Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Junos OS アクセス権限レベルについて

 

各トップレベル CLI コマンドと各構成文には、それぞれアクセス権限レベルが割り当てられています。ユーザーは、これらのコマンドのみを実行し、アクセス権限を持つステートメントのみを設定および表示できます。各ログインクラスのアクセス権限は、1つ以上の権限フラグによって定義されます。

各ログインクラスについて、 permissionsステートメントで指定された権限レベルによって許可または禁止されている運用モードコマンドや設定オプションの使用を明示的に拒否または許可することができます。

以下のセクションでは、権限の詳細について説明します。

Junos OS ログインクラス権限フラグ

アクセス許可フラグを使用して、ユーザーに運用モードコマンドと構成階層レベルおよびステートメントへのアクセスを許可します。ユーザーのログインクラスの特定の権限フラグを[edit system login class]階層レベルで指定することで、そのユーザーに対応するコマンドおよび設定階層レベルとステートメントへのアクセス権を付与します。すべてのコマンドと設定ステートメントにアクセス権を付与するallには、権限フラグを使用します。

表示された各コマンドは、そのコマンドをプレフィクスとして使用しています。リストされている各構成文は、そのフラグがアクセスを許可する構成階層の最上位を表しています。

ステートメントpermissionsは、に表 1示されている1つ以上のアクセス許可フラグを指定します。権限フラグは累積ではないため、情報を表示しviewconfigure 、設定モードにするなど、各クラスで必要なすべての権限フラグをリストしておく必要があります。次の2つの形態の権限制御が構成の各部分に対応します。

  • "プレーン”フォーム—は、そのアクセス許可タイプに対して読み取り専用機能を提供します。その例をinterface示します。

  • このフォームに-control—は、そのアクセス許可タイプに対応する読み取りおよび書き込み機能が用意されています。その例をinterface-control示します。

構成階層レベルとステートメントへのアクセス権を付与する許可フラグについては、フラグによってその構成に読み取り専用権限が付与されます。たとえば、 interface権限フラグによって、 [edit interfaces]階層レベルへの読み取り専用アクセスが許可されます。この-controlフラグの形式により、その構成への読み取り書き込みアクセスが許可されます。上記の例を使用interface-controlして、 [edit interfaces]階層レベルへの読み取り/書き込みアクセス権を付与します。

表 1[edit system login class class-name]階層レベルでステートメントをpermissions含めることによって設定できる Junos OS ログインクラスアクセス許可フラグを示します。

権限フラグによって、特定のアクセス権限セットが付与されます。各権限フラグは、そのフラグがアクセスを付与する運用モードコマンドと構成階層レベルおよび文とともに表示されます。

表 1: ログインクラス権限フラグ

権限フラグ

説明

access

設定モードでアクセス構成を表示し、 show configuration 運用モードコマンドで参照できます。

access-control

[edit access]階層レベルでアクセス情報を表示および設定できます。

admin

設定モードでユーザーアカウント情報を表示したり、 show configuration運用モードコマンドを使用したりできます。

admin-control

ユーザーアカウント情報を表示し、 [edit system]階層レベルで設定できます。

all-control

ユーザーアカウントを表示して、 [edit system login]階層レベルで構成できます。

all

すべての運用モードコマンドと設定モードコマンドにアクセスできます。すべての構成階層レベルで設定を変更できます。

clear

clearコマンドを使用して、さまざまなネットワークデータベースに格納されているネットワークから学習した情報をクリア (削除) できます。

configure

configureコマンドを使用して設定モードに入ることができます。

control

すべての制御レベルの操作—において、 -control権限フラグを使用して設定されたすべての操作を実行できます。

field

フィールドデバッグコマンドを表示できます。デバッグサポート用に予約されています。

firewall

構成モードでファイアウォールフィルタの構成を表示できます。

firewall-control

[edit firewall]階層レベルでファイアウォールフィルタ情報を表示および設定できます。

floppy

リムーバブルメディアの読み取りと書き込みが可能です。

flow-tap

設定モードでフロータップ構成を表示できます。

flow-tap-control

設定モードでフロータップの構成を表示して、フロータップの[edit services flow-tap]構成情報を階層レベルで設定できます。

flow-tap-operation

ルーターまたはスイッチへのフロータップ要求を行うことができます。たとえば、動的なマルチタスキングコントロールプロトコル (DTCP) クライアントは、 flow-tap-operation管理ユーザーとして Junos OS に対して自身を認証する権限を持っている必要があります。

注: このflow-tap-operationオプションは、 all-control権限フラグには含まれていません。

idp-profiler-operation

プロファイラーデータを表示できます。

interface

構成モードでインターフェイスの構成とshow configuration運用モードコマンドを表示できます。

interface-control

シャーシ、サービスクラス(CoS)、グループ、転送オプション、インターフェイス構成情報を表示できます。以下の階層レベルで設定を編集できます。

  • [edit chassis]

  • [edit class-of-service]

  • [edit groups]

  • [edit forwarding-options]

