Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

OpenConfig AAA 명령을 Junos 운영에 매핑

참고:

주니퍼 네트웍스 ACX 시리즈, EX 시리즈, MX 시리즈, PTX 시리즈 및 QFX 시리즈에 대한 데이터 모델 지원 버전과 Junos OS 릴리스를 이해하려면 OpenConfig 데이터 모델 버전 주제를 참조하십시오.

다음 표에는 OpenConfig AAA 구성과 Junos OS의 관련 구성 간의 매핑이 나와 있습니다.

  • 표 1: 글로벌 AAA 구성
  • 표 2: RADIUS 서버 구성
  • 표 3: 어카운팅 이벤트 구성
  • 표 4: 어카운팅 방법 구성
  • 표 5: 권한 부여 역할 구성
  • 표 6: 권한 부여 권한 구성: 권한 부여 권한 구성
  • 표 7: 권한 부여 구성
  • 표 8: 권한 부여 정책 및 request-regex 구성
  • 표 9표 9: TACACS 서버 구성
  • 표 10: AAA 관리자 및 사용자 구성
표 1: 글로벌 AAA 구성

명령 이름

OpenConfig 명령 경로

Junos 구성

명령 경로 접두사:

/system/aaa

구성 이름

/server-groups/server-group/config/name

지원되지 않음

참고:

Junos OS에는 이 경로에 해당하는 구성이 없습니다. 구성된 서버 그룹 이름은 RADIUS/TACACS 속성 구성에 사용됩니다.

서버 구성 주소

/server-groups/server-group/servers/server/config/address

지원되지 않음

참고:

Junos OS에는 이 경로에 해당하는 구성이 없습니다. 구성된 서버 주소는 RADIUS/TACACS 속성 구성에 사용됩니다.

서버 구성 이름

/server-groups/server-group/servers/server/config/name

지원되지 않음

참고:

Junos OS에는 이 경로에 해당하는 구성이 없습니다. 서버를 식별하도록 서버 이름을 구성할 수 있습니다.

구성 시간 초과

/server-groups/server-group/servers/server/config/timeout

지원되지 않음

참고:

Junos OS에는 이 경로에 해당하는 구성이 없습니다. 그러나 구성된 타임아웃은 Junos OS edit radius-server 또는 edit tacplus-server 계층 수준의 매개 변수에서 timeout 파생됩니다.
표 2: RADIUS 서버 구성

명령 이름

OpenConfig 명령 경로

Junos 구성

명령 경로 접두사:

/system/aaa

인증 포트

/server-groups/server-group/servers/server/radius/config/auth-port

set system radius-server address port port

참고:

address 값은 이후에 server구성된 값에서 파생됩니다. 값은 port 다음과 같은 값입니다. auth-port.

재전송 시도

/server-groups/server-group/servers/server/radius/config/retransmit-attempts

set system radius-server address retryretry

참고:

address 값은 이후에 server구성된 값에서 파생됩니다. 값은 retryretransmit-attempts지정된 값과 동일합니다.

비밀 키

/server-groups/server-group/servers/server/radius/config/secret-key

set system radius-server address secret secret

참고:

address 값은 이후에 server구성된 값에서 파생됩니다. 값은 secretsecret-key지정된 값과 동일합니다.

소스 주소

/server-groups/server-group/servers/server/radius/config/source-address

set system radius-server address source-address source-address

참고:

address 값은 다음에 server. source-address 구성된 값에서 파생됩니다. 값은 에 source-address지정된 값과 동일한 값입니다.
표 3: 어카운팅 이벤트 구성

