Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

管理ロール

Junos OS Evolved を使用すると、システム ユーザーをシステムの特定の種類の管理者として機能するように定義できます。ユーザーに管理ロールを割り当てるには、ログインクラスに管理ロール属性を設定します。管理ユーザーに対して、監査担当者 crypto-officer、security-officer、ids-officer などのロール属性の 1 つを割り当てることができます。

管理ロールの設計方法

システム・ユーザーは、ユーザーがシステムの特定の種類の管理者として機能することを可能にするクラスのメンバーにすることができます。アイテムの表示または変更に特定のロールを要求すると、ユーザーがシステムから取得できる情報の範囲が制限されます。また、ユーザーによる修正や監視に対してシステムが開く範囲も制限されます。システム管理者は、管理ロールを設計する際には、以下のガイドラインを使用する必要があります。

  • 任意のユーザーがとして rootシステムにログインすることはできません。

  • 各ユーザーを、ユーザーの職務を遂行するために必要な最小の権限セットに制限します。

  • パーミッションフラグを含むログインクラスにユーザーを shell 所属させないでください。パーミッションフラグを使用すると、ユーザーは shell CLIからコマンドを start shell 実行できます。

  • ロールバック権限をユーザーに付与します。ロールバック権限により、ユーザーは管理者が実行したアクションを元に戻すことができますが、変更をコミットすることはできません。

ユーザーに管理ロールを割り当てるには、ログインクラスにロールに必要な権限を持つよう設定します。各クラスを設定して、設定ステートメントやコマンドへのアクセスを名前で許可または拒否することができます。これらの制限は、クラスで設定されたパーミッションフラグよりも優先されます。管理ユーザーには、以下のロール属性のいずれかを割り当てることができます。

  • Crypto-administrator—ユーザーが暗号化データを構成および監視できます。

  • Security-administrator—ユーザーがセキュリティ データを構成および監視できます。

  • Audit-administrator— ユーザーが監査データを構成および監視できるようにします。

  • IDS-administrator—ユーザーが侵入検出サービス(IDS)セキュリティ ログを監視およびクリアできます。

各ロールは、以下の特定の管理機能を実行できます。

  • Cryptographic Administrator

    • 暗号化自己テストを設定します。

    • 暗号セキュリティ データ パラメータを変更します。

  • Audit Administrator

    • 監査レビューの検索および並べ替え機能を構成および削除します。

    • 監査レコードを検索して並べ替えます。

    • 検索と並べ替えのパラメーターを設定します。

    • 手動で監査ログを削除します。

  • Security Administrator

    • 暗号自己テスト動作を呼び出し、決定、変更します。

    • 監査分析機能と監査選択機能を有効、無効、決定、変更し、監査ログを自動的に削除するようにデバイスを設定します。

    • セキュリティ アラームを有効または無効にします。

    • トランスポートレイヤー接続のクォータの制限を指定します。

    • 制御されたコネクション型リソースのクォータの制限、ネットワーク識別子、および期間を指定します。

    • ICMP(Internet Control Message Protocol)または ARP(Address Resolution Protocol)の使用が許可されるネットワーク アドレスを指定します。

    • タイムスタンプで使用される時間と日付を設定します。

    • 認証されていない情報フローセキュリティ機能ポリシー(SFP)、認証済み情報フローセキュリティ機能ポリシー、認証されていないデバイスサービス、自由アクセスコントロールポリシーの情報フローまたはアクセスコントロールルールと属性のクエリー、変更、削除、作成を行います。

    • 認証されていない情報フロー SFP、認証済み情報フロー SFP、認証されていない評価ターゲット(TOE)サービス、自由裁量アクセス コントロール ポリシーの下でオブジェクト情報を作成した場合に、デフォルト値を上書きする初期値を指定します。

    • 管理セッションを確立できるアドレスを制御するルールを作成、削除、または変更します。

    • ユーザー、サブジェクト、およびオブジェクトに関連付けられたセキュリティー属性を指定し、取り消します。

    • デバイスが管理者に警告する監査ストレージ容量の割合を指定します。

    • 認証エラーを処理し、SSHまたはCLIから失敗した認証試行の数を変更します。この回数は、さらなる認証試みに対して累進的な調整が実施される前と接続が切断される前に発生する可能性があります。

