Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

ユーザー アカウント

Junos OS Evolved を使用すると、システム管理者は、ルーター、スイッチ、およびセキュリティユーザーのアカウントを作成できます。すべてのユーザーは、いずれかのシステムログインクラスに属します。

ユーザーアカウントを作成して、ユーザーがルーター、スイッチ、またはセキュリティデバイスにアクセスできるようにします。すべてのユーザーは、デバイスにログインする前に、定義済みのユーザーアカウントを保持している必要があります。ユーザーアカウントを作成し、各ユーザーアカウントのログイン名と識別情報を定義します。

ユーザーアカウントの概要

ユーザーアカウントは、ユーザーがデバイスにアクセスする方法の1つを提供します。アカウントごとに、ユーザーのログイン名、パスワード、追加のユーザー情報を定義します。アカウントを作成すると、ソフトウェアはユーザー向けのホームディレクトリを作成します。

ユーザー root のアカウントは、常に設定内に存在しています。root-authentication ステートメントを使用して、root 用のパスワードを設定できます。

リモート認証サーバーを使用してユーザーに関する情報を集中的に保存するのが一般的ですが、各デバイスで少なくとも1つ以上の非ルートユーザーを構成するのも良い方法です。このようにすれば、リモート認証サーバーへの接続が切断されても、デバイスへのアクセスが可能になります。この非ルートユーザーには、通常、 adminなどの一般的な名前があります。

ユーザーアカウントごとに、以下を定義できます。

  • ユーザー名 (必須): ユーザーを識別する名前。固有でなければなりません。ユーザー名にスペース、コロン、コンマを使用することは控えてください。ユーザー名は最大32文字です。

  • ユーザーの氏名: (オプション)氏名にスペースが含まれている場合は、引用符で囲みます。コロンやコンマは使用しないでください。

  • ユーザー識別子 (UID): (オプション) ユーザー アカウント名に関連付けられている数値識別子。設定をコミットするとUIDが自動的に割り当てられるため、手動で設定する必要はありません。ただし、UIDを手動で設定する場合は、100〜64,000の範囲で一意の値を使用します。

  • ユーザーのアクセス権限:(必須)[edit system login]階層のclassステートメントで定義されたログインクラスのいずれか、またはデフォルトのログインクラスの1つ。

  • 認証方法またはデバイスアクセスの方法とパスワード(必須): パスワード データベースに入力する前に Junos OS Evolved が暗号化する SSH キー、暗号化されたパスワード、またはプレーンテキスト パスワードを使用できます。各方法で、ユーザーのパスワードを指定できます。 plain-text-password オプションを設定すると、パスワードを入力して確認するプロンプトが表示されます。

    有効なプレーンテキストパスワードを作成するには、以下を確認してください。

    • 6 文字から 128 文字までです。

    • ほとんどの文字クラス(大文字、小文字、数字、句点、その他の特殊文字)を含めますが、制御文字は含まれません。

    • 大文字/小文字または文字クラスを1つ以上含みます。

SSH認証では、SSHキー ファイルのコンテンツを設定にコピーできます。また、SSHキー情報を直接設定することもできます。 load-key-file ステートメントを使用して、以前に生成されたSSHキーファイルを読み込みます(例えば、 ssh-keygenを使用)。 load-key-file 引数は、ファイルの場所と名前へのパスです。 load-key-file ステートメントは、RSA(SSHバージョン1およびSSHバージョン2)パブリックキーを読み込みます。SSHキーファイルのコンテンツは、 load-key-file ステートメントを設定した直後に設定にコピーされます。

以下のトランスポート層セキュリティ(TLS)バージョンと暗号スイート(RSAホストキー)の組み合わせは使用しないでください。失敗します。

RSAホストキーを使用:

  • TLS_1.0@DHE-RSA-AES128-SHA

  • TLS_1.0@DHE-RSA-AES256-SHA

ユーザーアカウントおよびルートログインでは、ユーザー認証向けに複数のパブリックRSAキーを設定できます。ユーザーアカウントまたはルートとしてログインすると、設定されたパブリックキーが参照され、プライベートキーがユーザーアカウントのいずれかに一致するかどうかを判定します。

SSHキーエントリーを表示するには、設定モードの show コマンドを使用します。例えば:

例:新しいユーザー アカウントの設定

この例では、新しいユーザー アカウントを設定する方法について説明します。

必要条件

この機能を使用する前に、特別な設定は必要ありません。

概要

新しいユーザー アカウントをデバイスのローカル データベースに追加できます。各アカウント向けに、システム管理者は、ユーザーのログイン名とパスワードを定義し、アクセス権限のログイン クラスを指定します。ログインパスワードは、以下の基準を満たす必要があります。