  • [edit interfaces]

maintenance

ルーターやスイッチ上でローカルシェルを開始し、 su rootコマンドを使用してシェルでスーパーユーザーになり、コマンドを使用してrequest systemルーターまたはスイッチを停止して再起動するなど、システムの保守を実行できます。

network

ping、、およびsshtelnettracerouteコマンドを使用してネットワークにアクセスできます。

pgcp-session-mirroring

セッションミラーリングのpgcp構成を見ることができます。

pgcp-session-mirroring-control

セッションミラーリングのpgcp構成を変更できます。

reset

restartコマンドを使用してソフトウェアプロセスを再起動することができ、 [edit system processes]階層レベルでソフトウェアプロセスを有効にするか無効にするかを設定できます。

rollback

このrollbackコマンドを使用して、最後にコミットされたもの以外の、以前にコミットされた構成に戻すことができます。

routing

構成および運用モードで、一般的なルーティング、ルーティングプロトコル、ルーティングポリシー構成情報を表示できます。

routing-control

ルーティング、ルーティングプロトコル、ルーティングポリシーの一般的な構成情報を表示して、階層レベルで[edit routing-options]の一般的なルーティング、階層レベル[edit protocols]でのルーティングプロトコル、階層レベルで[edit policy-options]のルーティングポリシーを構成できます。

secret

構成内のパスワードとその他の認証キーを表示できます。

secret-control

構成でパスワードやその他の認証キーを表示し、設定モードで変更することができます。

security

設定モードでセキュリティ構成を表示したり、 show configuration運用モードコマンドを使用したりできます。

security-control

[edit security]階層レベルでセキュリティ情報を表示および設定できます。

shell

start shellコマンドを使用して、ルーターまたはスイッチ上でローカルシェルを開始できます。

snmp

構成および運用モードで簡易ネットワーク管理プロトコル (SNMP) 構成情報を表示できます。

snmp-control

SNMP 構成情報を表示し、 [edit snmp]階層レベルで snmp 構成を変更できます。

system

構成および運用モードでシステムレベルの情報を表示できます。

system-control

システムレベルの[edit system]構成情報を表示して、階層レベルで構成できます。

trace

トレースファイルの設定を表示し、トレースファイルのプロパティを構成できます。

trace-control

トレースファイルの設定を変更し、トレースファイルのプロパティを構成できます。

view

さまざまなコマンドを使用して、現在のシステム全体、ルーティングテーブル、およびプロトコル固有の値と統計を表示できます。シークレット構成を表示できません。

view-configuration

シークレット、システムスクリプト、イベントオプションを除くすべての構成を表示できます。

注: maintenance権限を持つユーザーだけが、コミットスクリプト、op スクリプト、またはイベントスクリプト構成を表示できます。

Junos OS ログインクラスの個々のコマンドを許可または拒否する

デフォルトでは、すべてのトップレベル CLI コマンドは、アクセス権限レベルに関連付けられています。ユーザーは、これらのコマンドのみを実行し、アクセス権限を持つステートメントのみを表示できます。各ログインクラスについて、 permissionsステートメントで指定された権限レベルによって許可または禁止されている運用モードコマンドや設定オプションの使用を明示的に拒否または許可することができます。

アクセス許可フラグを使用して、ユーザーに運用モードコマンドと構成階層レベルおよびステートメントへのアクセスを許可します。ユーザーのログインクラスの特定の権限フラグを[edit system login class]階層レベルで指定することで、そのユーザーに対応するコマンドおよび設定階層レベルとステートメントへのアクセス権を付与します。すべてのコマンドと設定ステートメントにアクセス権を付与するallには、権限フラグを使用します。構成階層レベルとステートメントへのアクセス権を付与する許可フラグについては、フラグによってその構成に読み取り専用権限が付与されます。たとえば、 interface権限フラグによって、 [edit interfaces]階層レベルへの読み取り専用アクセスが許可されます。この-controlフラグの形式により、その構成への読み取り書き込みアクセスが許可されます。上記の例を使用interface-controlして、 [edit interfaces]階層レベルへの読み取り/書き込みアクセス権を付与します。

  • ログインallクラスのアクセス許可は、ユーザーが許可フラグをrollback有効にしrollbackたコマンドを発行したときに、拡張された正規表現よりも優先されます。

  • RADIUS と TACACS + サーバー上のユーザーに対してコマンドを許可または拒否するために使用される式が簡素化されました。複数のコマンド (allow-commands=cmd1 cmd2 ... cmdn) を使用した単一の long 式の代わりに、各コマンドを個別の式として指定できます。allow-configurationこの新しい構文は、 deny-configurationallow-commands、、、 deny-commands、すべてのユーザー権限ビットに対して有効です。

  • 拡張正規表現をload override指定している場合、ユーザーはこのコマンドを発行できません。ユーザーは、、、 mergepatch設定replaceコマンドのみ発行できます。

  • 同じコマンドを許可して拒否すると、 allow-commandsによって指定されるアクセス許可よりdeny-commandsも、アクセス許可が優先します。たとえば、とallow-commands "request system software add"deny-commands "request system software add"を含む場合、login クラスのユーザーは、 request system software addこのコマンドを使用してソフトウェアをインストールできます。

  • の正規表現allow-commandsdeny-commandscommitloadrollbacksave、、、、、 status、およびupdateを含めることもできます。

  • コマンドの2つの異なるバリエーションallow-commandsdeny-commands対して正規表現を指定すると、最も一致するものが常に実行されます。

    たとえばallow-commandscommit-synchronizeコマンドに正規表現deny-commandsと正規commit表現を指定した場合、このようなログインクラスに割り当てられたユーザーはコマンドを発行commit synchronizeできますが、コマンドを使用することはcommitできません。これは、 commit-synchronize "and commitcommit-synchronize " と "-" の間にallow-commands最も長い一致があるためです。

    同様allow-commandsに、 commitコマンドに正規表現と正規deny-commandscommit-synchronize表現を指定した場合、そのようなログインクラスに割り当てられたユーザーはコマンドを発行できますがcommit 、コマンドを実行するcommit-synchronizeことはできません。これは、 commit-synchronize "and commitcommit-synchronize " と "-" の間にdeny-commands最も長い一致があるためです。