用户帐户概述
用户帐户为用户提供了访问设备的一种方式。对于每个帐户,您将定义用户的登录名称、密码和任何其他用户信息。创建帐户后,软件会为用户创建家庭目录。
配置中始终存在用户root
帐户。您可以配置使用语句的root
root-authentication
密码。
虽然使用远程身份验证服务器集中存储有关用户的信息很常见,但在每台设备上至少配置一个非根用户也是一个很好的做法。这样,如果设备与远程身份验证服务器的连接中断,您仍然可以访问设备。这个非根用户通常有一个通用名称,如 admin
。
对于每个用户帐户,您可以定义以下内容:
-
用户名(必需):标识用户的名称。它必须是独一无二的。避免在用户名中使用空格、结肠或逗号。用户名最多可以包含 64 个字符。
-
用户全名:(可选)如果全名包含空格,请用引号括起来。避免使用结肠或逗号。
-
用户标识符 (UID):(可选)与用户帐户名称相关联的数字标识符。提交配置时,将自动分配 UID,因此无需手动设置。但是,如果您选择手动配置 UID,请使用范围为 100 到 64,000 的独特值。
-
用户访问权限:(必需)您在语句中
class
定义的其中一个登录类(层次[edit system login]
结构或默认登录类之一)。 -
设备访问的身份验证方法或方法和密码(必需):您可以使用 SSH 密钥、消息摘要 5 (MD5) 密码或 Junos OS Evolved 使用 MD5 式加密加密的纯文本密码,然后再将其输入密码数据库。对于每种方法,您可以指定用户的密码。如果配置选项
plain-text-password
,将收到输入和确认密码的提示:[edit system login user username] user@host# set authentication plain-text-password New password: type password here Retype new password: retype password here
要创建有效的纯文本密码,请确保它们:
-
包含 6 到 128 个字符。
-
包含大多数字符类(大写字母、小写字母、数字、标点符号和其他特殊字符),但不包括控制字符。
-
至少包含一个案例或字符类更改。
-
要进行 SSH 身份验证,可将 SSH 密钥文件的内容复制到配置中。您也可直接配置 SSH 密钥信息。使用 语 load-key-file
句加载之前生成的 SSH 密钥文件(例如,通过使用 ssh-keygen
)。该 load-key-file
论点是到文件位置和名称的路径。该 load-key-file
语句加载 RSA(SSH 版本 1 和 SSH 版本 2)公钥。配置语句后,SSH 密钥文件的内容将立即复制到配置中 load-key-file
。
避免使用以下传输层安全 (TLS) 版本和密码套件(RSA 主机密钥)组合,从而失败:
使用 RSA 主机密钥:
-
TLS_1.0@DHE-RSA-AES128-SHA
-
TLS_1.0@DHE-RSA-AES256-SHA
对于每个用户帐户和 root 登录,您可以为用户身份验证配置多个公共 RSA 密钥。当用户使用用户帐户或 root 登录时,将引用已配置的公钥来确定私有密钥是否与任何用户帐户匹配。
要查看 SSH 密钥条目,请使用配置模式 show
命令。例如:
[edit system login user boojum] user@host# set authentication load-key-file my-host:.ssh/id_rsa.pub .file.19692 | 0 KB | 0.3 kB/s | ETA: 00:00:00 | 100% [edit system login user boojum] user@host# show authentication { ssh-rsa "$ABC123"; # SECRET-DATA }