ユーザー アクセス制御の構成の概要
Junos Spaceネットワーク管理プラットフォームは、堅牢なユーザーアクセス制御システムを提供します。これを使用して、Junos Space管理者を通じてJunos Spaceシステムに適切なアクセスポリシーを適用します。Junos Spaceでは、管理者はさまざまな職務上の役割を果たすことができます。CLI 管理者が Junos Space アプライアンスをインストールして設定します。メンテナンスモード管理者は、トラブルシューティングやデータベースの復元操作など、システムレベルのタスクを実行します。アプライアンスを設置して設定したら、ユーザーを作成し、役割を割り当てることができます。この役割により、これらのユーザーがJunos Spaceプラットフォームワークスペースにアクセスし、アプリケーション、ユーザー、デバイス、サービス、顧客などを管理できるようになります。
表 1 は、Junos Space の管理者と実行可能なタスクを示しています。
| Junos Space Administrator機能 | 形容 | 用事 |
CLI 管理者 |
シリアル コンソールから Junos Space アプライアンスのシステム設定をセットアップおよび管理する管理者 CLI 管理者名は admin です。 CLI管理者パスワードは、コンソールのシステム設定メニューから変更できます。 |
|
保守モード管理者 |
Junos Spaceネットワーク管理プラットフォームのシステムレベルのメンテナンスの実行を担当する管理者 メンテナンスモードの管理者名は maintenance です。 メンテナンス モードのパスワードは、Junos Space アプライアンスを初めて設定する際に、シリアル コンソールから設定します。 |
|
Junos Space ユーザー インターフェイス ユーザー |
1 つ以上の事前定義されたロールが割り当てられている Junos Space ユーザー。ユーザーに割り当てられた各役割は、Junos Spaceユーザーインターフェイスのワークスペースから利用可能なオブジェクト(アプリケーション、デバイス、ユーザー、ジョブ、サービス、顧客)に対する特定のアクセスと管理権限を提供します。 |
Junos Spaceユーザーに割り当てることができる事前定義された役割の詳細については、 ユーザーアクセス制御の設定の概要を参照してください。 |
ユーザーアクセス制御は、次の方法で構成できます。
Junos Spaceプラットフォームにアクセスするためにユーザーが認証および許可される方法の決定
アクセスが許可されているシステム機能に基づいてユーザーを分離します。ユーザーごとに異なるロールのセットを割り当てることができます。Junos Spaceネットワーク管理プラットフォームには、25を超える定義済みユーザーロールが含まれており、組織のニーズに基づいてカスタムロールを作成できます。ユーザーが Junos Space にログインすると、そのユーザーがアクセスできるワークスペースと実行できるタスクは、その特定のユーザー アカウントに割り当てられているロールによって決まります。
アクセスが許可されているドメインに基づいてユーザーを分離する。Junos Space のドメイン機能を使用して、ユーザーとデバイスをグローバル ドメインに割り当て、サブドメインを作成してから、これらの 1 つ以上のドメインにユーザーを割り当てることができます。ドメインはオブジェクトの論理グループであり、デバイス、テンプレート、ユーザーなどを含めることができます。ユーザーが Junos Space にログインすると、表示が許可されるオブジェクトのセットは、そのユーザー アカウントが割り当てられているドメインに基づきます。
複数のドメインを使用して、地理的に離れた大規模なシステムを、より小さく管理しやすいセクションに分割し、個々のシステムへの管理アクセスを制御することができます。ドメイン管理者またはユーザーを割り当てて、ドメインに割り当てられているデバイスとオブジェクトを管理できます。あるドメインに割り当てられたユーザーが、必ずしも別のドメインのオブジェクトにアクセスできる必要がないように、ドメイン階層を設計できます。ドメインに割り当てられたユーザーが親ドメイン内のオブジェクトを表示できないように制限することもできます(Junos Space リリース 13.3 では、グローバル ドメイン内のオブジェクトを表示できません)。
たとえば、小規模な組織では、ネットワーク全体に対して 1 つのドメイン(グローバルドメイン)しか持たない場合がありますが、大規模な国際組織では、グローバルドメイン内に複数のサブドメインがあり、世界中の各地域オフィスネットワークを表す場合があります。
以下のセクションでは、ユーザーアクセス制御メカニズムの設定方法について説明します。
認証および許可モード
最初に行うべき決定は、必要な認証と承認のモードに関するものです。Junos Spaceのデフォルトモードはローカル認証と許可です。つまり、有効なパスワードを使用してJunos Spaceデータベースにユーザーアカウントを作成し、それらのアカウントに割り当てられたロールセットを割り当てる必要があります。ユーザーセッションはこのパスワードに基づいて認証され、ユーザーアカウントに割り当てられたロールのセットによって、ユーザーが実行できるタスクのセットが決まります。
