用户帐户概述
用户帐户为用户访问设备提供了一种方式。对于每个帐户,您定义用户的登录名称、密码和任何其他用户信息。创建帐户后,软件会为用户创建主目录。
配置中 root
始终存在用户帐户。您可以使用 语句配置 root
root-authentication
密码。
尽管使用远程认证服务器集中存储用户信息很常见,但优秀实践是在每个设备上至少配置一个非 root 用户。这样,如果设备与远程认证服务器的连接中断,您仍然可以访问该设备。此非 root 用户通常具有通用名称,如 admin
。
对于每个用户帐户,您可以定义以下项:
-
用户名(必填):标识用户的名称。它必须是独一无二的。避免在用户名中使用空格、冒号或逗号。用户名可包含最多 64 个字符。
-
用户的全名: (可选) 如果全名中包含空格,请用引号括起来。避免使用冒号或逗号。
-
用户标识符 (UID):(可选)与用户帐户名称相关联的数字标识符。在您提交配置时,UID 会自动分配,因此无需手动设置。但是,如果您选择手动配置 UID,请使用范围为 100 到 64,000 的唯一值。
-
用户访问权限: (必填) 在 层次结构的 语句中定义的登录类之一,或者
class
[edit system login]
默认登录类之一。 -
设备访问的认证方法或方法和密码(必需):您可以在密码数据库中输入 SSH 密钥、消息摘要 5 (MD5) 密码或纯文本密码(使用 md5 样式的加密进行 Junos OS 加密)。对于每个方法,您可以指定用户的密码。如果配置
plain-text-password
选项,则会收到提示符,提示您输入并确认密码:[edit system login user username] user@host# set authentication plain-text-password New password: type password here Retype new password: retype password here
要创建有效的纯文本密码,请确保密码:
-
包含 6 到 128 个字符。
-
包含大多数字符类(大写字母、小写字母、数字、标点符号和其他特殊字符),但不包含控制字符。
-
至少包含一个大小写或字符类的变化。
Junos-FIPS 和通用标准具有以下特殊密码要求。他们必须:
- 长 10 到 20 个字符。
- 在五个已定义的字符集(大写字母、小写字母、数字、标点符号和其他特殊字符)中,至少使用三个。
如果Junos-FIPS 安装在设备上,则必须遵守特殊密码要求,或者未配置密码。
-
对于 SSH 认证,可以将 SSH 密钥文件的内容复制到配置中。您也可直接配置 SSH 密钥信息。使用 load-key-file
语句加载之前生成的 SSH 密钥文件(例如,使用 ssh-keygen
)。参数 load-key-file
是文件位置和名称的路径。该 load-key-file
语句将加载 RSA(SSH 版本 1 和 SSH 版本 2)公钥。配置语句后,SSH 密钥文件的内容会立即复制到 load-key-file
配置中。
避免使用以下传输层安全 (TLS) 版本和密码套件 (RSA 主机密钥)组合,但会失败:
使用 RSA 主机密钥:
-
TLS_1.0@DHE-RSA-AES128-SHA
-
TLS_1.0@DHE-RSA-AES256-SHA
对于每个用户帐户和 root 登录,您可以将多个公共 RSA 密钥配置为用户认证。当用户使用用户帐户或作为 root 登录时,将引用配置的公钥以确定私钥是否匹配任何用户帐户。
要查看 SSH 密钥条目,请使用配置模式 show
命令。例如:
[edit system login user boojum] user@host# set authentication load-key-file my-host:.ssh/id_rsa.pub .file.19692 | 0 KB | 0.3 kB/s | ETA: 00:00:00 | 100% [edit system login user boojum] user@host# show authentication { ssh-rsa "$ABC123"; # SECRET-DATA }