーションモードでcommitを入力します。
