Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

ユーザーアカウントの Junos OS

Junos OS では、ルーター、スイッチ、セキュリティユーザーのアカウントを作成できます。すべてのユーザーは、システムログインクラスのいずれかにも属しています。

Junos OS では、デバイスにログインする前に、すべてのユーザーが事前に定義されたユーザーアカウントを持っている必要があります。各ユーザーアカウントについて、ユーザーのログイン名を定義し、必要に応じてユーザーを識別する情報を入力します。ユーザーアカウントは、ユーザーがルーターやスイッチまたはセキュリティデバイスにアクセスできるようにする方法を提供します。詳細については、このトピックをお読みください。

ユーザー アカウントの概要

Junos OSのJunos OSのユーザー アカウントを使用すると、ユーザーはデバイスにアクセスできます。( Junos OS ユーザー認証方法に関する説明に従って、RADIUS または TACACS + サーバーを設定した場合、ユーザーはアカウントなしでデバイスにアクセスできます)。アカウントごとに、ユーザーのログイン名とパスワードを定義します。また、必要に応じて、ユーザーの追加パラメーターとメタデータを指定することもできます。アカウントを作成すると、ユーザーのホームディレクトリが作成されます。

ユーザー rootのアカウントは、常に設定に存在しています。Rootパスワードを構成するrootの説明に従って、 root 認証文を使用するためのパスワードを設定します。

一般的には、リモート認証サーバーを使用して、ユーザーに関する情報を一元的に保存します。それでも、リモート認証サーバーへのアクセスが中断された場合には、各デバイス上で少なくとも1つの非 root ユーザーを直接設定することをお勧めします。一般に、このようなルートを持たないユーザーには、 adminなどの一般的な名前が付けられています。

各ユーザーアカウントについて、以下を定義できます。

  • Username ユーザーを識別する名前。デバイス内で一意である必要があります。ユーザー名には、スペース、コロン、カンマを含めないでください。ユーザー名は、最大64文字まで入力できます。

  • ユーザーのフル ネーム: (オプション)名前の名前にスペースを含む場合は、引用符で囲みます。コロンやコンマは含めないでください。

  • ユーザー識別子 (UID): ナユーザーアカウント名に関連付けられた数値識別子。一般に、構成をコミットするとソフトウェアによって自動的に UID が割り当てられるため、ユーザーには通常は設定する必要はありません。ただし、手動で UID を設定する場合は、100 ~ 64000 の範囲内でなければなりません。また、デバイス内で一意である必要があります。

    UID が一意であることを確認する必要があります。ただし、複数のユーザーに同じ UID を割り当てることは可能です。これを行うと、設定をコミットしてから重複した UID を割り当てるときに、CLI に警告が表示されます。

  • ユーザーのアクセス権限: (必須)階層レベルのステートメントで定義したログイン クラスの 1 つ、または [ユーザー アクセス権限] に表示されるデフォルト class[edit system login]Junos OS 1 つ

  • ユーザーがデバイスへのアクセスに使用できる認証方法または方法、パスワード - SSH または Message Digest 5(MD5)パスワードを使用できます。また、パスワード データベースに入力する前に、Junos OS が MD5 スタイルの暗号化を使用して暗号化するプレーンテキスト パスワードを入力することもできます。各方法について、ユーザーのパスワードを指定できます。オプションを設定した plain-text-password 場合、パスワードを入力して確認するよう求められます。

    プレーンテキストパスワードのデフォルトの要件は、以下のとおりです。

    • パスワードは、6 ~ 128 文字の範囲内で指定する必要があります。

    • ほとんどの文字クラスをパスワードに含めることができます (大文字、小文字、数字、句読点、その他の特殊文字)。制御文字は推奨されません。

    • 有効なパスワードには、大文字または文字クラスの変更が少なくとも1つ含まれている必要があります。

    Junos-FIPS および共通の基準には、特別なパスワード要件があります。FIPS および一般的な基準パスワードの長さは 10 ~ 20 文字にする必要があります。パスワードは、少なくとも3つの文字セット (大文字、小文字、数字、句読点、およびその他の特殊文字) を使用している必要があります。デバイスに Junos-FIPS がインストールされている場合は、この規格を満たしていないパスワードを設定することはできません。

