Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Contas de usuário

O Junos OS Evolved permite que você (o administrador do sistema) crie contas para usuários de roteador, switch e segurança. Todos os usuários pertencem a uma das aulas de login do sistema.

Você cria contas de usuário para que os usuários possam acessar um roteador, switch ou dispositivo de segurança. Todos os usuários devem ter uma conta de usuário predefinida antes que possam fazer login no dispositivo. Você cria contas de usuário e depois define o nome de login e identifica informações para cada conta do usuário.

Visão geral das contas do usuário

As contas de usuário fornecem uma maneira de os usuários acessarem um dispositivo. Para cada conta, você define o nome de login, senha e quaisquer informações adicionais do usuário. Depois de criar uma conta, o software cria um home directory para o usuário.

Uma conta para o usuário root está sempre presente na configuração. Você pode configurar a senha para root usar a root-authentication declaração.

Embora seja comum usar servidores de autenticação remota para armazenar centralmente informações sobre usuários, também é uma boa prática configurar pelo menos um usuário não-raiz em cada dispositivo. Dessa forma, você ainda pode acessar o dispositivo se sua conexão com o servidor de autenticação remota for interrompida. Esse usuário não-raiz geralmente tem um nome genérico como admin.

Para cada conta do usuário, você pode definir o seguinte:

  • Nome de usuário (Necessário): Nome que identifica o usuário. Deve ser único. Evite usar espaços, cólons ou vírgulas no nome do usuário. O nome de usuário pode incluir até 32 caracteres.

  • Nome completo do usuário: (Opcional) Se o nome completo contém espaços, coloque-o entre aspas. Evite o uso de cólons ou vírgulas.

  • Identificador de usuário (UID): (Opcional) Identificador numérico associado ao nome da conta do usuário. O UID é atribuído automaticamente quando você confirma a configuração, para que você não precise configurá-la manualmente. No entanto, se você optar por configurar o UID manualmente, use um valor único na faixa de 100 a 64.000.

  • Privilégio de acesso do usuário: (Necessário) Uma das aulas de login que você definiu na class declaração na [edit system login] hierarquia ou em uma das aulas de login padrão.

  • Métodos ou métodos de autenticação e senhas para acesso ao dispositivo (Necessário): você pode usar uma chave SSH, uma senha criptografada ou uma senha de texto simples que o Junos OS Evolved criptografa antes de inseri-la no banco de dados de senhas. Para cada método, você pode especificar a senha do usuário. Se você configurar a opção plain-text-password , você receberá um prompt para inserir e confirmar a senha:

    Para criar senhas de texto simples válidas, certifique-se de que elas:

    • Contenha entre 6 e 128 caracteres.

    • Inclua a maioria das classes de caracteres (letras maiúsculas, letras minúsculas, números, marcas de pontuação e outros caracteres especiais), mas não inclui caracteres de controle.

    • Contenha pelo menos uma mudança de caso ou classe de caracteres.

Para autenticação de SSH, você pode copiar o conteúdo de um arquivo chave SSH na configuração. Você também pode configurar diretamente as informações da chave SSH. Use a load-key-file declaração para carregar um arquivo chave SSH que foi gerado anteriormente , (por exemplo, usando ssh-keygen). O load-key-file argumento é o caminho para a localização e o nome do arquivo. A load-key-file declaração carrega chaves públicas RSA (SSH versão 1 e SSH versão 2). O conteúdo do arquivo chave SSH é copiado na configuração imediatamente após você configurar a load-key-file declaração.

Evite usar a seguinte versão de segurança de camada de transporte (TLS) e as combinações de pacotes cifrados (chave de host RSA), que falharão:

Com as chaves de host RSA:

  • TLS_1.0@DHE-RSA-AES128-SHA

  • TLS_1.0@DHE-RSA-AES256-SHA

Para cada conta do usuário e para logins raiz, você pode configurar mais de uma chave RSA pública para autenticação do usuário. Quando um usuário faz login usando uma conta de usuário ou como raiz, as chaves públicas configuradas são mencionadas para determinar se a chave privada corresponde a alguma das contas do usuário.

Para ver as entradas chave SSH, use o comando do modo show de configuração. Por exemplo:

Exemplo: configure novas contas de usuário

Este exemplo mostra como configurar novas contas de usuário.

Requisitos

Você não precisa de nenhuma configuração especial antes de usar este recurso.

