Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

LDAP、プロトコル、TACACS+、ローカル パスワードRADIUSの認証順序

Junos OSのパスワード認証、LDAPS、RADIUS、TACACS+ などのさまざまな方法をサポートして、ネットワークへのアクセスを制御できます。リリース Junos OS リリース 20.2R1、LDAPS クライアントと LDAPS サーバー間に TLS セキュリティーを使用したユーザー ログイン用の LDAPS サポートが導入されます。Telnet を使用してルーターまたはスイッチにアクセスしようとするユーザーを検証する場合、認証方法を使用します。ルーターやスイッチ、セキュリティ デバイスへのユーザー アクセスを検証する際に、Junos OS がさまざまな認証方法を試行する順序を設定する方法に優先度を設定できます。詳細については、このトピックをお読みください。

LDAPS、プロトコル、TACACS+、パスワード認証RADIUSの認証順序を確認します。

このauthentication-order文を使用して、Junos OS がルーターまたはスイッチへのユーザーアクセスを検証する際に、さまざまな認証方法を試みる順序に優先度を設定できます。

LDAP、RADIUS、TACACS+ サーバーが認証順序で設定されているのにリクエストに対する応答がない場合、Junos OS は常に最後のリゾートとしてローカル パスワード認証を試用します。認証順がにauthentication-order password設定されている場合は、認証方法だけが試行されます。

注:

LDAPS、RADIUS、TACACS+の順に、あるいは「回答がない」という理由で、LDAPS の前にローカル パスワード認証を設定しようとするのは理にかなりません。ローカル認証要求は常に受け入れられるか拒否されます。

LDAPS、プロトコル、または TACACS+ が存在する場合、拒否された認証要求を処理RADIUSが複雑になります。

  • ユーザー Junos OS(ローカル パスワード認証)が認証順序に含されていない場合 password 、LDAPS、RADIUS または TACACS+ が認証を拒否すると、要求は受理応答で終了します

  • Junos OS Evolved では、(ローカル パスワード認証)が認証順序ではなく、RADIUS または TACACS+ が認証を拒否した場合でも password 、Junos OS Evolvedは引き続きローカル認証チェックを試みる必要があります。

  • 認証 password 順序 の最後に含まれている場合、RADIUS または TACACS+ が認証を拒否すると、Junos OS および Junos OS Evolved がローカル認証チェックを試行します。

言い換えれば、Junos OSの最終認証順序オプションとして含め、LDAPS、RADIUS、TACACS+ の受け入れ終了のどちらを終了するか、ローカルで認証を最後に受け取る機会を要求する場合かを選択する手段です。 password

LDAPS、データ RADIUS、TACACS+ 認証の使用

LDAPS、Junos OS、TACACS+認証クライアントとしてRADIUS設定できます。

ステートメントに含まれる認証方法を使用できない場合、または認証が使用可能で拒否応答を返す場合は、ステートメントに含まれる次の認証方法を試Junos OSを試します [authentication-order]authentication-order

LDAP、プロトコル プロトコルRADIUSまたは TACACS+ サーバーの認証は、以下の理由によって失敗する可能性があります。

  • 認証方法は構成されていますが、対応する認証サーバーは構成されていません。たとえば、ステートメントには RADIUS、TACACS+ 認証方法が含まれていますが、対応する RADIUS または TACACS+ サーバーは、対応する階層レベルでは設定 authentication-order[edit system radius-server][edit system tacplus-server] されていません。

  • RADIUS または TACACS + サーバーは、 [edit system radius-server]または[edit system tacplus-server]階層レベルで構成されたタイムアウト期間内に応答しません。

  • ネットワークに問題があるため、RADIUS または TACACS + サーバーにアクセスできません。

次RADIUS、TACACS+、LDAPS サーバー認証によって拒否応答が返される可能性があります。理由は次のとおりです。

  • ルーターまたはスイッチにアクセスするユーザーのユーザー プロファイルは、デバイス サーバー、TACACS+、または LDAP サーバー RADIUS設定されていない可能性があります。