SSH 認証の場合、SSH キーファイルの内容を設定にコピーするか、SSH キー情報を直接設定できます。URL filename load-key-file コマンドを使用 して、以前に生成された SSH キー ファイル(例:を使用して生成)をロードします ssh-keygenURLファイル名は、ファイルの場所と名前へのパスです。このコマンドは、RSA (SSH バージョン1および SSH バージョン 2) および DSA (SSH バージョン 2) パブリックキーを読み込みます。SSH キーファイルの内容は、 load-key-file文を入力した直後に構成にコピーされます。必要に応じて、パブリックキーssh-dsa <from ホスト名>、パブリックキーホスト名>ssh-rsa <from ステートメントを使用してSSHキーを直接設定できます。

指定したタイプのホスト キーを使用すると、次の TLS バージョンと暗号スイートの組み合わせは失敗します。

RSAホスト キーを使用する:

  • TLS_1.0@DHE-RSA-AES128-SHA

  • TLS_1.0@DHE-RSA-AES256-SHA

DSAホスト キーを使用する場合:

  • TLS 1.0(デフォルトの暗号)

  • TLS 1.1(デフォルトの暗号)

  • TLS_1.0@DHE-DSS-AES128-SHA

  • TLS_1.0@DHE-DSS-AES256-SHA

ユーザーアカウントごと、およびルートログイン用に、複数のパブリック RSA または DSA を設定してユーザー認証を実行できます。ユーザーがユーザーアカウントまたは root としてログインすると、設定された公開鍵が参照され、秘密鍵がそのいずれかに一致しているかどうかを確認します。

SSH キーのエントリを表示するには、configuration show mode コマンドを使用します。たとえば、以下のように記述します。

Junos FIPS 暗号化責任者およびユーザーアカウントの概要

Junos-FIPS は、制限されたユーザーロールのセットを定義します。さまざまな機能をユーザーに提供できる Junos OS とは異なり、FIPS 140-2 は、特定のタイプのユーザー (暗号管理者、ユーザー、保守) を定義します。暗号責任者と FIPS ユーザーは、すべての FIPS 関連の設定作業を実行し、FIPS 関連のすべてのコマンドを発行します。暗号責任者と FIPS ユーザーの設定は、FIPS 140-2 ガイドラインに従う必要があります。通常、暗号責任者以外に、FIPS 関連のタスクを実行できるユーザーはいません。

Crypto オフィサーのユーザー構成

Junos-FIPS は、FIPS 140-2 によって義務付けられているよりも細かくユーザー権限を制御します。Fips 140-2 準拠の場合、、、およびsecretsecuritymaintenanceアクセス許可ビットが設定された Junos-fips ユーザーはすべて暗号責任者です。ほとんどの場合、このsuper-userクラスは暗号責任者に対してウれている必要があります。Fips ユーザーは、、、およびsecretsecuritymaintenanceビットが設定されていない任意の Junos fips ユーザーとして定義できます。

FIPS ユーザーの構成

暗号責任者が FIPS ユーザーを設定します。FIPS ユーザーは、暗号責任者に対して通常予約されている権限を与えることができます。たとえば、システムと個人を-II FIPS PICs としてゼロにする権限があります。

例:ユーザーアカウントの設定

次の例は、4つのルーターまたはスイッチユーザーのアカウントを作成し、テンプレートユーザー remoteのアカウントを作成する方法を示しています。すべてのユーザーは、デフォルトのシステムログインクラスを使用します。ユーザー alexanderは、SSH 認証用に設定された2つのデジタル信号アルゴリズム (DSA) パブリックキーも持っています。

