Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

로그인 클래스 개요

Junos OS Evolved 로그인 클래스는 액세스 권한, CLI 명령 및 문 사용 권한, 해당 클래스에 할당된 사용자의 세션 유휴 시간을 정의합니다. 시스템 관리자는 개별 사용자 계정에 로그인 클래스를 적용하여 사용자에게 특정 권한 및 사용 권한을 할당할 수 있습니다.

로그인 클래스 개요

Junos OS Evolved를 실행하는 디바이스에 로그인할 수 있는 모든 사용자는 로그인 클래스에 있어야 합니다. 각 로그인 클래스는 다음을 정의합니다.

  • 사용자가 네트워크 디바이스에 로그인할 때 갖는 액세스 권한

  • 사용자가 실행할 수 있거나 실행할 수 없는 명령

  • 사용자가 보거나 수정할 수 있거나 할 수 없는 구성 문

  • 시스템에서 사용자 연결을 해제하기 전에 로그인 세션이 유휴 상태일 수 있는 시간

원하는 수의 로그인 클래스를 정의할 수 있습니다. 그러나 개별 사용자 계정에는 하나의 로그인 클래스만 할당합니다.

Junos OS Evolved 에는 표 1에 나열된 사전 정의된 로그인 클래스가 포함되어 있습니다. 사전 정의된 로그인 클래스를 수정할 수 없습니다.

표 1: 사전 정의된 시스템 로그인 클래스

로그인 클래스

권한 플래그 집합

operator

지우기, 네트워크, 재설정, 추적 및 보기

read-only

보기

superuser 또는 super-user

모두

unauthorized

없음

또는 사전 정의된 로그인 클래스를 사용할 operator read-only 때 SFTP 및 SCP 서버 기능을 사용할 수 없습니다.

Junos OS Evolved 릴리스 23.4R2 superuser 부터 로그인 클래스는 /var/log/ 디렉터리에 쓸 수 없습니다. root 사용자만 /var/log/에 쓸 수 있습니다.

권한 비트

각 최상위 CLI 명령 및 각 구성 문 에는 이와 관련된 액세스 권한 수준이 있습니다. 사용자는 이러한 명령만 실행하고 액세스 권한이 있는 명령문만 구성하고 볼 수 있습니다. 각 로그인 클래스는 액세스 권한을 결정하는 하나 이상의 권한 비트를 정의합니다.

권한에 대한 두 가지 형태는 사용자가 구성의 개별 부분을 보거나 수정할 수 있는지 여부를 제어합니다.

  • "일반" 형태 - 해당 권한 유형에 대한 읽기 전용 기능을 제공합니다. 예를 들면 interface입니다.

  • -control form - 해당 권한 유형에 대한 읽기 및 쓰기 기능을 제공합니다. 예를 들면 interface-control입니다.

표 2 에는 권한 플래그 및 관련 액세스 권한이 요약되어 있습니다.

표 2: 로그인 클래스 권한 플래그

권한 플래그

묘사

access

운영 모드 또는 구성 모드에서 액세스 구성을 볼 수 있습니다.

access-control

계층 수준에서 액세스 정보를 보고 구성할 수 있습니다 [edit access] .

admin

운영 모드 또는 구성 모드에서 사용자 계정 정보를 볼 수 있습니다.

admin-control

사용자 계정 정보를 보고 계층 수준에서 [edit system] 구성할 수 있습니다.

all

모든 운영 모드 명령 및 구성 모드 명령에 액세스할 수 있습니다. 모든 구성 계층 수준에서 구성을 수정할 수 있습니다.

clear

디바이스가 네트워크에서 학습하고 다양한 네트워크 데이터베이스에 저장하는 정보를 제거(삭제)할 clear 수 있습니다(명령 사용).

configure

구성 모드를 입력(명령 사용 configure ) 및 구성을 커밋(명령 사용)할 수 있습니다 commit .

control

모든 제어 수준 작업, 즉 권한 플래그로 구성된 모든 작업을 수행할 수 있습니다 -control .

field

필드 디버그 명령을 볼 수 있습니다. 디버깅 지원을 위해 예약되었습니다.

firewall

운영 모드 또는 구성 모드에서 방화벽 필터 구성을 볼 수 있습니다.

firewall-control

계층 수준에서 방화벽 필터 정보를 보고 구성할 수 있습니다 [edit firewall] .

floppy

이동식 미디어에서 읽고 쓸 수 있습니다.

flow-tap

운영 모드 또는 구성 모드에서 플로우 탭 구성을 볼 수 있습니다.

flow-tap-control

계층 수준에서 플로우 탭 정보를 [edit services flow-tap] 보고 구성할 수 있습니다.

flow-tap-operation

라우터 또는 스위치에 플로우 탭을 요청할 수 있습니다. 예를 들어, DTCP(Dynamic Tasking Control Protocol) 클라이언트는 관리 사용자로 Junos OS Evolved에 자신을 인증할 수 있는 권한이 있어야 합니다flow-tap-operation.

