ユーザー アクセス制御の設定の概要
Junos Spaceネットワーク管理プラットフォームは、Junos Space管理者を通じてJunos Spaceシステムに適切なアクセスポリシーを適用するために使用する堅牢なユーザーアクセス制御メカニズムシステムを提供します。Junos Space では、管理者はさまざまな職務に就くことができます。CLI 管理者は、Junos Space アプライアンスをインストールして設定します。メンテナンス モード管理者は、トラブルシューティングやデータベースの復元操作など、システム レベルのタスクを実行します。アプライアンスをインストールして構成した後、ユーザーを作成し、これらのユーザーがJunos Space Platformワークスペースにアクセスし、アプリケーション、ユーザー、デバイス、サービス、顧客などを管理できるようにするロールを割り当てることができます。
表 1 は、Junos Space の管理者と、実行できるタスクを示しています。
| Junos Space管理者機能 | 説明 | タスク |
CLI 管理者 |
シリアル コンソールからの Junos Space アプライアンスのシステム設定と管理を担当する管理者 CLI 管理者名は admin です。 CLI 管理者パスワードは、コンソールのシステム設定メニューから変更できます。 |
|
メンテナンスモード管理者 |
Junos Space ネットワーク管理プラットフォームでのシステム レベルのメンテナンスの実行を担当する管理者 メンテナンスモードの管理者名は メンテナンスです。 メンテナンスモードのパスワードは、Junos Space アプライアンスを初めて設定するときにシリアルコンソールから設定します。 |
|
Junos Spaceユーザー インターフェイス ユーザー |
1 つ以上の定義済みロールが割り当てられている Junos Space ユーザー。ユーザーに割り当てられた各ロールは、Junos Spaceユーザーインターフェイスのワークスペースから利用可能なオブジェクト(アプリケーション、デバイス、ユーザー、ジョブ、サービス、顧客)に対する特定のアクセスおよび管理権限を提供します。 |
Junos Space ユーザーに割り当てることができる定義済みのロールの詳細については、「 ユーザー アクセス制御の設定の概要」を参照してください。 |
ユーザー アクセス制御は、次の方法で構成できます。
Junos Space プラットフォームにアクセスするためのユーザーの認証と承認の方法を決定する
アクセスが許可されているシステム機能に基づいてユーザーを分離する。ユーザーごとに異なるロールセットを割り当てることができます。Junos Spaceネットワーク管理プラットフォームには、25を超える定義済みのユーザーロールが含まれており、組織のニーズに基づいてカスタムロールを作成することができます。ユーザーがJunos Spaceにログインすると、ユーザーがアクセスできるワークスペースや実行できるタスクは、そのユーザーアカウントに割り当てられている役割によって決まります。
アクセスが許可されているドメインに基づいてユーザーを分離する。Junos Spaceのドメイン機能を使用して、ユーザーとデバイスをグローバルドメインに割り当て、サブドメインを作成してから、これらの1つ以上のドメインにユーザーを割り当てることができます。ドメインは、デバイス、テンプレート、ユーザーなどを含むことができるオブジェクトの論理グループです。ユーザーが Junos Space にログインすると、表示できるオブジェクトのセットは、そのユーザー アカウントが割り当てられているドメインに基づきます。
複数のドメインを使用して、地理的に離れた大規模なシステムを、より小さく管理しやすいセクションに分割し、個々のシステムへの管理アクセスを制御することができます。ドメイン管理者またはユーザーを割り当てて、ドメインに割り当てられたデバイスとオブジェクトを管理できます。あるドメインに割り当てられたユーザーが必ずしも別のドメイン内のオブジェクトにアクセスする必要がないように、ドメイン階層を設計できます。ドメインに割り当てられたユーザーが、親ドメインにあるオブジェクトを表示できないように制限することもできます(Junos Space Release 13.3では、グローバルドメイン内のオブジェクトを表示できません)。
たとえば、小規模な組織ではネットワーク全体に対して 1 つのドメイン (グローバル ドメイン) しか持たないのに対し、大規模な国際組織では、グローバル ドメイン内に複数のサブドメインがあり、世界中の各支社ネットワークを表す場合があります。
次のセクションでは、ユーザー アクセス制御メカニズムを構成する方法について説明します。
認証および承認モード
最初に決定するのは、必要な認証と承認のモードに関するものです。Junos Space のデフォルト モードはローカル認証と許可です。つまり、有効なパスワードを使用して Junos Space データベースにユーザー アカウントを作成し、そのアカウントに割り当てられたロールのセットを割り当てる必要があります。ユーザー セッションはこのパスワードに基づいて認証され、ユーザー アカウントに割り当てられたロールのセットによって、ユーザーが実行できる一連のタスクが決まります。
