Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

class (Defining Login Classes)

Syntax

Hierarchy Level

Description

ログインクラスを定義します。ルーターまたはスイッチにログインするすべてのユーザーは、ログインクラスに存在している必要があります。そのため、ユーザーまたはユーザーのタイプごとに Junos OS ログインクラスを定義する必要があります。ユーザーに必要なアクセス許可のタイプに応じて、任意の数のログインクラスを定義できます。ログインクラスを定義する必要はありません。Junos OS には、さまざまなニーズに合わせていくつかの定義済みログインクラスがあります。ただし、事前定義されたログインクラスを変更することはできません。定義済みのクラスと同じ名前のクラスを定義すると、Junos OS は-localログインクラス名に追加され、新しいログインクラスを作成します。詳細については、事前定義されたシステムログインクラスを参照してください。

Options

クラス名

ログインクラス用に選択した名前です。

アクセスエンド

(24 時間) 形式HH:MM で終了時刻を指定し、そのHH時間をMM表し、分を表します。

注:

指定した日に 12:00 AM にまたがるアクセス開始および終了時刻によって、 allowed-daysステートメントでアクセス日が明示的に設定されていない場合でも、翌日までユーザーはアクセス権を持つことになります。

アクセス開始

(24 時間) 形式HH:MM で開始時刻を指定します。 HHここで時間をMM表し、分を表します。

注:

指定した日に 12:00 AM にまたがるアクセス開始および終了時刻によって、 allowed-daysステートメントでアクセス日が明示的に設定されていない場合でも、翌日までユーザーはアクセス権を持つことになります。

( allow-commands | allow-commands-regexps )

このクラスのユーザーが操作モードコマンドを実行できるように、1つ以上の正規表現を指定します。allow-commandsまたはallow-commands-regexpsステートメントを使用して、ログインクラスのアクセス権限レベルによって拒否されるコマンドに対して、明示的に認証を許可することができます。

allow-commandsステートメントでは、パイプ (|) 記号で区切られた各式は、完全なスタンドアロン式である必要があり、かっこ () で囲む必要があります。正規表現とかっこで区切り、パイプ (|) 記号で接続する場合は、スペースを使用しないでください。

このallow-commands-regexps文では、各文字列が正規表現として二重引用符で囲まれ、space 演算子で区切った文字列セットを設定します。各文字列は、コマンドの完全なパスに対して評価され、 allow-commandステートメントよりも高速に照合されます。また、変数の値を正規表現に含めることもできますが、この場合allow-commandsはステートメントを使用してサポートされていません。

deny-commandsまた、 deny-commands-regexps文は同じログインクラス定義で使用されている場合に優先します。

注:

allow/deny-commands And allow/deny-commands-regexpsステートメントは相互に排他的であり、ログインクラスに対して同時に設定することはできません。ログインクラスには、特定のallow/deny-commands時点で、ステートメントまたはallow/deny-commands-regexpsステートメントのいずれかを含めることができます。allow/deny-commandsステートメントを使用している既存の構成がある場合、これらのステートメントallow/deny-commands-regexpsと同じ設定オプションを使用しても、検索と match の方法によって2つの形式が異なるため、同じ結果が得られないことがあります。

認証サーバーの設定にベンダー固有ジュニパーネットワークス TACACS+ 属性を指定することで、許可をリモートで設定することもできます。リモートユーザーの場合、認証パラメーターがリモートとローカルの両方で設定されると、認証パラメーターはリモートからローカルに設定され、両方とも承認用にまとめられています。ローカルユーザーの場合は、クラスに対してローカルに設定されている認証パラメーターのみが考慮されます。

  • Or ステートメントを使用して運用モードコマンドの承認を設定していない場合、ユーザーは、 permissionsステートメントでアクセス権限が設定されているコマンドのみを編集できます。 allow/deny-commands-regexpsallow/deny-commands

  • 構文regular-expression:POSIX 1003.2 で定義されている拡張(最新)正規表現。正規表現に任意のスペース、演算子、またはワイルドカード文字が含まれている場合は、引用符で囲みます。必要な数の式を入力します。

