Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

class (Defining Login Classes)

構文

階層レベル

説明

ログインクラスを定義します。ルーターまたはスイッチにログインするすべてのユーザーは、ログインクラスである必要があります。そのため、各ユーザーまたはユーザータイプに対してJunos OSログインクラスを定義する必要があります。ユーザーが必要とする権限のタイプに応じて、任意の数のログインクラスを定義できます。ログインクラスを定義する必要がない場合があります。Junos OSには、さまざまなニーズに合わせて、いくつかの事前定義されたログインクラスがあります。ただし、事前定義されたログインクラスは変更できません。定義済みクラスと同じ名前のクラスを定義すると、Junos OSはログインクラス名に追加 -local し、新しいログインクラスを作成します。詳細については、 事前定義されたシステムログインクラス を参照してください。

オプション

class-name

ログインクラスに選択した名前。
access-end

終了時間を (24 時間) 形式で HH:MM 指定します。これは HH 時間を表し MM 、分を表します。

注:

指定された日の午前 12 時から始まるアクセス開始時間と終了時間は、アクセス日が ステートメントで明示的に設定 allowed-days されていない場合でも、翌日までユーザーがアクセスできるようになります。
access-start

開始時間を (24 時間) 形式で HH:MM 指定します。これは HH 時間を表し MM 、分を表します。

注:

指定された日の午前 12 時から始まるアクセス開始時間と終了時間は、アクセス日が ステートメントで明示的に設定 allowed-days されていない場合でも、翌日までユーザーがアクセスできるようになります。
( allow-commands | allow-commands-regexps )

1 つ以上の正規表現を指定して、このクラスのユーザーが動作モード コマンドを発行できるようにします。または ステートメントをallow-commandsallow-commands-regexps使用して、ログインクラスのアクセス権限レベルによって拒否されるコマンドの許可を明示的に許可します。

ステートメントのallow-commands 場合、パイプ(|)記号で区切られた各式は完全なスタンドアロン式でなければならず、括弧()で囲む必要があります。括弧で区切り、パイプ(|)記号で接続された正規表現の間にはスペースを使用しないでください。

ステートメントでは allow-commands-regexps 、各文字列が正規表現で、二重引用符で囲み、スペース演算子で区切られた文字列のセットを設定します。各文字列は、 コマンドのフルパスに対して評価され、 ステートメントよりも高速なマッチングを allow-command 提供します。また、 ステートメントを使用してサポートされていない正規表現に変数の値を allow-commands 含めることもできます。

deny-commandsまたは ステートメントは、deny-commands-regexps同じログインクラス定義で使用される場合に優先されます。

注:

allow/deny-commandsおよび allow/deny-commands-regexps ステートメントは相互に排他的であり、ログインクラスに対して一緒に設定することはできません。ある時点で、ログインクラスには ステートメントまたは allow/deny-commands-regexps ステートメントのいずれかをallow/deny-commands含めることができます。ステートメントを使用している allow/deny-commands 既存の設定がある場合、ステートメントで同じ設定オプションを allow/deny-commands-regexps 使用すると、検索と一致の方法がこれらのステートメントの2つの形式で異なるため、同じ結果が得られない可能性があります。

認証サーバーの設定で、ジュニパーネットワークスのベンダー固有のTACACS+属性を指定することで、認証をリモートで設定することもできます。リモート・ユーザーの場合、許可パラメーターがリモートとローカルの両方で構成されている場合、リモートとローカルの両方で構成された許可パラメーターが、両方とも許可のために一緒に考慮されます。ローカルユーザーの場合、クラスに対してローカルに設定された認証パラメーターのみが考慮されます。

  • 既定:または allow/deny-commands-regexps ステートメントを使用して運用モードコマンドの許可をallow/deny-commands設定しない場合、ユーザーは ステートメントでpermissions設定されたアクセス権限を持つコマンドのみを編集できます。

  • 構文:regular-expressionPOSIX 1003.2で定義された拡張(最新)正規表現。正規表現にスペース、演算子、またはワイルドカード文字が含まれている場合は、引用符で囲みます。必要な数の式を入力します。
( allow-configuration | allow-configuration-regexps )

