用户帐户概述
用户帐户为用户访问设备提供了一种方式。您可以为每个帐户定义用户的登录名、密码和任何其他用户信息。创建帐户后,软件会为用户创建一个主目录。
配置中始终存在用户帐户 root 。您可以配置 root 使用语句的密码 root-authentication 。
虽然使用远程身份验证服务器集中存储有关用户的信息很常见,但最好在每个设备上至少配置一个非 root 用户。这样,如果设备与远程认证服务器的连接中断,您仍然可以访问设备。此非 root 用户通常有一个通用名称,例如 admin。
对于每个用户帐户,您可以定义以下内容:
-
用户名(必填):用于识别用户的名称。它必须是唯一的。避免在用户名中使用空格、冒号或逗号。用户名最多可包含 64 个字符。
-
用户全名:(可选)如果全名包含空格,请用引号括起来。避免使用冒号或逗号。
-
用户标识符 (UID):(可选)与用户帐户名称关联的数字标识符。在您提交配置时,UID 会自动分配,因此无需手动设置。但是,如果您选择手动配置 UID,请使用 100 到 64,000 范围内的唯一值。
-
用户的访问权限:(必需)您在层次结构上的
class语句[edit system login]中定义的登录类别之一或默认登录类之一。 -
设备访问的身份验证方法或方法及密码(必需):在将 Junos OS Evolved 在密码数据库中输入之前,可以使用 SSH 密钥、消息摘要 5 (MD5) 密码或 Junos OS Evolved 使用 MD5 样式加密进行加密的纯文本密码。对于每种方法,均可指定用户的密码。如果配置选项
plain-text-password,则会收到输入并确认密码的提示:[edit system login user username] user@host# set authentication plain-text-password New password: type password here Retype new password: retype password here
要创建有效的纯文本密码,请确保它们:
-
包含 6 到 128 个字符。
-
包括大多数字符类(大写字母、小写字母、数字、标点符号和其他特殊字符),但不包括控制字符。
-
至少包含一个大写或字符类的变化。
-
对于 SSH 身份验证,您可以将 SSH 密钥文件的内容复制到配置中。您还可以直接配置 SSH 密钥信息。 load-key-file 使用该语句加载之前生成的 SSH 密钥文件(例如,使用 ssh-keygen)。参数 load-key-file 是文件位置和名称的路径。该 load-key-file 语句会加载 RSA(SSH 版本 1 和 SSH 版本 2)公钥。配置语句后,SSH 密钥文件的内容将立即复制到配置中 load-key-file 。
避免使用以下失败的传输层安全 (TLS) 版本和密码套件 (RSA 主机密钥) 组合:
使用 RSA 主机密钥:
-
TLS_1.0@DHE-RSA-AES128-SHA
-
TLS_1.0@DHE-RSA-AES256-SHA
对于每个用户帐户和 root 登录,您可以配置多个用于用户身份验证的公共 RSA 密钥。当用户使用用户帐户或作为 root 登录时,将引用配置的公钥,以确定私有密钥是否与任何用户帐户匹配。
要查看 SSH 密钥条目,请使用配置模式 show 命令。例如:
[edit system login user boojum]
user@host# set authentication load-key-file my-host:.ssh/id_rsa.pub
.file.19692 | 0 KB | 0.3 kB/s | ETA: 00:00:00 | 100%
[edit system login user boojum]
user@host# show
authentication {
ssh-rsa "$ABC123"; # SECRET-DATA
}