이 페이지에서
로그인 클래스 개요
Junos OS Evolved 로그인 클래스는 액세스 권한, CLI 명령 및 문 사용 권한 및 해당 클래스에 할당된 사용자의 세션 유휴 시간을 정의합니다. 시스템 관리자는 개별 사용자 계정에 로그인 클래스를 적용하여 특정 권한과 권한을 사용자에게 할당할 수 있습니다.
로그인 클래스 개요
Junos OS Evolved를 실행하는 디바이스에 로그인할 수 있는 모든 사용자는 로그인 클래스에 있어야 합니다. 각 로그인 클래스는 다음을 정의합니다.
-
사용자가 네트워크 디바이스에 로그인할 때 가질 수 있는 액세스 권한
-
사용자가 실행할 수 있고 실행할 수 없는 명령
-
사용자가 보거나 수정할 수 있고 할 수 없는 구성 문
-
시스템에서 사용자의 연결을 끊기 전에 로그인 세션이 유휴 상태일 수 있는 시간
여러 개의 로그인 클래스를 정의할 수 있습니다. 그러나 개별 사용자 계정에는 하나의 로그인 클래스만 할당합니다.
Junos OS Evolved 에는 표 1에 나열된 사전 정의된 로그인 클래스가 포함되어 있습니다. 사전 정의된 로그인 클래스를 수정할 수 없습니다.
로그인 클래스 |
권한 플래그 세트 |
---|---|
|
지우기, 네트워크, 재설정, 추적 및 보기 |
|
보기 |
|
모든 |
|
없음 |
사전 정의된 로그인 클래스 이름을 수정할 수 없습니다. 사전 정의된 클래스 이름에 명령을 실행
set
하면 디바이스가 로그인 클래스 이름에 추가-local
되고 다음 경고를 발행합니다.warning: '<class-name>' is a predefined class name; changing to '<class-name>-local'
사전 정의된 로그인 클래스에서 또는
copy
명령을 실행할rename
수 없습니다. 이렇게 하면 다음 오류 메시지가 나타납니다.error: target '<class-name>' is a predefined class
권한 비트
각 최상위 수준의 CLI 명령과 각 구성 문 은 연결된 액세스 권한 수준을 습니다. 사용자는 이러한 명령만 실행하고 액세스 권한이 있는 문만 구성하고 볼 수 있습니다. 각 로그인 클래스는 액세스 권한을 결정하는 하나 이상의 권한 비트를 정의합니다.
권한에 대한 두 가지 형태는 사용자가 구성의 개별 부분을 보거나 수정할 수 있는지 여부를 제어합니다.
-
"Plain" 형태 - 권한 유형에 대한 읽기 전용 기능을 제공합니다. 예를 들어 은(는) 입니다
interface
. -
-control
형태 - 해당 권한 유형에 대한 읽기 및 쓰기 기능을 제공합니다. 예를 들어 은(는) 입니다interface-control
.
표 2 에서는 권한 플래그 및 관련 액세스 권한에 대해 간략하게 설명합니다.
권한 플래그 |
설명 |
---|---|
|
운영 모드 또는 구성 모드에서 액세스 구성을 볼 수 있습니다. |
|
계층 수준에서 액세스 정보를 |
|
운영 모드 또는 구성 모드에서 사용자 계정 정보를 볼 수 있습니다. |
|
사용자 계정 정보를 보고 계층 수준에서 구성할 |
|
모든 운영 모드 명령 및 구성 모드 명령에 액세스할 수 있습니다. 모든 구성 계층 수준에서 구성을 수정할 수 있습니다. |
|
디바이스가 네트워크에서 학습하고 다양한 네트워크 데이터베이스에 저장하는 정보를 삭제(삭제)할 수 있습니다(명령 사용 |
|
구성 모드(명령 사용 |
|
모든 제어 수준 작업(권한 플래그로 구성된 모든 작업)을 |
|
필드 디버그 명령을 볼 수 있습니다. 디버깅 지원을 위해 예약되었습니다. |
|
운영 모드 또는 구성 모드에서 방화벽 필터 구성을 볼 수 있습니다. |
|
계층 수준에서 방화벽 필터 정보를 |
|
이동식 미디어에서 읽고 쓸 수 있습니다. |
|
운영 모드 또는 구성 모드에서 플로우 탭 구성을 볼 수 있습니다. |
|
계층 수준에서 flow-tap 정보를 |
|
라우터 또는 스위치에 플로우 탭 요청을 할 수 있습니다. 예를 들어, DTCP(Dynamic Tasking Control Protocol) 클라이언트는
참고:
옵션은 |
|
프로파일러 데이터를 볼 수 있습니다. |
|
운영 모드 및 구성 모드에서 인터페이스 구성을 볼 수 있습니다. |
|
섀시, CoS( Class of Service ), 그룹, 포워딩 옵션 및 인터페이스 구성 정보를 볼 수 있습니다. 다음 계층 수준에서 구성을 수정할 수 있습니다.
