ログインクラスの概要
Junos OSログインクラスは、そのクラスに割り当てられたユーザーのアクセス権限、CLIコマンドおよびステートメントの使用許可、およびセッションアイドル時間を定義します。お客様(システム管理者)は、個々のユーザーアカウントにログインクラスを適用することで、そのユーザーに特定の権限と許可を割り当てることができます。
ログインクラスの概要
Junos OSを実行しているデバイスにログインできるすべてのユーザーは、ログインクラスにいる必要があります。各ログインクラスには以下が定義されています。
-
ネットワークデバイスにログインするときにユーザーが持つアクセス権限
-
ユーザーが実行できるコマンドと実行できないコマンド
-
ユーザーが表示または変更できる設定ステートメントとできない設定ステートメント
-
システムがユーザーの接続を切断する前に、ログインセッションがアイドル状態を維持できる期間
任意のログインクラスを定義できます。ただし、個々のユーザーアカウントに割り当てるのは1つのログインクラスのみです。
Junos OS には、 表1に示す定義済みのログインクラスが含まれています。事前定義されたログインクラスを変更することはできません。
| ログインクラス |
パーミッションフラグセット |
|---|---|
|
|
クリア、ネットワーク、リセット、トレース、ビュー |
|
|
表示 |
|
|
すべて |
|
|
なし |
事前定義されたログインクラスの operator または read-only を使用している場合は、SFTPおよびSCPサーバー機能は無効になります。
Junos OS Evolved リリース 23.4R2 以降、superuser ログインクラスは /var/log/ ディレクトリに書き込むことができません。/var/log/ に書き込むことができるのは root ユーザーだけです。
パーミッションビット
各トップレベルのCLIコマンドと 各設定ステートメント には、関連するアクセス権限レベルがあります。ユーザーは、アクセス権限のあるコマンドのみを実行し、アクセス権限のあるステートメントのみを設定および表示できます。各ログインクラスでは、アクセス権限を決定する1つ以上のパーミッションビットが定義されます。
このアクセス許可の 2 つの形式では、ユーザーが設定の個々の部分を表示または変更できるかどうかを制御します。
-
「プレーン」フォーム—そのパーミッションタイプに読み取り専用機能を提供します。
interfaceがその一例です。 -
-controlform—そのパーミッションタイプに読み取りと書き込み機能を提供します。interface-controlがその一例です。
表2は 、パーミッションフラグと関連するアクセス権限の概要を示しています。
| パーミッションフラグ |
説明 |
|---|---|
| 動作モードまたは構成モードでアクセス構成を表示できます。 |
|
|
|
|
| 動作モードまたは構成モードでユーザーアカウント情報を表示できます。 |
|
| ユーザーアカウント情報を表示し、 |
|
| すべての動作モードのコマンドと構成モードのコマンドにアクセスできます。すべての構成階層レベルで構成を変更できます。 |
|
| デバイスがネットワークから学習して、さまざまなネットワークデータベースに保存した情報を消去(削除)できます( |
|
| 構成モード( |
|
| すべての制御レベルの操作( |
|
| フィールド デバッグ コマンドを表示できます。デバッグ サポート用に予約されています。 |
|
| ファイアウォールフィルターの設定を動作モードまたは構成モードで表示できます。 |
|
|
|
|
| リムーバブル メディアの読み取りと書き込みができます。 |
|
| フロータップの設定を動作モードまたは構成モードで表示できます。 |
|
|
|
|
| ルーターまたはスイッチへのフロータップ要求を行うことができます。たとえば、Dynamic Tasking Control Protocol(DTCP)クライアントには、自身を管理者ユーザーとして認証するための
注:
|
|
| プロファイラデータを表示できます。 |
|
| インターフェイスの設定を動作モードおよび構成モードで表示できます。 |
|
| シャーシ、 サービス クラス (CoS)、グループ、転送オプション、インターフェイスの設定情報を表示できます。以下の階層レベルで設定を変更できます。
|
|
| デバイス上でのローカルシェルの起動、シェル内のスーパーユーザーになる( |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| 構成モードおよび運用モードで、一般的なルーティング、ルーティングプロトコル、およびルーティングポリシーの設定情報を表示できます。 |
|
|
|
|
| 設定内のパスワードやその他の認証キーを表示できます。 |
|
| 設定内のパスワードやその他の認証キーを表示および変更できます。 |
|
| 運用モードおよび構成モードでセキュリティ設定情報を表示できます。 |
|
|
|
|
|
|
|
| 運用モードまたは構成モードで簡易ネットワーク管理プロトコル(SNMP)の設定情報を表示できます。 |
|
|
|
|
|
|
|
storage-control |
|
| 動作モードまたは構成モードでシステム レベルの情報を表示できます。 |
|
|
|
|
| トレース ファイルの設定を表示できます。 |
|
| トレース ファイルの設定およびトレース ファイルのプロパティの構成を変更できます。 |
|
unified-edge |
|
