Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

class (Defining Login Classes)

構文

階層レベル

説明

ログインクラスを定義します。ルーターまたはスイッチにログインするすべてのユーザーは、ログインクラスにいる必要があります。そのため、ユーザーまたはユーザーのタイプごとにJunos OSログインクラスを定義する必要があります。ユーザーが必要とする権限のタイプに応じて、任意の数のログインクラスを定義できます。ログインクラスを定義する必要はありません。Junos OSには、さまざまなニーズに合わせて事前に定義されたログインクラスがいくつかあります。ただし、事前定義されたログインクラスは変更できません。定義済みクラスと同じ名前のクラスを定義すると、Junos OSはログインクラス名に追加 -local し、新しいログインクラスを作成します。詳細については、 事前定義システムログインクラス を参照してください。

オプション

class-name

ログイン クラスに選択した名前。

access-end

終了時刻を (24 時間制) 形式で HH:MM 指定します。ここで HH 、は時間を表し MM 、分を表します。

メモ:

指定した日から始まる午前 12:00 にまたがるアクセスの開始時刻と終了時刻は、アクセス日が ステートメントで allowed-days 明示的に設定されていなくても、ユーザーは翌日までアクセスできます。

access-start

開始時刻を (24 時間制) 形式で HH:MM 指定します。ここで HH 、は時間を表し MM 、分を表します。

メモ:

指定した日から始まる午前 12:00 にまたがるアクセスの開始時刻と終了時刻は、アクセス日が ステートメントで allowed-days 明示的に設定されていなくても、ユーザーは翌日までアクセスできます。

( allow-commands | allow-commands-regexps )

このクラスのユーザーが操作モードコマンドを発行できるようにする正規表現を 1 つ以上指定します。または allow-commands-regexps ステートメントを使用してallow-commands、ログインクラスのアクセス権限レベルによって拒否されるコマンドに対する許可を明示的に許可します。

allow-commandsステートメントの場合、パイプ(|)記号で区切られた各式は、完全な独立した式でなければならず、括弧()で囲む必要があります。括弧で区切られ、パイプ(|)記号で結ばれた正規表現の間には、スペースを使用しないでください。

allow-commands-regexpsステートメントでは、各文字列が正規表現で、二重引用符で囲まれ、スペース演算子で区切られた一連の文字列を設定します。各文字列はコマンドのフルパスに対して評価され、ステートメントよりもallow-command高速なマッチングを提供します。正規表現に変数の値を含めることもできますが、これは allow-commands ステートメントではサポートされていません。

deny-commandsまたは のdeny-commands-regexpsステートメントが、同じログインクラス定義で使用されている場合は優先されます。

メモ:

allow/deny-commandsおよび allow/deny-commands-regexps ステートメントは相互に排他的であり、ログインクラス用に一緒に設定することはできません。ある時点で、ログインクラスには ステートメントまたは allow/deny-commands-regexps ステートメントのいずれかを含めることができますallow/deny-commands。ステートメントを使用するallow/deny-commands既存の設定がある場合、これらのステートメントの2つの形式で検索と一致の方法が異なるため、 ステートメントでallow/deny-commands-regexps同じ設定オプションを使用しても同じ結果が得られない可能性があります。

認証サーバーの設定でジュニパーネットワークスのベンダー固有のTACACS+属性を指定することで、認可をリモートで設定することもできます。リモート・ユーザーの場合、許可パラメーターがリモートとローカルの両方で構成されている場合、リモートとローカルの両方で構成された許可パラメーターが一緒に考慮されて許可されます。ローカル・ユーザーの場合、クラス用にローカルに構成された許可パラメーターのみが考慮されます。

  • 既定: または allow/deny-commands-regexps ステートメントを使用してallow/deny-commands動作モードコマンドの許可を設定しない場合、ユーザーは ステートメントでpermissionsアクセス権限が設定されているコマンドのみを編集できます。

  • 構文: regular-expression- POSIX 1003.2 で定義された拡張(最新)正規表現。正規表現にスペース、オペレーターまたはワイルドカード文字が含まれる場合は引用符で囲みます。必要な数の式を入力します。

( allow-configuration | allow-configuration-regexps )

