Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ログイン クラスの概要

Junos OS Evolved ログインクラスでは、そのクラスに割り当てられたユーザーのアクセス権限、CLIコマンドとステートメントを使用する権限、セッションアイドル時間を定義します。ユーザー(システム管理者)は、個々のユーザー アカウントにログイン クラスを適用することで、特定の権限と権限をユーザーに割り当てできます。

ログイン クラスの概要

Junos OS Evolved を実行しているデバイスにログインできるすべてのユーザーは、ログイン クラスに含されている必要があります。各ログイン クラスでは、以下が定義されています。

  • ネットワーク デバイスへのログイン時にユーザーが持つアクセス権限

  • ユーザーが実行できるコマンドと実行できないコマンド

  • ユーザーが表示または変更できる、または変更できない構成ステートメント

  • システムがユーザーを切断する前に、ログイン セッションがアイドル状態になる時間の量

任意の数のログイン クラスを定義できます。ただし、1 つのログイン クラスを 1 つのユーザー アカウントに割り当てるのは 1 つのみです。

Junos OS Evolved には 、事前定義されたログイン クラスが含まれています。これは、表 1 に示されています。事前定義されたログイン クラスは変更できません。

表 1:事前定義されたシステム ログイン クラス

ログイン クラス

許可フラグ セット

operator

clear、ネットワーク、リセット、トレース、ビュー

read-only

ビュー

superuser または super-user

すべての

unauthorized

なし

メモ:
  • 事前定義されたログイン クラス名は変更できません。事前定義されたクラス名に set コマンド -local を発行すると、デバイスはログイン クラス名の末尾に追加され、次の警告が発行されます。

  • 事前定義されたログイン クラス rename で、 copy または コマンドを発行することはできません。 その結果、次のエラー メッセージが表示されます。

許可ビット

各上位レベルのCLIがコマンドを実行し、各 設定ステートメントには 、アクセス権限レベルが関連付けられている必要があります。ユーザーは、これらのコマンドのみを実行し、アクセス権限を持つステートメントのみを設定および表示できます。各ログイン クラスは、アクセス権限を決定する 1 つ以上の許可ビットを定義しています。

ユーザーが設定の個々の部分を表示または変更できるかどうかを制御するための 2 つの形式。

  • 「プレーン」形式 :その権限タイプに読み取り専用機能を提供します。例えば、interface

  • -controlフォーム — この権限タイプの読み取りおよび書き込み機能を提供します。例えば、interface-control

表 2 は、 権限フラグと関連するアクセス権限の概要を示しています。

表 2:ログイン クラスの権限フラグ

権限フラグ

説明

access

動作モードまたは設定モードでアクセス設定を表示できます。

access-control

階層レベルでアクセス情報を表示および設定 [edit access] できます。

admin

動作モードまたは設定モードでユーザー アカウント情報を表示できます。

admin-control

ユーザー アカウント情報を表示し、階層レベルで設定 [edit system] できます。

all

すべての動作モード コマンドおよび設定モード コマンドにアクセスできます。すべての設定階層レベルで設定を変更できます。

clear

デバイスがネットワークから学習し、さまざまなネットワーク データベースに保存する情報を消去(削除)できます(コマンドを使用 clear )。

configure

設定モードに入り、設定 configure をコミットできます(コマンドを使用 commit )。

control

すべての制御レベルの操作を実行できます。権限フラグを使用して設定された操作 -control すべて。

field

フィールド デバッグ コマンドを表示できます。デバッグサポート用に予約済み。

firewall

ファイアウォール フィルターの 設定を動作 モードまたは設定モードで表示できます。

firewall-control

ファイアウォール フィルター情報を階層レベルで表示および構成 [edit firewall] できます。

floppy

取り外し可能なメディアからの読み取りおよび書き込み

flow-tap

動作モードまたは設定モードで Flow-Tap 設定を表示できます。

flow-tap-control

階層レベルで Flow-tap 情報を表示および [edit services flow-tap] 設定できます。

flow-tap-operation

ルーターやスイッチにフロー Tap リクエストを送信できます。たとえば、DTCP flow-tap-operation (Dynamic Tasking Control Protocol)クライアントは、 Junos OS Evolved を管理ユーザーとして認証するための権限を持っている必要があります。

メモ:

オプション flow-tap-operation は、権限フラグに all-control 含まれません。

idp-profiler-operation

プロファイラのデータを表示できます。

interface

動作モードおよび設定モードでインターフェイスの設定を表示できます。

interface-control

シャーシ、スイッチサービス クラス( CoS )、グループ、転送オプション、インターフェイス設定情報を表示できます。以下の階層レベルで設定を変更できます。

  • [edit chassis]