  • パスワードは 6 文字以上でなければなりません。

  • パスワードには、ほとんどの文字クラス(アルファベット、数字、特殊文字)を使用することができますが、制御文字は使用できません。

  • パスワードには、大文字/小文字または文字クラスを 1 つ以上変更して使用する必要があります。

この例では、operator-and-boot という名前のログイン クラスを作成し、それによってデバイスを再起動します。任意のログイン クラス数を定義できます。次に、operator-and-boot ログイン クラスが、次のビットで定義されたコマンドを使用できるようにします。

  • クリア

  • ネットワーク

  • リセット

  • 権限を表示

次に、ユーザー アカウントを作成して、デバイスへのアクセスを有効にします。ユーザー名を randomuser に、ログイン クラスを superuser に設定します。最後に、ユーザー向けに暗号化したパスワードを定義します。

構成

プロシージャ

CLIクイック構成

この例を迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルで CLI にコピー アンド ペーストして、設定モードで commit を入力します。

手順

新しいユーザーを設定するには:

  1. ログイン クラスの名前を設定し、再起動コマンドの使用を許可します。

  2. ログイン クラスに許可ビットを設定します。

  3. ユーザーに、ユーザー名、ログイン クラス、暗号化されたパスワードを設定します。

業績

設定モードで、 show system login コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

次の例では、4 人のユーザー向けのアカウントの作成方法を示しています。また、テンプレート ユーザー remoteのアカウントを作成する方法も示します。すべてのユーザーは、デフォルトのシステム ログイン クラスのいずれかを使用します。

デバイスの設定後、コンフィギュレーションモードで commit を入力します。

検証

設定が正常に機能していることを確認します。

新しいユーザーの設定を確認する

目的

新しいユーザーが設定されていることを確認します。

アクション

新しいユーザーアカウントまたはアカウントとパスワードでデバイスにログインして、アクセスできることを確認します。

設定グループ内のユーザーアカウントを設定する

複数の機器に同じユーザーアカウントを簡単に設定するために、コンフィギュレーショングループの中にアカウントを設定します。ここに示す例は、 globalと呼ばれる設定グループにあります。ユーザーアカウントでのコンフィギュレーショングループの使用はオプションです。

ユーザーアカウントを作成するには

  1. ユーザーのアカウントに割り当てられたログイン名を使用して、新しいユーザーを追加します。
  2. (オプション)アカウントの説明的な名前を設定します。

    名前にスペースが含まれる場合は、名前全体を引用符で囲んでください。

    例えば:

  3. (オプション)アカウントのユーザー識別子(UID)を設定します。

    UNIXシステムと同様に、UIDでユーザー権限とファイルアクセスが設定されます。UIDを設定しない場合は、ソフトウェアから代わりに割り当てられます。UID の形式は 100 から 64,000 までの数値です。

    例えば:

  4. ユーザーをログインクラスに割り当てます。

    独自のログインクラスを定義することも、あらかじめ定義されたログインクラスを割り当てることもできます。

    あらかじめ定義されているログインクラスは以下の通りです。

    • スーパーユーザ—すべての権限

    • オペレータ—クリア、ネットワーク、リセット、トレース、および表示の権限

    • 読み取りのみ—表示の権限

    • 無許可—権限なし

    例えば:

  5. ユーザーパスワードは、以下のいずれかの方法で設定してください。

    • システムによって暗号化されるプレーンテキストのパスワードを入力するには、次のコマンドを使用してユーザーパスワードを設定します。

      パスワードをプレーンテキストで入力すると、ソフトウェアがそれを暗号化します。パスワードを暗号化するためにソフトウェアを設定する必要はありません。プレーンテキストのパスワードは非表示になり、設定で## SECRET-DATAとしてマークされます。

    • 暗号化されたパスワードを入力する場合は、次のコマンドでユーザーパスワードを設定します。

      注意:

      パスワードが すでに暗号化されていて、暗号化されたバージョンのパスワードを入力する場合を除き、encrypted-password オプションは使用しないでください。

      誤って encrypted-password オプションにプレーンテキストのパスワードまたは空白の引用符(" ")を設定した場合、このユーザーとしてデバイスにログインすることはできません。

    • 指定したURLの場所にある名前付きファイルから、過去に生成した公開キーを読み込むには、次のコマンドを使用します。

    • SSH公開文字列を入力するには、次のコマンドを使用します。

  6. 設定の最上位レベルで、設定グループを適用します。

    設定グループを使用している場合、有効にするためには適用する必要があります。

  7. 設定をコミットします。
  8. 設定を確認するために、一度ログアウトし、新しいユーザーでログインし直してください。