( allow-configuration | allow-configuration-regexps )

このクラスのユーザーが設定階層内の指定したレベルにアクセスできるようにするには、1つ以上の正規表現をpermissions指定します。このようなアクセス許可が付与されていない場合でも、そのステートメントで設定されている権限によっては、

allow-configurationステートメントでは、パイプ (|) 記号で区切られた各式は、完全なスタンドアロン式である必要があり、かっこ () で囲む必要があります。正規表現とかっこで区切り、パイプ (|) 記号で接続する場合は、スペースを使用しないでください。

このallow-configuration-regexps文では、各文字列が正規表現として二重引用符で囲まれ、space 演算子で区切った文字列セットを設定します。各文字列は、コマンドの完全なパスに対して評価され、 allow/deny-configurationステートメントよりも高速に照合されます。また、変数の値を正規表現に含めることもできます。この場合、 allow/deny-configurationステートメントを使用してサポートされているわけではありません。

同じdeny-configurationログインdeny-configuration-regexpsクラス定義で使用した場合、or 文が優先されます。

注:

allow/deny-configuration And allow/deny-configuration-regexpsステートメントは相互に排他的であり、ログインクラスに対して同時に設定することはできません。ログインクラスには、特定のallow/deny-configuration時点で、ステートメントまたはallow/deny-configuration-regexpsステートメントのいずれかを含めることができます。allow/deny-configurationステートメントを使用している既存の構成がある場合、これらのステートメントallow/deny-configuration-regexpsと同じ設定オプションを使用しても、検索と match の方法によって2つの形式が異なるため、同じ結果が得られないことがあります。

  • allow-configuration/allow-configuration-regexpsステートメントとdeny-configuration/deny-configuration-regexpsステートメントを省略すると、ユーザーは、 permissionsステートメントを通じてアクセス権限を持つコマンドのみを編集できます。

  • 構文regular-expression:POSIX 1003.2 で定義されている拡張(最新)正規表現。正規表現に任意のスペース、演算子、またはワイルドカード文字が含まれている場合は、引用符で囲みます。必要な数の式を入力します。

許可-非表示コマンド

すべての非表示コマンドを実行できるようにします。[Edit system] 階層レベルで非表示のコマンドステートメントが指定された場合、このログインクラスの制限をオーバーライドします。非表示コマンドは、公開されておらず、ルーター上で実行可能な Junos OS コマンドです。非表示のコマンドは特定の目的に使用されますが、ほとんどの場合、実際にはサポートされていません。[Edit system] 階層レベルで非表示の commands ステートメントを使用すると、ルートユーザー以外のすべてのユーザーに対してすべての非表示のコマンドをブロックできます。

  • デフォルトでは、非表示コマンドが有効になっています。

allow-sources [ source-addresses ..]

受信リモートアクセスを特定のホストのみに制限します。アクセスが許可される1つ以上の送信元アドレスを指定します。送信元アドレスとしては、IPv4 または IPv6 アドレス、プレフィックス長、またはホスト名を指定できます。

allow-times [ times... ]

リモートアクセスを特定の時刻に制限します。

許可日 [ 週の日数 ]

このクラスのユーザーがログインを許可されている曜日を1つ以上指定してください。

  • 指定

    • 月曜日 — 月曜日

    • Tuesday — Tuesday

    • 水曜日—水曜日

    • 木曜日—木曜日

    • 金曜日 — 金曜日

    • 大きいなり— 変更

    • 日曜— 日曜

cli

ログインクラスに対して指定された CLI プロンプトを設定します。CLI プロンプトが [システムログインユーザーの編集] 階層レベルでも設定されている場合は、ログインユーザー用のプロンプトセットが、そのログインクラスのプロンプトセットに優先します。

プロンプト プロンプト

CLI プロンプトに表示するプロンプト文字列を指定します。

設定-ブレッドクラム

CLI で構成のパンくずビューを有効化して、構成階層の場所を表示します。このビューを有効にする方法の例については、「 設定のブレッドクラムを有効 にする 」を参照してください