組織が一元化された認証、承認、およびアカウンティング (AAA) サーバーのセットに依存している場合は、[管理] ワークスペース (ネットワーク管理プラットフォーム > 管理) の [認証サーバー] ページに移動して、これらのサーバーと連携するように Junos Space を設定できます。
これらのサーバーと連携するようにJunos Spaceを設定するには、スーパー管理者またはシステム管理者の権限が必要です。
リモートAAAサーバーにアクセスするようにJunos Spaceを設定するには、リモートAAAサーバーのIPアドレス、ポート番号、共有シークレットを知っている必要があります。Junos Space に サーバーを追加したらすぐに、[接続] ボタンを使用して、Junos Space と AAA サーバー間の接続をテストすることをお勧めします。これにより、設定されたIPアドレス、ポート、または資格情報に問題があるかどうかがすぐにわかります。
AAA サーバーの順序リストを設定できます。Junos Space は、設定した順序で接続します。2 番目のサーバーは、最初のサーバーに到達できない場合にのみ接続されます。
パスワード認証プロトコル(PAP)またはチャレンジハンドシェイク認証プロトコル(CHAP)を介して、RADIUSまたはTACACS+サーバーを設定できます。Junos Space が管理する AAA サーバーの順序リストには、RADIUS サーバーと TACACS+ サーバーを混在させることができます。
リモート認証と許可には、リモート専用とリモートローカルの2つのモードがあります。
リモートのみ—認証と許可は、一連のリモートAAAサーバー(RADIUSまたはTACACS+)によって実行されます。
remote-local—この場合、リモート認証サーバでユーザが設定されていない場合、サーバが到達不能な場合、またはリモートサーバがユーザアクセスを拒否する場合、Junos Spaceデータベースにそのようなローカルユーザが存在していれば、ローカルパスワードが使用されます。
リモート専用モードを使用している場合は、Junos Spaceでローカルユーザーアカウントを作成する必要はありません。代わりに、使用する AAA サーバにユーザ アカウントを作成し、各ユーザ アカウントにリモート プロファイル名を関連付ける必要があります。リモートプロファイルは、ユーザーがJunos Spaceで実行できる一連の機能を定義するロールの集合です。リモートプロファイルはJunos Spaceで作成します。リモートプロファイルの詳細については、「 リモートプロファイル」を参照してください。リモートプロファイル名は、RADIUSではVSA(ベンダー固有属性)、TACACS+ではAVP(属性-値ペア)として設定できます。AAAサーバーがユーザーセッションの認証に成功すると、Junos Spaceに送り返される応答メッセージにリモートプロファイル名が含まれます。Junos Spaceは、このリモートプロファイル名に基づいてリモートプロファイルを検索し、ユーザーが実行できる機能セットを決定します。
リモート専用モードの場合でも、次のいずれかの場合には、Junos Spaceでローカルユーザーアカウントを作成することができます。
すべてのAAAサーバーがダウンしている場合でも、ユーザーがJunos Spaceにログインできるようにする必要があります。この場合、Junos Spaceデータベースにローカルユーザーアカウントが存在していれば、ユーザーセッションはローカルデータに基づいて認証および許可されます。このシナリオでもアクセスを保証するいくつかの重要なユーザー アカウントに対してこれを行うことを選択できます。
デバイスパーティションを使用して、デバイスをサブグループにパーティション分割し、これらのサブオブジェクトを異なるユーザーに割り当てる必要があります。デバイスパーティションを使用して、複数のサブドメイン間で物理インターフェイス、論理インターフェイス、および物理インベントリ要素を共有します。デバイスパーティションは、M SeriesおよびMXシリーズルーターでのみサポートされています。詳細については、『Junos Spaceネットワーク管理プラットフォーム Workspaces User Guide』の「Creating Device Partitions」を参照してください。
ユーザー認証の詳細については、「Junos Spaceネットワーク管理プラットフォーム Workspaces ユーザー ガイド」の「Junos Space 認証モードの概要」トピックを参照してください。
認定書ベースおよび認定書パラメーターベースの認証
Junos Spaceネットワーク管理プラットフォームは、ユーザーの証明書ベースおよび証明書パラメーターベースの認証をサポートします。リリース 15.2R1 以降では、証明書パラメータベースの認証モードでユーザを認証することもできます。証明書ベースおよび証明書パラメーターベースの認証では、ユーザーの資格情報に基づいてユーザーを認証する代わりに、ユーザーの証明書と証明書パラメーターに基づいてユーザーを認証できます。これらの認証モードは、パスワードベースの認証よりも安全であると見なされます。証明書パラメーターベースの認証では、ログイン プロセス中に認証される最大 4 つのパラメーターを定義できます。SSL 接続を介した証明書ベースおよび証明書パラメーターベースの認証を使用して、さまざまなサーバーおよびユーザー間のセッションを認証および許可できます。これらの証明書は、スマート カード、USB ドライブ、またはコンピューターのハード ドライブに格納できます。通常、ユーザーはスマート カードをスワイプして、ユーザー名とパスワードを入力せずにシステムにログインします。