1つ以上の正規表現を指定して、ステート メントで設定された権限がそのようなアクセスを許可しない場合でも、このクラスのユーザーが設定階層内の指定されたレベルにアクセスすることを明示的に permissions 許可します。

ステートメントのallow-configuration 場合、パイプ(|)記号で区切られた各式は完全なスタンドアロン式でなければならず、括弧()で囲む必要があります。括弧で区切り、パイプ(|)記号で接続された正規表現の間にはスペースを使用しないでください。

ステートメントでは allow-configuration-regexps 、各文字列が正規表現で、二重引用符で囲み、スペース演算子で区切られた文字列のセットを設定します。各文字列は、 コマンドのフルパスに対して評価され、 ステートメントよりも高速なマッチングを allow/deny-configuration 提供します。また、 ステートメントを使用してサポートされていない正規表現に変数の値を allow/deny-configuration 含めることもできます。

deny-configuration同じログインクラス定義で使用されている場合、 または deny-configuration-regexps ステートメントが優先されます。

注:

allow/deny-configurationおよび allow/deny-configuration-regexps ステートメントは相互に排他的であり、ログインクラスに対して一緒に設定することはできません。ある時点で、ログインクラスには ステートメントまたは allow/deny-configuration-regexps ステートメントのいずれかをallow/deny-configuration含めることができます。ステートメントを使用している allow/deny-configuration 既存の設定がある場合、ステートメントで同じ設定オプションを allow/deny-configuration-regexps 使用すると、検索と一致の方法がこれらのステートメントの2つの形式で異なるため、同じ結果が得られない可能性があります。

  • 既定:ステートメントと deny-configuration/deny-configuration-regexps ステートメントをallow-configuration/allow-configuration-regexps省略した場合、ユーザーは ステートメントを通じてpermissionsアクセス権限を持つコマンドのみを編集できます。

  • 構文:regular-expressionPOSIX 1003.2で定義された拡張(最新)正規表現。正規表現にスペース、演算子、またはワイルドカード文字が含まれている場合は、引用符で囲みます。必要な数の式を入力します。
allow-hidden-commands

すべての非表示コマンドの実行を許可します。[edit system] 階層レベルで no-hidden-commands ステートメントが指定されている場合、このログインクラスの制限を上書きします。非表示コマンドとは、公開されていないがルーターで実行できる Junos OS コマンドです。非表示のコマンドは特定の目的を果たしますが、大部分は使用される予定はありません。そのため、積極的にサポートされていません。[edit system] 階層レベルの no-hidden-commands ステートメントを使用すると、root ユーザーを除くすべてのユーザーに対するすべての非表示コマンドをブロックできます。

  • 既定:非表示のコマンドはデフォルトで有効になっています。
allow-sources [ source-addresses ...]

受信リモート アクセスを特定のホストのみに制限します。アクセスを許可する 1 つ以上の送信元アドレスを指定します。送信元アドレスには、IPv4 または IPv6 アドレス、プレフィックス長、またはホスト名を指定できます。
allow-times [ times...]

リモートアクセスを特定の時間に制限します。
allowed-days [ days of the week ]

このクラスのユーザーがログインを許可される曜日を 1 日以上指定します。

  • 値:

    • 月曜日-月曜日

    • 火曜日 — 火曜日

    • 水曜日 — 水曜日

    • 木曜~木曜

    • 金曜日-金曜日

    • 土曜日 - 土曜日

    • 日曜日—日曜日
cli

ログインクラスに指定されたCLIプロンプトを設定します。CLIプロンプトが[システムログインユーザーのcliを編集]階層レベルで設定されている場合、ログインユーザーに設定されたプロンプトは、ログインクラスに設定されたプロンプトよりも優先されます。

prompt prompt

CLIプロンプトに表示するプロンプト文字列を指定します。
configuration-breadcrumbs

CLIの設定ブレッドクラムビューを有効にして、設定階層の場所を表示します。このビューを有効にする方法の例については、「 構成のパンくずを有効にする 」を参照してください。
confirm-commands