메모:

flow-tap-operation 옵션은 권한 플래그에 all-control 포함되어 있지 않습니다.

idp-profiler-operation

프로파일러 데이터를 볼 수 있습니다.

interface

운영 모드 및 구성 모드에서 인터페이스 구성을 볼 수 있습니다.

interface-control

섀시, CoS(Class of Service ), 그룹, 포워딩 옵션 및 인터페이스 구성 정보를 볼 수 있습니다. 다음 계층 수준에서 구성을 수정할 수 있습니다.

  • [edit chassis]

  • [edit class-of-service]

  • [edit groups]

  • [edit forwarding-options]

  • [edit interfaces]

maintenance

디바이스에서 로컬 쉘을 시작하고 쉘에서 수퍼유저가 되고(명령 사용 su root ) 디바이스를 중지 및 재부팅(명령 사용 request system )하는 등 시스템 유지 관리를 수행할 수 있습니다.

network

, , , 및 명령을 사용하여 ping네트워크에 액세스할 수 있습니다traceroute. telnetssh

pgcp-session-mirroring

세션 미러링 구성을 볼 pgcp 수 있습니다.

pgcp-session-mirroring-control

세션 미러링 구성을 수정할 pgcp 수 있습니다.

reset

명령을 사용하여 소프트웨어 프로세스를 다시 시작할 수 있습니다 restart .

rollback

명령을 사용하여 rollback 이전에 커밋한 구성으로 돌아갈 수 있습니다.

routing

구성 모드 및 운영 모드에서 일반적인 라우팅, 라우팅 프로토콜 및 라우팅 정책 구성 정보를 볼 수 있습니다.

routing-control

계층 수준에서 일반 라우팅 [edit routing-options] , 계층 수준에서 라우팅 프로토콜 [edit protocols] 및 계층 수준에서 라우팅 정책 정보를 [edit policy-options] 보고 구성할 수 있습니다.

secret

구성에서 비밀번호 및 기타 인증 키를 볼 수 있습니다.

secret-control

구성에서 비밀번호 및 기타 인증 키를 보고 수정할 수 있습니다.

security

운영 모드 및 구성 모드에서 보안 구성 정보를 볼 수 있습니다.

security-control

계층 수준에서 보안 정보를 보고 구성할 수 있습니다 [edit security] .

shell

명령을 사용하여 start shell 라우터 또는 스위치에서 로컬 쉘을 시작할 수 있으며, 명령을 사용하여 start shell user root 쉘에서 루트 사용자가 될 수 있습니다.

snmp

운영 모드 또는 구성 모드에서 SNMP(Simple Network Management Protocol) 구성 정보를 볼 수 있습니다.

snmp-control

계층 수준에서 SNMP 구성 정보를 보고 수정할 수 있습니다 [edit snmp] .

storage

계층 수준에서 파이버 채널 스토리지 구성 정보를 볼 수 있습니다 [edit fc-fabrics] .

storage-control

계층 수준에서 파이버 채널 스토리지 구성 정보를 수정할 수 있습니다 [edit fc-fabrics] .

system

운영 모드 또는 구성 모드에서 시스템 수준 정보를 볼 수 있습니다.

system-control

계층 수준에서 시스템 수준의 구성 정보를 보고 수정할 수 있습니다 [edit system] .

trace

추적 파일 설정을 보고 추적 파일 속성을 구성할 수 있습니다.

trace-control

추적 파일 설정을 수정하고 추적 파일 속성을 구성할 수 있습니다.

unified-edge

계층에서 통합 에지 구성을 볼 수 있습니다 [edit unified-edge] .

unified-edge

계층에서 통합 에지 관련 구성을 수정할 수 있습니다 [edit unified-edge] .

view

다양한 명령을 사용하여 현재 시스템 전체, 라우팅 테이블 및 프로토콜별 값과 통계를 표시할 수 있습니다. 비밀 구성을 볼 수 없습니다.

view-configuration

비밀, 시스템 스크립트 및 이벤트 옵션을 제외한 모든 구성을 볼 수 있습니다.

메모:

권한이 있는 maintenance 사용자만 커밋 스크립트, 운영 스크립트 또는 이벤트 스크립트 구성을 볼 수 있습니다.