例:新しいユーザーの構成

この例では、新しいユーザーを設定する方法を示します。

要件

この機能を設定する前に、デバイス初期化以外の特別な設定は不要です。

概要

デバイスのローカル データベースに新しいユーザーを追加できます。アカウントごとに、ユーザーのログイン名とパスワードを定義し、アクセス権限用のログインクラスを指定します。ログインパスワードは、以下の条件を満たしている必要があります。

  • パスワードは6文字以上にする必要があります。

  • パスワードにはほとんどの文字クラスを含めることができます (英数字および特殊文字)。文字の制御は行いません。

  • パスワードには、大文字または小文字クラスの変更が1つ以上含まれている必要があります。

この例では、operator and boot という名前のログインクラスを作成し、デバイスの再起動を許可しています。任意の数のログインクラスを定義できます。その後、オペレーターとブートのログインクラスでは、クリア、ネットワーク、リセット、トレース、およびビューの各権限ビットに定義されたコマンドを使用できます。

その後、ユーザーアカウントを作成します。ユーザーアカウントを使用すると、デバイスにアクセスできます。(RADIUS または TACACS + サーバーを設定した場合、アカウントなしでデバイスにアクセスできます)。Cmartin とログインクラスをスーパーユーザーとして設定しています。最後に、ユーザーに暗号化されたパスワードを定義します。

構成

手順

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

GUIのクイック設定
順を追った手順

新しいユーザーを設定するには

  1. J-Web ユーザーインターフェイスで、[] Configure>System Properties>User Managementを選択します。

  2. クリックEditします。[ユーザー管理の編集] ダイアログボックスが表示されます。

  3. Users タブを選択します。

  4. 新しいAddユーザーを追加するときにクリックします。[ユーザーの追加] ダイアログボックスが表示されます。

  5. [ユーザー名] ボックスに、ユーザーの一意の名前を入力します。

    ユーザー名には、スペース、コロン、カンマを含めないでください。

  6. [ユーザー ID] ボックスに、ユーザーの一意の ID を入力します。

  7. [フルネーム] ボックスに、ユーザーの名前を入力します。

    フルネームにスペースが含まれている場合は、引用符で囲みます。コロンやコンマは含めないでください。

  8. [パスワードおよびパスワードの確認] ボックスで、ユーザーのログインパスワードを入力し、エントリを確認します。

  9. [ログイン クラス] リストから、ユーザーのアクセス権限を選択します。

    • operator

    • read-only

    • unauthorized

    このリストには、ユーザーが定義した任意のログインクラスも含まれています。

  10. [ OKユーザーの追加] ダイアログボックスをクリックし、ユーザー管理の編集ダイアログボックスをオンにします。

  11. 設定OKを確認し、候補の設定として保存するときにクリックします。

  12. デバイスの設定が完了したら、[ Commit Options>Commit] をクリックします。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

新しいユーザーを設定するには

  1. ログインクラスの名前を設定し、reboot コマンドの使用を許可します。

  2. ログインクラスのアクセス許可ビットを設定します。

  3. ユーザー名、ログインクラス、暗号化されたパスワードを設定します。

結果

設定モードから、 show system loginコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

次の例は、4つのルーターまたはスイッチユーザーのアカウントを作成し、テンプレートユーザー remoteのアカウントを作成する方法を示しています。すべてのユーザーは、デフォルトのシステムログインクラスを使用します。ユーザー alexanderは、SSH 認証用に設定された2つのデジタル信号アルゴリズム (DSA) パブリックキーも持っています。

次の例は、4つのルーターまたはスイッチユーザーのアカウントを作成し、テンプレートユーザー remoteのアカウントを作成する方法を示しています。すべてのユーザーは、デフォルトのシステムログインクラスを使用します。ユーザー alexanderは、SSH 認証用に設定された2つのデジタル信号アルゴリズム (DSA) パブリックキーも持っています。