特定のコマンドに対する確認が明示的に必要であることを指定し、オプションで確認時に表示されるメッセージの文言を指定します。コマンドを指定するには、正規表現またはコマンドのリストを使用します。

  • 構文: message

  • 既定:このオプションを省略した場合、コマンドの確認は必要ありません。オプションのメッセージが設定されていない場合は、デフォルトの「続行しますか?」メッセージが表示されます。
( deny-commands | deny-commands-regexps )

ステートメントで設定された権限で許可されていても、このクラスのパーミッションでユーザーを明示的に拒否する1つ以上の正規表現を指定して、動作モードコマンドを permissions 発行します。

ステートメントの deny-commands 場合、パイプ(|)記号で区切られた各式は完全なスタンドアロン式でなければならず、括弧()で囲む必要があります。括弧で区切り、パイプ(|)記号で接続された正規表現の間にはスペースを使用しないでください。

ステートメントでは deny-commands-regexps 、各文字列が正規表現で、二重引用符で囲み、スペース演算子で区切られた文字列のセットを設定します。各文字列は、 コマンドのフルパスに対して評価され、 ステートメントよりも高速なマッチングを allow/deny-command 提供します。また、 ステートメントを使用してサポートされていない正規表現に変数の値を allow/deny-commands 含めることもできます。

または deny-commands-regexps ステートメントでdeny-commands設定された式は、2つのステートメントが同じログインクラス定義で使用されている場合、でallow-commands/allow-commands-regexps設定された式よりも優先されます。

注:

allow/deny-commandsおよび allow/deny-commands-regexps ステートメントは相互に排他的であり、ログインクラスに対して一緒に設定することはできません。ある時点で、ログインクラスには ステートメントまたは allow/deny-commands-regexps ステートメントのいずれかをallow/deny-commands含めることができます。ステートメントを使用している allow/deny-commands 既存の設定がある場合、ステートメントで同じ設定オプションを allow/deny-commands-regexps 使用すると、検索と一致の方法がこれらのステートメントの2つの形式で異なるため、同じ結果が得られない可能性があります。

認証サーバーの設定で、ジュニパーネットワークスのベンダー固有のTACACS+属性を指定することで、認証をリモートで設定することもできます。リモート・ユーザーの場合、許可パラメーターがリモートとローカルの両方で構成されている場合、リモートとローカルの両方で構成された許可パラメーターが、両方とも許可のために一緒に考慮されます。ローカルユーザーの場合、クラスに対してローカルに設定された認証パラメーターのみが考慮されます。

  • 既定:または allow/deny-commands-regexpsを使用して運用モードコマンドの許可をallow/deny-commands設定しない場合、ユーザーは ステートメントでpermissionsアクセス権限が設定されているコマンドのみを編集できます。

  • 構文:regular-expressionPOSIX 1003.2で定義された拡張(最新)正規表現。正規表現にスペース、演算子、またはワイルドカード文字が含まれている場合は、引用符で囲みます。必要な数の式を入力します。
( deny-configuration | deny-configuration-regexps )

1つ以上の正規表現を指定して、 ステートメントで設定された権限がそのようなアクセスを許可している場合でも、このクラスのユーザーが設定階層内の指定されたレベルへのアクセスを明示的に permissions 拒否します。その階層に対する設定アクセスが拒否された場合、ユーザーは特定の階層を表示できません。

ステートメントの deny-configuration 場合、パイプ(|)記号で区切られた各式は完全なスタンドアロン式でなければならず、括弧()で囲む必要があります。括弧で区切り、パイプ(|)記号で接続された正規表現の間にはスペースを使用しないでください。

ステートメントでは deny-configuration-regexps 、各文字列が正規表現で、二重引用符で囲み、スペース演算子で区切られた文字列のセットを設定します。各文字列は、 コマンドのフルパスに対して評価され、 ステートメントよりも高速なマッチングを allow/deny-configuration 提供します。また、 ステートメントを使用してサポートされていない正規表現に変数の値を allow/deny-configuration 含めることもできます。

deny-configuration/deny-configuration-regexps 設定された式は、2つのステートメントが同じログインクラス定義で使用されている場合、で allow-configuration/allow-configuration-regexps 設定された式よりも優先されます。