1 つ以上の正規表現を指定して、 ステートメントで permissions 設定されたパーミッションがそのようなアクセスを許可していない場合でも、このクラスのユーザーが設定階層内の指定されたレベルにアクセスすることを明示的に許可します。

allow-configurationステートメントの場合、パイプ(|)記号で区切られた各式は、完全な独立した式でなければならず、括弧()で囲む必要があります。括弧で区切られ、パイプ(|)記号で結ばれた正規表現の間には、スペースを使用しないでください。

allow-configuration-regexpsステートメントでは、各文字列が正規表現で、二重引用符で囲まれ、スペース演算子で区切られた一連の文字列を設定します。各文字列はコマンドのフルパスに対して評価され、ステートメントよりもallow/deny-configuration高速なマッチングを提供します。正規表現に変数の値を含めることもできますが、これは allow/deny-configuration ステートメントではサポートされていません。

または ステートメントが同じ deny-configuration ログインクラス定義で使用されている場合は、それが deny-configuration-regexps 優先されます。

メモ:

allow/deny-configurationおよび allow/deny-configuration-regexps ステートメントは相互に排他的であり、ログインクラス用に一緒に設定することはできません。ある時点で、ログインクラスには ステートメントまたは allow/deny-configuration-regexps ステートメントのいずれかを含めることができますallow/deny-configuration。ステートメントを使用するallow/deny-configuration既存の設定がある場合、これらのステートメントの2つの形式で検索と一致の方法が異なるため、 ステートメントでallow/deny-configuration-regexps同じ設定オプションを使用しても同じ結果が得られない可能性があります。

  • 既定: ステートメントと ステートメントをdeny-configuration/deny-configuration-regexps省略allow-configuration/allow-configuration-regexpsした場合、ユーザーは ステートメントを介してpermissionsアクセス権限を持つコマンドのみを編集できます。

  • 構文: regular-expression- POSIX 1003.2 で定義された拡張(最新)正規表現。正規表現にスペース、オペレーターまたはワイルドカード文字が含まれる場合は引用符で囲みます。必要な数の式を入力します。

allow-configuration-exact-match

このオプションでは、正規表現に加えて、完全な階層文字列とワイルドカードを使用します。、 deleteactive、または deactive を含むset階層を指定して、このクラスのユーザーが指定された設定にアクセスできるようにします。

このオプションallow-configuration-exact-matchでは、 オプションよりもアクセス権限をきめ細かくallow-configuration制御できます。例えば、を使用してログインクラスに設定へのアクセスset interfacesを許可した場合allow-configuration-exact-match set interfaces <*>、設定へのアクセスdelete interfacesは許可されません。

と の両方に allow-configuration-exact-match 同じ設定を設定すると deny-configuration-exact-match、設定アクセスが拒否されます。

allow-grpc-rpc-regexps

1 つ以上の正規表現を指定して、このクラスのユーザーが一致する GRPC RPC を実行することを明示的に許可します

allow-grpc-rpc-regexpsステートメントでは、各文字列が正規表現で、二重引用符で囲まれ、スペース演算子で区切られた一連の文字列を設定します。

ステートメントは deny-grpc-rpc-regexps 、同じログインクラス定義内で と一緒に allow-grpc-rpc-regexps 使用される場合に優先されます。

  • 構文: regular-expression- POSIX 1003.2 で定義された拡張(最新)正規表現。正規表現にスペース、オペレーターまたはワイルドカード文字が含まれる場合は引用符で囲みます。必要な数の式を入力します。

allow-hidden-commands

すべての非表示コマンドの実行を許可します。no-hidden-commands ステートメントが [edit system] 階層レベルで指定されている場合、 はこのログインクラスの制限を上書きします。 隠しコマンドとは、公開されていないJunos OSコマンドのことですが、ルーター上で実行できる可能性があります。隠しコマンドは特定の目的を果たしますが、ほとんどの場合、使用されることは想定されていないため、積極的にはサポートされていません。階層レベルで no-hidden-commands ステートメントを使用すると [edit system] 、root ユーザーを除くすべてのユーザーに対してすべての非表示コマンドをブロックできます。

  • 既定: 非表示のコマンドはデフォルトで有効になっています。

allowed-days [ days of the week ]

このクラスのユーザーがログインできる曜日を 1 つ以上指定します。

  • 値:

    • 月曜日—月曜日

    • 火曜日—火曜日

    • 水曜日—水曜日

    • 木曜日—木曜日

    • 金曜日—金曜日

    • 土曜日—土曜日

    • 日曜日—日曜日

cli

ログインクラスに指定されたCLIプロンプトを設定します。CLIプロンプトが[システムログインユーザーCLIを編集]階層レベルでも設定されている場合、ログインユーザーに設定されたプロンプトがログインクラスに設定されたプロンプトよりも優先されます。

prompt prompt

CLI プロンプトに表示したいプロンプト文字列を指定します。

configuration-breadcrumbs

CLI で構成パンくずリスト表示を有効にして、構成階層内の場所を表示します。このビューを有効にする方法の例については、 設定ブレッドクラムの有効化 を参照してください。

confirm-commands

特定のコマンドの確認が明示的に必要であることを指定し、オプションで、確認時に表示されるメッセージの文言を指定します。正規表現またはコマンドのリストを使用して、コマンドを指定できます。