Visão geral

Você pode adicionar novas contas de usuário ao banco de dados local do dispositivo. Para cada conta, você (o administrador do sistema) define um nome de login e senha para o usuário e especifica uma aula de login para privilégios de acesso. A senha de login deve atender aos seguintes critérios:

  • A senha deve ter pelo menos seis caracteres de comprimento.

  • Você pode incluir a maioria das aulas de caracteres na senha (caracteres alfabéticos, numéricos e especiais), mas não os caracteres de controle.

  • A senha deve conter pelo menos uma alteração de caso ou classe de caracteres.

Neste exemplo, você cria uma classe de login chamada operador-and-boot e permite que ele reinicialize o dispositivo. Você pode definir qualquer número de aulas de login. Em seguida, permita que a classe de login de operador e inicialização use comandos definidos nos seguintes bits:

  • claro

  • rede

  • repor

  • traço

  • visualizar permissão

Em seguida, crie contas de usuário para permitir o acesso ao dispositivo. Definir o nome de usuário como usuário aleatório e a classe de login como superusuário. Por fim, defina a senha criptografada para o usuário.

Configuração

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar commit no modo de configuração.

Procedimento passo a passo

Para configurar novos usuários:

  1. Defina o nome da classe de login e permita o uso do comando de reinicialização.

  2. Defina os bits de permissão para a aula de login.

  3. Definir o nome de usuário, a aula de login e a senha criptografada para o usuário.

Resultados

No modo de configuração, confirme sua configuração inserindo o show system login comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

O exemplo a seguir mostra como criar contas para quatro usuários. Ele também mostra como criar uma conta para o usuário remotemodelo. Todos os usuários usam uma das aulas de login padrão do sistema.

Depois de configurar o dispositivo, entre commit no modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Verifique a configuração dos novos usuários

Propósito

Verifique se os novos usuários estão configurados.

Ação

Faça login no dispositivo com a nova conta de usuário ou contas e senha para confirmar se você tem acesso.

Configure contas de usuário em um grupo de configuração

Para facilitar a configuração das mesmas contas de usuário em vários dispositivos, configure as contas dentro de um grupo de configuração. Os exemplos mostrados aqui estão em um grupo de configuração chamado global. Usar um grupo de configuração para suas contas de usuário é opcional.

Para criar uma conta de usuário:

  1. Adicione um novo usuário, usando o nome de login de conta atribuído do usuário.
  2. (Opcional) Configure um nome descritivo para a conta.

    Se o nome incluir espaços, inclua todo o nome entre aspas.

    Por exemplo:

  3. (Opcional) Definir o identificador de usuário (UID) para a conta.

    Como acontece com os sistemas UNIX, o UID aplica permissões de usuário e acesso a arquivos. Se você não definir o UID, o software atribui um para você. O formato do UID é um número entre 100 e 64.000.

    Por exemplo:

  4. Atribua o usuário a uma aula de login.

    Você pode definir suas próprias aulas de login ou atribuir uma das aulas de login predefinidas.

    As aulas de login predefinidas são as seguintes:

    • super-usuário — todas as permissões

    • operador — permissões claras, de rede, de reset, de rastreamento e de visualização

    • somente leitura — visualizar permissões

    • não autorizado — sem permissões

    Por exemplo:

  5. Use um dos seguintes métodos para configurar a senha do usuário:

    • Para inserir uma senha de texto clara que o sistema criptografa para você, use o seguinte comando para definir a senha do usuário:

      Ao digitar a senha em texto simples, o software a criptografa. Você não precisa configurar o software para criptografar a senha. As senhas de texto simples estão ocultas e marcadas como ## SECRET-DATA na configuração.

    • Para inserir uma senha criptografada, use o seguinte comando para definir a senha do usuário:

      CUIDADO:

      Não use a opção a encrypted-password menos que a senha esteja criptografada e você esteja digitando a versão criptografada da senha.

      Se você configurar acidentalmente a opção encrypted-password com uma senha de texto simples ou com aspas em branco (" "), você não poderá fazer login no dispositivo como este usuário.

    • Para carregar as chaves públicas geradas anteriormente de um arquivo nomeado em um local de URL especificado, use o seguinte comando:

    • Para inserir uma string pública de SSH, use o seguinte comando:

  6. No nível superior da configuração, aplique o grupo de configuração.

    Se você usa um grupo de configuração, você deve aplicá-lo para que ele entre em vigor.

  7. Confirmar a configuração.
  8. Para verificar a configuração, faça login e faça login como o novo usuário.