로그인 클래스 개요

Junos OS Evolved 로그인 클래스는 액세스 권한, CLI 명령 및 문 사용 권한 및 해당 클래스에 할당된 사용자의 세션 유휴 시간을 정의합니다. 시스템 관리자는 개별 사용자 계정에 로그인 클래스를 적용하여 특정 권한과 권한을 사용자에게 할당할 수 있습니다.

로그인 클래스 개요

Junos OS Evolved를 실행하는 디바이스에 로그인할 수 있는 모든 사용자는 로그인 클래스에 있어야 합니다. 각 로그인 클래스는 다음을 정의합니다.

사용자가 네트워크 디바이스에 로그인할 때 가질 수 있는 액세스 권한
사용자가 실행할 수 있고 실행할 수 없는 명령
사용자가 보거나 수정할 수 있고 할 수 없는 구성 문
시스템에서 사용자의 연결을 끊기 전에 로그인 세션이 유휴 상태일 수 있는 시간

여러 개의 로그인 클래스를 정의할 수 있습니다. 그러나 개별 사용자 계정에는 하나의 로그인 클래스만 할당합니다.

Junos OS Evolved 에는 표 1에 나열된 사전 정의된 로그인 클래스가 포함되어 있습니다. 사전 정의된 로그인 클래스를 수정할 수 없습니다.

표 1: 사전 정의된 시스템 로그인 클래스
로그인 클래스	권한 플래그 세트
`operator`	지우기, 네트워크, 재설정, 추적 및 보기
`read-only`	보기
`superuser` 또는 `super-user`	모든
`unauthorized`	없음

참고:

사전 정의된 로그인 클래스 이름을 수정할 수 없습니다. 사전 정의된 클래스 이름에 명령을 실행 set 하면 디바이스가 로그인 클래스 이름에 추가 -local 되고 다음 경고를 발행합니다.
사전 정의된 로그인 클래스에서 또는 copy 명령을 실행할 rename 수 없습니다. 이렇게 하면 다음 오류 메시지가 나타납니다.

권한 비트
개별 명령 및 문 계층 거부 또는 허용

권한 비트

각 최상위 수준의 CLI 명령과 각 구성 문 은 연결된 액세스 권한 수준을 습니다. 사용자는 이러한 명령만 실행하고 액세스 권한이 있는 문만 구성하고 볼 수 있습니다. 각 로그인 클래스는 액세스 권한을 결정하는 하나 이상의 권한 비트를 정의합니다.

권한에 대한 두 가지 형태는 사용자가 구성의 개별 부분을 보거나 수정할 수 있는지 여부를 제어합니다.

"Plain" 형태 - 권한 유형에 대한 읽기 전용 기능을 제공합니다. 예를 들어 은(는) 입니다 interface.
-control 형태 - 해당 권한 유형에 대한 읽기 및 쓰기 기능을 제공합니다. 예를 들어 은(는) 입니다 interface-control.

표 2 에서는 권한 플래그 및 관련 액세스 권한에 대해 간략하게 설명합니다.

