Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページで
 

ユーザー アカウント

システム管理者は、Junos OS を使用してルーター、スイッチ、およびセキュリティユーザーのアカウントを作成できます。すべてのユーザーは、いずれかのシステムログインクラスに属します。

ユーザーアカウントを作成して、ユーザーがルーター、スイッチ、またはセキュリティデバイスにアクセスできるようにします。すべてのユーザーは、デバイスにログインする前に、定義済みのユーザーアカウントを保持している必要があります。ユーザーアカウントを作成し、各ユーザーアカウントのログイン名と識別情報を定義します。

ユーザーアカウントの概要

ユーザーアカウントは、ユーザーがデバイスにアクセスする方法の1つを提供します。アカウントごとに、ユーザーのログイン名、パスワード、追加のユーザー情報を定義します。アカウントを作成すると、ソフトウェアはユーザー向けのホームディレクトリを作成します。

ユーザーroot向けのアカウントは、常に設定内に存在しています。root向けのパスワードをroot-authenticationステートメントを使用して構成できます。

リモート認証サーバーを使用してユーザーに関する情報を集中的に保存するのが一般的ですが、各デバイスで少なくとも1つ以上の非ルートユーザーを構成するのも良い方法です。このようにすれば、リモート認証サーバーへの接続が切断されても、デバイスへのアクセスが可能になります。この非ルートユーザーには、通常、adminなどの一般的な名前があります。

ユーザーアカウントごとに、以下を定義できます。

  • ユーザー名(必須):ユーザーを識別する名前。固有でなければなりません。ユーザー名にスペース、コロン、コンマを使用することは控えてください。ユーザー名は最大64文字です。

  • ユーザーの氏名:(オプション)氏名にスペースが含まれている場合は、引用符で囲みます。コロンやコンマは使用しないでください。

  • ユーザー識別子(UID):(オプション)ユーザーアカウント名に関連付けられた数字識別子。設定をコミットするとUIDが自動的に割り当てられるため、手動で設定する必要はありません。ただし、UIDを手動で設定する場合は、100~64,000の範囲で固有の値を使用します。

  • ユーザーのアクセス権限:(必須)[edit system login]階層のclassステートメントで定義されたログインクラスのいずれか、またはデフォルトのログインクラスのいずれかです。

  • デバイスアクセス用の認証方法やパスワード(必須):SSHキー、暗号化されたパスワード、またはパスワードデータベースに入力される前にJunos OS暗号化されるプレーンテキストパスワードを使用できます。それぞれの方法で、ユーザーのパスワードを指定できます。plain-text-passwordオプションを設定する場合、パスワードを入力して確認するプロンプトが表示されます。

    有効なプレーンテキストパスワードを作成するには、以下を確認してください。

    • 6~128文字であること。

    • ほとんどの文字クラス(大文字、小文字、数字、句点、その他の特殊文字)を含めますが、制御文字は含まれません。

    • 大文字/小文字または文字クラスを1つ以上含みます。

    Junos-FIPS とCommon Criteriaには、以下の特別パスワード要件があります。それらは:

    • 長さは10~20文字。
    • 定義された文字セット(大文字、小文字、数字、句点、その他の特殊文字)の5つのうち、少なくとも3つ使用する。

    Junos-FIPSがデバイスにインストールされている場合、特別パスワード要件を遵守しなければならないか、パスワードが構成されない。

SSH認証では、SSHキーファイルのコンテンツを設定にコピーできます。また、SSHキー情報を直接設定することもできます。load-key-fileステートメントを使用して、以前生成されたSSHキーファイルを読み込みます(例えば、ssh-keygenを使用する)。load-key-file引数は、ファイルのロケーションおよび名前へのパスです。load-key-fileステートメントは、RSA(SSHバージョン1およびSSHバージョン2)パブリックキーを読み込みます。SSHキーファイルのコンテンツは、load-key-fileステートメントを設定した直後に設定にコピーされます。

以下のトランスポート層セキュリティ(TLS)バージョンと暗号スイート(RSAホストキー)組み合わせは使用しないでください。失敗します。

RSAホストキーを使用:

  • TLS_1.0@DHE-RSA-AES128-SHA

  • TLS_1.0@DHE-RSA-AES256-SHA

ユーザーアカウントおよびルートログインでは、ユーザー認証向けに複数のパブリックRSAキーを設定できます。ユーザーアカウントまたはルートとしてログインすると、設定されたパブリックキーが参照され、プライベートキーがユーザーアカウントのいずれかに一致するかどうかを判定します。

