Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

管理ロール

Junos OS では、システムの特定の種類の管理者として機能するシステムユーザーを定義できます。ユーザーに管理ロールを割り当てるには、ログインクラスに管理ロール属性を設定します。監査担当者、暗号担当者、セキュリティ担当者、IDS-役員などのロール属性の 1 つを管理ユーザーに割り当てることができます。

管理ロールの設計方法

システム・ユーザーは、そのユーザーがシステムの特定の種類の管理者として機能できるようにするクラスのメンバーになることができます。アイテムを表示または変更するために特定のロールを要求すると、ユーザーがシステムから取得できる情報の範囲が制限されます。また、ユーザーによる変更や監視に対して開かれているシステムの量も制限されます。システム管理者は、管理者の役割を設計するときに、次のガイドラインに従う必要があります。

  • どのユーザーも として システムにログインすることを許可しません。root

  • 各ユーザーを、そのユーザーの職務の遂行に必要な最小限の特権セットに制限します。

  • パーミッションフラグを含む ログインクラスへの所属をユーザーに許可しないでください。shell パーミッション フラグにより 、ユーザーは CLI からコマンドを実行 できます。shellstart shell

  • ユーザーにロールバック権限を許可します。ロールバック権限では、管理者が実行した操作を元に戻すことはできますが、変更をコミットすることはできません。

ロールに必要な権限を持つようにログインクラスを設定することで、ユーザーに管理ロールを割り当てることができます。各クラスを設定して、設定ステートメントとコマンドへのアクセスを名前で許可または拒否できます。これらの制限は、クラスで構成されているパーミッション フラグよりも優先されます。次のいずれかのロール属性を管理ユーザーに割り当てることができます。

  • Crypto-administrator- ユーザが暗号化データを設定および監視できるようにします。

  • Security-administrator- ユーザーがセキュリティ データを設定および監視できるようにします。

  • Audit-administrator- ユーザーが監査データを設定および監視できるようにします。

  • IDS-administrator- ユーザーが侵入検出サービス(IDS)セキュリティ ログを監視してクリアできるようにします。

各ロールは、次の特定の管理機能を実行できます。

  • Cryptographic Administrator

    • 暗号化セルフテストを設定します。

    • 暗号化セキュリティ データ パラメーターを変更します。

  • Audit Administrator

    • 監査レビューの検索と並べ替え機能を構成および削除します。

    • 監査レコードを検索して並べ替えます。

    • 検索パラメーターと並べ替えパラメーターを構成します。

    • 監査ログを手動で削除します。

  • Security Administrator

    • 暗号セルフテスト動作を呼び出し、決定し、変更します。

    • 監査分析と監査選択機能の有効化、無効化、決定、変更を行い、監査ログを自動的に削除するようデバイスを設定します。

    • セキュリティ アラームを有効または無効にします。

    • トランスポート層接続のクォータの制限を指定します。

    • 制御された接続指向リソースのクォータの制限、ネットワーク ID、および期間を指定します。

    • インターネット制御メッセージプロトコル(ICMP)またはアドレス解決プロトコル(ARP)の使用を許可するネットワークアドレスを指定します。

    • タイム スタンプで使用する時刻と日付を構成します。

    • 非認証情報フローセキュリティ機能ポリシー(SFP)、認証情報フローセキュリティ機能ポリシー、認証されていないデバイスサービス、および任意アクセス制御ポリシーの情報フローまたはアクセス制御ルールと属性を照会、変更、削除、および作成します。

    • 非認証情報フローSFP、認証情報フローSFP、認証されていない評価対象(TOE)サービス、および随意アクセス制御ポリシーの下でオブジェクト情報が作成されるときに,省略値を上書きする初期値を指定します。

    • 管理セッションを確立できるアドレスを制御するルールを作成、削除、または変更します。

    • ユーザー、サブジェクト、およびオブジェクトに関連付けられたセキュリティ属性を指定し、取り消します。

    • デバイスが管理者に警告する監査ストレージ容量の割合を指定します。

    • 認証エラーを処理し、SSH または CLI からの認証試行の失敗回数を変更します。この認証試行の失敗回数は、それ以降の認証試行に対してプログレッシブ スロットルが適用される前、および接続が切断されるまでに発生する可能性があります。

