Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

ユーザーアカウント

Junos OS では、システム管理者がルーター、スイッチ、セキュリティユーザーのアカウントを作成できます。すべてのユーザーは、いずれかのシステムログインクラスに属します。

ユーザーアカウントを作成して、ユーザーがルーター、スイッチ、またはセキュリティデバイスにアクセスできるようにします。すべてのユーザーは、デバイスにログインする前に、定義済みのユーザーアカウントを持っている必要があります。ユーザーアカウントを作成し、各ユーザーアカウントのログイン名と識別情報を定義します。

ユーザーアカウントの概要

ユーザーアカウントは、ユーザーがデバイスにアクセスする方法の1つを提供します。アカウントごとに、ユーザーのログイン名、パスワード、追加のユーザー情報を定義します。アカウントを作成すると、ソフトウェアはユーザー用のホームディレクトリを作成します。

ユーザーrootのアカウントは、常に設定内に存在します。root-authenticationステートメントを使用して、rootのパスワードを設定できます。

リモート認証サーバーを使用してユーザーに関する情報を一元的に保存するのが一般的ですが、各デバイスに少なくとも1つの非ルートユーザーを設定するのも良い方法です。このようにすれば、リモート認証サーバーへの接続が切断されても、デバイスにアクセスできます。この非ルートユーザーには、通常、 adminなどの一般的な名前があります。

ユーザーアカウントごとに、以下を定義できます。

  • ユーザー名(必須): ユーザーを識別する名前。固有でなければなりません。ユーザー名にスペース、コロン、コンマを使用することは控えてください。ユーザー名は最大64文字です。

  • ユーザーの氏名: (オプション)氏名にスペースが含まれている場合は、引用符で囲みます。コロンやコンマは使用しないでください。

  • ユーザー識別子(UID):(オプション)ユーザーアカウント名に関連付けられた数字識別子。設定をコミットするとUIDが自動的に割り当てられるため、手動で設定する必要はありません。ただし、UIDを手動で設定する場合は、100〜64,000の範囲の一意の値を使用します。

  • ユーザーのアクセス権限:(必須)[edit system login]階層のclassステートメントで定義したログインクラスのいずれか、またはデフォルトのログインクラスのいずれか。

  • デバイスアクセス用の認証方法とパスワード(必須):パスワードデータベースに入る前に Junos OS が暗号化したSSHキー、暗号化されたパスワード、またはプレーンテキストパスワードを使用できます。それぞれの方法で、ユーザーのパスワードを指定できます。 plain-text-password オプションを設定すると、パスワードを入力して確認するプロンプトが表示されます。

    有効なプレーンテキストパスワードを作成するには、以下を確認してください。

    • 6文字から128文字までです。

    • ほとんどの文字クラス(大文字、小文字、数字、句読点、その他の特殊文字)を含めますが、制御文字は含まれません。

    • 大文字/小文字または文字クラスを 1 つ以上含みます。

    Junos-FIPS とコモン クライテリアには、以下の特別なパスワード要件があります。それらは:

    • 10文字から20文字以内にしてください。
    • 定義された 5 つの文字セット(大文字、小文字、数字、句読点、その他の特殊文字)のうち、少なくとも 3 つを使用します。

    Junos-FIPSがデバイスにインストールされている場合、特別なパスワード要件を遵守しなければならないか、パスワードが設定されません。

SSH認証では、SSHキーファイルのコンテンツを設定にコピーできます。また、SSHキー情報を直接設定することもできます。 load-key-file ステートメントを使用して、以前に生成されたSSHキーファイルを読み込みます(たとえば、 ssh-keygenを使用します)。 load-key-file 引数は、ファイルの場所と名前へのパスです。 load-key-file ステートメントは、RSA(SSHバージョン1およびSSHバージョン2)パブリックキーを読み込みます。SSHキーファイルのコンテンツは、 load-key-file ステートメントを設定した直後に設定にコピーされます。

以下のトランスポート層セキュリティ(TLS)バージョンと暗号スイート(RSAホストキー)の組み合わせは使用しないでください。失敗します。

RSAホストキーを使用:

  • TLS_1.0@DHE-RSA-AES128-SHA

  • TLS_1.0@DHE-RSA-AES256-SHA

ユーザーアカウントおよびルートログインでは、ユーザー認証用に複数のパブリックRSAキーを設定できます。ユーザーがユーザーアカウントまたはrootとしてログインすると、設定されたパブリックキーが参照され、プライベートキーがユーザーアカウントのいずれかに一致するかどうかを判定します。

SSHキーエントリーを表示するには、設定モード show コマンドを使用します。次に例を示します。

Junos-FIPS Crypto Officerとユーザーアカウントの概要

Junos-FIPSは、制限されたユーザーロールセットを定義します。幅広い機能をユーザーに提供できるJunos OSとは異なり、FIPS 140-2では特定のタイプのユーザー(Crypto Officer、User、Maintenance)が定義されます。Crypto OfficerとFIPS Userは、すべてのFIPS関連設定タスクを実行し、すべてのFIPS関連コマンドを発行します。Crypto OfficerとFIPS Userの構成は、FIPS 140-2のガイドラインに従う必要があります。通常、Crypto OfficerのみがFIPS関連のタスクを実行できます。

Crypto Officerユーザーの設定

Junos-FIPS では、FIPS 140-2で義務付けられているユーザー権限よりも細かく管理できます。FIPS 140-2に準拠させるには、 secretsecurity、および maintenance パーミッションビットが設定されているJunos-FIPSユーザーはすべてCrypto Officerになります。ほとんどの場合、 super-user クラスはCrypto Officerのために予約する必要があります。FIPS ユーザーは、 secretsecuritymaintenance ビットが設定されていない任意の Junos-FIPS ユーザーとして定義できます。

FIPS ユーザー構成

Crypto OfficerがFIPS Userを設定します。FIPS ユーザー 通常、Crypto Officer 用に予約されている特定の権限。例えば、FIPS Userに、システムと個々のAS-II FIPS PICをゼロ化する権限を与えることができます。

例:新しいユーザーアカウントを設定する

この例では、新しいユーザーアカウントを設定する方法を示しています。

要件

この機能を使用する前に、特別な設定は必要ありません。

概要

デバイスのローカルデータベースに新しいユーザーアカウントを追加できます。各アカウントに対して、システム管理者は、ユーザーのログイン名とパスワードを定義し、アクセス権限のログイン クラスを指定します。ログインパスワードは、以下の基準を満たす必要があります。

  • パスワードは6文字以上でなければなりません。

  • パスワードには、ほとんどの文字クラス(アルファベット、数字、特殊文字)を含めることができますが、制御文字は使用できません。

  • パスワードには、大文字/小文字または文字クラスを 1 つ以上変更して使用する必要があります。

この例では、運用担当者とブートというログインクラスを作成し、それによってデバイスを再起動させます。任意のログインクラスを定義できます。次に、運用担当者とブートログインクラスが、次のビットで定義されたコマンドを使用できるようにします。

  • クリア

  • ネットワーク

  • リセット

  • トレース

  • 権限を表示

次に、ユーザー アカウントを作成し、デバイスへのアクセスを有効にします。ユーザー名を randomuser に、ログイン クラスを スーパーユーザー に設定します。最後に、ユーザー向けに暗号化されたパスワードを定義します。

設定

手順

CLIクイックコンフィグレーション

この例を迅速に設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを [edit] 階層レベルでCLIにコピーアンドペーストして、設定モードで commit を入力します。

ステップバイステップの手順

新しいユーザーを設定するには:

  1. ログイン クラスの名前を設定し、再起動コマンドの使用を許可します。

  2. ログインクラスのパーミッションビットを設定します。

  3. ユーザーのユーザー名、ログインクラス、暗号化されたパスワードを設定します。

GUIクイックコンフィグレーション
ステップバイステップの手順

新しいユーザーを設定するには:

  1. J-Webユーザーインターフェイスで、[ Configure>System Properties>User Management]を選択します。

  2. Editをクリックします。「ユーザー管理の編集」ダイアログボックスが表示されます。

  3. Users タブを選択します。

  4. Addをクリックして、新しいユーザーを追加します。「ユーザーの追加」ダイアログボックスが表示されます。

  5. 「ユーザー名」ボックスに、ユーザーの一意の名前を入力します。

    ユーザー名には、スペース、コロン、コンマは使用しないでください。

  6. 「ユーザーID」ボックスに、ユーザーの一意のIDを入力します。

  7. 「フルネーム」ボックスに、ユーザーの氏名を入力します。

    氏名にスペースが含まれている場合は、引用符で囲みます。コロンとコンマは使用しないでください。

  8. 「パスワード」と「パスワードの確認」ボックスで、ユーザーのログインパスワードを入力し、入力を確認します。

  9. 「ログインクラス」のリストから、ユーザーのアクセス権限を選択します。

    • operator

    • read-only

    • unauthorized

    このリストには、ユーザー定義のログイン クラスも含まれています。

  10. 「ユーザーの追加」ダイアログボックスと「ユーザー管理の編集」ダイアログボックスで OK をクリックします。

  11. OKをクリックして設定を確認し、設定の候補として保存します。

  12. デバイスの設定が完了したら、 Commit Options>Commitをクリックします。

結果

設定モードで、 show system login コマンドを入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

次の例は、4 人のユーザー用のアカウントを作成する方法を示しています。また、テンプレートユーザー remoteのアカウントを作成する方法も示します。すべてのユーザーは、デフォルトのシステムログインクラスのいずれかを使用します。

デバイスの設定後、設定モードで commit を入力します。

検証

設定が正常に機能していることを確認します。

新しいユーザーの設定を検証する

目的

新しいユーザーが設定されていることを確認します。

アクション

新しいユーザーアカウントまたはアカウントとパスワードでデバイスにログインして、アクセスできることを確認します。

設定グループ内のユーザーアカウントを設定する

複数のデバイスで同じユーザーアカウントを簡単に設定するために、設定グループ内にアカウントを設定します。ここに示す例は、 globalという設定グループの中にあります。ユーザーアカウントでのコンフィギュレーショングループの使用はオプションです。

ユーザーアカウントを作成するには:

  1. ユーザーのアカウントに割り当てられたログイン名を使用して、新しいユーザーを追加します。
  2. (オプション)アカウントのわかりやすい名前を設定します。

    名前にスペースが含まれる場合は、名前全体を引用符で囲んでください。

    次に例を示します。

  3. (オプション)アカウントのユーザー識別子(UID)を設定します。

    UNIXシステムと同様に、UIDはユーザー権限とファイルアクセスを強制します。UIDを設定しない場合は、ソフトウェアから代わりに割り当てられます。UIDの形式は、100から64,000までの数値です。

    次に例を示します。

  4. ユーザーをログインクラスに割り当てます。

    独自のログインクラスを定義することも、定義済みのログインクラスのいずれかを割り当てることもできます。

    事前定義されたログインクラスは次のとおりです。

    • スーパーユーザー—すべての権限

    • 運用担当者—クリア、ネットワーク、リセット、トレース、および表示の権限

    • 読み取り専用—表示権限

    • 無許可—権限なし

    次に例を示します。

  5. ユーザーパスワードは、以下のいずれかの方法で設定してください。

    • システムによって暗号化されるプレーンテキストのパスワードを入力するには、次のコマンドを使用してユーザーパスワードを設定します。

      パスワードをプレーンテキストで入力すると、ソフトウェアがそれを暗号化します。パスワードを暗号化するためにソフトウェアを設定する必要はありません。プレーンテキストパスワードは非表示になり、設定で## SECRET-DATAとしてマークされます。

    • 暗号化されたパスワードを入力する場合は、次のコマンドでユーザーパスワードを設定します。

      注意:

      パスワードがすでに暗号化されていて、暗号化されたバージョンのパスワードを入力する場合を除き、encrypted-passwordオプションは使用しないでください。

      誤って encrypted-password オプションにプレーンテキストのパスワードや空白の引用符(" ")を設定した場合、このユーザーとしてデバイスにログインすることはできません。

    • 指定したURLの場所にある名前付きファイルから、以前に生成した公開キーを読み込むには、次のコマンドを使用します。

    • SSHパブリック文字列を入力するには、次のコマンドを使用します。

  6. 設定の最上位レベルで、設定グループを適用します。

    設定グループを使用している場合、有効にするためには適用する必要があります。

  7. 設定をコミットします。
  8. 設定を確認するために、ログアウトし、新しいユーザーで再度ログインします。