  • ユーザーは、不正なログオン認証情報を入力します。

ローカル パスワード認証の使用方法

リモート認証サーバーに障害が発生した場合、パスワード認証方法を明示的に設定するか、またはこの方法をフォールバックメカニズムとして使用できます。パスワード認証方法は、 [edit system login]階層レベルで設定されたローカルユーザープロファイルを調べます。ユーザーは、以下のシナリオで、ローカルユーザー名とパスワードを使用してルーターまたはスイッチにログインできます。

  • パスワード認証方法 (パスワード) は、 [authentication-order authentication-methods]文の認証方法の1つとして明示的に設定されています。この場合、前回の認証でログオン資格情報を受け入れていなければ、パスワード認証方法が試されます。これは、以前の認証方法が応答しなかった場合でも、ユーザー名やパスワードが間違っているために拒否応答を返す場合にも当てはまります。

  • パスワード認証方法は、 authentication-order authentication-methodsステートメントの認証方法の1つとして明示的に設定されているわけではありません。ユーザー Junos OS、すべての設定された認証方法が応答しない場合にのみ、パスワード認証方法が試されます。無効なユーザー名またはパスワードが原因で構成された認証方法が拒否応答を返した場合には、このメッセージは検討されません。Evolved Junos OSでは、パスワードの認証方法も依然として試されます。

認証試行の順序

表 1 階層レベルのステートメントによって、デバイスへのアクセスに対するユーザーの認証Junos OS手順がどのように決定されるのか authentication-order[edit system] について説明します。

表 1: 認証試行の順序

構文

認証試行の順序

authentication-order radius

  1. RADIUS 認証サーバーを構成してみてください。

  2. RADIUS サーバーが利用可能で、認証が受け入れられた場合は、アクセスを許可します。

  3. オン Junos OS: RADIUS サーバーが使用可能であっても認証が拒否された場合は、アクセスを拒否します。

    On Junos OS Evolved: サーバー RADIUSで認証が拒否された場合は、パスワード認証を試してみてください。

  4. RADIUS サーバーが利用できない場合は、パスワード認証をお試しください。

authentication-order [ radius password ]

  1. RADIUS 認証サーバーを構成してみてください。

  2. RADIUS サーバーが応答しなかったり、拒否応答を返したりする場合は、認証順序で明示的に設定されているため、パスワード認証をお試しください。

authentication-order [ radius ldaps ]

  1. RADIUS 認証サーバーを構成してみてください。

  2. サーバーがRADIUS、認証が受け入れられる場合は、アクセスを許可します。

  3. サーバー RADIUS応答または拒否応答の返答が失敗した場合は、設定済みの LDAP サーバーを試してみてください。

  4. LDAP サーバーが使用可能で、認証が受け入れられる場合、アクセスを許可します。

  5. LDAP サーバーが使用可能だが認証が拒否された場合、アクセスを拒否します。

  6. 認証サーバー RADIUS LDAP サーバーの両方を使用できない場合は、パスワード認証をお試しください。

authentication-order [ radius tacplus ]

  1. RADIUS 認証サーバーを構成してみてください。

  2. RADIUS サーバーが利用可能で、認証が受け入れられた場合は、アクセスを許可します。

  3. RADIUS サーバーが応答しなかったり、拒否応答を返したりする場合は、TACACS + サーバーを構成してみてください。

  4. TACACS + サーバーが使用可能で、認証が受け入れられた場合は、アクセスを許可します。

  5. オン Junos OS: TACACS + サーバーが使用可能であっても認証が拒否された場合は、アクセスを拒否します。

    On Junos OS Evolved: TACACS+ サーバーを使用できますが、認証が拒否された場合は、パスワード認証を試してみてください。

  6. RADIUS と TACACS + サーバーの両方が利用できない場合は、パスワード認証をお試しください。

authentication-order [ radius tacplus password ]