    • デバイスの基本ネットワーク構成を管理します。

  • IDS Administrator- IDS セキュリティ アラーム、侵入アラーム、監査の選択、および監査データを指定します。

これらの管理ロール用に作成されたクラスでセキュリティ ロール属性を設定する必要があります。この属性は、セキュリティ ログを表示およびクリアできるユーザーを制限します。これは、構成だけでは実行できないアクションです。

例えば、IDS ログのクリアと表示を IDS 管理者ロールに制限する場合は、IDS 管理者ロール用に作成されたクラスでセキュリティー・ロール属性 を設定する必要があります。ids-admin 同様に、セキュリティロールを他の管理者値のいずれかに設定して、そのクラスが非 IDS ログのみをクリアして表示できないように制限する必要があります。

注:

ユーザーが既存の設定を削除しても、削除された設定の階層レベル(ユーザーに変更権限がない子オブジェクト)の下にある設定ステートメントはデバイスに残ります。

例:管理者の役割を構成する方法

この例では、他のすべての管理ロールとは別に、個別の一意の権限セットに対して個々の管理ロールを設定する方法を示します。

要件

この機能を設定する前に、デバイス初期化以外の操作を行う必要はありません。

概要

この例では、4 つの admin ユーザー ロールを設定する方法を示します。

  • audit-officer クラスの audit-admin

  • crypto-officer クラスの crypto-admin

  • security-officer クラスの security-admin

  • ids-officer クラスの ids-admin

クラスが設定されると、管理者を作成する権限は、クラスを作成したユーザーから取り消されます。security-adminsecurity-admin 新しいユーザーとログインの作成は、の 裁量に委ねられています。security-officer

この例では、前のリストに示されている 4 つの管理ユーザー ロール (監査管理者、暗号管理者、セキュリティ管理者、ID 管理者) を作成します。ロールごとに、ロールに関連するアクセス許可フラグを割り当てます。その後、各管理ロールの名前によって、設定ステートメントとコマンドへのアクセスを許可または拒否します。これらの特定の制限は、クラスで設定されたパーミッションフラグよりも優先されます。たとえば、 のみがコマンドを実行でき、アクセスするにはパーミッション フラグが必要です。crypto-adminrequest system set-encryption-keysecurity コンフィギュレーションに ステートメントを含めることができるのは のみ、パーミッションフラグが必要です。security-adminsystem time-zonesystem-control

設定

手順

CLIクイック構成

この例を手早く設定するには、以下のコマンドをコピーして、テキストファイルに貼り付けます。改行を削除し、ネットワーク設定に合わせて必要な変更を加え、コマンドを[edit]階層レベルのCLIにコピー、貼り付けしてから、設定モードでcommitを入力します。

ステップバイステップでの手順

管理ロールを設定するには:

  1. ログインクラスを作成します。audit-admin

  2. ログインクラスの制限を設定します。audit-admin

  3. ログインクラスを作成します。crypto-admin

  4. ログインクラスの制限を設定します。crypto-admin

  5. ログインクラスを作成します。security-admin

  6. ログインクラスの制限を設定します。security-admin

  7. ログインクラスを作成します。ids-admin

  8. ログインクラスの制限を設定します。ids-admin

  9. ユーザーをロールに割り当てます。

  10. ユーザーのパスワードを設定します。

結果

設定モードで、show systemコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。

デバイスの設定後、コンフィギュレーションモードでcommitを入力します。

検証

設定が正常に機能していることを確認します。

ログイン権限の確認

目的

現在のユーザーのログイン権限を確認します。

アクション

運用モードで、 コマンドを入力して ユーザーのログイン権限を確認します。show cli authorization

この出力は、ログイン権限を要約したものです。

ローカル管理者アカウントを構成する方法

スーパーユーザー権限は、ルーターで任意のコマンドを使用する権限をユーザーに付与し、通常はシステム管理者などの一部のユーザーのために予約されています。システム管理者は、ローカル管理者アカウントをパスワードで保護して、権限のないユーザーがスーパーユーザーのコマンドにアクセスできないようにする必要があります。これらのスーパーユーザーコマンドを使用して、システム設定を変更することができます。RADIUS認証を使用するユーザーは、ローカルパスワードも構成する必要があります。RADIUS サーバーが応答しない場合、ログイン プロセスはローカル管理者アカウントでのローカル パスワード認証に戻ります。

次の例は、スーパーユーザー特権で呼び出され る、パスワードで保護されたローカル管理アカウントを構成する方法を示しています。admin