이벤트 정책 작업에 대한 사용자 권한 수준 변경
수퍼유저만 이벤트 정책을 구성할 수 있습니다. 기본적으로 운영 모드 명령 실행, 파일 업로드, SLAX 및 XSLT 이벤트 스크립트 실행과 같은 이벤트 정책 작업은 이벤트 프로세스(eventd)가 루트 권한으로 실행되기 때문에 사용자가 root
실행합니다.
Junos OS를 실행하는 디바이스에서 승인되지 않은 Python 코드가 실행되는 것을 방지하기 위해 기본적으로 Junos OS는 권한이 없는 일반 사용자 및 그룹의 nobody
액세스 권한을 사용하여 Python 이벤트 스크립트를 실행합니다.
경우에 따라 제한된 권한으로 이벤트 정책 작업을 실행할 수 있습니다. 예를 들어, 인터페이스가 다운될 경우 스크립트를 실행하는 이벤트 정책을 구성한다고 가정해 보겠습니다. 스크립트에는 특정 조건이 존재하는 경우 디바이스 구성을 변경하기 위한 원격 프로시저 호출(RPC)이 포함되어 있습니다. 스크립트가 구성을 변경하지 않도록 하려면 제한된 사용자 프로필로 스크립트를 실행할 수 있습니다. 구성 변경을 허용하지 않는 사용자 프로필로 스크립트를 실행하면 구성을 변경할 RPC가 실패합니다.
이벤트 정책의 각 작업에 사용자를 연결할 수 있습니다. 사용자가 이벤트 정책 작업과 연결되어 있지 않은 경우 작업은 기본적으로 root 사용자로 실행됩니다.
작업이 실행되는 권한을 가진 사용자를 지정하려면 문을 구성합니다 user-name
.
user-name username;
다음 계층 수준에서 이 문을 포함할 수 있습니다.
[edit event-options policy policy-name then change-configuration]
[edit event-options policy policy-name then event-script filename]
참고:명령문은
user-name
SLAX 및 XSLT 이벤트 스크립트에만 적용됩니다. 이 명령문은 Python 이벤트 스크립트에 대해 구성된 경우 적용되지 않습니다.[edit event-options policy policy-name then execute-commands]
참고:원격 스크립트를 실행하는 명령을 이벤트 정책 작업으로 포함
op url
하면 Python 스크립트는 항상 권한이 없는 일반 사용자 및 그룹의nobody
액세스 권한을 사용하여 실행됩니다. 명령문을 구성user-name
하지 않으면 SLAX 및 XSLT 스크립트가 루트 권한으로 실행됩니다.[edit event-options policy policy-name then upload filename (filename | committed) destination destination-name]
기본적으로 Junos OS는 권한이 없는 일반 사용자 및 그룹의 nobody
액세스 권한으로 Python 이벤트 스크립트를 실행합니다. Junos OS 릴리스 16.1R3부터 특정 사용자의 액세스 권한으로 로컬 Python 이벤트 스크립트를 실행할 수 있습니다. 사용자를 지정하려면 계층 수준에서 [edit event-options event-script file filename]
문을 구성합니다python-script-user username
.
[edit event-options event-script file filename] user@host# set python-script-user username
파일의 사용자 또는 그룹 클래스에 속하지 않는 사용자가 서명되지 않은 Python 자동화 스크립트를 실행할 수 있도록 하려면 스크립트의 파일 권한에 다른 사용자에 대한 읽기 권한이 포함되어야 합니다.
및 python-script-user
문에 지정하는 user-name
사용자 이름은 계층 수준에서 구성해야 [edit system login]
합니다.