JDM ユーザー アカウントと認証の設定
JDM ユーザー アカウントの概要
細分化された Junos OS プラットフォームでは、すべてのコンピューティング要素は別々のコンピューティング エンティティであり、ユーザー アカウントとパスワードは別々に管理されます。たとえば、ルート ユーザー アカウントを含む JDM ユーザー アカウントは、Junos VM ユーザー アカウントとは完全に独立しています。
Root アカウント
工場出荷時のデフォルト設定では、JDM は root ユーザー アカウントで設定されます。ただし、アカウントのパスワード設定はありません。初期設定の一部として root パスワードを設定する必要があります。プラットフォームの初期設定が電話ホーム機能を通じて実行される場合、設定にはrootパスワード設定を含む必要があります。root パスワードを設定するまで、一部のユーザー プロンプトにアクセスすることはできず、JDM CLI を使用して設定をコミットすることもできません。
root パスワードは、JDM CLI からのみ設定できます。JDM シェルから root パスワードを設定または変更することはできません。JDM root パスワードは、JDM シェルに自動的に伝送されます。
Junos VNF 用自動ログイン
NFX250デバイスにJCPやvSRXなどのJunos VNFが存在する場合、JDM自動ログインアカウントを使用すると、パスワードなしでJunos VNFにログインできます。
JDM への自動ログインを設定するには:
root@jdm> request setup jdm-auto-login
JDM から Junos VNF にログインするには、
root@jdm> ssh jdm-sysuser@vjunos0
その他のユーザー アカウント
JDM では、ルート アカウント以外のユーザー アカウントを作成できます。これを行うには、JDM CLI を使用する必要があります。JDM シェルを使用してユーザー アカウントを作成することはできません。
JDM は、Junos OS と同じ機能をユーザー アカウントでサポートしています。つまり、JDM は、ログイン クラス、カスタム パスワード要件、ログイン試行回数の制限などをサポートします。
ユーザー認証
JDM は、Junos OS がサポートするユーザー認証の 3 つの方法(ローカル パスワード認証と TACACS+ 認証)のうち 2 つをサポートしています。RADIUS認証をサポートしていません。
JDM ユーザー アカウントと認証の設定
Junos OS と同じ方法で、JDM でユーザー アカウントを作成し、それらのアカウントの認証を設定します。このトピックでは、ユーザー アカウントと認証を構成する方法に関するいくつかの簡単なガイダンスを提供します。詳細については、Junos OS のマニュアルを参照してください。
JDM root パスワードを設定するには、以下の手順にしたがっています。
root@jdm# set system root-authentication plain-text-password
JDM CLI を使用して root パスワードを設定する必要があります。JDM シェルを使用して root パスワードを設定することはできません。
新しい JDM ユーザー アカウントを作成するには、
root@jdm# set system login user user-name class class-name authentication plain-text-password
JDM シェルから JDM ユーザー アカウントを作成することはできません。
ユーザーがパスワードなしでSSHを有効にできるようにSSHキーを設定するには:
root@jdm# set system login user user-name load-key-file URL-to-ssh-key-file
ユーザーアカウントに対してTACAS+認証を設定するには、
root@jdm# set system tacplus-server server-address secret password
メモ:TACACS+はSSH認証をサポートするために使用され、設定が完了すると、JDMとホストSSH認証の両方にTACACS+設定が適用されます。ホストでは、TACACS+を使用して、ルートアカウントに対してのみSSHリクエストを認証し、デバイスの外部から要求された場合に使用されます。
オプションで、TACACS+ 認証サーバーのポート番号とタイムアウト期間を指定できます。そのためには、以下の手順にしたがっています。
root@jdm# set system tacplus-server server-address port port-number
root@jdm# set system tacplus-server server-address timeout period
メモ:デフォルトでは、TACACS+ポート番号は49に設定され、タイムアウト期間は5秒に設定されています。
また、JDM でローカルにユーザー名とユーザークラスを設定する必要があります。
root@jdm# set system login user user-name root@jdm# set system login user user-name class super-user
ユーザーが root ユーザーとして NFX250 デバイスにログインできるようにするには、以下の手順に従います。
root@jdm# root-login allow
ユーザーが root ユーザーとして NFX250 デバイスにログインできないようにするには、次の手順に従います。
root@jdm# root-login deny
パスワードを必要としない認証方法(RSA 認証など)を使用して、ユーザーが nFX250 デバイスに root ユーザーとしてログインできるようにするには、以下の手順に従います。
root@jdm# root-login deny-password