確認-コマンド

特定のコマンドに対する確認を明示的に要求し、オプションで、確認時にメッセージの言い回しを表示するように指定できます。正規表現またはコマンドのリストを使用して、コマンドを指定できます。

  • 構文メッセージ

  • このオプションを省略すると、コマンドの確認は不要になります。オプションのメッセージが設定されていない場合は、デフォルトの「続行しますか?」というメッセージが表示されます。

( deny-commands | deny-commands-regexps )

permissionsステートメントで設定された権限によって、運用モードのコマンドを発行する権限をこのクラスのユーザーに明示的に拒否する場合は、1つ以上の正規表現を指定します。

deny-commandsステートメントでは、パイプ (|) 記号で区切られた各式は、完全なスタンドアロン式である必要があり、かっこ () で囲む必要があります。正規表現とかっこで区切り、パイプ (|) 記号で接続する場合は、スペースを使用しないでください。

このdeny-commands-regexps文では、各文字列が正規表現として二重引用符で囲まれ、space 演算子で区切った文字列セットを設定します。各文字列は、コマンドの完全なパスに対して評価され、 allow/deny-commandステートメントよりも高速に照合されます。また、変数の値を正規表現に含めることもできます。この場合、 allow/deny-commandsステートメントを使用してサポートされているわけではありません。

Or ステートメントで構成された式は、同じログインクラスallow-commands/allow-commands-regexpsの定義で2つのステートメントが使用された場合に設定される式に優先します。 deny-commands-regexpsdeny-commands

注:

allow/deny-commands And allow/deny-commands-regexpsステートメントは相互に排他的であり、ログインクラスに対して同時に設定することはできません。ログインクラスには、特定のallow/deny-commands時点で、ステートメントまたはallow/deny-commands-regexpsステートメントのいずれかを含めることができます。allow/deny-commandsステートメントを使用している既存の構成がある場合、これらのステートメントallow/deny-commands-regexpsと同じ設定オプションを使用しても、検索と match の方法によって2つの形式が異なるため、同じ結果が得られないことがあります。

認証サーバーの設定にベンダー固有ジュニパーネットワークス TACACS+ 属性を指定することで、許可をリモートで設定することもできます。リモートユーザーの場合、認証パラメーターがリモートとローカルの両方で設定されると、認証パラメーターはリモートからローカルに設定され、両方とも承認用にまとめられています。ローカルユーザーの場合は、クラスに対してローカルに設定されている認証パラメーターのみが考慮されます。

  • Or allow/deny-commandsallow/deny-commands-regexpsを使用して運用モードコマンドの承認を構成していない場合、ユーザーは、 permissionsステートメントでアクセス権限が設定されているコマンドのみを編集できます。

  • 構文regular-expression:POSIX 1003.2 で定義されている拡張(最新)正規表現。正規表現に任意のスペース、演算子、またはワイルドカード文字が含まれている場合は、引用符で囲みます。必要な数の式を入力します。

( deny-configuration | deny-configuration-regexps )

1つ以上の正規表現を指定して、このクラスの指定したレベルへのアクセスを、 permissionsステートメントに設定されているアクセス許可によっても明示的に拒否します。その階層に対して設定アクセスが拒否された場合、ユーザーは特定の階層を表示できないことに注意してください。

deny-configurationステートメントでは、パイプ (|) 記号で区切られた各式は、完全なスタンドアロン式である必要があり、かっこ () で囲む必要があります。正規表現とかっこで区切り、パイプ (|) 記号で接続する場合は、スペースを使用しないでください。

このdeny-configuration-regexps文では、各文字列が正規表現として二重引用符で囲まれ、space 演算子で区切った文字列セットを設定します。各文字列は、コマンドの完全なパスに対して評価され、 allow/deny-configurationステートメントよりも高速に照合されます。また、変数の値を正規表現に含めることもできます。この場合、 allow/deny-configurationステートメントを使用してサポートされているわけではありません。

deny-configuration/deny-configuration-regexps構成された式は、同じallow-configuration/allow-configuration-regexpsログインクラスの定義で2つのステートメントが使用されている場合に構成される式よりも優先されます。