|
|
디바이스에서 로컬 쉘을 시작하고 쉘에서 슈퍼유저가 되고(명령 사용) 디바이스를 중지 및 재부팅(명령 사용 |
|
, , |
|
세션 미러링 구성을 볼 |
|
세션 미러링 구성을 수정할 |
|
명령을 사용하여 |
|
명령을 사용하여 |
|
구성 모드 및 운영 모드에서 일반 라우팅, 라우팅 프로토콜 및 라우팅 정책 구성 정보를 볼 수 있습니다. |
|
계층 수준에서 일반 라우팅 |
|
구성에서 암호 및 기타 인증 키를 볼 수 있습니다. |
|
구성에서 암호 및 기타 인증 키를 보고 수정할 수 있습니다. |
|
운영 모드 및 구성 모드에서 보안 구성 정보를 볼 수 있습니다. |
|
계층 수준에서 보안 정보를 |
|
명령을 사용하여 라우터 또는 스위치에서 로컬 쉘을 |
|
운영 모드 또는 구성 모드에서 SNMP(Simple Network Management Protocol) 구성 정보를 볼 수 있습니다. |
|
계층 수준에서 SNMP 구성 정보를 보고 수정할 |
|
운영 모드 또는 구성 모드에서 시스템 수준 정보를 볼 수 있습니다. |
|
계층 수준에서 시스템 수준의 구성 정보를 보고 수정할 |
|
추적 파일 설정을 보고 추적 파일 속성을 구성할 수 있습니다. |
|
추적 파일 설정을 수정하고 추적 파일 속성을 구성할 수 있습니다. |
|
다양한 명령을 사용하여 현재 시스템 전체, 라우팅 테이블 및 프로토콜별 값 및 통계를 표시할 수 있습니다. 비밀 구성을 볼 수 없습니다. |
|
비밀, 시스템 스크립트 및 이벤트 옵션을 제외한 모든 구성을 볼 수 있습니다.
참고:
권한이 있는 |
개별 명령 및 문 계층 거부 또는 허용
기본적으로 모든 최상위 CLI 명령과 문은 관련 액세스 권한 수준을 갖습니다. 사용자는 이러한 명령만 실행하고 액세스 권한이 있는 문만 보고 구성할 수 있습니다. 각 로그인 클래스의 경우, 사용자에게 운영 모드 명령, 구성 모드 명령 및 권한 비트에 의해 허용되거나 거부되는 구성 문 계층의 사용을 명시적으로 거부하거나 허용할 수 있습니다.
예: 특정 권한이 있는 로그인 클래스 생성
로그인 클래스를 정의하여 특정 권한 또는 제한을 사용자 그룹에 할당하여 중요한 명령을 적절한 사용자만 액세스할 수 있도록 합니다. 기본적으로 주니퍼 네트웍스 디바이스에는 사전 설정된 권한이 있는 네 가지 유형의 로그인 클래스(운영자, 읽기 전용, 슈퍼유저 또는 슈퍼 사용자, 무단)가 있습니다.
사용자 정의 로그인 클래스를 생성하여 기본 로그인 클래스에서 찾을 수 없는 다양한 사용 권한 조합을 정의할 수 있습니다. 다음 예는 각각 특정 권한과 비활성 타이머를 가진 세 가지 사용자 지정 로그인 클래스를 보여줍니다. 비활성 타이머는 사용자가 너무 오랫동안 비활성 상태일 경우 사용자와 네트워크의 연결을 끊어 네트워크 보안을 보호하는 데 도움이 될 수 있습니다. 사용자의 연결을 끊으면 사용자가 스위치 또는 라우터에 로그인한 무인 계정을 떠날 때 발생하는 잠재적인 보안 위험을 방지할 수 있습니다. 여기에 표시된 권한 및 비활성 타이머는 예에 불과합니다. 조직의 가치를 커스터마이징해야 합니다.
세 가지 로그인 클래스와 해당 권한은 다음과 같습니다. 세 개의 로그인 클래스 모두 5분의 동일한 비활성 타이머를 사용합니다.
observation
-통계와 구성만 볼 수 있습니다.operation
-구성을 보고 수정할 수 있습니다.engineering
—무제한 액세스 및 제어
[edit] system { login { class observation { idle-timeout 5; permissions [ view ]; } class operation { idle-timeout 5; permissions [ admin clear configure interface interface-control network reset routing routing-control snmp snmp-control trace-control firewall-control rollback ]; } class engineering { idle-timeout 5; permissions all; } } }