次の例は、4つのルーターまたはスイッチユーザーのアカウントを作成し、テンプレートユーザー remoteのアカウントを作成する方法を示しています。すべてのユーザーは、デフォルトのシステムログインクラスを使用します。ユーザー alexanderは、SSH 認証用に設定された2つのデジタル信号アルゴリズム (DSA) パブリックキーも持っています。

デバイスの設定が完了したら、設定commitモードから入力します。

注:

RADIUS または TACACS + 認証を完全に設定するには、少なくとも1つの RADIUS または TACACS + サーバーを構成し、ユーザーテンプレートアカウントを指定する必要があります。以下のいずれかの作業を実行します。

検証

構成が正常に機能していることを確認します。

新しいユーザーの構成を確認しています

目的

新しいユーザーが設定されていることを確認します。

アクション

動作モードから、 show system loginコマンドを入力します。

設定グループを使用したユーザー アカウントの設定

Evolved Junos OSおよびJunos OSアカウントは複数のデバイスで設定されたため、通常は設定グループ内で設定されます。そのため、ここで示す例は、と呼ばれるglobal設定グループに含まれています。ユーザーアカウントに設定グループを使用することは任意です。

ユーザー アカウントを作成するには、以下の手順に従います。

  1. ユーザーが割り当てたアカウント ログイン名を使用して、新しいユーザーを追加します。
  2. ナアカウントの完全な内容を示す名前を設定します。

    完全な名前にスペースが含まれる場合は、名前全体を引用符で囲みます。

    たとえば、以下のように記述します。

  3. ナアカウントのユーザー識別子 (UID) を設定します。

    UNIX システムの場合と同様に、UID によってユーザーの権限とファイルへのアクセスが適用されます。UIDを設定していない場合は、ソフトウェアからUIDが割り当てされます。UID の形式は、100 ~ 64000 の範囲の数値です。

    たとえば、以下のように記述します。

  4. ユーザーをログインクラスに割り当てます。

    独自のログイン クラスを定義するか、または事前定義済みのログイン クラスのいずれかを割り当てできます。

    定義済みのログインクラスは以下のとおりです。

    • super-user — すべての権限

    • オペレータ — clear、ネットワーク、リセット、トレース、表示の権限

    • read-only— 権限の表示

    • 許可なし

    たとえば、以下のように記述します。

  5. ユーザーパスワードを設定するには、以下のいずれかの方法を使用します。
    • システムで暗号化されたクリアテキストパスワードを入力するには、次のコマンドを使用してユーザーパスワードを設定します。

      プレーン テキストでパスワードを入力すると、すぐにソフトウェアによって暗号化されます。他の一部のシステムのようにパスワードを暗号化するソフトウェアを設定する必要はありません。そのため、プレーンテキストパスワードは非表示になり、構成で # # SECRET データとしてマークされます。

    • すでに暗号化されているパスワードを入力するには、次のコマンドを使用してユーザーパスワードを設定します。

      注意:

      パスワードがすでencrypted-password暗号化されていて、暗号化されたパスワードを入力している場合以外は、このオプションを使用しないでください。

      このencrypted-passwordオプションをテキスト形式のパスワードまたは空白引用符 ("") で誤って設定した場合、このユーザーとしてデバイスにログインすることはできません。

    • 指定した URL の場所にある名前付きファイルから以前生成された公開鍵を読み込むには、次のコマンドを使用して、ユーザーパスワードを設定します。

    • Ssh パブリック文字列を入力するには、次のコマンドを使用してユーザーパスワードを設定します。

  6. 構成のトップレベルで、コンフィギュレーショングループを適用します。

    構成グループを使用する場合は、それを適用して有効にする必要があります。

  7. 構成をコミットします。
  8. 構成を確認するには、ログアウトして新しいユーザーとして再度ログインします。