  1. RADIUS 認証サーバーを構成してみてください。

  2. RADIUS サーバーが利用可能で、認証が受け入れられた場合は、アクセスを許可します。

  3. RADIUS サーバーが応答しなかったり、拒否応答を返したりする場合は、TACACS + サーバーを構成してみてください。

  4. TACACS + サーバーが使用可能で、認証が受け入れられた場合は、アクセスを許可します。

  5. TACACS + サーバーが応答しなかったり、拒否応答を返したりする場合は、認証順序で明示的に設定されているため、パスワード認証をお試しください。

authentication-order tacplus

  1. TACACS + 認証サーバーを構成してみてください。

  2. TACACS + サーバーが使用可能で、認証が受け入れられた場合は、アクセスを許可します。

  3. オン Junos OS: TACACS + サーバーが使用可能であっても認証が拒否された場合は、アクセスを拒否します。

    On Junos OS Evolved: TACACS+ サーバーを使用できますが、認証が拒否された場合は、パスワード認証を試してみてください。

  4. TACACS + サーバーが利用できない場合は、パスワード認証をお試しください。

authentication-order [ tacplus password ]

  1. TACACS + 認証サーバーを構成してみてください。

  2. TACACS + サーバーが応答しなかったり、拒否応答を返したりする場合は、認証順序で明示的に設定されているため、パスワード認証をお試しください。

authentication-order [ tacplus radius ]

  1. TACACS + 認証サーバーを構成してみてください。

  2. TACACS + サーバーが使用可能で、認証が受け入れられた場合は、アクセスを許可します。

  3. TACACS + サーバーが応答しなかったり、拒否応答を返したりする場合は、RADIUS サーバーを構成してみてください。

  4. RADIUS サーバーが利用可能で、認証が受け入れられた場合は、アクセスを許可します。

  5. オン Junos OS: RADIUS サーバーが使用可能であっても認証が拒否された場合は、アクセスを拒否します。

    On Junos OS Evolved: サーバー RADIUSで認証が拒否された場合は、パスワード認証を試してみてください。

  6. TACACS + と RADIUS 両方のサーバーを使用できない場合は、パスワード認証をお試しください。

authentication-order [ tacplus ldaps ]

  1. TACACS + 認証サーバーを構成してみてください。

  2. TACACS+ サーバーが使用可能で、認証が受け入れられる場合、アクセスを許可します。

  3. TACACS+ サーバーでの応答または拒否応答の返答が失敗した場合は、設定済みの LDAP サーバーを試してみてください。

  4. LDAP サーバーが使用可能で、認証が受け入れられる場合、アクセスを許可します。

  5. LDAP サーバーが使用可能だが認証が拒否された場合、アクセスを拒否します。

  6. TACACS + と RADIUS 両方のサーバーを使用できない場合は、パスワード認証をお試しください。

authentication-order [ tacplus radius password ]

  1. TACACS + 認証サーバーを構成してみてください。

  2. TACACS + サーバーが使用可能で、認証が受け入れられた場合は、アクセスを許可します。

  3. TACACS + サーバーが応答しなかったり、拒否応答を返したりする場合は、RADIUS サーバーを構成してみてください。

  4. RADIUS サーバーが利用可能で、認証が受け入れられた場合は、アクセスを許可します。

  5. RADIUS サーバーが応答しなかったり、拒否応答を返したりする場合は、認証順序で明示的に設定されているため、パスワード認証を試みます。

authentication-order [ tacplus radius password ]

  1. TACACS + 認証サーバーを構成してみてください。

  2. TACACS + サーバーが使用可能で、認証が受け入れられた場合は、アクセスを許可します。

  3. TACACS + サーバーが応答しなかったり、拒否応答を返したりする場合は、RADIUS サーバーを構成してみてください。

  4. RADIUS サーバーが利用可能で、認証が受け入れられた場合は、アクセスを許可します。

  5. RADIUS サーバーが応答しなかったり、拒否応答を返したりする場合は、認証順序で明示的に設定されているため、パスワード認証を試みます。

authentication-order [ radius tacplus ldaps password ]