SSHキーエントリーを表示するには、設定モードshowコマンドを使用します。以下はその一例です。

Junos-FIPS Crypto Officerとユーザーアカウントの概要

Junos-FIPSは、制限されたユーザーロールセットを定義します。幅広い機能をユーザーに提供できるJunos OSとは異なり、FIPS 140-2では特定のタイプのユーザー(Crypto Officer、User、Maintenance)が定義されます。Crypto OfficerとFIPS Userは、すべてのFIPS関連構成タスクを実行し、すべてのFIPS関連コマンドを発行します。Crypto OfficerとFIPS Userの構成は、FIPS 140-2のガイドラインに従う必要があります。通常、Crypto OfficerのみがFIPS関連のタスクを実行できます。

Crypto Officerユーザーの構成

Junos-FIPS では、FIPS 140-2で義務付けられているユーザーへの権限許可をより細かく管理することができます。FIPS 140-2に準拠させる場合は、secretsecuritymaintenance パーミッションビットが設定されているJunos-FIPSユーザーはすべてCrypto Officerになります。ほとんどの場合、Crypto Officer用の super-user クラスを予約する必要があります。FIPS Userは、secretsecuritymaintenance ビットセットが設定されていない任意のJunos-FIPSユーザーとして定義できます。

FIPS Userの構成

Crypto OfficerがFIPS Userをセットアップします。通常、FIPS Userは、Crypto Officer用に予約されている特定のパーミッションを有します。例えば、FIPS Userに対して、システムおよび個別の AS-II FIPS PICをゼロ化するパーミッションを与えることができます。

例:新しいユーザーアカウントの設定

この例では、新しいユーザー アカウントを設定する方法について説明します。

要件

この機能を使用する前に、特別な設定は必要ありません。

概要

新しいユーザー アカウントを、デバイスのローカル データベースに追加できます。各アカウント向けに、システム管理者は、ユーザーのログイン名とパスワードを定義し、アクセス権限のログイン クラスを指定します。ログインパスワードは、以下の基準を満たす必要があります。

  • パスワードは、6 文字以上でなければなりません。

  • パスワードには、ほとんどの文字クラス(アルファベット、数字、特殊文字)を使用することができますが、制御文字は使用できません。

  • パスワードには、大文字 / 小文字または文字クラスを 1 つ以上変更して使用する必要があります。

この例では、operator-and-boot というログイン クラスを作成し、それによってデバイスを再起動します。任意のログイン クラス数を定義できます。次に、operator-and-boot ログイン クラスが、次のビットで定義されたコマンドを使用できるようにします。

  • クリア

  • ネットワーク

  • リセット

  • trace

  • 権限を表示

次に、ユーザー アカウントを作成し、デバイスへのアクセスを有効にします。ユーザー名を randomuser に、ログイン クラスを superuser に設定します。最後に、ユーザー向けに暗号化したパスワードを定義します。

設定

手順

CLIクイック構成

この例を手早く設定するには、以下のコマンドをコピーして、テキストファイルに貼り付けます。改行を削除し、ネットワーク設定に合わせて必要な変更を加え、コマンドを[edit]階層レベルのCLIにコピー、貼り付けしてから、設定モードでcommitを入力します。

