로그인 클래스 개요
Junos OS로그인 클래스는 사용자의 액세스 권한, CLI 명령 및 문 사용 권한 및 해당 클래스에 할당된 세션 유후 시간을 정의합니다. 시스템 관리자는 개별 사용자 계정에 로그인 클래스를 적용하여 사용자에게 특정 권한 및 사용 권한을 할당할 수 있습니다.
로그인 클래스 개요
Junos OS를 실행하는 디바이스에 로그인할 수 있는 모든 사용자는 로그인 클래스에 있어야 합니다. 각 로그인 클래스는 다음을 정의합니다.
-
사용자가 네트워크 디바이스에 로그인할 때 갖는 액세스 권한
-
사용자가 실행하거나 실행할 수 없는 명령
-
사용자가 조회 또는 수정할 수 있거나 할 수 없는 구성 문
-
시스템에서 사용자 연결을 해제하기 전에 로그인 세션이 유휴 상태일 수 있는 시간
원하는 수의 로그인 클래스를 정의할 수 있습니다. 그러나 개별 사용자 계정에는 한 개의 로그인 클래스만 할당합니다.
Junos OS에는 표 1에 나열된 사전 정의된 로그인 클래스가 포함되어 있습니다. 사전 정의된 로그인 클래스를 수정할 수 없습니다.
로그인 클래스 |
권한 플래그 세트 |
|---|---|
|
clear, network, reset, trace, and view |
|
view |
|
만료 |
|
없음 |
사전 정의된 로그인 클래스 이름을 수정할 수 없습니다. 사전 정의된 클래스 이름에
set명령을 실행하면 디바이스는 로그인 클래스 이름에-local을(를) 추가하고 다음 경고를 표시합니다.warning: '<class-name>' is a predefined class name; changing to '<class-name>-local'
사전 정의된 로그인 클래스에서
rename또는copy명령을 실행할 수 없습니다. 이러한 명령을 실행하면 다음 오류 메시지가 표시됩니다.error: target '<class-name>' is a predefined class
권한 비트
각 최상위 수준의 CLI 명령과 각 구성 문은 이와 관련된 액세스 권한 수준을 갖습니다. 사용자는 이러한 명령만 실행하고 액세스 권한이 있는 경우에만 문만 구성하고 볼 수 있습니다. 각 로그인 클래스는 액세스 권한을 결정하는 한 개 이상의 권한 비트를 정의합니다.
권한에 대한 두 가지 형태는 사용자가 구성의 개별 부분을 보거나 수정할 수 있는지 여부를 제어합니다.
-
"Plain" 형태 - 권한 유형에 대한 읽기 전용 기능을 제공합니다.
interface을(를) 예로 들 수 있습니다. -
-control형태 - 해당 권한 유형에 대한 읽기 및 쓰기 기능을 제공합니다.interface-control을(를) 예로 들 수 있습니다.
표 2는 권한 플래그 및 관련 액세스 권한에 대해 설명합니다.
|
권한 플래그 |
설명 |
|---|---|
|
운영 모드 또는 구성 모드에서 액세스 구성을 볼 수 있습니다. |
|
|
|
|
|
운영 모드 또는 구성 모드에서 사용자 계정 정보를 볼 수 있습니다. |
|
|
사용자 계정 정보를 보고 |
|
|
모든 운영 모드 명령 및 구성 모드 명령에 액세스할 수 있습니다. 모든 구성 계층 수준에서 구성을 수정할 수 있습니다. |
|
|
디바이스가 네트워크에서 학습하고 다양한 네트워크 데이터베이스에 저장하는 정보를 제거(삭제)할 수 있습니다( |
|
|
구성 모드를 입력( |
|
|
모든 제어 수준 동작 즉, |
|
|
필드 디버그 명령을 볼 수 있습니다. 디버깅 지원을 위해 예약되었습니다. |
|
|
운영 모드 또는 구성 모드에서 방화벽 필터 구성을 볼 수 있습니다. |
|
|
|
|
|
이동식 미디어 측에서 읽고 쓸 수 있습니다. |
|
|
운영 모드 또는 구성 모드에서 플로우 탭 구성을 볼 수 있습니다. |
|
|
|
|
|
라우터 또는 스위치에 대한 플로우 탭을 요청할 수 있습니다. 예를 들어, DTCP(Dynamic Tasking Control Protocol) 클라이언트는 관리 사용자로 Junos OS자신을 인증할 수 있는 주:
|
|
|
프로파일러 데이터를 볼 수 있습니다. |
|
|
운영 모드 또는 구성 모드에서 인터페이스 구성을 볼 수 있습니다. |
|
|
섀시, CoS(Class of Service), 그룹, 포워딩 옵션 및 인터페이스 구성 정보를 볼 수 있습니다. 다음 계층 수준에서 구성을 수정할 수 있습니다.
