Junos OS の権限レベル
このページの全文を参照するには、ここをクリックしてください

Junos OS の権限レベル

Junos オペレーティングシステム(Junos OS)を使用する Juniper デバイスの認証には、Unix 認証を使用します。

このヘルプでは、スキャン用に最小限の権限が必要なカスタムログインクラスを作成し、このカスタムログインクラスをスキャンユーザアカウントに関連付ける方法について説明します。

概要

Junos OS では、コマンド、設定階層レベル、ステートメントに対してアクセスまたはパーミッションを付与することができます。これにより、ユーザはアクセス権を付与されたコマンドのみを実行し、アクセス権を付与されたステートメントのみを設定および表示できるようになります。ユーザに対して許可または拒否する動作モードのコマンド、設定ステートメント、および設定階層の指定に拡張された正規表現を使用することができます。これにより、権限のないユーザが、ネットワークに損害を与えるおそれのある重大なコマンドやステートメントを実行および設定するのを防ぐことができます。

Junos OS ではユーザのグループに対してパーミッションを割り当てる場合にログインクラスを使用します。各ユーザはログインクラスに属している必要があります。スキャンユーザアカウントに対して必要なパーミションを付与したカスタムログインクラスを定義することができます。アカウントは、これらのデバイスのスキャンに必要なコマンドを実行できるように設定する必要があります。 

スキャンに必要なコマンド

コンプライアンススキャンの場合:
show interfaces statistics
show configuration|display xml

脆弱性スキャンの場合:
show version
cli show version
show bgp summary
cli show bgp summary
show chassis hardware
cli show chassis hardware

スキャンに必要なパーミッション

Junos OS を使用するデバイスのスキャンに必要な最小限の権限は、次のパーミッションになります。この一連のパーミッションフラグにより、スキャンユーザアカウントには情報の表示が許可されますが、情報の変更は許可されません。

パーミッションフラグ

説明

admin

設定モードで show configration 動作モードコマンドを使用してユーザアカウント情報を表示できます。

interface

設定モードで show configration 動作モードコマンドを使用してインタフェース設定を表示できます。

routing

設定モードおよび動作モードで、一般的なルーティング、ルーティングプロトコル、およびルーティングポリシー設定情報を表示できます。

shell

start shell コマンドを使用してルータまたはスイッチのローカルシェルを起動できます。

snmp

設定モードおよび動作モードで、SNMP(Simple Network Management Protocol)設定情報を表示できます。

system

設定モードおよび動作モードでシステムレベルの情報を表示できます。

view

各種のコマンドを使用して、現在のシステム全体、ルーティングテーブル、プロトコルに固有の値や統計などを表示できます。シークレット設定は表示できません。

 

スキャンユーザ用のパーミッションのあるカスタムログインクラスの作成方法

以下の手順に従ってカスタムログインクラスを作成し、異なる階層レベルにおいてパーミション(必要最小限の権限)を指定します。次に、スキャンユーザアカウントをこのクラスに追加します。

1)カスタムログインクラスを作成します。この例では、“ mytestclass ”という新規カスタムクラスを作成します。以下に例を示します。

[edit system login]

root@pcavmx14# edit class mytestclass ?

Possible completions:

  <[Enter]>            Execute this command

  |                    Pipe through a command

 

2)新しいカスタムクラスへ移動します。以下に例を示します。  

[edit system login class mytestclass]

root@pcavmx14# set permissions ?

Possible completions:

  [                    Open a set of values

  access               Can view access configuration

  access-control       Can modify access configuration

  admin                Can view user accounts

  admin-control        Can modify user accounts

  all                  All permission bits turned on

  clear                Can clear learned network info

  configure            Can enter configuration mode

  control              Can modify any config

  field                Can use field debug commands

  firewall             Can view firewall configuration

  firewall-control     Can modify firewall configuration

  floppy               Can read and write the floppy

  flow-tap             Can view flow-tap configuration

  flow-tap-control     Can modify flow-tap configuration

 

3)次のコマンドを使用して、カスタムログインクラスに必要なパーミッションを割り当てます。1 つのコマンドに複数のパーミションフラグを含めることも、個別のコマンドを使用することもできます。

[edit system login class mytestclass]

root@comvmx14# set permissions interface permissions system permissions snmp permissions routing permissions view permissions shell permissions admin

 

4)スキャンユーザアカウントを作成し、これにカスタムログインクラスを関連付けます。次の例ではユーザ“ scanuser ”をカスタムクラス“ mytestclass ”に関連付けています。このクラス/ユーザでは、各種のパーミッションフラグに対して読み取り専用のパーミッションのみが付与されています。これは、このユーザは情報を変更できないことを意味しています。

[edit system login]

root@comvmx14# set user scanuser class mytestclass