注:

allow/deny-configuration And allow/deny-configuration-regexpsステートメントは相互に排他的であり、ログインクラスに対して同時に設定することはできません。ログインクラスには、特定のallow/deny-configuration時点で、ステートメントまたはallow/deny-configuration-regexpsステートメントのいずれかを含めることができます。allow/deny-configurationステートメントを使用している既存の構成がある場合、これらのステートメントallow/deny-configuration-regexpsと同じ設定オプションを使用しても、検索と match の方法によって2つの形式が異なるため、同じ結果が得られないことがあります。

  • deny-configuration/deny-configuration-regexpsステートメントとallow-configuration/allow-configuration-regexpsステートメントを省略すると、ユーザーは、 permissionsステートメントを通じてアクセス権限を持つ設定階層のレベルを編集できます。

  • 構文regular-expression:POSIX 1003.2 で定義されている拡張(最新)正規表現。正規表現に任意のスペース、演算子、またはワイルドカード文字が含まれている場合は、引用符で囲みます。必要な数の式を入力します。

deny-sources [source-addresses]

これらのホストからのリモートアクセスを許可しません。送信元アドレスとしては、IPv4 または IPv6 アドレス、プレフィックス長、またはホスト名を指定できます。

拒否時間 [時間]

これらの期間中はリモートアクセスを許可しないでください。

アイドルタイムアウト

ログインクラスの場合、セッションがタイムアウトになり、ユーザーがデバイスからログオフされるまでに、セッションがアイドル状態になっている時間の最大値を分単位で設定します。セッションは、指定された期間の CLI オペレーションモードプロンプトで残りの時間をタイムアウトします。

注:

ユーザーが csh などのシェルプロンプトからデバイスにログインした後、ユーザーが別のプログラムを起動して CLI のフォアグラウンドで実行すると、アイドルタイマーコントロールの計算が停止します。フォアグラウンドプロセスが終了し、制御がシェルプロンプトに返された場合のみ、CLI セッションのアイドル時間の計算が再開されます。アイドルタイマーコントロールの再起動が発生すると、シェル上でユーザーの介入が発生しなかった場合、ユーザーはこのステートメントに設定された時間が過ぎると、自動的にログアウトします。

  • このステートメントを省略すると、ユーザーはアイドル時間が拡張された後、システムを強制的にオフにすることはありません。

  • 構文minutes—ユーザーがログアウトする前にセッションがアイドル状態になる最大時間(分)。

  • 値0 ~ 4294967295 分

    注:

    分の値が 0 に設定されている場合、アイドル タイムアウト 機能は無効 になります。

ログイン-アラーム

権限を持つadminユーザーがデバイスにログインしたときにシステムアラームを表示します。この文の設定方法の詳細については、ログイン時に自動表示されるようにシステムアラームを設定するを参照してください。

ログインスクリプト

クラスに属しているユーザーが CLI にログインしたときに、指定された op スクリプトを実行します。このスクリプトは、構成で有効にする必要があります。

論理システム

このログインクラスのユーザーを論理システムに割り当てます。論理システムを指定した場合、このログイン クラスの設定にサテライト設定ステートメントを含め設定できます。

ログインヒント

ログイン時に CLI のヒントを表示します。

  • この文が構成されていない場合、CLI のヒントは表示されません。

非表示コマンド

このログインクラスのユーザーに対して、指定されたコマンド以外のすべての非表示を拒否します。例外として列挙された各コマンドは、引用符で囲む必要があります。

  • デフォルトでは、非表示コマンドが有効になっています。

  • 構文ただし 、 ["コマンド 1" "コマンド 2"..]