개별 명령과 문 계층 거부 또는 허용

기본적으로, 모든 최상위 CLI 명령 및 문에는 연관된 액세스 권한 수준이 있습니다. 사용자는 이러한 명령만 실행할 수 있으며 액세스 권한이 있는 명령문만 보고 구성할 수 있습니다. 각 로그인 클래스에 대해 사용자에게 운영 모드 명령, 구성 모드 명령 및 권한 비트에 의해 허용되거나 거부되는 구성 문 계층의 사용을 명시적으로 거부하거나 허용할 수 있습니다.

예: 특정 권한이 있는 로그인 클래스 만들기

로그인 클래스를 정의하여 특정 권한 또는 제한을 사용자 그룹에 할당하여 중요한 명령에 적절한 사용자만 액세스할 수 있도록 합니다. 기본적으로 주니퍼 네트웍스 디바이스에는 사전 설정된 권한이 있는 4가지 유형의 로그인 클래스(운영자, 읽기 전용, 수퍼유저 또는 수퍼유저, 무단 로그인)가 있습니다.

사용자 정의 로그인 클래스를 생성하여 기본 로그인 클래스에 없는 다른 사용 권한 조합을 정의할 수 있습니다. 다음 예에서는 각각 특정 권한과 비활성 타이머를 가진 세 가지 사용자 지정 로그인 클래스를 보여 줍니다. 비활성 타이머는 사용자가 너무 오랫동안 비활성 상태일 경우 사용자와 네트워크의 연결을 끊음으로써 네트워크 보안을 보호하는 데 도움이 됩니다. 사용자의 연결을 끊으면 사용자가 스위치 또는 라우터에 로그인한 무인 계정을 남길 때 발생하는 잠재적인 보안 위험을 방지할 수 있습니다. 여기에 표시된 사용 권한 및 비활성 타이머는 예일 뿐입니다. 조직에 맞게 값을 사용자 지정해야 합니다.

세 가지 로그인 클래스와 해당 권한은 다음과 같습니다. 세 로그인 클래스 모두 5분의 동일한 비활성 타이머를 사용합니다.

  • observation- 통계 및 구성만 볼 수 있습니다.
  • operation- 구성을 보고 수정할 수 있습니다.
  • engineering—무제한 액세스 및 제어

로그인 클래스에 대한 정확히 일치 액세스 권한 이해하기

정확한 일치 액세스 권한을 사용하면 정확한 구성 문자열을 명시적으로 허용하거나 거부하여 로그인 클래스에 대한 액세스 제어 규칙을 정의할 수 있습니다. Junos OS 및 Junos OS Evolved 릴리스 23.4R1부터 및 deny-configuration-exact-match 구성 문을 사용하여 allow-configuration-exact-match 정확히 일치하는 액세스 권한을 제어할 수 있습니다.

혜택

  • 특정 하위 계층의 삭제를 허용하면서 상위 수준 구성 계층의 삭제를 제한합니다. 이는 보다 표적화된 명령 권한 부여를 지원합니다.

  • 삭제가 거부되더라도 명령이 계층에서 허용되는 상태로 유지되는지 확인합니다 set . 이러한 권한 분리 setdelete 보다 유연한 액세스 제어를 가능하게 합니다.

  • 정규 표현식 외에 정확한 구성 명령 문자열을 허용하거나 거부합니다. 이렇게 하면 필요할 때 매우 구체적인 액세스 규칙을 구성할 수 있습니다.

  • 로컬 규칙 외에도 외부 TACACS+ 서버의 고급 인증 규칙을 활용합니다. 이를 통해 중앙 집중식 정책 관리가 용이해집니다.

계층 수준에서 및 deny-configuration-exact-match 구성 문을 [edit system login class name] 사용하여 allow-configuration-exact-match 정확히 일치 액세스 권한을 구성할 수 있습니다. 다음 연산자 중 하나로 시작하는 계층 문자열을 사용합니다.

  • set
  • delete
  • active
  • deactivate

와일드카드 문자도 지원됩니다. 예를 들어, 문은 deny-configuration-exact-match delete interfaces* * 와일드카드 문자를 사용하여 모든 인터페이스를 지정합니다.

지정된 구성 계층 set 에 대해 또는 deactivate 가 거부된 경우 delete 를 사용하여 allow-configuration-exact-match또는 activate 명령을 계속 허용할 수 있습니다. 동일한 운영자 및 구성으로 및 를 deny-configuration-exact-match 둘 다 allow-configuration-exact-match 구성하면 구성 액세스가 거부됩니다.

새로운 exact match 규칙은 로컬 또는 외부 TACACS+ 서버에서 구성할 수 있습니다.