명령 이름

OpenConfig 구성

Junos 구성

이벤트

 
openconfig-system:system {
    aaa {
        accounting {
            events {
                event <event-type>{
                    config {
                        event-type <value>
                    }
                }
            }
        }
    }
}

system {
    accounting {
        events [ … ];
    }
}

OpenConfig 구성에는 에 대한 두 가지 값이 있습니다.event-type

  • Junos OS 이벤트 유형에 매핑되는 AAA_ACCOUNTING_EVENT interactive-commands
  • Junos OS에 매핑되는 AAA_ACCOUNTING_EVENT_LOGIN login
표 4: 어카운팅 방법 구성

명령 이름

OpenConfig 구성

Junos 구성

회계 방법

 
openconfig-system:system {
    aaa {
        accounting {
            config {
                accounting-method [ … ];
            }
        }
    }
}

system {
    accounting {
       destination {
            radius / tacplus {
                server {
                    <name> secret <>;
                    <name> secret <>;
                }
            }
        }
    }
}

에 대한 accounting-method OpenConfig 값은 , RADIUS_ALL, abd LOCAL입니다TACACS_ALL. OpenConfig accounting-method 구성과 이 구성의 server-groups 조합은 Junos 계층/system/accounting/destination을 생성합니다.
표 5: 권한 부여 역할 구성

명령 이름

OpenConfig 구성

Junos 구성

역할

 
openconfig-system:system {
    aaa {
        authorization {
            roles {
                role <rolename> {
                         ………
                         ……….
                    }
                }
        }
    }
}

system {
    login {
        class <name> {
            …..
            …..
        }
    }
}

OpenConfig 사용자 정의 role 는 Junos login classes 매개 변수에 매핑됩니다.
표 6: 권한 부여 권한 구성

명령 이름

OpenConfig 구성

Junos 구성

권한을

 
openconfig-system:system {
    aaa {
        authorization {
            roles {
                role <rolename> {
                  permissions [ …  ]; 
                }
        }
    

system {
    login {
        class <name> {
             permissions [ …  ];
        }
    }
}

OpenConfig 사용자 정의 permissions 는 리프 목록이며 Junos leaf-list permissions 매개 변수에 매핑됩니다.

에 사용할 permissions 수 있는 OpenConfig 값과 해당 Junos 값은 다음과 같습니다.

    
OpenConfig                               Junos
ADMIN                                    admin
ADMIN CONTROL                            admin-control
ALL                                      all
MAINTENANCE                              maintenance
VIEW                                     view
VIEW_CONFIG                              view-configuration
표 7: 권한 부여 구성

명령 이름

OpenConfig 구성

Junos 구성

권한을

 
openconfig-system:system {
    aaa {
        authorization {
            roles {
                role foo {
                    config {
                        policies {
                               policy PERMIT REQUEST_RPC {
                                    request-regex /gnmi.gNMI/Set;
                               }
                            }
                        }
                    }
                }
        }
    }
}

system {
    login {
        class foo {
            allow-grpc-rpc-regexps /gnmi.gNMI/Set;
        }
    }
}
표 8: 권한 부여 정책 및 request-regex 구성

명령 이름

OpenConfig 구성

Junos 구성

정책

 
openconfig-system:system {
    aaa {
        authorization {
            roles {
                role foo {
                    config {
                        policies {
                            policy <action> <request-type> {
                                request-regex [ … ];
                            }
                        }
                    }
                }
        }
    }
}

system {
    login {
        class foo {
            deny-commands-regexps [ … ];
                    OR
            allow-commands-regexps [ … ];
                   OR
            deny-configuration-regexps [ … ];
                   OR
            allow-configuration-regexps [ … ];
                   OR
            deny-grpc-rpc-regexps [ … ];
                   OR
            allow-grpc-rpc-regexps [ … ];
        }
    }
}

OpenConfig policies 구성은 서로 다른 허용 및 거부(*regexps) 매개 변수로 변환됩니다. , request-type, 및 request-regex 에 대한 action가능한 OpenConfig 값은 다음 Junos 구성 매개 변수로 변환됩니다.

    
action          request-type            OpenConfig request-regex translates to:
 