  1. TACACS + 認証サーバーを構成してみてください。

  2. TACACS+ サーバーが使用可能で、認証が受け入れられる場合、アクセスを許可します。

  3. TACACS + サーバーが応答しなかったり、拒否応答を返したりする場合は、RADIUS サーバーを構成してみてください。

  4. RADIUS サーバーが利用可能で、認証が受け入れられた場合は、アクセスを許可します。

  5. サーバーがRADIUS応答できなかった場合、または拒否応答を返す場合は、設定済みのLDAPサーバーを試してみてください。

  6. LDAP サーバーが使用可能で、認証が受け入れられる場合、アクセスを許可します。

  7. LDAP サーバーが応答に失敗したり、拒否応答を返したりしない場合は、認証順序サーバーで明示的に設定されたため、パスワード認証を試してみてください。

authentication-order password

  1. 階層レベルで設定されたパスワードを使用して、ユーザーを [edit system login] 認証してみてください。

  2. 認証が受け入れられた場合は、アクセスを許可します。

  3. 認証が拒否された場合は、アクセスを拒否します。

authentication-order ldaps

  1. 設定済みのLDAP認証サーバーを試してみてください。

  2. LDAP サーバーが使用可能で、認証が受け入れられる場合、アクセスを許可します。

  3. LDAP サーバーが使用可能だが認証が拒否された場合、アクセスを拒否します。

  4. LDAP サーバーを使用できない場合は、パスワード認証を試してみてください。

authentication-order [ ldaps password ]

  1. 設定済みのLDAP認証サーバーを試してみてください。

  2. LDAP サーバーが応答しない、または拒否応答を返しない場合は、認証順序で明示的に設定されたため、パスワード認証を試してみてください。

authentication-order [ ldaps tacplus ]

  1. 設定済みのLDAP認証サーバーを試してみてください。

  2. LDAP サーバーが使用可能で、認証が受け入れられる場合、アクセスを許可します。

  3. LDAP サーバーへの応答または拒否応答の返答が失敗した場合は、設定済みの TACACS+ サーバーを試してみてください。

  4. TACACS+ サーバーが使用可能で、認証が受け入れられる場合、アクセスを許可します。

  5. オン Junos OS: TACACS + サーバーが使用可能であっても認証が拒否された場合は、アクセスを拒否します。

    On Junos OS Evolved: TACACS+ サーバーを使用できますが、認証が拒否された場合は、パスワード認証を試してみてください。

  6. LDAP サーバーと TACACS+ サーバーの両方を使用できない場合は、パスワード認証を試してみてください。

authentication-order [ ldaps tacplus password ]

  1. 設定済みのLDAP認証サーバーを試してみてください。

  2. LDAP サーバーが使用可能で、認証が受け入れられる場合、アクセスを許可します。

  3. LDAP サーバーへの応答または拒否応答の返答が失敗した場合は、設定済みの TACACS+ サーバーを試してみてください。

  4. TACACS+ サーバーが使用可能で、認証が受け入れられる場合、アクセスを許可します。

  5. TACACS + サーバーが応答しなかったり、拒否応答を返したりする場合は、認証順序で明示的に設定されているため、パスワード認証をお試しください。

注:

SSH 公開鍵が設定されている場合、SSH ユーザー認証はまず、 authentication-order文に設定された認証方法を使用する前に、公開鍵認証を実行しようとします。SSHログインでステートメントに設定された認証方法を使用して、最初に公開キーの認証を試みない場合 authentication-order 、SSHパブリックキーは設定されません。

TX マトリクスルーターをベースにしたルーティングマトリクスでは、認証順序は構成グループre0re1に対してのみ設定する必要があります。認証順序を[edit system]階層で設定することはできません。これは、ルーティングマトリクスの認証順序がスイッチカードシャーシ (または TX マトリクスルーター) またはスイッチファブリックシャーシ (TX マトリクスプラスルーター) で制御されているためです。