    • デバイスの基本的なネットワーク設定を管理します。

  • IDS Administrator-IDSセキュリティアラーム、侵入アラーム、監査選択、監査データを指定します。

これらの管理ロール用に作成されたクラスで security-role 属性を設定する必要があります。この属性は、セキュリティログ、設定だけでは実行できないアクションを表示およびクリアできるユーザーを制限します。

例えば、IDS ログのクリアと IDS 管理者ロールへの表示を制限する場合は、IDS 管理者ロール用に作成されたクラスで security-role 属性 ids-admin を設定する必要があります。同様に、セキュリティロールを他の管理者値の1つに設定して、そのクラスが非IDSログのみをクリアおよび表示できないように制限する必要があります。

メモ:

ユーザーが既存の設定を削除すると、削除された設定の階層レベルの下の設定ステートメント(ユーザーが変更する権限を持たない子オブジェクト)は、デバイスに残ります。

例:管理ロールの設定方法

この例では、他のすべての管理ロールとは別に、個別の一意の権限セットに対して個々の管理ロールを設定する方法を示します。

要件

この機能を設定する前に、デバイスの初期化以外のアクションは必要ありません。

概要

この例では、4 つの管理者ユーザー ロールを構成する方法を示します。

  • audit-officer クラスの audit-admin

  • crypto-officer クラスの crypto-admin

  • security-officer クラスの security-admin

  • ids-officer クラスの ids-admin

クラスが security-admin 構成されると、管理者を作成する権限がクラスを作成 security-admin したユーザーから取り消されます。新規ユーザーおよびログインの作成は、 の裁量で security-officer行われます。

この例では、前述のリストに示す 4 つの管理ユーザー ロール(監査管理者、暗号化管理者、セキュリティ管理者、ids admin)を作成します。各ロールに対して、そのロールに関連するパーミッションフラグを割り当てます。その後、各管理ロールの名前によって、設定ステートメントやコマンドへのアクセスを許可または拒否します。これらの特定の制限は、クラスで設定されたパーミッションフラグよりも優先されます。例えば、 コマンドのみを crypto-admin 実行 request system set-encryption-key できます。これにはアクセスにパーミッションフラグが security 必要です。 security-admin パーミッションフラグが system time-zone 必要な設定に ステートメントを含めることができるのは、 system-control のみです。

構成

手順

CLI クイックコンフィギュレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードで を入力 commit します。

手順

管理ロールを設定するには:

  1. ログインクラスを作成します audit-admin

  2. ログインクラスの制限を audit-admin 設定します。

  3. ログインクラスを作成します crypto-admin

  4. ログインクラスの制限を crypto-admin 設定します。

  5. ログインクラスを作成します security-admin

  6. ログインクラスの制限を security-admin 設定します。

  7. ログインクラスを作成します ids-admin

  8. ログインクラスの制限を ids-admin 設定します。

  9. ロールにユーザーを割り当てます。

  10. ユーザーのパスワードを設定します。

結果

設定モードで、 show system コマンドを入力して設定を確認します。出力結果に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスを設定した後、設定モードで コミット を入力します。

検証

設定が正しく機能していることを確認します。

ログイン許可の確認

目的

現在のユーザーのログイン許可を確認します。

アクション

運用モードで、 コマンドを show cli authorization 入力して、ユーザーのログイン権限を確認します。

この出力は、ログイン許可を要約しています。

ローカル管理者アカウントを構成する方法

スーパーユーザー権限は、ルーター上の任意のコマンドを使用する権限をユーザーに付与し、通常、システム管理者などの一部のユーザー用に予約されています。システム管理者は、権限のないユーザーがスーパーユーザーコマンドにアクセスできないようにするために、パスワードでローカル管理者アカウントを保護する必要があります。これらのスーパーユーザー・コマンドを使用して、システム構成を変更することができます。RADIUS認証を持つユーザーは、ローカルパスワードも設定する必要があります。RADIUSサーバーが応答しない場合、ログインプロセスはローカル管理者アカウントのローカルパスワード認証に戻ります。

以下の例は、スーパーユーザー権限で 呼び出 admin されたパスワードで保護されたローカル管理アカウントを設定する方法を示しています。