Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Junos OS 로그인 클래스 개요

Junos OS 로그인 클래스를 사용하면 액세스 권한, CLI 명령 및 명령문을 사용할 수 있는 권한, 각 로그인 클래스에 대한 세션 유휴 시간을 정의할 수 있습니다. 로그인 클래스를 개별 사용자 계정에 적용하여 사용자에게 특정 권한과 권한을 지정할 수 있습니다. 자세한 내용은 이 주제를 읽어 보시죠.

Junos OS 로그인 클래스 개요

라우터 또는 스위치에 로그인할 수 있는 모든 사용자는 로그인 클래스에 있어야 합니다. 로그인 클래스에서는 다음을 정의합니다.

  • 사용자가 라우터 또는 스위치에 로그인할 때 갖는 액세스 권한

  • 사용자가 지정할 수 있으며 지정할 수 없는 명령어 및 명령문

  • 로그인 세션이 타임아웃 및 사용자가 로그아웃되기 전에 유휴 기간

원하는 수의 로그인 클래스를 정의한 다음 하나의 로그인 클래스를 개별 사용자 계정에 적용할 수 있습니다.

Junos 운영체제(Junos OS)에는 에 나열된 미리 정의한 몇 개의 로그인 클래스가 포함되어 표 1 있습니다. 사전 정의한 로그인 클래스는 수정할 수 없습니다.

표 1: 사전 정의한 시스템 로그인 클래스

로그인 클래스

권한 플래그 집합

operator

clear, 네트워크, 리셋, 추적 및 보기

read-only

보기

superuser 또는 super-user

전체

unauthorized

없음

주:
  • 사전 정의한 로그인 클래스 이름을 수정할 수 없습니다. 사전 정의 클래스 이름에 대한 명령을 발행하면 Junos OS 클래스 이름에 set-local 추가됩니다. 다음 메시지도 나타납니다.

  • 사전 정의한 로그인 클래스에서 또는 명령을 renamecopy 발행할 수 없습니다. 이를 통해 다음과 같은 오류 메시지가 표시됩니다.

권한 비트

각 상위 레벨의 CLI 명령어와 관련된 액세스 권한 수준이 있습니다. 사용자는 해당 명령만 실행하고 액세스 권한을 갖는 명령문만 구성하고 볼 수 있습니다. 각 로그인 클래스에 대한 액세스 권한은 하나 이상의 권한 비트로 정의됩니다(참조). 표 2

권한을 위한 두 가지 형태는 구성의 개별 부분을 제어합니다.

  • "일반" 양식—해당 권한 유형에 대한 읽기 전용 기능을 제공합니다. 예를 들면 다음과 interface 같습니다.

  • 끝이 있는 양식 —해당 권한 유형에 대한 읽기 및 쓰기 -control 기능을 제공합니다. 예를 들면 다음과 interface-control 같습니다.

표 2: 로그인 클래스를 위한 권한 비트

권한 비트

Access

admin

구성 모드 및 명령으로 사용자 계정 정보를 볼 수 show configuration 있습니다.

admin-control

사용자 계정을 보고 구성할 [edit system login] 수 있습니다(계층 수준에서).

access

구성 모드 및 작업 모드 명령으로 액세스 show configuration 구성을 볼 수 있습니다.

access-control

액세스 정보(계층 [edit access] 수준에서)를 보고 구성할 수 있습니다.

all

모든 권한을 습니다.

clear

다양한 네트워크 데이터베이스에 저장되는 네트워크에서 학습된 정보를 지우기(삭제)할 clear 수 있습니다(명령 사용).

configure

구성 모드(명령 configure 사용)와 커밋 구성(명령 사용)을 입력할 commit 수 있습니다.

control

모든 제어 수준 작업(권한 비트로 구성된 모든 -control 작업)을 수행할 수 있습니다.

field

필드(디버깅) 지원을 위해 예약.

firewall

구성 모드에서 방화벽 필터 구성을 볼 수 있습니다.

firewall-control

방화벽 필터 정보를 보고 구성할 수 있습니다(계층 [edit firewall] 수준에서).

floppy

이동 가능한 미디어를 읽고 쓸 수 있습니다.

interface

구성 모드 및 작동 모드 명령으로 인터페이스 show configuration 구성을 볼 수 있습니다.

interface-control

섀시, 서비스 등급, 그룹, 포링 옵션 및 인터페이스 구성 정보를 볼 수 있습니다. 섀시, 서비스 등급, 그룹, 포우링 옵션 및 인터페이스(계층에서)를 구성할 수 [edit] 있습니다.

maintenance

장비에서 로컬 셸을 시작하고 쉘에서 슈퍼유저가 되는 것을 비롯한 시스템 유지 보수를 수행할 수 있으며(명령 발행 시) 디바이스를 중단 및 재부팅할 수 su rootrequest system 있습니다.

network

, 및 명령어를 입력하여 pingssh 네트워크에 액세스할 수 telnettraceroute 있습니다.

reset

명령을 사용하여 소프트웨어 프로세스를 재시작할 수 있으며(계층 수준에서) 소프트웨어 프로세스가 활성화되어 있는지 또는 restart[edit system processes] 비활성화될지 구성할 수 있습니다.