注:

allow/deny-configurationおよび allow/deny-configuration-regexps ステートメントは相互に排他的であり、ログインクラスに対して一緒に設定することはできません。ある時点で、ログインクラスには ステートメントまたは allow/deny-configuration-regexps ステートメントのいずれかをallow/deny-configuration含めることができます。ステートメントを使用している allow/deny-configuration 既存の設定がある場合、ステートメントで同じ設定オプションを allow/deny-configuration-regexps 使用すると、検索と一致の方法がこれらのステートメントの2つの形式で異なるため、同じ結果が得られない可能性があります。

  • 既定:ステートメントと allow-configuration/allow-configuration-regexps ステートメントをdeny-configuration/deny-configuration-regexps省略すると、 ステートメントを使用してアクセス権限を持つ設定階層内のレベルをpermissions編集できます。

  • 構文:regular-expressionPOSIX 1003.2で定義された拡張(最新)正規表現。正規表現にスペース、演算子、またはワイルドカード文字が含まれている場合は、引用符で囲みます。必要な数の式を入力します。
deny-sources [source-addresses]

これらのホストからのリモート アクセスを許可しないでください。送信元アドレスには、IPv4 または IPv6 アドレス、プレフィックス長、またはホスト名を指定できます。
deny-times [times]

このような時間帯にはリモートアクセスを許可しないでください。
idle-timeout

ログインクラスでは、セッションがタイムアウトし、ユーザーがデバイスからログアウトする前に、セッションがアイドル状態になる最大時間を数分で設定します。指定された時間の CLI 動作モード プロンプトで残った後、セッションはタイムアウトします。

注:

ユーザーが csh などのシェル プロンプトからデバイスにログインした後、ユーザーが CLI の前景で実行する別のプログラムを起動すると、アイドルタイマー制御の計算が停止されます。CLI セッションのアイドル時間の計算は、前景プロセスが終了し、制御がシェル プロンプトに返された後にのみ再起動されます。アイドルタイマー制御の再起動が発生し、シェルでユーザーとの対話が行われなかった場合、このステートメントに設定された時間の後にユーザーは自動的にログアウトされます。

  • 既定:このステートメントを省略した場合、ユーザーはアイドル時間が延長された後にシステムを強制的にオフにすることはありません。

  • 構文:minutes— ユーザーがログアウトする前にセッションがアイドル状態になる最大時間(分)。

  • 範囲:範囲:0~4294967295 分

    注:

    の値 minutes が 0 に設定されている場合、アイドルタイムアウト機能は無効になります。
login-alarms

パーミッションを持つ admin ユーザーがデバイスにログインすると、システム アラームが表示されます。このステートメントの設定の詳細については、 ログイン時に自動的に表示されるシステムアラームの設定を参照してください。
login-script

クラスに属するユーザーが CLI にログインするときに、指定された op スクリプトを実行します。設定でスクリプトを有効にする必要があります。
logical-system

このログインクラスのユーザーを論理システムに割り当てます。論理システムを指定した場合、このログインクラスの設定にサテライト設定ステートメントを含えることはできません。
login-tip

ログイン時に CLI のヒントを表示します。

  • 既定:このステートメントが構成されていない場合、CLI ヒントは表示されません。
no-hidden-commands

このログインクラスのユーザーに対して、指定されたものを除くすべての非表示コマンドを拒否します。例外としてリストされている各コマンドは、引用符で囲む必要があります。

  • 既定:非表示のコマンドはデフォルトで有効になっています。

  • 構文:除いて [“command 1” “command 2”...]
no-scp-server

このログインクラスの受信SCP接続を無効にします。
no-sftp-server

このログインクラスの受信SFTP接続を無効にします。
permissions

ログインクラスのログインアクセス権限を指定します。

  • 構文:permissions—1つ以上のパーミッションフラグで、ログインクラスのアクセス権限を一緒に指定します。パーミッションフラグは累積されないため、各クラスでは、情報configureを表示したり、設定モードに入るなど、view必要なすべてのパーミッションフラグをリストする必要があります。パーミッションフラグの一覧については、 ログインクラスパーミッションフラグを参照してください。
satellite