証明書ベースおよび証明書パラメーターベースの認証の詳細については、Junos Spaceネットワーク管理プラットフォームワークスペース機能ガイドの 証明書管理の概要 トピックを参照してください。
ユーザ ロール
Junos Spaceを設定する際、ユーザーがアクセスできるシステム機能に基づいて、ユーザーをどのように分離するかを決定する必要があります。これを行うには、異なるロールのセットを異なるユーザーに割り当てる必要があります。 ロール は、Junos Spaceユーザーがアクセスできるワークスペースのコレクションと、各ワークスペース内でユーザーが実行できる一連のアクションを定義します。Junos Spaceネットワーク管理プラットフォームがサポートする事前定義ユーザ ロールを評価するには、[ ロール(Roles )] ページ(ロール ベースのアクセス コントロール>ロールネットワーク管理プラットフォーム>)に移動します。さらに、Junos Spaceネットワーク管理プラットフォームにインストールされるすべてのJunos Spaceアプリケーションには、独自の事前定義済みユーザーロールがあります。[役割] ページには、既存のすべての Junos Space アプリケーションの役割、その説明、各役割に含まれるタスクが一覧表示されます。
デフォルトのユーザ ロールがニーズを満たさない場合は、[ ロールの作成(Create Role )] ページ([ロールの作成(Create Role)] ネットワーク管理プラットフォーム [ロール ベースのアクセス コントロール(Role Based Access Control)] > [ロールの作成(Create Role)] >>)に移動してカスタム ロールを設定できます。ロールを作成するには、このロールを持つユーザーがアクセスできるワークスペースを選択し、ワークスペースごとに、ユーザーがそのワークスペースから実行できる一連のタスクを選択します。
組織が必要とする最適なユーザーロールのセットにたどり着くために、ユーザーロールの作成を何度か繰り返す必要がある場合があります。
ユーザーロールを定義した後は、さまざまなユーザーアカウント(Junos Spaceで作成されたローカルユーザーアカウントの場合)に割り当てるか、リモート認証に使用するリモートプロファイルに割り当てることができます。
ユーザーロールの設定の詳細については、ロールベースのアクセス制御の概要のトピック(Junos Spaceネットワーク管理プラットフォームワークスペースユーザーガイド内)を参照してください。
リモートプロファイル
リモートプロファイルは、リモート認証のために使用されます。リモートプロファイルは、ユーザーがJunos Spaceで実行できる一連の機能を定義するロールの集合です。デフォルトではリモート プロファイルは作成されないため、[ リモート プロファイルの作成(Create Remote Profile )] ページ([リモート プロファイルの作成(Create Remote Profiles)] > [ロール ベースのアクセス コントロール(Role Based Access Control)] >> [リモート プロファイル(Remote Profiles)] ネットワーク管理プラットフォーム)に移動して作成する必要があります。リモート プロファイルを作成するときは、それに属する 1 つ以上のロールを選択する必要があります。次に、リモートAAAサーバー内の1つ以上のユーザーアカウントに対してリモートプロファイルの名前を設定できます。
AAA サーバーがユーザー セッションの認証に成功すると、AAA サーバーは、Junos Space に返される応答メッセージに、そのユーザーの設定されたリモート プロファイル名を含めます。Junos Space は、この名前に基づいてリモート プロファイルを検索し、ユーザーのロールのセットを決定します。Junos Space はこの情報を使用して、ユーザーがアクセスできる一連のワークスペースと、ユーザーが実行できるタスクを制御します。
リモート認証とともにローカル認証を使用する場合、リモートプロファイルを設定する必要はありません。この場合、ローカル・ユーザー・アカウントを作成し、これらのユーザー・アカウントにロールを割り当てる必要があります。設定されたAAAサーバーが認証を実行し、認証されたセッションごとに、Junos Spaceはデータベース内のユーザーアカウントにローカルに設定されたロールに基づいて認証を実行します。
リモートプロファイルの作成の詳細については、「リモートプロファイルの作成」トピック(Junos Spaceネットワーク管理プラットフォームワークスペースユーザーガイド)を参照してください。
ドメイン