표 2: 로그인 클래스 권한 플래그
권한 플래그	설명
`access`	운영 모드 또는 구성 모드에서 액세스 구성을 볼 수 있습니다.
`access-control`	계층 수준에서 액세스 정보를 `[edit access]` 보고 구성할 수 있습니다.
`admin`	운영 모드 또는 구성 모드에서 사용자 계정 정보를 볼 수 있습니다.
`admin-control`	사용자 계정 정보를 보고 계층 수준에서 구성할 `[edit system]` 수 있습니다.
`all`	모든 운영 모드 명령 및 구성 모드 명령에 액세스할 수 있습니다. 모든 구성 계층 수준에서 구성을 수정할 수 있습니다.
`clear`	디바이스가 네트워크에서 학습하고 다양한 네트워크 데이터베이스에 저장하는 정보를 삭제(삭제)할 수 있습니다(명령 사용 `clear` ).
`configure`	구성 모드(명령 사용 `configure` )와 커밋 구성(명령 사용)을 입력할 `commit` 수 있습니다.
`control`	모든 제어 수준 작업(권한 플래그로 구성된 모든 작업)을 `-control` 수행할 수 있습니다.
`field`	필드 디버그 명령을 볼 수 있습니다. 디버깅 지원을 위해 예약되었습니다.
`firewall`	운영 모드 또는 구성 모드에서 방화벽 필터 구성을 볼 수 있습니다.
`firewall-control`	계층 수준에서 방화벽 필터 정보를 `[edit firewall]` 보고 구성할 수 있습니다.
`floppy`	이동식 미디어에서 읽고 쓸 수 있습니다.
`flow-tap`	운영 모드 또는 구성 모드에서 플로우 탭 구성을 볼 수 있습니다.
`flow-tap-control`	계층 수준에서 flow-tap 정보를 `[edit services flow-tap]` 보고 구성할 수 있습니다.
`flow-tap-operation`	라우터 또는 스위치에 플로우 탭 요청을 할 수 있습니다. 예를 들어, DTCP(Dynamic Tasking Control Protocol) 클라이언트는 `flow-tap-operation` Junos OS Evolved 를 관리 사용자로 인증할 수 있는 권한이 있어야 합니다. 참고: 옵션은 `flow-tap-operation` 권한 플래그에 `all-control` 포함되지 않습니다.
`idp-profiler-operation`	프로파일러 데이터를 볼 수 있습니다.
`interface`	운영 모드 및 구성 모드에서 인터페이스 구성을 볼 수 있습니다.
`interface-control`	섀시, CoS( Class of Service ), 그룹, 포워딩 옵션 및 인터페이스 구성 정보를 볼 수 있습니다. 다음 계층 수준에서 구성을 수정할 수 있습니다. `[edit chassis]` `[edit class-of-service]` `[edit groups]` `[edit forwarding-options]` `[edit interfaces]`
`maintenance`	디바이스에서 로컬 쉘을 시작하고 쉘에서 슈퍼유저가 되고(명령 사용) 디바이스를 중지 및 재부팅(명령 사용 `su root` `request system` )하는 등 시스템 유지 관리 작업을 수행할 수 있습니다.
`network`	, , `sshtelnet`및 `traceroute` 명령을 사용하여 `ping`네트워크에 액세스할 수 있습니다.
`pgcp-session-mirroring`	세션 미러링 구성을 볼 `pgcp` 수 있습니다.
`pgcp-session-mirroring-control`	세션 미러링 구성을 수정할 `pgcp` 수 있습니다.
`reset`	명령을 사용하여 `restart` 소프트웨어 프로세스를 다시 시작할 수 있습니다.
`rollback`	명령을 사용하여 `rollback` 이전에 커밋한 구성으로 돌아갈 수 있습니다.
`routing`	구성 모드 및 운영 모드에서 일반 라우팅, 라우팅 프로토콜 및 라우팅 정책 구성 정보를 볼 수 있습니다.
`routing-control`	계층 수준에서 일반 라우팅 `[edit routing-options]` 을 보고 구성할 수 있으며 계층 수준에서 라우팅 프로토콜 `[edit protocols]` 을 구성하고 계층 수준에서 정보를 `[edit policy-options]` 라우팅 정책 수 있습니다.
`secret`	구성에서 암호 및 기타 인증 키를 볼 수 있습니다.
`secret-control`	구성에서 암호 및 기타 인증 키를 보고 수정할 수 있습니다.
`security`	운영 모드 및 구성 모드에서 보안 구성 정보를 볼 수 있습니다.
`security-control`	계층 수준에서 보안 정보를 `[edit security]` 보고 구성할 수 있습니다.
`shell`	명령을 사용하여 라우터 또는 스위치에서 로컬 쉘을 `start shell` 시작할 수 있습니다.
`snmp`	운영 모드 또는 구성 모드에서 SNMP(Simple Network Management Protocol) 구성 정보를 볼 수 있습니다.
`snmp-control`	계층 수준에서 SNMP 구성 정보를 보고 수정할 `[edit snmp]` 수 있습니다.
`system`	운영 모드 또는 구성 모드에서 시스템 수준 정보를 볼 수 있습니다.
`system-control`	계층 수준에서 시스템 수준의 구성 정보를 보고 수정할 `[edit system]` 수 있습니다.
`trace`	추적 파일 설정을 보고 추적 파일 속성을 구성할 수 있습니다.
`trace-control`	추적 파일 설정을 수정하고 추적 파일 속성을 구성할 수 있습니다.
`view`	다양한 명령을 사용하여 현재 시스템 전체, 라우팅 테이블 및 프로토콜별 값 및 통계를 표시할 수 있습니다. 비밀 구성을 볼 수 없습니다.
`view-configuration`	비밀, 시스템 스크립트 및 이벤트 옵션을 제외한 모든 구성을 볼 수 있습니다. 참고: 권한이 있는 `maintenance` 사용자만 스크립트, op 스크립트 또는 이벤트 스크립트 구성을 볼 수 있습니다.

개별 명령 및 문 계층 거부 또는 허용

기본적으로 모든 최상위 CLI 명령과 문은 관련 액세스 권한 수준을 갖습니다. 사용자는 이러한 명령만 실행하고 액세스 권한이 있는 문만 보고 구성할 수 있습니다. 각 로그인 클래스의 경우, 사용자에게 운영 모드 명령, 구성 모드 명령 및 권한 비트에 의해 허용되거나 거부되는 구성 문 계층의 사용을 명시적으로 거부하거나 허용할 수 있습니다.

예: 특정 권한이 있는 로그인 클래스 생성

로그인 클래스를 정의하여 특정 권한 또는 제한을 사용자 그룹에 할당하여 중요한 명령을 적절한 사용자만 액세스할 수 있도록 합니다. 기본적으로 주니퍼 네트웍스 디바이스에는 사전 설정된 권한이 있는 네 가지 유형의 로그인 클래스(운영자, 읽기 전용, 슈퍼유저 또는 슈퍼 사용자, 무단)가 있습니다.

사용자 정의 로그인 클래스를 생성하여 기본 로그인 클래스에서 찾을 수 없는 다양한 사용 권한 조합을 정의할 수 있습니다. 다음 예는 각각 특정 권한과 비활성 타이머를 가진 세 가지 사용자 지정 로그인 클래스를 보여줍니다. 비활성 타이머는 사용자가 너무 오랫동안 비활성 상태일 경우 사용자와 네트워크의 연결을 끊어 네트워크 보안을 보호하는 데 도움이 될 수 있습니다. 사용자의 연결을 끊으면 사용자가 스위치 또는 라우터에 로그인한 무인 계정을 떠날 때 발생하는 잠재적인 보안 위험을 방지할 수 있습니다. 여기에 표시된 권한 및 비활성 타이머는 예에 불과합니다. 조직의 가치를 커스터마이징해야 합니다.

세 가지 로그인 클래스와 해당 권한은 다음과 같습니다. 세 개의 로그인 클래스 모두 5분의 동일한 비활성 타이머를 사용합니다.

observation-통계와 구성만 볼 수 있습니다.
operation-구성을 보고 수정할 수 있습니다.
engineering—무제한 액세스 및 제어