組織が一元化された認証、許可、およびアカウンティング(AAA)サーバーのセットに依存している場合、[管理] ワークスペース(ネットワーク管理プラットフォーム > 管理)の 認証サーバー ページに移動して、これらのサーバーと連携するように Junos Space を設定できます。
これらのサーバーと連携するように Junos Space を設定するには、スーパー管理者またはシステム管理者の権限が必要です。
Junos Spaceがアクセスするように設定するには、リモートAAAサーバーのIPアドレス、ポート番号、共有シークレットを知る必要があります。Junos Space にサーバーを追加したらすぐに、[接続] ボタンを使用して Junos Space と AAA サーバー間の接続をテストすることをお勧めします。これにより、構成されたIPアドレス、ポート、または資格情報に問題があるかどうかがすぐにわかります。
AAA サーバの順序付きリストを設定できます。Junos Space は、設定した順序で連絡します。2 番目のサーバーは、最初のサーバーに到達できない場合にのみ接続されます。
パスワード認証プロトコル(PAP)またはチャレンジ ハンドシェイク認証プロトコル(CHAP)を介して、RADIUS または TACACS+ サーバーを設定できます。Junos Space が管理する AAA サーバーの順序付きリストには、RADIUS サーバーと TACACS+ サーバーを混在させることができます。
リモート認証と許可には、リモート専用とリモートローカルの 2 つのモードがあります。
リモートのみ:認証と許可は、一連のリモートAAAサーバー(RADIUSまたはTACACS+)によって実行されます。
remote-local—この場合、ユーザーがリモート認証サーバー上で設定されていない場合、サーバーが到達できない場合、またはリモートサーバーがユーザーアクセスを拒否した場合、そのようなローカルユーザーがJunos Spaceデータベースに存在する場合、ローカルパスワードが使用されます。
リモート専用モードを使用している場合は、Junos Space でローカル ユーザー アカウントを作成する必要はありません。代わりに、使用する AAA サーバにユーザ アカウントを作成し、各ユーザ アカウントにリモート プロファイル名を関連付ける必要があります。リモートプロファイルは、ユーザーがJunos Spaceで実行できる一連の機能を定義する役割の集合です。リモートプロファイルはJunos Spaceで作成します。リモート プロファイルの詳細については、「 リモート プロファイル」を参照してください。リモートプロファイル名は、RADIUSではベンダー固有属性(VSA)、TACACS+では属性値ペア(AVP)として設定できます。AAAサーバーがユーザーセッションの認証に成功すると、Junos Spaceに送り返される応答メッセージにリモートプロファイル名が含まれます。Junos Space は、このリモート プロファイル名に基づいてリモート プロファイルを検索し、ユーザーが実行できる機能セットを決定します。
リモート専用モードの場合でも、以下のいずれかの場合に、Junos Spaceでローカルユーザーアカウントを作成することができます。
すべてのAAAサーバーがダウンしている場合でも、ユーザーがJunos Spaceにログインできるようにする必要があります。この場合、Junos Spaceデータベースにローカルユーザーアカウントが存在すると、ローカルデータに基づいてユーザーセッションが認証および承認されます。このシナリオでもアクセスを確保したい少数の重要なユーザーアカウントに対してこれを行うことを選択できます。
デバイス パーティションを使用して、デバイスをサブグループに分割し、これらのサブオブジェクトを異なるユーザーに割り当てる。デバイス パーティションを使用して、物理インターフェイス、論理インターフェイス、および物理インベントリ要素を複数のサブドメイン間で共有します。デバイスパーティションは、M SeriesおよびMXシリーズルーターでのみサポートされています。詳細については、『Junos Spaceネットワーク管理プラットフォームワークスペースユーザーガイド』の「デバイスパーティションの作成」トピックを参照してください。
ユーザー認証の詳細については、『Junos Spaceネットワーク管理プラットフォームワークスペースユーザーガイド』の「Junos Space認証モードの概要」トピックを参照してください。
証明書ベースおよび証明書パラメータベースの認証
