論理システムの設定
例:論理システムの root パスワードの設定
要件
開始する前に、 SRX シリーズ論理システムプライマリ管理者構成タスクの概要 を参照して、このタスクが全体の構成プロセスにどのように適合するかを理解します。
この例では、論理システムでJunos OSを実行するSRX5600デバイスを使用しています。
概要
Junos OS ソフトウェアは、工場から提供される前にルーターにインストールされます。ルーターの電源を入れると、すぐに設定できます。最初は、パスワードを使用せずに root ユーザーとしてログインします。
ログイン後、root ユーザーのパスワード、または論理システムの用語では、プライマリ管理者を設定できます。プライマリ管理者は、デバイス上で root 権限を持っています。
トポロジ
構成
root パスワードの設定
手順
デバイスの root パスワードを設定します。
user@host# set system root-authentication Talk22rt6
例:ユーザー論理システム、管理者、ユーザー、相互接続論理システムの作成
この例では、ユーザー論理システムを作成し、管理者を割り当てる方法を示しています。この図は、ユーザーをユーザー論理システムに追加する方法を示しています。この例では、オプションの相互接続論理システムを作成する方法を示しています。
管理者とユーザーのユーザー ログイン アカウントを作成できるのは、プライマリ管理者だけです。ユーザーの論理システム管理者が自分の論理システムにユーザーを追加したい場合は、その情報を 1 次管理者に伝え、ユーザーを追加する必要があります。
要件
この例では、論理システムでJunos OSを実行するSRX5600デバイスを使用しています。
概要
開始する前に、 SRX シリーズ論理システムプライマリ管理者構成タスクの概要 を参照して、このタスクが全体の構成プロセスにどのように適合するかを理解します。
この例は、製品設計、マーケティング、および会計部門を含む企業を対象としています。同社は、ハードウェアとエネルギーコストを抑制したいと考えていますが、部門間やインターネットにデータを公開するリスクはありません。
各部門には、他の部門とインターネットの両方に関して独自のセキュリティ要件があります。セキュリティを損なうことなくコスト管理の要件を満たすために、同社はSRX5600デバイスを導入しています。プライマリ管理者は、3つのユーザー論理システムを設定し、各部門にプライベートで完全に保護された論理デバイスを提供します。
このトピックでは、以下の方法について説明します。
トラフィックが論理システム間を通過できるように、内部VPLSスイッチとして使用されるユーザー論理システムと相互接続論理システムを作成します。
相互接続論理システム以外のユーザー論理システムの管理者を作成します。ユーザー論理システムは複数の管理者を持つことができます。相互接続論理システムには管理者は必要ありません。
ユーザーをユーザー論理システムに追加します。
メモ:この例では、lsdesignuser1とlsdesignuser2という2つのユーザーのみを設定する方法を示しています。実際には、すべてのユーザー論理システムには、この例に示すような設定を必要とする多くのユーザーが含まれます。
トポロジ
図 1 は、論理システムに導入および設定されたSRX5600デバイスを示しています。構成例は、この導入を反映しています。

構成
ユーザー論理システム、管理者、ユーザー、相互接続論理システムの設定
CLI クイックコンフィギュレーション
この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
set logical-systems ls-product-design set system login class ls-design-admin logical-system ls-product-design set system login class ls-design-admin permissions all set system login user lsdesignadmin1 full-name lsdesignadmin1 set system login user lsdesignadmin1 class ls-design-admin set system login user lsdesignadmin1 authentication encrypted-password "$ABC123" set system login class ls-design-user logical-system ls-product-design set system login class ls-design-user permissions view set system login user lsdesignuser1 full-name lsdesignuser1 set system login user lsdesignuser1 class ls-design-user set system login user lsdesignuser1 authentication encrypted-password "$ABC123" set system login user lsdesignuser2 full-name lsdesignuser2 set system login user lsdesignuser2 class ls-design-user set system login user lsdesignuser2 authentication encrypted-password "$ABC123" set logical-systems ls-marketing-dept set system login class ls-marketing-admin logical-system ls-marketing-dept set system login class ls-marketing-admin permissions all set system login user lsmarketingadmin1 class ls-marketing-admin set system login user lsmarketingadmin1 full-name lsmarketingadmin1 set system login user lsmarketingadmin1 authentication encrypted-password "$ABC123" set system login user lsmarketingadmin2 full-name lsmarketingadmin2 set system login user lsmarketingadmin2 class ls-marketing-admin set system login user lsmarketingadmin2 authentication encrypted-password "$ABC123" set logical-systems ls-accounting-dept set system login class ls-accounting-admin logical-system ls-accounting-dept set system login class ls-accounting-admin permissions all set system login user lsaccountingadmin1 full-name lsaccountingadmin1 set system login user lsaccountingadmin1 class ls-accounting-admin set system login user lsaccountingadmin1 authentication encrypted-password "$ABC123" set logical-systems interconnect-logical-system