  • [edit class-of-service]

  • [edit groups]

  • [edit forwarding-options]

  • [edit interfaces]

maintenance

デバイス上su rootrequest systemでローカル シェルを起動し、シェル内のスーパーユーザーになること(コマンドを使用)、デバイスの停止と再起動(コマンドを使用)など、システムの保守を実行できます。

network

、 、および pingのコマンドを使用 sshして telnetネットワークにアクセス traceroute できます。

pgcp-session-mirroring

セッション ミラーリングの pgcp 構成を表示できます。

pgcp-session-mirroring-control

セッション ミラーリング設定 pgcp を変更できます。

reset

コマンドを使用してソフトウェア プロセスを再起動 restart できます。

rollback

コマンドを使用 rollback して、以前にコミットされた設定に戻す。

routing

一般的なルーティング、ルーティング プロトコル、設定情報をルーティング ポリシーモードおよび動作モードで表示できます。

routing-control

階層レベルで一般ルーティングを[edit routing-options][edit protocols]表示および設定し、階層レベルでのルーティング プロトコルルーティング ポリシーレベル[edit policy-options]で設定できます。

secret

設定でパスワードなどの認証キーを表示できます。

secret-control

設定でパスワードなどの認証キーを表示および変更できます。

security

動作モードおよび設定モードでセキュリティ設定情報を表示できます。

security-control

階層レベルでセキュリティー情報を表示および構成 [edit security] できます。

shell

コマンドを使用して、ルーターまたはスイッチ上でローカル シェルを開始 start shell できます。

snmp

SNMP(簡易ネットワーク管理プロトコル)設定情報を、動作モードまたは設定モードで表示できます。

snmp-control

階層レベルで SNMP 設定情報を表示および [edit snmp] 変更できます。

system

動作モードまたは設定モードでシステムレベルの情報を表示できます。

system-control

階層レベルでシステムレベルの設定情報を表示および変更 [edit system] できます。

trace

トレース ファイル設定を表示し、トレース ファイルのプロパティを設定できます。

trace-control

トレース ファイルの設定を変更し、トレース ファイルのプロパティを設定できます。

view

さまざまなコマンドを使用して、現在のシステム全体、プロトコル、プロトコル固有ルーティング テーブルと統計情報を表示できます。シークレット設定を表示できません。

view-configuration

シークレット、システム スクリプト、イベント オプションを除くすべての設定を表示できます。

メモ:

コミット スクリプト、 maintenance op スクリプト、またはイベント スクリプト設定を表示できるのは、権限を持つユーザーのみです。

個々のコマンドとステートメント階層を拒否または許可

デフォルトでは、すべてのトップレベルのCLIおよびステートメントには、関連するアクセス権限レベルがあります。ユーザーは、これらのコマンドのみを実行し、アクセス権限を持つステートメントのみを表示および設定できます。各ログイン クラスについて、許可ビットで許可または拒否される動作モード コマンドおよび構成モード コマンドおよび構成ステートメント階層の使用を明示的に拒否またはユーザーに許可できます。

例: 特定の権限を持つログイン クラスの作成

ログイン クラスを定義して、ユーザー のグループに特定の権限や制限を割り当て、機密性の高いコマンドに適切なユーザーだけがアクセスできる必要があります。デフォルトでは、ジュニパーネットワークスに、設定した権限を持つログイン クラスの 4 種類が設定されています。それは、オペレータ、読み取り専用、スーパーユーザー、スーパーユーザー、不正です。

カスタム ログイン クラスを作成して、デフォルトのログイン クラスに含されないさまざまな権限の組み合わせを定義できます。次の例では、3 つのカスタム ログイン クラス(それぞれ特定の権限と非アクティブ タイマー付き)を示しています。非アクティブ タイマーは、ユーザーが非アクティブな時間が長すぎる場合にネットワークからユーザーを切断することで、ネットワーク セキュリティーを保護するのに役立ちます。ユーザーを切断すると、ユーザーが無人アカウントをスイッチやルーターにログインした際に発生するセキュリティー リスクを回避できます。ここで示す権限と非アクティブ タイマーは例にすみです。組織の価値をカスタマイズする必要があります。

3 つのログイン クラスとその権限は次のとおりです。3 つのログイン クラスはすべて、5 分の非アクティブ タイマーを使用します。

  • observation—統計情報と設定のみを表示できます。
  • operation—構成を表示および変更できます。
  • engineering:無制限のアクセスおよびコントロール