このページの目次
JDM ユーザーアカウントと認証の設定
JDM ユーザーアカウントの概要
細分化されたJunos OSプラットフォームでは、すべてのコンピューティング要素が別々のコンピューティングエンティティであり、それらのユーザーアカウントとパスワードは別々に管理されます。例えば、root ユーザーアカウントを含む JDM ユーザーアカウントは、Junos VM ユーザーアカウントとは完全に分離されています。
ルートアカウント
工場出荷時のデフォルト設定では、JDM は root ユーザーアカウントでセットアップされます。ただし、アカウントにパスワードは設定されていません。初期設定の一部として root パスワードを設定する必要があります。プラットフォームの初期設定をPhone Home機能で実行する場合は、その設定にrootパスワード設定が含まれている必要があります。root パスワードを設定するまでは、一部のユーザープロンプトにアクセスできず、JDM CLI を使用して設定をコミットすることはできません。
root パスワードは、JDM CLI からのみ設定できます。JDM シェルから root パスワードを設定または変更することはできません。JDM root パスワードは、自動的に JDM シェルに伝搬されます。
Junos VNFへの自動ログイン
JCPやvSRX仮想ファイアウォールなどのJunos VNFがNFX250デバイスに存在する場合、JDM自動ログインアカウントを使用すると、パスワードなしでJunos VNFにログインできます。
JDM への自動ログインを設定するには:
root@jdm> request setup jdm-auto-login
JDMからJunos VNFにログインするには、次の手順に従います。
root@jdm> ssh jdm-sysuser@vjunos0
その他のユーザー アカウント
JDM では、root アカウント以外のユーザーアカウントを作成できます。これを行うには、JDM CLI を使用する必要があります。JDM シェルを使用してユーザーアカウントを作成することはできません。
JDM は、Junos OS と同じ機能をユーザー アカウントに対してサポートします。つまり、JDM は、ログインクラス、カスタムパスワード要件、ログイン試行回数の制限などをサポートしています。
ユーザー認証
JDM は、Junos OS がサポートするユーザー認証の 3 つの方法のうち、ローカルパスワード認証と TACACS+ 認証の 2 つをサポートしています。RADIUS認証には対応していません。
JDM ユーザーアカウントと認証の設定
ユーザーアカウントを作成し、JDM でそれらのアカウントの認証を設定するには、Junos OS の場合と同じ方法で行います。このトピックでは、ユーザー アカウントと認証を構成する方法に関する簡単なガイダンスを提供します。詳細については、Junos OS のマニュアルを参照してください。
JDM root パスワードを設定するには、次の手順に従います。
root@jdm# set system root-authentication plain-text-password
root パスワードを設定するには、JDM CLI を使用する必要があります。JDM シェルを使用して root パスワードを設定することはできません。
新しい JDM ユーザーアカウントを作成するには、次のようにします。
root@jdm# set system login user user-name class class-name authentication plain-text-password
JDM シェルから JDM ユーザーアカウントを作成することはできません。
パスワードなしでSSHを有効にするためにユーザーのSSHキーを設定するには:
root@jdm# set system login user user-name load-key-file URL-to-ssh-key-file
ユーザーアカウントのTACAS+認証を設定するには、次の手順に従います。
root@jdm# set system tacplus-server server-address secret password
メモ:TACACS+ は SSH 認証のサポートに使用され、設定が完了すると、TACACS+ の設定が JDM とホスト SSH 認証の両方に適用されます。ホストでは、TACACS+ は、ルートアカウントに対してのみ、デバイスの外部から要求された場合にのみ、SSH 要求の認証に使用されます。
オプションで、TACACS+ 認証サーバーのポート番号とタイムアウト期間を指定できます。これを行うには、次の手順を実行します。
root@jdm# set system tacplus-server server-address port port-number
root@jdm# set system tacplus-server server-address timeout period
メモ:デフォルトでは、TACACS+ ポート番号は 49 に設定され、タイムアウト期間は 5 秒に設定されます。
また、ユーザー名とユーザーのクラスを JDM でローカルに設定する必要があります。
root@jdm# set system login user user-name root@jdm# set system login user user-name class super-user
ユーザーがルートユーザーとして NFX250 デバイスにログインできるようにするには、次の手順に従います。
root@jdm# root-login allow
ユーザーがルートユーザーとしてNFX250デバイスにログインできないようにするには、次の手順に従います。
root@jdm# root-login deny
パスワードを必要としない認証方法(RSA 認証など)を使用して、ユーザーが root ユーザーとして NFX250 デバイスにログインできるようにするには、次の手順に従います。
root@jdm# root-login deny-password