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
最初のユーザー論理システムを作成し、その管理者を定義します。
手順
ユーザー論理システムを作成します。
[edit] user@host# set logical-systems ls-product-design
ユーザーログインクラスをユーザー論理システムに割り当てます。
[edit system] user@host# set login class ls-design-admin logical-system ls-product-design
ログインクラスを作成して、ユーザー論理システムに対する完全な権限をユーザー論理システム管理者に付与します。
[edit system] user@host# set login class ls-design-admin permissions all
ユーザー論理システム管理者に氏名を割り当てます。
[edit system] user@host# set login user lsdesignadmin1 full-name lsdesignadmin1
ログインクラスをユーザー論理システム管理者に関連付けて、管理者がユーザー論理システムにログインできるようにします。
[edit system] user@host# set login user lsdesignadmin1 class ls-design-admin
ユーザー論理システム管理者のユーザー ログイン パスワードを作成します。
[edit system] user@host# set login user lsdesignadmin1 authentication plain-text-password New password: Talk1234 Retype new password: Talk1234
論理システムの最初のユーザーを設定します。
手順
ユーザーログインクラスを設定し、ユーザー論理システムに割り当てます。
[edit system] user@host# set login class ls-design-user logical-system ls-product-design
最初のユーザーに論理システムのリソースと設定を表示して変更できないようにするには、ログインクラスへの権限として割り当てます
view
。[edit system] user@host# set login class ls-design-user permissions view
論理システム・ユーザーに氏名を割り当てます。
[edit system] user@host# set login user lsdesignuser1 full-name lsdesignuser1
ログインクラスをユーザーに関連付けて、ユーザーがユーザー論理システムにログインできるようにします。
user@host# set login user lsdesignuser1 class ls-design-user
そのユーザーのユーザーログインパスワードを作成します。
[edit system] user@host# set login user lsdesignuser1 authentication plain-text-password New password: Talk4234 Retype new password: Talk4234
論理システム ls-product-design の 2 番目のユーザーを作成します。
手順
フルネームをユーザーに割り当てます。
[edit system] user@host# set login user lsdesignuser2 full-name lsdesignuser2
ユーザーをログインクラスに関連付けて、ユーザーがユーザー論理システムにログインできるようにします。
user@host# set login user lsdesignuser2 class ls-design-user
ユーザーログインパスワードを作成します。
[edit system] user@host# set login user lsdesignuser2 authentication plain-text-password New password: Talk9234 Retype new password: Talk9234
2 番目のユーザー論理システムを作成し、その管理者を定義します。
手順
ユーザー論理システムを作成します。
[edit] user@host# set logical-systems ls-marketing-dept
ユーザーログインクラスを設定し、ユーザー論理システムに割り当てます。
[edit system] user@host# set login class ls-marketing-admin logical-system ls-marketing-dept
ユーザー論理システムをユーザー論理システム管理者が制御するには、ログインクラスへの権限として割り当てます
all
。[edit system] user@host# set login class ls-marketing-admin permissions all
ユーザー論理システム管理者に氏名を割り当てます。
[edit system] user@host# set login user lsmarketingadmin1 full-name lsmarketingadmin1
ユーザー論理システム管理者をログインクラスに関連付けて、管理者がユーザー論理システムにログインできるようにします。
[edit system] user@host# set login user lsmarketingadmin1 class ls-marketing-admin
ユーザー論理システム管理者のユーザー ログイン パスワードを作成します。
[edit system] user@host# set login user lsmarketingadmin1 authentication plain-text-password New password: Talk2345 Retype new password: Talk2345
ls-marketing-dept 論理システム用の 2 番目のユーザー論理システム管理者を作成します。
手順
ユーザー論理システム管理者に氏名を割り当てます。
[edit system] user@host# set login user lsmarketingadmin2 full-name lsmarketingadmin2
ユーザー論理システム管理者をログインクラスに関連付けて、管理者がユーザー論理システムにログインできるようにします。
[edit system] user@host# set login lsmarketingadmin2 class ls-marketing-admin
ユーザー論理システム管理者のユーザー ログイン パスワードを作成します。