unified-edge-control |
|
| さまざまなコマンドを使って、システム全体、ルーティングテーブル、プロトコル固有の現在の値や統計情報を表示できます。シークレット設定は表示できません。 |
|
| シークレット、システムスクリプト、イベントオプションを除くすべての設定を表示できます。
注:
|
個々のコマンドとステートメント階層を拒否または許可する
デフォルトでは、トップレベルの CLI コマンドおよびステートメントには、関連するアクセス権限レベルがあります。ユーザーは、アクセス権限のあるコマンドのみを実行し、アクセス権限のあるステートメントのみを表示および設定できます。ログイン クラスごとに、パーミッション ビットによって許可または拒否された動作モード コマンドと設定モード コマンド、および設定ステートメント階層の使用をユーザーに明示的に拒否または許可できます。
例:特定の権限を持つログインクラスの作成
ログインクラスを定義することで、特定の権限や制限をユーザーのグループに割り当て、機密性の高いコマンドを適切なユーザーのみがアクセスできるようにします。デフォルトでは、ジュニパーネットワークスデバイスには、運用担当者、読み取り専用、スーパーユーザーまたはスーパーユーザー、無許可の4種類の事前設定された権限を持つログインクラスがあります。
カスタムログインクラスを作成して、デフォルトのログインクラスにはない権限のさまざまな組み合わせを定義することができます。次の例は、3つのカスタムログインクラスを示しており、それぞれに特定の権限と非アクティブタイマーがあります。休止タイマーは、ユーザーが長時間にわたって非アクティブの場合にネットワークから切断することで、ネットワークセキュリティを保護するのに役立ちます。ユーザーを切断することで、ユーザーがスイッチやルーターにログインしたまま無人のアカウントを放置した場合に生じる潜在的なセキュリティリスクを防ぐことができます。ここで示す権限と非アクティブタイマーはあくまでも例です。組織に合わせて値をカスタマイズする必要があります。
3つのログインクラスとその権限は以下のとおりです。3つのログインクラスはすべて、5分の同じ非アクティブタイマーを使用します。
observation—統計情報と設定のみを表示できますoperation—設定を表示および変更できますengineering—無制限のアクセスとコントロール
[edit]
system {
login {
class observation {
idle-timeout 5;
permissions [ view ];
}
class operation {
idle-timeout 5;
permissions [ admin clear configure interface interface-control network
reset routing routing-control snmp snmp-control trace-control
firewall-control rollback ];
}
class engineering {
idle-timeout 5;
permissions all;
}
}
}
ログインクラスの完全一致アクセス権限について
完全一致アクセス権限を使用すると、正確な設定文字列を明示的に許可または拒否して、ログインクラスのアクセス制御ルールを定義できます。Junos OSおよびJunos OS Evolvedリリース23.4R1以降、 allow-configuration-exact-match および deny-configuration-exact-match 設定ステートメントを使用して、完全一致のアクセス権限を制御できるようになりました。
利点
-
上位レベルの設定階層の削除を制限し、特定のサブ階層の削除を許可します。これにより、よりターゲットを絞ったコマンド認証がサポートされます。
-
削除が拒否された場合でも、
setコマンドが階層上で許可されていることを確認します。このようにsetとdeleteの認証を分離することで、より柔軟なアクセス制御が可能になります。 -
正規表現に加えて、正確な設定コマンド文字列を許可または拒否します。これにより、必要に応じて非常に具体的なアクセスルールを設定できます。
-
ローカルルールに加えて、外部TACACS+サーバーからの高度な認証ルールを活用します。これにより、ポリシーの一元管理が容易になります。
[edit system login class name]階層レベルで、allow-configuration-exact-matchおよびdeny-configuration-exact-match設定ステートメントを使用して、完全一致アクセス権限を設定できます。次のいずれかの演算子で始まる階層文字列を使用します。
setdeleteactivedeactivate
ワイルドカード文字もサポートされています。例えば、 deny-configuration-exact-match delete interfaces* ステートメントでは、*ワイルドカード文字を使用してすべてのインターフェイスを指定します。
特定の設定階層でdeleteまたはdeactivateが拒否された場合でも、allow-configuration-exact-matchを使用してsetまたはactivateコマンドを許可できます。allow-configuration-exact-matchとdeny-configuration-exact-matchの両方を同じ運用担当者と設定で設定すると、設定アクセスが拒否されます。
新しい完全一致ルールは、ローカルまたは外部のTACACS+サーバー上で設定できます。