Junos Spaceネットワーク管理プラットフォームは、ユーザーの証明書ベースおよび証明書パラメーターベースの認証をサポートします。リリース 15.2R1 以降では、証明書パラメータベースの認証モードでユーザを認証することもできます。証明書ベースおよび証明書パラメーターベースの認証では、ユーザーの資格情報に基づいてユーザーを認証する代わりに、ユーザーの証明書と証明書パラメーターに基づいてユーザーを認証できます。これらの認証モードは、パスワードベースの認証よりも安全であると見なされます。証明書パラメーターベースの認証では、ログインプロセス中に認証される最大 4 つのパラメーターを定義できます。SSL 接続を介した証明書ベースおよび証明書パラメーターベースの認証を使用して、さまざまなサーバーおよびユーザー間のセッションを認証および許可できます。これらの証明書は、スマート カード、USB ドライブ、またはコンピューターのハード ドライブに保存できます。ユーザーは通常、スマートカードをスワイプして、ユーザー名とパスワードを入力せずにシステムにログインします。
証明書ベースおよび証明書パラメーターベースの認証の詳細については、 Junos Space ネットワーク管理プラットフォームのワークスペース機能ガイドの 「証明書管理の概要 」トピックを参照してください。
ユーザーロール
Junos Space を設定する際、ユーザーがアクセスできるシステム機能に基づいて、ユーザーを分離する方法を決定する必要があります。これを行うには、ユーザーごとに異なるロールのセットを割り当てます。ロールは、Junos Space ユーザーがアクセスできるワークスペースの集合と、各ワークスペース内でユーザーが実行できる一連のアクションを定義します。Junos Spaceネットワーク管理プラットフォームがサポートする定義済みのユーザーロールを評価するには、[ロール]ページ([ネットワーク管理プラットフォーム]>[ロールベースのアクセス制御>ロール])に移動します。また、Junos Spaceネットワーク管理プラットフォームにインストールされているすべてのJunos Spaceアプリケーションには、事前に定義済みのユーザーロールがあります。「ロール」ページには、既存のすべての Junos Space アプリケーション・ロールとその説明、および各ロールに含まれるタスクがリストされます。
デフォルトのユーザ ロールがニーズに合わない場合は、[ Create Role ](ロールの作成)ページ([ネットワーク管理プラットフォーム>ロールベースのアクセス制御] > [ロールの作成]>ロール)に移動して、カスタム ロールを設定できます。ロールを作成するには、このロールを持つユーザーがアクセスできるワークスペースを選択し、ワークスペースごとに、ユーザーがそのワークスペースから実行できるタスクのセットを選択します。
組織に必要な最適なユーザー ロールのセットに到達するために、ユーザー ロールの作成を数回繰り返す必要がある場合があります。
ユーザーロールを定義した後、さまざまなユーザーアカウント(Junos Spaceで作成されたローカルユーザーアカウントの場合)に割り当てるか、リモート認証に使用するリモートプロファイルに割り当てることができます。
ユーザー ロールの設定の詳細については、『Junos Space ネットワーク管理プラットフォームのワークスペース ユーザー ガイド』の「ロールベースのアクセス制御の概要」トピックを参照してください。
リモート プロファイル
リモート認証の場合、リモート プロファイルが使用されます。リモートプロファイルは、ユーザーがJunos Spaceで実行できる一連の機能を定義する役割の集合体です。デフォルトではリモート プロファイルは作成されていないため、[リモート プロファイルの作成(Network Management Platform > Role Based Access Control >リモート プロファイル] > [リモート プロファイルの作成])に移動して作成する必要があります。リモートプロファイルを作成するときは、そのプロファイルに属する1つ以上のロールを選択する必要があります。次に、リモート AAA サーバの 1 つ以上のユーザ アカウントに対してリモート プロファイルの名前を設定できます。
AAAサーバーがユーザーセッションの認証に成功すると、AAAサーバーは、Junos Spaceに返される応答メッセージに、そのユーザーに対して設定されたリモートプロファイル名を含めます。Junos Space は、この名前に基づいてリモート プロファイルを検索し、そのユーザーの役割のセットを決定します。Junos Space はこの情報を使用して、ユーザーがアクセスできるワークスペースのセットと、ユーザーが実行できるタスクを制御します。
リモート認証とともにローカル認証を使用する場合は、リモート プロファイルを設定する必要はありません。この場合、ローカル ユーザー アカウントを作成し、これらのユーザー アカウントにロールを割り当てる必要があります。設定されたAAAサーバーが認証を実行し、認証されたセッションごとに、Junos Spaceはデータベース内のユーザーアカウント用にローカルに設定されたロールに基づいて認証を実行します。
リモートプロファイルの作成の詳細については、(Junos Spaceネットワーク管理プラットフォームワークスペースユーザーガイドの)リモートプロファイルの作成のトピックを参照してください。
ドメイン