[edit system] user@host# set login user lsmarketingadmin2 authentication plain-text-password New password: Talk6345 Retype new password: Talk6345
3 番目のユーザー論理システムを作成し、その管理者を定義します。
手順
ユーザー論理システムを作成します。
[edit] user@host# set logical-systems ls-accounting-dept
ユーザーログインクラスを設定し、ユーザー論理システムに割り当てます。
[edit system] user@host# set login class ls-accounting-admin logical-system ls-accounting-dept
ユーザー論理システムをユーザー論理システムに対してユーザー論理システム管理者が制御するには、ログインクラスに権限を割り当てます。
[edit system] user@host# set login class ls-accounting-admin permissions all
ユーザー論理システム管理者に氏名を割り当てます。
[edit system] user@host# set login user lsaccountingadmin1 full-name lsaccountingadmin1
ユーザー論理システム管理者をログインクラスに関連付けて、管理者がユーザー論理システムにログインできるようにします。
[edit system] user@host# set login user lsaccountingadmin1 class ls-accounting-admin
ユーザー論理システム管理者のログイン パスワードを作成します。
[edit system] user@host# set login user lsaccountingadmin1 authentication plain-text-password New password: Talk5678 Retype new password: Talk5678
相互接続論理システムを設定して、論理システムが相互にトラフィックを渡せるようにします。
user@host# set logical-systems interconnect-logical-system
結果
設定モードから、 コマンドを入力して設定を show logical-systems
確認し、論理システムが作成されたことを確認します。また、定義した show system login class
各クラスの コマンドを入力します。
論理システム管理者が作成されていることを確認するには、 コマンドを show system login user
入力します。
出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
user@host# show logical-systems ? interconnect-logical-system; ls-accounting-dept; ls-marketing-dept; ls-product-design;
user@host# show system login class ls-design-admin logical-system ls-product-design; permissions all;
user@host# show system login class ls-design-user logical-system ls-product-design permissions view;
user@host show system login class ls-marketing-admin logical-system ls-marketing-dept; permissions all;
user@host show system login class ls-accounting-admin logical-system ls-accounting-dept; permissions all;
user@host show system login user ? lsaccountingadmin1 lsaccountingadmin1 lsdesignadmin1 lsdesignadmin1 lsdesignuser2 lsdesignuser2 lsmarketingadmin1 lsmarketingadmin1 lsmarketingadmin2 lsmarketingadmin2
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
プライマリ論理システムからのユーザー論理システムとログイン設定の検証
目的
ユーザー論理システムが存在し、プライマリ管理者が root から入力できることを確認します。ユーザー論理システムから 1 次論理システムに戻ります。
アクション
動作モードから、以下のコマンドを入力します。
root@host> set cli logical-system ls-product-design Logical system:ls-product-design root@host:ls-product-design>
root@host:ls-product-design> clear cli logical-system Cleared default logical system root@host>
root@host> set cli logical-system ls-marketing-dept Logical system:ls-marketing-dept root@host:ls-marketing-dept>
root@host:ls-marketing-dept> clear cli logical-system Cleared default logical system root@host>
root@host> set cli logical-system ls-accounting-dept Logical system:ls-accounting-dept root@host:ls-accounting-dept>
root@host:ls-accounting-dept> clear cli logical-system Cleared default logical system root@host>
SSHを使用したユーザー論理システムとログイン設定の検証
目的
作成したユーザー論理システムが存在し、作成した管理者のログイン ID とパスワードが正しいことを確認します。
アクション
SSHを使用して、ユーザー管理者が行うのと同様に、各ユーザー論理システムにログインします。
-
SRXシリーズファイアウォールのIPアドレスを指定したSSHを実行します。
作成したいずれかのユーザー論理システムの管理者のログイン ID とパスワードを入力します。ログイン後、プロンプトに管理者名が表示されます。この結果は、ルートにある 1 次論理システムからユーザー論理システムにログインするときに生成される結果とどのように異なっているかに注意してください。すべてのユーザー論理システムに対してこの手順を繰り返します。
login: lsdesignadmin1 Password: Talk1234 lsdesignadmin1@host: ls-product-design>