PERMIT          REQUEST_CONFIG          allow-configuration-regexps
DENY            REQUEST_CONFIG          deny-configuration-regexps

PERMIT          REQUEST_RPC             allow-grpc-rpc-regexps
DENY            REQUEST_RPC             deny-grpc-rpc-regexps

PERMIT          REQUEST_COMMAND         allow-commands-regexps 
DENY            REQUEST_COMMAND         deny-commands-regexps

예제

 
openconfig-system:system {
    aaa {
        authorization {
          roles {
              role foo {
                  config {
                      rolename foo;
                      policies {
                          policy DENY REQUEST_COMMAND {
                          request-regex [ "clear interfaces" "show interfaces" ];
                          }
                      }
                  }
              }
          }
      }
   }
}

system {
    login {
        class foo {
            deny-commands-regexps [ "clear interfaces" "show interfaces" ];
        }
    }
}

예제

 
openconfig-system:system {
    aaa {
        authorization {
            roles {
                role foo {
                    config {
                        policies {
                               policy PERMIT REQUEST_RPC {
                                    request-regex /gnmi.gNMI/Set;
                               }
                            }
                        }
                    }
                }
        }
    }
}

system {
    login {
        class foo {
            allow-grpc-rpc-regexps /gnmi.gNMI/Set;
        }
    }
}
표 9: TACACS 서버 구성

명령 이름

OpenConfig 명령 경로

Junos 구성

명령 경로 접두사:

/system/aaa

구성 포트

/server-groups/server-group/servers/server/tacacs/config/port

set system tacplus-server address port port

참고:

address 값은 다음에 server. port 구성된 값에서 파생됩니다. 값은 에 port지정된 값과 동일한 값입니다.

비밀 키

/server-groups/server-group/servers/server/tacacs/config/secret-key

set system tacplus-server address secret secret

참고:

address 값은 이후에 server구성된 값에서 파생됩니다. 값은 secretsecret-key지정된 값과 동일합니다.

소스 주소

/server-groups/server-group/servers/server/tacacs/config/source-address

set system tacplus-server address source-address source-address

참고:

address 값은 이후에 server구성된 값에서 파생됩니다. 값은 source-addresssource-address지정된 값과 동일합니다.
표 10: AAA 관리자 및 사용자 구성

명령 이름

OpenConfig 명령 경로

Junos 구성

명령 경로 접두사:

/system/aaa

관리자 암호

/authentication/admin-user/config/admin-password

set system root-authentication plain-text-password

참고:

plain-text-password-authentication 값은 에 대해 admin-password구성된 값에서 파생됩니다.

관리자 암호 해시

/authentication/admin-user/config/admin-password-hashed

set system root-authentication encrypted-password encrypted-password

참고:

encrypted-password 값은 에 대해 admin-password-hashed구성된 값에서 파생됩니다.

인증 방법

/authentication/config/authentication-method

set system authentication-order

참고:

authentication-order 값은 에 대해 authentication-method구성된 값에서 파생됩니다.

암호

/authentication/users/user/config/password

set system login user user-name authentication plain-text-password plain-text-password

참고:

user-name 값은 에 대해 user구성된 값에서 파생됩니다. 이 plain-text-password 값은 에 대해 password구성된 값에서 파생됩니다.

암호 해시

/authentication/users/user/config/password-hashed

set system login user user-name authentication encrypted-password encrypted-password

참고:

user-name 값은 에 대해 user구성된 값에서 파생됩니다. 이 encrypted-password 값은 에 대해 password-hashed구성된 값에서 파생됩니다.

역할

/authentication/users/user/config/role

set system login user user-name class class

참고:

user-name 값은 에 대해 user구성된 값에서 파생됩니다. 이 class 값은 에 대해 role구성된 값에서 파생됩니다.

사용자

/authentication/users/user/config/username

지원되지 않음

참고:

Junos OS에는 동등한 구성이 없습니다.