ldap-options
構文
ldap-options {
revert-interval seconds;
base-distinguished-name base-distinguished-name;
search {
admin-search;
}
allowed-groups {
group-name {
address-assignment {
pool pool-name;
}
}
}
ldap-server {
ip address;
}
}
address-assignment {
pool pool-name1 {
family inet {
network 100.127.255.255/10;
xauth-attributes {
primary-dns 100.127.255.255/12;
secondary-dns 110.127.255.255/12;
primary-wins 100.127.255.255/12;
secondary-wins 110.127.255.255/12;
}
}
}
pool pool-name2 {
family inet {
network 120.127.255.255/10;
xauth-attributes {
primary-dns 120.127.255.255/12;
secondary-dns 130.127.255.255/12;
primary-wins 120.127.255.255/12;
secondary-wins 130.127.255.255/12;
}
}
}
}
firewall-authentication {
web-authentication {
default-profile default-profile-name;
}
}
階層レベル
[edit access], [edit access profile profile-name authentication-order ldap]
説明
LDAP認証オプションを設定します。
ユーザーが認証されたユーザーグループに対して、 コマンドを使用して ldap-options ユーザーグループを設定できます。LDAPグループメンバーシップに従ってロールが割り当てられたユーザーを認証できます。属性は allowed-groups 、グループメンバーシップに従って割り当てられたユーザーを認証します。ユーザーグループのどれもユーザーグループに一致しない場合、ユーザーはシステムにアクセスできません。
構成ごとにLDAPサーバーからメンバーシップ特性を照会します。ファイアウォール認証の後、認証されたグループを持つ関連プールからIPアドレスを割り当てることができます。
オプション
| allowed-groups | 特定のグループのみのメンバーのサインインを許可します。グループ リストは 255 バイトに制限されています。 LDAPサーバーからメンバーシップ属性を受信する順序によって、設定された(許可された)グループにユーザーを関連付ける方法が決まります。ユーザーに一致させるために、構成されたグループのいずれかに一致する LDAP サーバーから受信したリストの最初のグループが使用されます。 複数のグループのメンバーであるユーザーは、LDAPサーバーの応答の順序に応じて、どちらのグループからリソースを得ることができます。ユーザーに確実に目的のリソースが割り当てられているようにするには、1 つのグループにのみ属することをお勧めします。 |
| group-name | 許可されるグループの名前。 |
| name | アドレス プール名 |
残りのオプションについては、別途説明します。 CLIエクスプローラー でステートメントを検索するか、「構文」セクションでリンクされたステートメントをクリックして詳細を確認します。
必要な権限レベル
アクセス—設定でこのステートメントを表示します。
アクセスコントロール—このステートメントを設定に追加します。
リリース情報
Junos OS のリリース 8.5 で導入されたステートメント。
allowed-groups Junos OS のリリース 21.4R1 で導入されたオプション。