Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Junos OS ユーザー認証の概要

Junos OSパスワード認証、LDAPS、RADIUS、TACACS+など、さまざまな方法をサポートして、ネットワークへのユーザー アクセスを制御できます。リリース Junos OS 20.2R1から、LDAPS クライアント(Junos OS を実行しているデバイス)と LDAPS サーバーの間に TLS セキュリティーを持つログイン ユーザーに対して LDAP サポートを導入します。認証方法は、Telnet を使用してルーターまたはスイッチにアクセスしようとするユーザーを検証するために使用されます。認証によって、許可されていないデバイスやユーザーは LAN にアクセスできなくなります。

ユーザー認証方法を Junos OS

Junos OSには、4 つのユーザー認証方法がサポートされています。ローカル パスワード認証、LDAP over TLS(LDAPS)、RADIUS TACACS+ の 3 つの認証を選択できます。

ローカルパスワード認証を使用すると、ルーターまたはスイッチへのログインが許可される各ユーザーのパスワードを設定できます。

LDAPS、RADIUS、TACACS+ は、ログイン方法を使用してルーターまたはスイッチにアクセスしようとするユーザーを検証するための認証方法です。クライアントとサーバーは分散しています。LDAPS、RADIUS、TACACS+ クライアントはルーターまたはスイッチで実行され、サーバーはリモート ネットワーク システム上で実行されます。

ルーターまたはスイッチを LDAPS、RADIUS、または TACACS+ クライアントとして設定し、プロトコル設定ファイルで認証パスワードを設定Junos OSできます。ユーザーアクセスを検証するときに、ソフトウェアがさまざまな認証方法を試みる順序を設定するための方法について、優先順位を付けることができます。

ユーザー認証用のローカルユーザーテンプレートアカウントを構成する

認証にさまざまな種類のテンプレートが必要な場合は、ローカルユーザーテンプレートアカウントを使用します。各テンプレートは、そのテンプレートを使用するユーザーのグループに適した異なるアクセス許可セットを定義できます。これらのテンプレートは、ルーターまたはスイッチでローカルに定義され、TACACS+、RADIUS LDAPS 認証サーバーによって参照されます。

ローカル ユーザー テンプレートとユーザー ログインを設定すると、Junos OSのログイン名を認証するために認証サーバーに要求が発行されます。ユーザーが認証されている場合、サーバーはローカル ユーザー名を Junos OS に戻し、そのログイン名(LDAP の場合 juniperLocalUserNamelocal-username 、TACACS+、および)にローカル ユーザー名が指定されているかどうかを判断します Juniper-Local-User 。その場合、Junos OS は、ルーターまたはスイッチに設定されている適切なローカルユーザーテンプレートを選択します。認証されたユーザーに対してローカルユーザーテンプレートが存在しない場合、ルーターまたはremoteスイッチはデフォルトでテンプレートになります。

ローカルユーザーテンプレートアカウントを共有するユーザーに対して、異なるアクセス権限を設定allow-commandsするdeny-commandsには、認証サーバー設定ファイルに and コマンドを含めます。

ローカル ユーザー テンプレートを設定するには、LDAP 用 juniperLocalUserName と、階層レベルのサーバーに RADIUS のステートメントを含め、テンプレートが適用されるローカル ユーザーに付与する権限を指定します user local-username[edit system login]

この例では、LDAP u_ldap LDAP データ互換性形式(LDIF)ファイルで LDAP のカスタム ローカル ユーザー テンプレートを設定します。

ユーザーのジョンとハリーが認証されると、ルーターまたはスイッチがローカル ユーザー テンプレート u_ldap を適用します。ユーザーのトムとデイブが認証されると、ルーターまたはスイッチがローカル ユーザー テンプレート auth を適用します。

この例では、仮想ネットワーク用 sales におよび engineering ローカル ユーザー テンプレートを設定RADIUS。

ログイン ユーザーのサイモンとロブが認証されると、ルーターまたはスイッチがローカル ユーザー テンプレート sales を適用します。ログイン ユーザーの Harold と Jim が認証されると、ルーターまたはスイッチがローカル ユーザー テンプレート engineering を適用します。

ユーザー認証用にリモート テンプレート アカウントを設定する

デフォルトでは、Junos OS は、以下の場合にリモートテンプレートアカウントを使用してユーザー認証を行います。

  • 認証されたユーザーは、ルーターまたはスイッチにローカルに存在しません。

  • 認証サーバーの認証済みユーザーのレコードはローカル ユーザーを指定するか、指定されたローカル ユーザーがルーターまたはスイッチにローカルに存在していません。

リモートテンプレートアカウントを構成するには、 user remote[edit system login]階層レベルにステートメントを追加し、リモートユーザーに付与する権限を指定します。

リモートテンプレートアカウントを共有するユーザーに対して異なるアクセス権限を設定するallow-commandsdeny-commandsは、認証サーバー設定ファイルに and ステートメントを含めます。

例:テンプレート アカウントの作成

この例では、テンプレートアカウントを作成する方法を示します。

要件

この機能を設定する前に、デバイス初期化以外の特別な設定は不要です。

概要

LDAP、TACACS+ 認証を使用している場合に、一連のユーザーが共有するテンプレート アカウントRADIUS作成できます。ユーザーがテンプレートアカウントによって認証されると、CLI ユーザー名がログイン名になり、特権、ファイル所有権、実効ユーザー ID がテンプレートアカウントから継承されます。

