ビデオ: [JA][Keynote] My way with Ruby / Kouhei Sutou @ktou 2024
Junosでユーザーアカウントを作成すると、そのユーザーを特権クラスに関連付ける必要があります。 Junos OSデバイスには、4つの標準ログイン特権クラスが存在し、それぞれ独自の許可された機能を許可します。独自の特権クラスを作成することもできます。
| 特権クラス | 説明 | 使用上の推奨事項 |
|---|---|---|
| スーパーユーザー | スーパーユーザーは、デバイス上のすべての
操作を実行できます。 |
デバイスのすべての側面を監視して維持する重要な人々のために、この特権レベルを予約します。
オペレータ |
| オペレータは、デバイスおよびルーティングプロトコルの状態をチェックし、統計をクリアし、リセット動作を実行するために | 動作モードで動作することができ、
デバイスをリブートします。 このクラスはデバイス設定を見ることができますが、 は変更できません。この特権レベルは、 |
デバイスの監視を担当するネットワークオペレーションチームのためのものです。
読み取り専用 読み取り専用権限を持つ人は、デバイスとルーティングプロトコルのステータスのみを監視できます。 ネットワークの低レベルウォッチャーに、 |
| エンジニアまたは管理者に何か不具合が見られるようにする必要があります。 | Unauthorized
unauthorizedは、デバイス上に |
権限がまったくないクラスです。
このクラスのユーザーがログインすると、Junos OSソフトウェア |
| がすぐにログアウトします。奇妙に聞こえるかもしれませんが、これらのユーザが他のデバイス上で特権を持っているならば、このクラスは役に立ちます。 | <! - 1 - >
すべての有効なユーザをスーパーユーザクラスに入れて、それを使ってやりなおすように誘惑されるかもしれませんが、そうするのは大抵の場合間違いです。スーパーユーザはスーパーユーザ特権を他のユーザに付与することを含め、文字通り |
すべてのことを行うことができます。よく知られているトリックの1つは、スーパユーザとして素早くログインし、スーパーユーザ特権を持ち、再度ログアウトする無意味なユーザID( "guest-1")を作成することです。しかし、ダメージが与えられます。
<! - 2 - > スーパーユーザー権限を持たない限り、誰も自分の仕事をすることができないと主張します。これはナンセンスです。本当に必要な人のためのスーパーユーザークラスを保存します。 あらかじめ定義された特権クラスは、便宜のためにJunosで提供されています。 Junosは共通の目的で使用できる権限のコレクションをまとめています。しかし、あなたはそれをする必要はありません。独自のクラスを作成して個々のアクセス許可を付与することができます。 <! - 3 - > たとえば、構成ファイルを編集する権限が明示的に与えられているが、それ以外は明示的に許可されていない構成者と呼ばれるクラスを明示的に作成できます。現実的?そうでないかもしれない。しかし、それは動作します。 |
これはもちろん、ユーザーが世界で読めないトレースファイルを読むように設定することができます、 もし良かったら)。ユーザークラスにトレース権限を与えると、このクラスのユーザーはトレースファイルとトレースファイルの設定を表示できます。あらかじめ定義されたユーザークラスの多くには、このアクセス許可(およびその他多くのもの)が含まれています。