-scp-サーバー

このログインクラスに対して、着信 SCP 接続を無効にします。

sftp サーバーなし

このログインクラスの着信 SFTP 接続を無効にします。

権限

ログインクラスにログインアクセス権限を指定します。

  • 構文permissions—1 つ以上の権限フラグ。ログイン クラスのアクセス権限を指定します。権限フラグは累積的ではないため、クラスごとに、情報の表示やviewconfigure設定モードの入力など、必要なすべての権限フラグをリストしなければなりません。権限フラグのリストについては、ログインクラス権限フラグを参照してください。

支社

ログインクラスで使用する Junos Fusion サテライトデバイスへのアクセスを指定します。ログインクラスに割り当てられたすべてのユーザーは、サテライトユーザーです。このステートメントを含める場合、このログイン クラスの設定に論理システム設定ステートメントを含め設定することができます。

  • 指定

    • all — すべてのデバイスJunos Fusion指定します。

セキュリティ-役割

ログインクラスに1つまたは複数の共通基準 (ISO/IEC 15408) セキュリティーロールを指定します。

  • 指定

    audit-administrator

    評価 (TOE) 監査データと監査トレールの削除の定期的なレビューに責任を持つユーザーを指定します。また、監査管理者は、非暗号自己診断を起動することもできます。

    crypto-administrator

    TOE 監査データに対するセキュアな接続の確立に関連する暗号化エレメントの設定とメンテナンスを担当するユーザーを指定します。

    ids-administrator

    組織の従業員のアイデンティティ侵入検出サービスアクセス管理に関するすべての活動を担当する侵入検出サービス(IDS)管理者として機能するユーザーを指定します。

    security-administrator

    組織のセキュリティー ポリシーの適用を担当するユーザーを指定します。

tenant

このクラスのユーザーをテナントシステムに割り当てます。テナントシステムは、部門、組織、または顧客を分離する必要がある場合に使用されます。これらは1つの仮想ルーターに制限されます。論理システムとテナントシステムの主な違いは、論理システムが複数のルーティングインスタンスを使用して高度なルーティング機能をサポートしていることです。これに対して、テナントシステムは1つのルーティングインスタンスのみをサポートしますが、システム当たりのテナント数を大幅に増やすことができます。

Required Privilege Level

admin — このステートメントを設定に表示するには。

admin-control — このステートメントを設定に追加します。

Release Information

deny-configurationpermissionsclassallow-commandsdeny-commands、、 allow-configuration、、、、、文は Junos OS リリース7.4 よりも前に発表されました。 idle-timeoutlogin-alarmslogin-tip

前述したすべての文は、EX シリーズの Junos OS リリース9.0 で導入されました。

このlogin-script声明は Junos OS リリース9.5 で導入されました。

access-end、、およびaccess-startステートメントはallowed-daysJunos OS リリース10.1 で導入されました。

前述したすべての文は、QFX シリーズの Junos OS リリース11.1 で導入されました。

前述したすべての文は、SRX シリーズの Junos OS リリース11.2 で導入されました。

allow-configuration-regexps、、およびdeny-configuration-regexpsステートメントはsecurity-roleJunos OS リリース11.2 で導入されました。

このconfiguration-breadcrumbs声明は Junos OS リリース12.2 で導入されました。

前述のすべての文は、OCX シリーズの Junos OS リリース 14.1 X53-D20 で導入されました。

前述したすべての文は、vSRX、SRX4100、SRX4200、SRX1500 デバイスの Junos OS リリース 15.1 X49-D70 で導入されました。

前述したすべての文は、MX シリーズおよび PTX シリーズの Junos OS リリース16.1 で導入されました。

、、、およびallow-hidden-commandssatelliteステートメントは Junos OS リリース16.1 で導入されました。 confirm-commandsno-hidden-commands

このcli声明は Junos OS リリース17.3 で導入されました。

およびallow-commands-regexpsdeny-commands-regexpsステートメントは Junos OS リリース18.1 で導入されました。

このtenantステートメントは Junos OS 18.4 で導入されました。

およびno-scp-serverno-sftp-serverステートメントは Junos OS リリース19.2 で導入されました。