  • 構文: message

  • 既定: このオプションを省略した場合、コマンドの確認は必要ありません。オプションのメッセージが設定されていない場合は、デフォルトの「続行しますか?」メッセージが表示されます。

( deny-commands | deny-commands-regexps )

1つ以上の正規表現を指定して、このクラスのユーザーに操作モードコマンドを発行する権限を明示的に拒否します。たとえ permissions ステートメントで設定された権限で許可される場合でも同様です。

deny-commandsステートメントの場合、パイプ(|)記号で区切られた各式は、完全な独立した式でなければならず、括弧()で囲む必要があります。括弧で区切られ、パイプ(|)記号で結ばれた正規表現の間には、スペースを使用しないでください。

deny-commands-regexpsステートメントでは、各文字列が正規表現で、二重引用符で囲まれ、スペース演算子で区切られた一連の文字列を設定します。各文字列はコマンドのフルパスに対して評価され、ステートメントよりもallow/deny-command高速なマッチングを提供します。正規表現に変数の値を含めることもできますが、これは allow/deny-commands ステートメントではサポートされていません。

または deny-commands-regexps ステートメントでdeny-commands設定された式は、2 つのステートメントが同じログインクラス定義で使用されている場合、 でallow-commands/allow-commands-regexps設定された式よりも優先されます。

メモ:

allow/deny-commandsおよび allow/deny-commands-regexps ステートメントは相互に排他的であり、ログインクラス用に一緒に設定することはできません。ある時点で、ログインクラスには ステートメントまたは allow/deny-commands-regexps ステートメントのいずれかを含めることができますallow/deny-commands。ステートメントを使用するallow/deny-commands既存の設定がある場合、これらのステートメントの2つの形式で検索と一致の方法が異なるため、 ステートメントでallow/deny-commands-regexps同じ設定オプションを使用しても同じ結果が得られない可能性があります。

認証サーバーの設定でジュニパーネットワークスのベンダー固有のTACACS+属性を指定することで、認可をリモートで設定することもできます。リモート・ユーザーの場合、許可パラメーターがリモートとローカルの両方で構成されている場合、リモートとローカルの両方で構成された許可パラメーターが一緒に考慮されて許可されます。ローカル・ユーザーの場合、クラス用にローカルに構成された許可パラメーターのみが考慮されます。

  • 既定: または allow/deny-commands-regexpsを使用してallow/deny-commands動作モードコマンドの権限を設定しない場合、ユーザーは ステートメントでpermissionsアクセス権限が設定されているコマンドのみを編集できます。

  • 構文: regular-expression- POSIX 1003.2 で定義された拡張(最新)正規表現。正規表現にスペース、オペレーターまたはワイルドカード文字が含まれる場合は引用符で囲みます。必要な数の式を入力します。

( deny-configuration | deny-configuration-regexps )

1つ以上の正規表現を指定して、 ステートメントで permissions 設定されたパーミッションがそのようなアクセスを許可する場合でも、設定階層内の指定されたレベルへのこのクラスのユーザーのアクセスを明示的に拒否します。特定の階層に対する設定アクセスが拒否された場合、ユーザーはその階層を表示できないことに注意してください。

deny-configurationステートメントの場合、パイプ(|)記号で区切られた各式は、完全な独立した式でなければならず、括弧()で囲む必要があります。括弧で区切られ、パイプ(|)記号で結ばれた正規表現の間には、スペースを使用しないでください。

deny-configuration-regexpsステートメントでは、各文字列が正規表現で、二重引用符で囲まれ、スペース演算子で区切られた一連の文字列を設定します。各文字列はコマンドのフルパスに対して評価され、ステートメントよりもallow/deny-configuration高速なマッチングを提供します。正規表現に変数の値を含めることもできますが、これは allow/deny-configuration ステートメントではサポートされていません。

deny-configuration/deny-configuration-regexps 設定された式は、2つのステートメントが同じログインクラス定義で使用されている場合、で allow-configuration/allow-configuration-regexps 設定された式よりも優先されます。

メモ:

allow/deny-configurationおよび allow/deny-configuration-regexps ステートメントは相互に排他的であり、ログインクラス用に一緒に設定することはできません。ある時点で、ログインクラスには ステートメントまたは allow/deny-configuration-regexps ステートメントのいずれかを含めることができますallow/deny-configuration。ステートメントを使用するallow/deny-configuration既存の設定がある場合、これらのステートメントの2つの形式で検索と一致の方法が異なるため、 ステートメントでallow/deny-configuration-regexps同じ設定オプションを使用しても同じ結果が得られない可能性があります。

