Visão geral das contas do usuário
As contas de usuário fornecem uma maneira de os usuários acessarem um dispositivo. Para cada conta, você define o nome de login, senha e quaisquer informações adicionais do usuário. Depois de criar uma conta, o software cria um home directory para o usuário.
Uma conta para o usuário root
está sempre presente na configuração. Você pode configurar a senha para root
usar a root-authentication
declaração.
Embora seja comum usar servidores de autenticação remota para armazenar informações centralmente sobre usuários, também é uma boa prática configurar pelo menos um usuário não-raiz em cada dispositivo. Dessa forma, você ainda pode acessar o dispositivo se sua conexão com o servidor de autenticação remota for interrompida. Esse usuário não-raiz geralmente tem um nome genérico como admin
.
Para cada conta do usuário, você pode definir o seguinte:
-
Nome de usuário (Necessário): Nome que identifica o usuário. Deve ser único. Evite usar espaços, pontos ou vírgulas no nome de usuário. O nome de usuário pode incluir até 64 caracteres.
-
Nome completo do usuário: (Opcional) Se o nome completo contiver espaços, inclua-o entre aspas. Evite o uso de cólons ou vírgulas.
-
Identificador de usuário (UID): (Opcional) Identificador numérico associado ao nome da conta do usuário. O UID é atribuído automaticamente quando você confirma a configuração, para que você não precise configurá-la manualmente. No entanto, se você optar por configurar o UID manualmente, use um valor único na faixa de 100 a 64.000.
-
Privilégio de acesso do usuário: (Necessário) Uma das aulas de login que você definiu na
class
declaração na[edit system login]
hierarquia ou em uma das aulas de login padrão. -
Método de autenticação ou métodos e senhas para acesso a dispositivos (Necessário): Você pode usar uma chave SSH, uma senha message digest 5 (MD5) ou uma senha de texto simples que o Junos OS criptografa usando criptografia no estilo MD5 antes de inseri-la no banco de dados de senha. Para cada método, você pode especificar a senha do usuário. Se você configurar a opção
plain-text-password
, você receberá um aviso para inserir e confirmar a senha:[edit system login user username] user@host# set authentication plain-text-password New password: type password here Retype new password: retype password here
Para criar senhas de texto simples válidas, certifique-se de que elas:
-
Contenha entre 6 e 128 caracteres.
-
Inclua a maioria das classes de caracteres (letras maiúsculas, letras minúsculas, números, marcas de pontuação e outros caracteres especiais), mas não inclui caracteres de controle.
-
Contenha pelo menos uma mudança de caso ou classe de caracteres.
Junos-FIPS e Critérios Comuns têm os seguintes requisitos especiais de senha. Eles devem:
- Ter entre 10 e 20 caracteres de comprimento.
- Use pelo menos três dos cinco conjuntos de caracteres definidos (letras maiúsculas, letras minúsculas, dígitos, marcas de pontuação e outros caracteres especiais).
Se o Junos-FIPS estiver instalado no dispositivo, você deve obedecer aos requisitos especiais de senha ou as senhas não estiverem configuradas.
-
Para autenticação de SSH, você pode copiar o conteúdo de um arquivo chave SSH na configuração. Você também pode configurar informações de chave SSH diretamente. Use a load-key-file
declaração para carregar um arquivo chave SSH que foi gerado anteriormente, (por exemplo, usando ssh-keygen
). O load-key-file
argumento é o caminho até a localização e o nome do arquivo. A load-key-file
declaração carrega chaves públicas RSA (SSH versão 1 e SSH versão 2). O conteúdo do arquivo chave SSH é copiado na configuração imediatamente após você configurar a load-key-file
declaração.
Evite usar as seguintes combinações de pacote de cifras e versão de segurança de camada de transporte (TLS), que falharão:
Com chaves de host RSA:
-
TLS_1.0@DHE-RSA-AES128-SHA
-
TLS_1.0@DHE-RSA-AES256-SHA
Para cada conta do usuário e para logins raiz, você pode configurar mais de uma chave RSA pública para autenticação do usuário. Quando um usuário faz login usando uma conta do usuário ou como raiz, as chaves públicas configuradas são referenciadas para determinar se a chave privada corresponde a alguma das contas do usuário.
Para visualizar as entradas de chave SSH, use o comando de modo show
de configuração. Por exemplo:
[edit system login user boojum] user@host# set authentication load-key-file my-host:.ssh/id_rsa.pub .file.19692 | 0 KB | 0.3 kB/s | ETA: 00:00:00 | 100% [edit system login user boojum] user@host# show authentication { ssh-rsa "$ABC123"; # SECRET-DATA }