デフォルトでは、Junos OS はremote次の場合にテンプレートアカウントを使用します。

  • 認証されたユーザーは、デバイスにローカルに存在しません。

  • LDAP、RADIUS、または TACACS+ サーバーの認証済みユーザーのレコードは、ローカル ユーザーを指定するか、指定されたローカル ユーザーがデバイスにローカルに存在しないかです。

この例では、リモートテンプレートアカウントを作成し、ユーザー名を remote に設定し、ログインクラスを演算子としてセットします。ローカル テンプレート アカウントに属していない LDAP、RADIUS、または TACACS+ によって認証されたユーザーに適用されるリモート テンプレートを作成します。

その後、ローカルテンプレートアカウントを作成し、ユーザー名を管理者として、ログインクラスをスーパーユーザーに設定します。さまざまな種類のテンプレートが必要な場合は、ローカルテンプレートアカウントを使用します。各テンプレートは、そのテンプレートを使用するユーザーのグループに適した異なるアクセス許可セットを定義できます。

構成

リモート テンプレート アカウントの作成

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

リモートテンプレートアカウントを作成するには、次のようにします。

  • ユーザーのユーザ名とログインクラスを設定します。

結果

設定モードから、 show system loginコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

ローカル テンプレート アカウントの作成

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

ローカルテンプレートアカウントを作成するには、次のようにします。

  1. ユーザーのユーザ名とログインクラスを設定します。

結果

設定モードから、 show system loginコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

注:

LDAP、RADIUS、または TACACS+ 認証を完全に設定するには、少なくとも 1 つの LDAP、RADIUS、または TACACS+ サーバーを設定して、システム認証順序を指定する必要があります。以下のいずれかの作業を実行します。

検証

構成が正常に機能していることを確認します。

テンプレート アカウントの作成を検証

目的

テンプレートアカウントが作成されていることを確認します。

アクション

動作モードから、 show system loginコマンドを入力します。

リモート認証サーバーとは

おそらく、すでにネットワーク内のリモート認証サーバーを使用しています。サーバーでは、ネットワーク内のすべてのデバイスに一貫したユーザーアカウントセットを作成できるため、ベストプラクティスとして推奨されます。ネットワークに認証、許可、アカウンタビリティ (AAA) ソリューションを実装することには、ユーザーアカウントの管理を容易にすることではない適切な理由が数多くあります。

今日、ほとんどの企業が使用しているリモート認証には、LDAPS、RADIUS TACACS+ の 3 つの基本的な方法があります。Junos OSサポートされ、両方のタイプの複数のリモート認証サーバーをクエリーするように設定できます。LDAPS、RADIUS、または TACACS+ サーバーの背後にある考え方はシンプルです。つまり、ルーター、スイッチ、セキュリティ デバイス、そしてサーバーが、これらのシステムへのアクセスを試みるユーザーの認証に使用できる中央認証サーバーです。中央のユーザー ディレクトリがクライアント サーバー モデルでの認証監査とアクセス コントロールにメリットをもたらす利点と、ネットワーク インフラストラクチャに対する RADIUS、LDAP、または TACACS+ の正当性を考え出してください。

中央サーバーを使用すると、各デバイスでローカルユーザーを作成するよりも、多くのメリットがあり、時間がかかりエラーが発生しやすい作業が必要になります。また、中央認証システムは、SecureID などのワンタイムパスワードシステムの使用を簡素化します。これにより、ユーザーがキャプチャしたパスワードを使用してシステム管理者になるパスワードスニッフィング攻撃を防御できます。

  • RADIUS: 相互運用性とパフォーマンスRADIUS優先する場合は、このポリシーを使用する必要があります。

    • 相互運用性:RADIUSは TACACS+よりも相互運用性が高く、主に TACACS+ が独自の性質を持つためです。TACACS + はより多くのプロトコルをサポートしますが、RADIUS は広くサポートされています。

    • パフォーマンス:RADIUSとスイッチの重量が非常に少なくなるので、ネットワーク エンジニアは一般的に TACACS+ より優RADIUS選択します。

  • TACACS+:優先順位がセキュリティと柔軟性の場合は、TACACS+ を使用する必要があります。

    • セキュリティ: TACACS+ はセキュリティが非常にRADIUS。完全なセッションが暗号化されているだけでなく、許可と認証が別々に行われるため、誰もネットワークに侵入しようとするのを防ぐことができます。

    • 柔軟性:TCP は UDP よりも柔軟性に優れたトランスポート プロトコルです。より高度なネットワークでより多くのことが可能になります。さらに、TACACS + は NetBios や Appletalk などのエンタープライズプロトコルをサポートします。

    • LDAPS — 優先順位がセキュリティーと拡張性の場合、LDAPS を使用する必要があります。

      • セキュリティ — セキュリティーを強化するために、LDAPS はデータの暗号化に使用されるプライベート キーを使用します。これにより、データ RADIUS 管理システムや TACACS+ で使用される共有鍵とは異なり、情報への不正アクセスを防止し、データを効果的に保護できます。

      • 拡張性: LDAPS は信頼性を損なわずに高い拡張性を実現します。ユーザーが独自の証明書を維持すると、ユーザーの数に制限はありません。証明書の認証には、クライアントとサーバー間のデータの交換だけが含されます。

リリース履歴テーブル
リリース
説明
Junos OS Release 20.2R1
リリース Junos OS 20.2R1から、LDAPS クライアント(Junos OS を実行しているデバイス)と LDAPS サーバーの間に TLS セキュリティーを持つログイン ユーザーに対して LDAP サポートを導入します。