  • 既定: ステートメントと ステートメントをallow-configuration/allow-configuration-regexps省略deny-configuration/deny-configuration-regexpsした場合、ユーザーは ステートメントを使用してpermissionsアクセス権限を持つ設定階層内のレベルを編集できるようになります。

  • 構文: regular-expression- POSIX 1003.2 で定義された拡張(最新)正規表現。正規表現にスペース、オペレーターまたはワイルドカード文字が含まれる場合は引用符で囲みます。必要な数の式を入力します。

deny-configuration-exact-match

このオプションでは、正規表現に加えて、完全な階層文字列とワイルドカードを使用します。、 deleteactiveまたは deactive を含むset階層を指定して、このクラスのユーザーが指定された設定にアクセスすることを明示的に拒否します。

このオプション deny-configuration-exact-match では、オプションよりも deny-configuration きめ細かく特権の拒否を制御できます。例えば deny-configuration-exact-match set interfaces <*> 、を使用してログインクラスの設定へのアクセス set interfaces を拒否した場合、設定へのアクセス set interfaces は許可されません。

と の両方に allow-configuration-exact-match 同じ設定を設定すると deny-configuration-exact-match、設定アクセスが拒否されます。

deny-configuration-exact-match 拒否された構成は、構成されている場合エラー Permission denied を返します。拒否された設定は、Junos CLI で Tab キーまたは Space キーを使用すると、オートコンプリート エントリとして表示されます。

deny-grpc-rpc-regexps

このクラスのユーザーが一致する GRPC RPC を実行できないように、1 つ以上の正規表現を指定します

deny-grpc-rpc-regexpsステートメントでは、各文字列が正規表現で、二重引用符で囲まれ、スペース演算子で区切られた一連の文字列を設定します。

このステートメントは deny-grpc-rpc-regexpsallow-grpc-rpc-regexps 同じログインクラス定義で使用されている場合よりも優先されます。

  • 構文: regular-expression- POSIX 1003.2 で定義された拡張(最新)正規表現。正規表現にスペース、オペレーターまたはワイルドカード文字が含まれる場合は引用符で囲みます。必要な数の式を入力します。

idle-timeout

ログインクラスでは、セッションがタイムアウトしてユーザーがデバイスからログアウトされるまでに、セッションがアイドル状態を維持できる最大時間を分単位で設定します。セッションは、指定された時間、CLI 動作モード プロンプトが表示されたままになると、タイムアウトになります。

メモ:

ユーザーが csh などのシェル プロンプトからデバイスにログインした後、CLI のフォアグラウンドで実行する別のプログラムを起動すると、アイドル タイマー コントロールの計算が停止します。CLI セッションのアイドル時間の計算は、フォアグラウンド プロセスが終了し、制御がシェル プロンプトに戻った後にのみ再開されます。アイドルタイマーコントロールの再起動が発生したときに、シェルでユーザーからの対話が発生しない場合、ユーザーはこのステートメントに設定された時間が経過すると自動的にログアウトされます。

  • 既定: このステートメントを省略すると、アイドル時間が長くなった後、ユーザーがシステムから強制的に停止されることはありません。

  • 構文: minutes- ユーザーがログアウトする前にセッションをアイドル状態にできる最大時間 (分)。

  • 範囲: 範囲: 0 から 4294967295 分

    メモ:

    minutes 値が 0 に設定されている場合、アイドルタイムアウト機能は無効になります。

login-alarms

権限を持つ admin ユーザーがデバイスにログインしたときに、システム アラームを表示します。このステートメントの設定の詳細については、 ログイン時に自動的に表示されるシステムアラームの設定を参照してください。

login-script

クラスに属するユーザーがCLIにログインしたときに、指定されたopスクリプトを実行します。スクリプトは、構成で有効にする必要があります。

logical-system

このログインクラスのユーザーを論理システムに割り当てます。論理システムを指定する場合、このログインクラスの設定にサテライト設定ステートメントを含めることはできません。

login-tip

ログイン時にCLIのヒントを表示します。

  • 既定: このステートメントが設定されていない場合、CLIチップは表示されません。

no-hidden-commands

このログインクラスのユーザーに対して、指定されたものを除くすべての非表示コマンドを拒否します。例外として記載されている各コマンドは、引用符で囲む必要があります。

  • 既定: 非表示のコマンドはデフォルトで有効になっています。

  • 構文: 除く [“command 1” “command 2”...]