Junos OS リリース10.0 以降では、スーパユーザログインクラスに属しているスーパーユーザーは、このauthentication-order文を使用して TACACS +、RADIUS、またはパスワード認証に設定されている認証順に基づいても認証されます。たとえば、認証順序が TACACS + のみに設定されている場合、スーパーユーザーは TACACS + サーバーのみが認証を受け、パスワード認証を代替として使用することはできません。ただし、Junos OS リリース9.6 以前では、パスワード認証がauthentication-order文を使用して明示的に設定されていない場合でも、スーパーユーザーがパスワード認証を使用してログインすることができます。

LDAPS、プロトコル、TACACS+、ローカル パスワード認証RADIUSの認証順序を設定します。

ステートメントを使用すると、ルーターまたはスイッチへのユーザー アクセスを検証Junos OSな認証方法を試行する順序に優先度を authentication-order 設定できます。認証順序を設定していない場合は、デフォルトでユーザーは設定されたパスワードに基づいて検証されます。

プレーン テキストを使用してパスワードを設定し、Junos OS に暗号化を依存する場合でも、プレーン テキストでインターネットを使用してパスワードを送信します。事前に暗号化されたパスワードを使用すると、パスワードのプレーンテキストをインターネット上で送信する必要がなくなり、安全性が向上します。また、パスワードを使用すると、一度に1人のユーザーだけがパスワードに割り当てることができます。

一方、LDAPS、データ RADIUS、TACACS+ 暗号化のパスワードも使用します。これらの認証方法では、ユーザーのセットを 1 人 1 人ではなく 1 度に割り当てできます。しかし、これらの認証システムの違いは次のとおりです。

  • RADIUS UDP を使用し、TACACS+ および LDAPS は TCP を使用します。

  • RADIUS時にはパスワードのみ暗号化します。また、TACACS+ と LDAPS はセッション全体を暗号化します。

  • RADIUS LDAPS は認証(デバイス)と許可(ユーザー)を組み合わせ、TACACS+ では認証、許可、説明責任を分離します。

要するに、TACACS+ はネットワークよりも安全 RADIUS. ただし、RADIUS の方がパフォーマンスと相互運用性が向上しています。RADIUS は広くサポートされており、TACACS + は Cisco 独自製品であり、Cisco 以外では広くサポートされていません。

LDAPS は、RADIUS および TACACS+ の場合に使用される共有鍵の代わりに、プライベート キーのメカニズムに依存する、RADIUS および TACACS+ よりも安全性が高い。TLS プロトコルは、LDAP クライアントと LDAP サーバー間でのデータ送信を効果的に保護します。

認証順は、使用しているシステム、制限、および IT のポリシーと運用の基本設定に基づいて設定できます。

認証順序を設定するには、 authentication-order次のよう[edit system]に階層レベルのステートメントを追加します。

このステートメントを含めることができる階層レベルのリストについては、このステートメントの文の概要セクションを参照してください。

次に、可能な認証順序のエントリー オプションを示します。

  • radius—認証サーバーを使用してRADIUSを検証します。

  • tacplus—TACACS+ 認証サーバーを使用してユーザーを検証します。

  • ldaps—LDAPS 認証サーバーを使用してユーザーを検証します。

  • password— 階層レベルに認証ステートメントを含めてローカルに設定されたユーザー名とパスワードを使用してユーザー [edit system login user] を検証します。

これらの認証方法の注文方法について、詳しくはLDAPS、RADIUS、TACACS+、パスワード認証の認証順序の決定 を参照してください。

CHAP 認証シーケンスは、30秒以上かかることはできません。クライアントの認証に時間がかかる場合、認証は放棄され、新しいシーケンスが開始されます。

たとえば、3 つの RADIUS サーバーを設定して、ルーターまたはスイッチが各サーバーに 3 回接続しようとすると、3 秒後に各サーバーがタイム アウトします。その後、CHAP が障害と見なす前の RADIUS 認証方法に与えられる最大時間は 27 秒になります。この設定にさらに RADIUS サーバーを追加した場合、サーバーを試行する前に認証プロセスが中断される可能性があるため、接続されていない可能性があります。