[ ドメイン ] ページ ([ドメイン] > [ロール ベースのアクセス制御]) からドメインを追加、変更、または削除できます。このページは、グローバル ドメインにログインしている場合にのみアクセスできます。つまり、ドメインを追加、変更、または削除できるのは、グローバル ドメインからのみです。既定では、作成したドメインはグローバル ドメインの下に追加されます。ドメインを追加するときに、このドメインのユーザーに親ドメインへの読み取り専用アクセスを許可することを選択できます。これを選択すると、サブドメイン内のすべてのユーザーが親ドメインのオブジェクトを読み取り専用モードで表示できます。
サポートされている階層のレベルは、グローバル ドメインと、グローバル ドメインの下に追加できるその他のドメインの 2 つのレベルのみです。
ドメインの管理の詳細については、 ドメインの概要のトピック(『Junos Spaceネットワーク管理プラットフォームワークスペースユーザーガイド』)を参照してください。
ユーザー アカウント
以下の場合は、Junos Spaceでユーザーアカウントを作成する必要があります。
ローカルでの認証と許可を実行するには、Junos Space でユーザー アカウントを作成します。各ユーザー アカウントには、有効なパスワードと一連のユーザー ロールが含まれている必要があります。ユーザ アカウントを作成するには、[ Create User ](ユーザの作成)ページ([ネットワーク管理プラットフォーム>ロール ベースのアクセス コントロール]>ユーザ アカウント>ユーザの作成)に移動します。
リモート認証とローカル許可を実行するには:システムの各ユーザーに対してユーザー アカウントを作成し、各ユーザー アカウントに一連のロールが割り当てられるようにします。認証はリモートで実行されるため、ユーザー アカウントのパスワードの入力は必須ではありません。
リモート認証と許可を実行し、すべてのAAAサーバーがダウンしている場合でも、またはJunos Spaceから到達できない場合でも、特定のユーザーがJunos Spaceにアクセスできるようにするには、有効なパスワードを使用して、これらのユーザーのローカルユーザーアカウントを作成します。システムは、これらのユーザーに対して少なくとも 1 つのロールを設定するように強制します。ただし、許可は AAA サーバが提供するリモート プロファイル名に基づいて実行されます。
リモート認証と許可を実行するだけでなく、指定したユーザーのリモート認証エラーを無効にして Junos Space へのアクセスを許可するには、典型的なシナリオとして、新しい Junos Space ユーザーを作成する必要があるが、リモート AAA サーバーでユーザーを設定するためのすぐアクセス権がない場合が挙げられます。このようなユーザーのローカルユーザーアカウントは、有効なパスワードと有効なロールセットを使用して作成する必要があります。
リモート認証と許可を実行するだけでなく、ドメインに基づいてユーザー間でデバイスを分離するには:Junos Space ではドメインをユーザー オブジェクトに割り当てる必要があるため、Junos Space でリモート プロファイルを作成し、そのプロファイルにロールとドメインを割り当てる必要があります。
メモ:リモート認証とともにローカル認証を使用する場合は、リモート プロファイルを設定する必要はありません。この場合、ローカル ユーザー アカウントを作成し、これらのユーザー アカウントにロールを割り当てる必要があります。設定されたAAAサーバーが認証を実行し、認証されたセッションごとに、Junos Spaceはデータベース内のユーザーアカウント用にローカルに設定されたロールに基づいて認証を実行します。
Junos Spaceは、有効なパスワードに一定のルールを適用します。これらのルールは、[ アプリケーション ]ページ([ネットワーク管理プラットフォーム]>[アプリケーション]>ネットワーク管理)から、ネットワーク管理プラットフォーム設定の一部として設定します。アプリケーションを右クリックし、[ アプリケーション設定の変更] を選択します。次に、ウィンドウの左側にある[ パスワード ]を選択します。後続のページでは、現在の設定を表示および変更できます。
ユーザーアカウントの作成の詳細については、 Junos Spaceネットワーク管理プラットフォームユーザーガイドの「Junos Spaceネットワーク管理プラットフォームでのユーザーの作成」トピックを参照してください。
デバイス パーティション
[ デバイス ] ページ([デバイス管理] > [ネットワーク管理プラットフォーム] > デバイス)からデバイスをパーティション分割できます。デバイスをサブグループにパーティション分割し、パーティションを異なるドメインに割り当てることで、これらのサブオブジェクトを異なるユーザーに割り当てることができます。1 つのドメインに割り当てることができるデバイスのパーティションは 1 つだけです。
デバイスパーティションは、M SeriesおよびMXシリーズルーターでのみサポートされています。
デバイス パーティションの詳細については、『Junos Space ネットワーク管理プラットフォーム ワークスペース ユーザー ガイド』の「デバイス パーティションの作成」トピックを参照してください。