|
◆ JUNOS - ログインユーザとクラス
JUNOSではrootユーザがtelnetやSSHログインを行えないため、管理アクセス用に別途ユーザを作成する
必要があります。そして作成したユーザに対してクラス分けされたアクセス権限を付与する必要があります。
そのクラスには以下の4種類があります。権限の強さは「super-user ⇒ operator ⇒ read-only」の順です。
| クラス |
説明 |
| super-user |
All permissions。rootアカウントと同じ権限を持ち、全ての操作を実行可能。 |
| operator |
Clear, reset, trace, view permissions。clearコマンドやプロセス再起動が可能。showコマンドも実行可。 |
| read-only |
View permissions。設定変更やclearの実行はできず、showコマンドの実行だけが可能。 |
| unauthorized |
No permissions。 |
◆ ユーザ作成とクラスの割当
set system login user name class [ super-user | operator | read-only | unauthorized ]
◆ 設定例 : COOLというユーザを作成しsuper-userのクラスを割り当てる設定、パスワードの割り当て
root@SRX100# set system login user COOL class super-user
root@SRX100# set system login user COOL authentication plain-text-password
New password:
Retype new password:
|
◆ ユーザ作成とクラスの割当(Radiusサーバを利用する場合)
JUNOSではRadiusサーバにより認証を集中管理し、Radiusサーバ認証の際にユーザごとに異なるクラスを
割り当てることができます。JUNOSがRadiusと連携するためにはRaduisサーバのIPアドレスとパスワード
であるShared Secretの設定、そして、認証ユーザにクラスを適用するためのテンプレート設定が必要です。
◆ JUNOSの設定例
root@SRX100# set system authentication-order [ radius password ]
root@SRX100# set system radius-server 10.1.1.254 secret JUNIPER
root@SRX100# set system login user RO-USER class read-only
root@SRX100# set system login user SP-USER class super-user
|
◆ Freeradiusサーバの設定例
tom Cleartext-Password := "tom123"
Service-Type = Login-User,
Juniper-Local-User-Name := "RO-USER",
bob Cleartext-Password := "bob123"
Service-Type = Login-User,
Juniper-Local-User-Name := "SP-USER",
|
Freeradiusサーバの設定通り使用するVSA(vendor specific attribute)は「Juniper-Local-User-Name」
でありVendor IDは2636, Type1となります。その他、JUNOSで使用できる主なアトリビュートは以下です。
| Attribute |
type |
説明 |
| Juniper-Local-User-Name |
1 |
テンプレート名 |
| Juniper-Allow-Commands |
2 |
オペレーションモードにおいて実行可能なコマンド |
| Juniper-Deny-Commands |
3 |
オペレーションモードにおいて実行不可能なコマンド |
| Juniper-Allow-Configuration |
4 |
コンフィグレーションモードにおいて実行可能なコマンド |
| Juniper-Deny-Configuration |
5 |
コンフィグレーションモードにおいて実行不可能なコマンド |
JUNOSへログイン時のユーザ認証が、ローカルDB、Radiusサーバ、TACACS+サーバのどの順番で
行われるのかは、show system authentication-orderコマンドによって確認することができます。
◆ JUNOS - 管理アクセスのためのサービス有効化
JUNOSを搭載したSRXに管理アクセスするためには、telnet、SSH、HTTP、HTTPSなどの各サービスを
必要に応じて有効化する必要があります。以下はSRXに全ての管理アクセスを有効にする場合の設定です。
root@SRX100# set system services telnet
root@SRX100# set system services ssh
root@SRX100# set system services web-management http
root@SRX100# set system services web-management https system-generated-certificate
|
※ SRXでは管理アクセスする I/F のhost-inbound-traffic system-servicesでこれらのプロトコルを許可している必要があります。
※ security-zone ゾーン名 host-inbound-traffic system-serviceとすれば、そのゾーンにバインドされた全
I/F に適用されます。
◆ JUNOS - DHCPサーバの設定
JUNOSを搭載したSRXなどはDHCPサーバとして機能することが可能です。設定例の要件は以下とします。
@ 配布したIPアドレスのリース期間は「24」時間。
A デフォルトゲートウェイは「192.168.0.254」。
B DNSサーバは「10.10.10.10」と「10.10.10.20」。
C 「192.168.0.1/24 〜 192.168.0.200/24」のIPアドレスを払いだす。
D 配布するIPアドレスのうち「192.168.0.100」を払い出しから除外する。
root@SRX100# set system services dhcp default-lease-time 86400
root@SRX100# set system services dhcp router 192.168.0.254
root@SRX100# set system services dhcp name-server 10.10.10.10
root@SRX100# set system services dhcp name-server 10.10.10.20
root@SRX100# set system services dhcp pool 192.168.0.0/24 address-range low 192.168.0.1
root@SRX100# set system services dhcp pool 192.168.0.0/24 address-range high 192.168.0.200
root@SRX100# set system services dhcp pool 192.168.0.0/24 exclude-address 192.168.0.100
|
アドレスプールの内容は show system services dhcp pool、払い出しアドレスは show system services dhcp binding で確認可。
SRXでDHCPサーバとして動作させる上記設定の前提は、例えば以下の設定例のようにDHCPクライアントの
ブロードキャストを受信する I/F「fe-0/0/1.0」で、DHCPのトラフィックを受信できるようにすることです。
ちなみにSRXをDHCPサーバとして動作させるのは個人的に非推奨。正常に動作しない場合が多々ありました。
set interfaces fe-0/0/1 unit 0 family inet address 192.168.0.254/24
set security zones security-zone TRSUT interfaces fe-0/0/1.0 host-inbound-traffic
system-services dhcp
|
◆ JUNOS - DHCPリレーの設定
DHCPクライアントが接続するセグメントにDHCPサーバが配置されていない場合、DHCPリレーエージェント
機能を使用して、DHCPのブロードキャストを転送する必要があります。例えば、以下の設定は fe-0/0/0 の
インターフェース配下のセグメントからDHCPリクエストをDHCPサーバ172.16.1.10に転送するための設定。
root@SRX100# set forwarding-options helpers bootp server 172.16.1.10
root@SRX100# set forwarding-options helpers bootp interface fe-0/0/0
|
◆ JUNOS - ドメイン名の設定
JUNOSを搭載したSRX自身がDNS参照を行いたい場合、SRX自身がアクセスしてFQDNを利用したい場合、
SRXに対して参照するDNSサーバのIPアドレスやドメイン名の設定が必要になります。設定例は以下の通り。
root@SRX100# set system domain-name juniper.com
root@SRX100# set system name-server 10.1.1.10
|
|