Junos OS、CHAP 認証が一度に持つ永続的認証サーバー要求の数の制限を適用できます。したがって、認証サーバーの方法(RADIUSなど)では、この制限を超えるとクライアントの認証に失敗する可能性があります。失敗した場合、認証シーケンスはルーターまたはスイッチによって reinitiated され、認証が成功し、リンクが構築されます。ただし、RADIUS サーバーが利用できない場合、およびとともtacpluspasswordradiusに追加の認証方法が設定されている場合は、次の認証方法が試されます。

次の例は、構成radiuspassword認証の方法を示しています。

次の例は、認証順からradius文を削除する方法を示しています。

次の例は、 tacplusradius文の後に文を挿入する方法を示しています。

次の例は、 ldapsradius文の後に文を挿入する方法を示しています。

例:認証順序の設定

この例では、ユーザー ログイン用に認証順序を設定する方法を示しています。

要件

開始する前に、初期デバイス構成を実行してください。デバイスの入門ガイドを参照してください。

概要

ユーザーがアクセスできるかどうかを確認するためにデバイスで使用される認証方法を構成できます。ログインが試行されるたびに、デバイスは認証方法を順に試行します。最初の方法からパスワードが一致するまで開始します。システム認証を構成しない場合、ユーザーは構成されたローカルパスワードに基づいて検証されます。

この例では、まずローカル パスワードでユーザー認証を試み、次に LDAP サーバー、RADIUS サーバー、最後に TACACS+ サーバーでユーザー認証を試みるデバイスを設定します。

ローカルパスワード認証を使用する場合は、システムにアクセスするすべてのユーザーに対してローカルユーザーアカウントを作成する必要があります。ただし、LDAPS、RADIUS、または TACACS+ 認証を使用している場合は、一連のユーザーが共有する単一アカウント(許可目的で)を作成できます。これらのアカウントは、リモートおよびローカルのユーザーテンプレートアカウントを使用して作成します。ユーザーがテンプレートアカウントを使用している場合、CLI (コマンドラインインターフェース) のユーザー名はログイン名になります。ただし、権限、ファイル所有権、実効ユーザー ID がテンプレートアカウントから継承されています。

構成

手順

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

GUIのクイック設定
順を追った手順

認証順序を構成するには、次のようにします。

  1. J-Web ユーザーインターフェイスで、[] Configure>System Properties>User Managementを選択します。

  2. クリックEditします。[ユーザー管理の編集] ダイアログボックスが表示されます。

  3. Authentication Method and Order タブを選択します。

  4. [選択可能なメソッド] で、デバイスがユーザーを認証するために使用する認証方法を選択し、矢印ボタンを使用して、アイテムを選んだメソッドリストに移動します。次のような方法があります。

    • RADIUS

    • TACACS+

    • ローカルパスワード

    複数の方法を使用してユーザーを認証する場合は、この手順を繰り返して、選択したメソッドリストにその他のメソッドを追加します。

  5. 選択した方法で、上向き矢印と下向き矢印を使用して、デバイスが認証方法を実行する順序を指定します。

  6. 設定OKを確認し、候補の設定として保存するときにクリックします。

  7. デバイスの設定が完了したら、[ Commit Options>Commit] をクリックします。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

認証順序を構成するには、次のようにします。

  1. LDAPS 認証を認証順序に追加します。

  2. 認証順に RADIUS 認証を追加します。

  3. 認証順序に TACACS + 認証を追加します。

結果

設定モードから、 show system authentication-orderコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

注:

LDAPS、RADIUS、または TACACS+ 認証を完全に設定するには、少なくとも 1 つの LDAP、RADIUS、または TACACS+ サーバーを設定し、ユーザー テンプレート アカウントを作成する必要があります。以下のいずれかの作業を実行します。

検証

構成が正常に機能していることを確認します。

認証順序の設定を検証します。

目的

認証順が設定されていることを確認します。

アクション

動作モードから、 show system authentication-orderコマンドを入力します。

例:LDAPS、プロトコル、TACACS+、パスワード認証RADIUSのシステム認証を設定します。

次の例では、ホストで実行されているデバイスで LDAPS、RADIUS、TACACS+、パスワード認証のシステム認証を設定する方法を示Junos OS。

この例では、リモートLDAPサーバーによって認証されたユーザー Philip とユーザーのみログインできます。ユーザーがログインし、LDAP サーバーによって認証されていない場合、そのユーザーはルーターまたはスイッチへのアクセスを拒否されます。LDAP サーバーを使用できない場合は、認証方法を使用してユーザーが認証され、ルーターまたはスイッチへのアクセス password が許可されます。パスワード認証方法の詳細については、「 LDAPS、RADIUS、TACACS+、パスワード認証の認証順序の決定 」を参照してください。

Philip がシステムにログインしようとすると、LDAP サーバーが彼を認証すると、クラスのアクセス権と権限が与 super-user わります。ローカルアカウントは、他のユーザーに対しては構成されていません。システムにログインし、LDAP サーバーが認証すると、同じユーザー ID(UID)9999 とクラスに関連付けられた権限を使用してアクセス権が付与 operator されます。

注:

承認を目的として、テンプレートアカウントを使用して、ユーザーセットによって共有できる単一のアカウントを同時に作成することができます。たとえば、リモートテンプレートアカウントを作成すると、リモートユーザーのセットは1つの UID を同時に共有できます。テンプレート アカウントの詳細については、 例 : 認証順序を設定します

ユーザーがデバイスにログインすると、ユーザーのログイン名がLDAP、TACACS+サーバーによって認証RADIUS使用されます。認証サーバーによってユーザーが正常に認証され、ユーザーが[edit system login user]階層レベルで設定されていない場合、デバイスはユーザーに対してデフォルトのリモートテンプレートユーザーアカウントを使用します。 edit system login user remoteこれは、リモートテンプレートアカウントが階層レベルで設定されている場合です。リモートテンプレートアカウントは、認証サーバーによって認証されるすべてのユーザーのデフォルトテンプレートユーザーアカウントとして機能しますが、デバイス上にローカルに設定されたユーザーアカウントはありません。このようなユーザーは、同じログインクラスと UID を共有します。

代替テンプレート ユーザーを設定するには user-name 、LDAPS 認証応答パケットに返されるパラメーターを指定します。すべてのLDAPサーバーでこのパラメータを変更できる場合はありません。次の図は、Junos OS 構成の例を示しています。

LDAP サーバーが次の情報で構成されていることを前提とします。

  • パスワード「オリンピア」を持つユーザー Philip

  • パスワード「bu大使」とユーザー名「オペレータ」を持つユーザー・アレクサンダー

  • パスワード「権限」とユーザー名「オペレータ」を持つユーザー Darius

  • パスワード「アテナ」を持つユーザー Roxane

Philip は、所有するローカルユーザーアカウントをsuper-user持っているため、スーパーユーザー () としてのアクセスが与えられます。アレクサンドロスとダレイオスは、UID 9990 を共有し、通信事業者としてのアクセスを与えられます。Roxane はテンプレートユーザーによる上書きを行わないため、他のすべてのリモートユーザーとのアクセスを共有し、読み取り専用アクセスを実現します。

リリース履歴テーブル
リリース
説明
20.2R1
リリース Junos OS リリース 20.2R1、LDAPS クライアントと LDAPS サーバー間に TLS セキュリティーを使用したユーザー ログイン用の LDAPS サポートが導入されます。