ステップバイステップでの手順

新しいユーザーの設定方法

  1. ログイン クラスの名前を設定し、再起動コマンドの使用を許可します。

  2. ログイン クラスに許可ビットを設定します。

  3. ユーザーに、ユーザー名、ログイン クラス、暗号化されたパスワードを設定します。

GUI クイックコンフィグレーション
ステップバイステップでの手順

新しいユーザーの設定方法

  1. J-Webユーザー インターフェースで、Configure>System Properties>User Managementを選択します。

  2. Editをクリックします。「ユーザー管理の編集」ダイアログボックスが表示されます。

  3. Users タブを選択します。

  4. Addをクリックして、新しいユーザーを追加します。「ユーザーの追加」ダイアログ ボックスが表示されます。

  5. 「ユーザー名」のボックスに、固有のユーザー名を入力します。

    ユーザー名には、スペース、コロン、コンマは使用しないでください。

  6. 「ユーザー ID」ボックスに、独自のユーザー ID を入力します。

  7. 「フルネーム」のボックスに、ユーザーの氏名を入力します。

    氏名にスペースが含まれている場合は、引用符で囲みます。コロンとコンマは使用しないでください。

  8. 「パスワード」と「パスワードの確認」ボックスで、ユーザーのログイン パスワードを入力して、入力を確認します。

  9. 「ログイン クラス」のリストから、ユーザーのアクセス権限を選択します。

    • operator

    • read-only

    • unauthorized

    このリストには、全てのユーザー定義のログイン クラスも含まれています。

  10. 「ユーザーの追加」ダイアログ ボックスと「ユーザー管理の編集」ダイアログ ボックスでOKをクリックします。

  11. OKをクリックして、設定を確認し、設定の候補としてそれを保存します。

  12. デバイスを設定した後、Commit Options>Commitをクリックします。

結果

設定モードで、show system loginコマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

次の例では、4 人のユーザー向けのアカウントの作成方法を示しています。また、テンプレート ユーザーremote向けのアカウントの作成方法も示します。すべてのユーザーは、デフォルトのシステム ログイン クラスのいずれかを使用します。

デバイスの設定後、コンフィギュレーションモードでcommitを入力します。

検証

設定が正常に機能していることを確認します。

新しいユーザーの設定を検証する

目的

新しいユーザーが設定されていることを検証します。

アクション

新しいユーザーアカウントまたはアカウントとパスワードでデバイスにログインして、アクセスできることを確認します。

設定グループ内のユーザーアカウントを設定する

複数の機器に同じユーザーアカウントを簡単に設定するために、コンフィギュレーショングループの中にアカウントを設定します。ここに示す例は、globalというコンフィギュレーショングループの中にあります。ユーザーアカウントでのコンフィギュレーショングループの使用はオプションです。

ユーザーアカウントを作成するには

  1. ユーザーのアカウントに割り当てられたログイン名を使用して、新しいユーザーを追加します。
  2. (オプション)アカウントの説明的な名前を設定します。

    名前にスペースが含まれる場合は、名前全体を引用符で囲んでください。

    以下はその一例です。

  3. (オプション)アカウントのユーザー識別子(UID)を設定します。

    UNIXシステムと同様に、UIDでユーザー権限とファイルアクセスが設定されます。UIDを設定しない場合は、ソフトウェアから代わりに割り当てられます。UIDの形式は、100~64,000の数字です。

    以下はその一例です。

  4. ユーザーをログインクラスに割り当てます。

    独自のログインクラスを定義することも、あらかじめ定義されたログインクラスを割り当てることもできます。

    あらかじめ定義されているログインクラスは以下の通りです。

    • スーパーユーザ—すべての権限

    • オペレータ—クリア、ネットワーク、リセット、トレース、および表示の権限

    • 読み取りのみ—表示の権限

    • 無許可—権限なし

    以下はその一例です。

  5. ユーザーパスワードは、以下のいずれかの方法で設定してください。

    • システムによって暗号化されるプレーンテキストのパスワードを入力するには、次のコマンドを使用してユーザーパスワードを設定します。

      パスワードをプレーンテキストで入力すると、ソフトウェアがそれを暗号化します。パスワードを暗号化するためにソフトウェアを設定する必要はありません。プレーンテキスト パスワードは非表示になり、設定で## SECRET-DATAとしてマークされます。

    • 暗号化されたパスワードを入力する場合は、次のコマンドでユーザーパスワードを設定します。

      注意:

      パスワードがすでにつ暗号化されていて、暗号化されたバージョンのパスワードを入力する場合を除き、encrypted-passwordオプションは使用しないでください。

      誤ってencrypted-passwordオプションにプレーンテキストのパスワードや空白の引用符(" ")を設定した場合、このユーザーとしてデバイスにログインすることはできません。

    • 指定したURLの場所にある名前付きファイルから、過去に生成した公開キーを読み込むには、次のコマンドを使用します。

    • SSH公開文字列を入力するには、次のコマンドを使用します。

  6. 設定の最上位レベルで、設定グループを適用します。

    設定グループを使用している場合、有効にするためには適用する必要があります。

  7. 設定をコミットします。
  8. 設定を確認するために、一度ログアウトし、新しいユーザーでログインし直してください。