rollback

이 명령을 사용하여 가장 최근에 커밋된 구성이 없는 이전에 커밋된 구성으로 rollback 돌아올 수 있습니다.

routing

구성 및 운영 모드에서 일반 라우팅, 라우팅 프로토콜 및 라우팅 정책 구성 정보를 볼 수 있습니다.

routing-control

일반 라우팅, 라우팅 프로토콜 및 라우팅 정책 구성 정보를 보고 일반 라우팅(계층 수준에서), 라우팅 프로토콜(계층 수준에서) 및 라우팅 정책(계층 수준에서)을 구성할 수 [edit routing-options][edit protocols][edit policy-options] 있습니다.

secret

구성에서 암호 및 기타 인증 키를 볼 수 있습니다.

secret-control

구성에서 암호와 기타 인증 키를 볼 수 있으며 구성 모드에서 수정할 수 있습니다.

security

구성 모드 및 작동 모드 명령으로 보안 show configuration 구성을 볼 수 있습니다.

security-control

보안 정보를 보고 구성할 수 있습니다(계층 [edit security] 수준에서).

shell

명령어를 입력하여 장비에서 로컬 셸을 시작할 수 start shell 있습니다.

snmp

구성 및 작동 모드에서 SNMP 구성 정보를 볼 수 있습니다.

snmp-control

SNMP 구성 정보를 보고 SNMP를 구성할 [edit snmp] 수 있습니다(계층 수준에서).

system

구성 및 운영 모드에서 시스템 수준 정보를 볼 수 있습니다.

system-control

시스템 수준 구성 정보를 보고 구성할 [edit system] 수 있습니다(계층 수준에서).

trace

구성 및 운영 모드에서 추적 파일 설정을 볼 수 있습니다.

trace-control

추적 파일 설정을 보고 추적 파일 속성을 구성할 수 있습니다.

view

다양한 명령을 사용하여 현재 시스템 전체의 라우팅 테이블, 프로토콜별 값 및 통계를 표시할 수 있습니다.

개별 명령 거부 또는 허용

기본적으로, 모든 상위 레벨 CLI 명령은 관련 액세스 권한 수준을 습니다. 사용자는 해당 명령만 실행하고 액세스 권한을 갖는 명령문만 볼 수 있습니다. 각 로그인 클래스에 대해 권한 비트에 의해 허용되거나 허용되지 않는 운영 및 구성 모드 명령의 사용을 명시적으로 거부하거나 허용할 수 있습니다.

로그인 Junos OS 정의

로그인 클래스를 사용하면 다음을 정의할 수 있습니다.

  • 사용자가 라우터 또는 스위치에 로그인할 때 갖는 액세스 권한

  • 사용자가 지정할 수 있으며 지정할 수 없는 명령어 및 명령문

  • 로그인 세션이 타임아웃 및 사용자가 로그아웃되기 전에 유휴 기간

라우터 또는 스위치에 로그인할 수 있는 모든 사용자는 로그인 클래스에 있어야 합니다. 따라서 각 사용자 또는 클래스에 대한 Junos OS 로그인 클래스를 정의해야 합니다. 사용자가 필요로 하는 권한의 유형에 따라 원하는 로그인 클래스를 정의할 수 있습니다.

로그인 클래스 및 액세스 권한을 정의하기 위해 계층 수준에서 class[edit system login] 명령문을 포함하십시오.

예를 들면 다음과 같습니다. 특정 권한을 통해 로그인 클래스 생성

로그인 클래스는 특정 권한 또는 사용자 그룹에 대한 제한을 할당하는 데 사용함으로써 민감한 명령어가 해당 사용자만 액세스할 수 있도록 보장합니다. 기본적으로 주니퍼 네트웍스 디바이스에는 사전 설정 권한을 사용하는 4가지 유형의 로그인 클래스가 있습니다. 운영자, 읽기 전용, 수퍼 유저 또는 수퍼 사용자, 인증되지 않은 사용자 등입니다.

새로운 사용자 지정 로그인 클래스를 생성하여 기본 로그인 클래스에서 발견되지 않는 서로 다른 권한 조합을 만들 수 있습니다. 다음 예제에서는 비활성 기간 이후 클래스 구성원의 연결을 끊기 위해 각각 특정 권한과 타임러를 갖는 3개의 맞춤형 로그인 클래스를 만드는 방법을 보여줍니다. 비활성 시간(inactivity timers)은 사용자가 너무 오랫동안 자신의 컴퓨터에서 멀리 떨어져 있는 경우 네트워크에서 사용자를 분리하여 무방비 계정을 스위치 또는 라우터에 로그인하여 발생할 수 있는 보안 위험을 방지하여 네트워크 보안을 보호합니다. 여기에 표시된 권한과 비활성 시간자는 예시에 불과하며 조직에 맞게 사용자 지정해야 합니다.

첫 번째 클래스의 사용자를 호출하면 통계 및 구성만 볼 observation 수 있습니다. 구성은 수정할 수 없습니다. 두 번째 사용자 클래스가 호출되어 구성을 보고 operation 수정할 수 있습니다. 세 번째 클래스의 사용자를 호출하여 무제한 액세스 및 engineering 제어가 있습니다. 세 개의 로그인 클래스는 모두 5분에 동일한 비활성 타임러를 사용합니다.