ログインクラスに対するJunos Fusionサテライトデバイスへのアクセスを指定します。ログインクラスに割り当てられたすべてのユーザーは、サテライトユーザーです。このステートメントを含める場合、このログインクラスの設定に論理システム設定ステートメントを含えることはできません。

  • 値:

    • all — すべての Junos Fusion サテライト デバイスを指定します。
security-role

ログイン クラスに対する 1 つ以上のコモン クライテリア(ISO/IEC 15408)セキュリティ ロールを指定します。

  • 値:

    audit-administrator

    評価対象(TOE)の監査データと監査証跡の削除を定期的に確認する責任をユーザーに指定します。監査管理者は、非暗号化自己テストも呼び出すことができます。
    crypto-administrator

    TOE 監査データとのセキュアな接続確立に関連する暗号エレメントの構成と保守を担当するユーザーを指定します。
    ids-administrator

    組織の従業員のアイデンティティおよびアクセス管理に関するすべてのアクティビティを担当する侵入検出サービス(IDS)管理者として機能するユーザーを指定します。
    security-administrator

    組織のセキュリティ ポリシーを確実に適用する責任を持つユーザーを指定します。
tenant

このクラスのユーザーをテナント システムに割り当てます。テナント システムは、部門、組織、顧客を分離する必要がある場合に使用され、各テナントを 1 台の仮想ルーターに制限できます。論理システムとテナント システムの主な違いは、論理システムが複数のルーティング インスタンスを使用して高度なルーティング機能をサポートしていることです。一方、テナント システムはルーティング インスタンスを 1 つだけサポートしますが、システムごとにかなり多くのテナントの導入をサポートします。
web-ui-hidden-menus

J-Web インターフェイスで非表示メニューを有効にします。
web-ui-read-only-menus

J-Web インターフェイスで読み取り専用メニューを有効にします。

必要な権限レベル

admin—設定でこのステートメントを表示します。

admin-control—このステートメントを設定に追加します。

リリース情報

deny-configurationallow-configurationdeny-commandslogin-tiplogin-alarmsallow-commandsidle-timeoutclass、および ステートメントは、permissionsJunos OSリリース7.4より前に導入されました。

前述のステートメントはすべて、EXシリーズのJunos OSリリース9.0で導入されました。

ステートメントは login-script 、Junos OSリリース9.5で導入されました。

access-endaccess-start、 、 ステートメントallowed-daysは、Junos OSリリース10.1で導入されました。

前述のステートメントはすべて、QFXシリーズのJunos OSリリース11.1で導入されました。

前述のステートメントはすべて、SRXシリーズのJunos OSリリース11.2で導入されました。

allow-configuration-regexpsdeny-configuration-regexps、 、 ステートメントsecurity-roleは、Junos OSリリース11.2で導入されました。

ステートメントは configuration-breadcrumbs 、Junos OSリリース12.2で導入されました。

前述のステートメントはすべて、OCXシリーズのJunos OSリリース14.1X53-D20で導入されました。

前述のステートメントはすべて、Junos OSリリース15.1X49-D70で、vSRX、SRX4100、SRX4200、SRX1500デバイスに導入されました。

前述のステートメントはすべて、MXシリーズとPTXシリーズのJunos OSリリース16.1で導入されました。

allow-hidden-commandsconfirm-commandsno-hidden-commands、 、 ステートメントsatelliteは、Junos OSリリース16.1で導入されました。

ステートメントは cli 、Junos OSリリース17.3で導入されました。

および deny-commands-regexps ステートメントはallow-commands-regexps、Junos OSリリース18.1で導入されました。

ステートメントは tenant 、Junos OS 18.4で導入されました。

および no-sftp-server ステートメントはno-scp-server、Junos OSリリース19.2で導入されました。

および web-ui-read-only-menus ステートメントはweb-ui-hidden-menus、SRXプラットフォームのJunos OS 21.3で導入されました。

関連項目