ドメインの追加、変更、または削除は、[ ドメイン] ページ([ドメイン>ロールベースのアクセス制御(Role Based Access Control)])から実行できます。このページは、グローバルドメインにログインしている場合にのみアクセスできます。つまり、ドメインの追加、変更、または削除は、グローバルドメインからのみ行うことができます。デフォルトでは、作成したドメインはグローバルドメインの下に追加されます。ドメインを追加するときに、このドメインのユーザーに親ドメインへの読み取り専用アクセスを許可することを選択できます。これを選択すると、サブドメイン内のすべてのユーザーが親ドメインのオブジェクトを読み取り専用モードで表示できます。
サポートされる階層レベルは、グローバル・ドメインと、グローバル・ドメインの下に追加できるその他のドメインの 2 レベルのみです。
ドメイン管理の詳細については、「ドメインの概要」トピック(『Junos Spaceネットワーク管理プラットフォームワークスペースユーザーガイド』)を参照してください。
ユーザー アカウント
以下の場合、Junos Spaceでユーザーアカウントを作成する必要があります。
ローカル認証と許可を実行するには、Junos Spaceでユーザーアカウントを作成します。各ユーザー アカウントには、有効なパスワードと一連のユーザー ロールが含まれている必要があります。ユーザーアカウントを作成するには、「 ユーザーの作成 」ページに移動します(ネットワーク管理プラットフォーム>ロールベースのアクセス制御>ユーザーアカウント>ユーザーの作成)。
リモート認証とローカル認証を実行するには、システムのユーザーごとにユーザーアカウントを作成し、各ユーザーアカウントに一連のロールが割り当てられていることを確認します。認証はリモートで実行されるため、ユーザーアカウントのパスワードの入力は必須ではありません。
すべてのAAAサーバがダウンしているか、Junos Spaceからアクセスできない場合でも、リモート認証と許可を実行し、特定のユーザがJunos Spaceにアクセスできるようにするには、有効なパスワードを使用して、これらのユーザのローカルユーザアカウントを作成します。システムは、これらのユーザーに対して少なくとも 1 つのロールを設定するように強制します。ただし、許可は AAA サーバが提供するリモート プロファイル名に基づいて実行されます。
リモート認証と許可を実行するが、指定されたユーザーのリモート認証の失敗をオーバーライドして、Junos Space へのアクセスを許可するには、 典型的なシナリオは、新しい Junos Space ユーザーを作成する必要があるが、リモート AAA サーバーでユーザーを設定するためのすぐにアクセスできない場合です。このようなユーザーに対しては、有効なパスワードと有効なロールのセットを持つローカルユーザーアカウントを作成する必要があります。
リモート認証と許可を実行しながら、ドメインに基づいてユーザー間でデバイスを分離するには—ドメインはJunos Space内のユーザーオブジェクトに割り当てる必要があるため、Junos Spaceでリモートプロファイルを作成し、そのプロファイルに役割とドメインを割り当てる必要があります。
手記:リモート認証とともにローカル認証を使用する場合、リモートプロファイルを設定する必要はありません。この場合、ローカル・ユーザー・アカウントを作成し、これらのユーザー・アカウントにロールを割り当てる必要があります。設定されたAAAサーバーが認証を実行し、認証されたセッションごとに、Junos Spaceはデータベース内のユーザーアカウントにローカルに設定されたロールに基づいて認証を実行します。
Junos Space では、有効なパスワードに対して一定のルールを適用しています。これらのルールは、「 アプリケーション 」ページ(「>管理>アプリケーション」ネットワーク管理プラットフォーム)からネットワーク管理プラットフォーム設定の一部として構成します。アプリケーションを右クリックし、「 アプリケーション設定の変更」を選択します。次に、ウィンドウの左側にある [パスワード ]を選択します。次のページでは、現在の設定を表示および変更できます。
ユーザーアカウントの作成の詳細については、 Junos Spaceネットワーク管理プラットフォームでのユーザーの作成 に関するトピック( Junos Spaceネットワーク管理プラットフォームワークスペースユーザー ガイド内)を参照してください。
デバイスパーティション
[デバイス(Devices)] ページ(ネットワーク管理プラットフォーム > デバイス>デバイス管理)からデバイスをパーティション分割できます。デバイスをサブグループに分割し、パーティションを異なるドメインに割り当てることで、これらのサブオブジェクトを異なるユーザーに割り当てることができます。ドメインに割り当てることができるデバイスのパーティションは 1 つだけです。
デバイスパーティションは、M SeriesおよびMXシリーズルーターでのみサポートされています。
デバイス パーティションの詳細については、「 デバイス パーティションの作成 」トピック(『 Junos Spaceネットワーク管理プラットフォーム ワークスペース ユーザー ガイド』)を参照してください。
変更履歴
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。