no-scp-server

このログインクラスの着信SCP接続を無効にします。

no-sftp-server

このログインクラスの受信SFTP接続を無効にします。

permissions

ログインクラスのログインアクセス権限を指定します。

  • 構文: permissions- 1 つ以上のパーミッション フラグで、ログイン クラスのアクセス権限を指定します。パーミッション フラグは累積されないため、情報configureを表示する や、構成モードに移行する などview、必要なすべてのパーミッション フラグをクラスごとにリストする必要があります。パーミッションフラグのリストについては、 ログインクラスのパーミッションフラグを参照してください

satellite

ログインクラスにJunos Fusionサテライトデバイスへのアクセスを指定します。ログインクラスに割り当てられたすべてのユーザーは、サテライトユーザーです。このステートメントを含める場合、このログインクラスの設定に logical-system 設定ステートメントを含めることはできません。

  • 値:

    • all—すべてのJunos Fusionサテライトデバイスを指定します。

security-role

ログイン・クラスに 1 つ以上の共通基準 (ISO/IEC 15408) セキュリティー・ロールを指定します。

  • 値:

    audit-administrator

    特定の評価対象 (TOE) 監査データの定期的なレビューと監査証跡の削除を担当するユーザーを指定します。監査管理者は、非暗号化セルフテストを呼び出すこともできます。

    crypto-administrator

    TOE 監査データとの間のセキュアな接続の確立に関連する暗号化要素の設定と保守を担当するユーザーを指定します。

    ids-administrator

    組織の従業員の ID およびアクセス管理に関するすべてのアクティビティーを担当する侵入検出サービス (IDS) 管理者として行動できるユーザーを指定します。

    security-administrator

    組織のセキュリティ ポリシーを確実に適用する責任を負うユーザーを指定します。

tenant

このクラスのユーザーをテナント システムに割り当てます。テナントシステムは、部門、組織、または顧客を分離する必要がある場合に使用され、それぞれを1つの仮想ルーターに制限できます。論理システムとテナントシステムの主な違いは、論理システムが複数のルーティングインスタンスを使用して高度なルーティング機能をサポートすることです。これに対し、テナントシステムは1つのルーティングインスタンスしかサポートしませんが、システムごとにはるかに多くのテナントの導入をサポートします。

web-ui-hidden-menus

J-Webインターフェイスで非表示のメニューを有効にします。

web-ui-read-only-menus

J-Webインターフェイスで読み取り専用メニューを有効にします。

必要な権限レベル

admin:設定でこのステートメントを表示します。

admin-control—このステートメントを設定に追加します。

リリース情報

、 、 、 、 allow-configurationdeny-configurationidle-timeoutlogin-tiplogin-alarmsおよび permissions ステートメントはclass、Junos OSリリース7.4より前に導入されました。 deny-commandsallow-commands

前述のステートメントはすべて、EXシリーズのJunos OSリリース9.0で導入されました。

この login-script ステートメントは、Junos OSリリース9.5で導入されました。

access-endaccess-start、および allowed-days ステートメントは、Junos OSリリース10.1で導入されました。

前述のステートメントはすべて、QFXシリーズのJunos OSリリース11.1で導入されました。

前述のステートメントはすべて、SRXシリーズのJunos OSリリース11.2で導入されました。

deny-configuration-regexps、および security-role ステートメントはallow-configuration-regexps、Junos OSリリース11.2で導入されました。

この configuration-breadcrumbs ステートメントは、Junos OSリリース12.2で導入されました。

前述のステートメントはすべて、OCXシリーズのJunos OSリリース14.1X53-D20で導入されました。

前述のステートメントはすべて、vSRX仮想ファイアウォール、SRX4100、SRX4200、およびSRX1500デバイス向けのJunos OSリリース15.1X49-D70で導入されました。

前述のステートメントはすべて、MXシリーズおよびPTXシリーズのJunos OSリリース16.1で導入されました。

allow-hidden-commandsconfirm-commandsno-hidden-commands、および satellite ステートメントは、Junos OSリリース16.1で導入されました。

この cli ステートメントは、Junos OSリリース17.3で導入されました。

および deny-commands-regexps ステートメントはallow-commands-regexps、Junos OSリリース18.1で導入されました。

この tenant ステートメントはJunos OS 18.4で導入されました。

および no-sftp-server ステートメントはno-scp-server、Junos OSリリース19.2で導入されました。

および web-ui-read-only-menus ステートメントはweb-ui-hidden-menus、SRXプラットフォーム向けJunos OS 21.3で導入されました。