ldap-options
構文
ldap-options {
revert-interval seconds;
base-distinguished-name base-distinguished-name;
search {
admin-search;
}
allowed-groups {
group-name {
address-assignment {
pool pool-name;
}
}
}
ldap-server {
ip address;
}
}
address-assignment {
pool pool-name1 {
family inet {
network 100.127.255.255/10;
xauth-attributes {
primary-dns 100.127.255.255/12;
secondary-dns 110.127.255.255/12;
primary-wins 100.127.255.255/12;
secondary-wins 110.127.255.255/12;
}
}
}
pool pool-name2 {
family inet {
network 120.127.255.255/10;
xauth-attributes {
primary-dns 120.127.255.255/12;
secondary-dns 130.127.255.255/12;
primary-wins 120.127.255.255/12;
secondary-wins 130.127.255.255/12;
}
}
}
}
firewall-authentication {
web-authentication {
default-profile default-profile-name;
}
}
階層レベル
[edit access], [edit access profile profile-name authentication-order ldap]
説明
LDAP 認証オプションを設定します。
ユーザー認証されたユーザーグループに対して、 コマンドを使用してユーザーグループ ldap-options を設定できます。役割が割り当てられたユーザーは、LDAP グループメンバーシップに従って認証できます。この属性は allowed-groups 、グループ メンバーシップに従って割り当てられたユーザーを認証します。どのユーザー・グループもユーザー・グループと一致しない場合、そのユーザーはシステムにアクセスできません。
メンバーシップ特性は、構成に従って LDAP サーバーから照会されます。ファイアウォール認証後、認証されたグループに関連付けられたプールからIPアドレスをユーザーに割り当てることができます。
オプション
| allowed-groups | 特定のグループのメンバーのみにサインインを許可します。グループ リストは 255 バイトに制限されています。 LDAP サーバーからメンバーシップ属性を受け取る順序によって、構成済み(許可)グループとユーザーを関連付ける方法が決まります。ユーザーを照合するには、LDAP サーバーから受信したリスト内の最初のグループのうち、構成されたグループのいずれかに一致するものが使用されます。 複数のグループのメンバーであるユーザーは、LDAP サーバーの応答の順序に応じて、いずれかのグループからリソースを取得できます。ユーザーに目的のリソースを確実に割り当てるために、ユーザーは 1 つのグループにのみ属することをお勧めします。 |
| group-name | 許可するグループの名前。 |
| name | アドレス プール名 |
残りのオプションについては、個別に説明します。 詳細については、CLI エクスプローラー でステートメントを検索するか、「構文」セクションでリンクされたステートメントをクリックしてください。
必要な権限レベル
access—設定でこのステートメントを表示します。
access-control—設定にこのステートメントを追加します。
リリース情報
Junos OSのリリース8.5で導入されたステートメント。
allowed-groups Junos OS のリリース 21.4R1 で導入された オプション。