|
|
|
디바이스의 로컬 쉘을 시작하고 쉘에서 슈퍼유저가 되고( |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
구성 모드 및 운영 모드에서 일반적인 라우팅, 라우팅 프로토콜 및 라우팅 정책 구성 정보를 볼 수 있습니다. |
|
|
|
|
|
구성에서 비밀번호 및 기타 인증 키를 볼 수 있습니다. |
|
|
구성의 비밀번호 및 기타 인증 키를 보고 수정할 수 있습니다. |
|
|
운영 모드 및 구성 모드에서 보안 구성 정보를 볼 수 있습니다. |
|
|
|
|
|
|
|
|
운영 모드 또는 구성 모드에서 SNMP(Simple Network Management Protocol) 구성 정보를 볼 수 있습니다. |
|
|
|
|
|
|
|
|
|
|
|
운영 모드 또는 구성 모드에서 시스템 수준의 정보를 볼 수 있습니다. |
|
|
|
|
|
추적 파일 설정을 보고 추적 파일 속성을 구성할 수 있습니다. |
|
|
추적 파일 설정을 수정하고 추적 파일 속성을 구성할 수 있습니다. |
|
|
|
|
|
|
|
|
다양한 명령을 사용해 현재 시스템 전체, 라우팅 테이블 및 프로토콜 특정 값 및 통계를 표시할 수 있습니다. 비밀 구성을 볼 수 없습니다. |
|
|
비밀, 시스템 스크립트 및 이벤트 옵션을 제외한 모든 구성을 볼 수 있습니다. 주:
|
개별 명령과 문 계층 허용 또는 거부
기본적으로, 모든 상위 수준의 CLI 명령 및 문은 관련 액세스 권한 수준을 갖습니다. 사용자는 해당 명령만 실행할 수 있으며, 액세스 권한이 있는 명령문만 보고 구성할 수 있습니다. 각 로그인 클래스에 대해 사용자에게 운영 모드 명령, 구성 모드 명령 및 권한 비트에 의해 허용되거나 거부되는 구성 문 계층의 사용을 명시적으로 거부하거나 허용할 수 있습니다.
예: 특정 권한이 있는 로그인 클래스 만들기
로그인 클래스를 정의하여 특정 권한 또는 제한을 사용자 그룹에 할당하여 중요한 명령을 적절한 사용자만 액세스할 수 있도록 합니다. 기본적으로 주니퍼 네트웍스 디바이스에는 사전 설정된 권한이 있는 네 가지 유형의 로그인 클래스가 있습니다. 운영자, 읽기 전용, 슈퍼유저 또는 무단 사용자입니다
사용자 정의 로그인 클래스를 생성하여 기본 로그인 클래스에 없는 다른 사용 권한 조합을 정의할 수 있습니다. 다음 예에서는 각각 특정 권한과 비활성 타이머를 가진 세 가지 사용자 지정 로그인 클래스를 보여 줍니다. 비활성 타이머는 사용자가 너무 오랫동안 비활성 상태일 경우 사용자와 네트워크의 연결을 끊음으로써 네트워크 보안을 보호하는 데 도움이 됩니다. 사용자의 연결을 끊으면 사용자가 스위치 또는 라우터에 로그인한 무인 계정을 남길 때 발생하는 잠재적인 보안 위험을 방지할 수 있습니다. 여기에 표시된 사용 권한 및 비활성 타이머는 예에 불과하므로 조직에 맞게 값을 사용자 정의해야 합니다.
세 가지 로그인 클래스와 해당 권한은 다음과 같습니다. 세 개의 로그인 클래스 모두 5분의 동일한 비활성 타이머를 사용합니다.
observation—통계와 구성만 볼 수 있습니다.operation—구성을 보고 수정할 수 있습니다.engineering—무제한 액세스 및 제어가 가능합니다.
[edit]
system {
login {
class observation {
idle-timeout 5;
permissions [ view ];
}
class operation {
idle-timeout 5;
permissions [ admin clear configure interface interface-control network
reset routing routing-control snmp snmp-control trace-control
firewall-control rollback ];
}
class engineering {
idle-timeout 5;
permissions all;
}
}
}
로그인 클래스에 대한 정확히 일치 액세스 권한 이해하기
정확한 일치 액세스 권한을 사용하면 정확한 구성 문자열을 명시적으로 허용하거나 거부하여 로그인 클래스에 대한 액세스 제어 규칙을 정의할 수 있습니다. Junos OS 및 Junos OS Evolved 릴리스 23.4R1부터 및 deny-configuration-exact-match 구성 문을 사용하여 allow-configuration-exact-match 정확히 일치하는 액세스 권한을 제어할 수 있습니다.
이점
-
특정 하위 계층의 삭제를 허용하면서 상위 수준 구성 계층의 삭제를 제한합니다. 이는 보다 표적화된 명령 권한 부여를 지원합니다.
-
삭제가 거부되더라도 명령이 계층에서 허용되는 상태로 유지되는지 확인합니다
set. 이러한 권한 분리set는delete보다 유연한 액세스 제어를 가능하게 합니다. -
정규 표현식 외에 정확한 구성 명령 문자열을 허용하거나 거부합니다. 이렇게 하면 필요할 때 매우 구체적인 액세스 규칙을 구성할 수 있습니다.
-
로컬 규칙 외에도 외부 TACACS+ 서버의 고급 인증 규칙을 활용합니다. 이를 통해 중앙 집중식 정책 관리가 용이해집니다.
계층 수준에서 및 deny-configuration-exact-match 구성 문을 [edit system login class name] 사용하여 allow-configuration-exact-match 정확히 일치 액세스 권한을 구성할 수 있습니다. 다음 연산자 중 하나로 시작하는 계층 문자열을 사용합니다.
setdeleteactivedeactivate
와일드카드 문자도 지원됩니다. 예를 들어, 문은 deny-configuration-exact-match delete interfaces* * 와일드카드 문자를 사용하여 모든 인터페이스를 지정합니다.
지정된 구성 계층 set 에 대해 또는 deactivate 가 거부된 경우 delete 를 사용하여 allow-configuration-exact-match또는 activate 명령을 계속 허용할 수 있습니다. 동일한 운영자 및 구성으로 및 를 deny-configuration-exact-match 둘 다 allow-configuration-exact-match 구성하면 구성 액세스가 거부됩니다.
새로운 exact match 규칙은 로컬 또는 외부 TACACS+ 서버에서 구성할 수 있습니다.