本页内容
用户帐户
通过 Junos OS 演化 版,您(系统管理员)可以为路由器、交换机和安全用户创建帐户。所有用户都属于系统登录类之一。
您可以创建用户帐户,以便用户可以访问路由器、交换机或安全设备。所有用户都必须具有预定义的用户帐户,然后才能登录设备。创建用户帐户,然后定义每个用户帐户的登录名和标识信息。
用户帐户概述
用户帐户为用户提供了一种访问设备的方式。对于每个帐户,您可以定义用户的登录名、密码和任何其他用户信息。创建帐户后,软件会为用户创建一个主目录。
用户root的帐户始终存在于配置中。您可以配置使用root-authentication语句的密码root。
虽然通常使用远程身份验证服务器来集中存储有关用户的信息,但在每台设备上至少配置一个非 root 用户也是很好的做法。这样,如果设备与远程身份验证服务器的连接中断,您仍然可以访问设备。此非 root 用户通常具有通用名称, admin如 。
对于每个用户帐户,您可以定义以下内容:
-
用户名(必需):用于标识用户的名称。它必须是唯一的。避免在用户名中使用空格、冒号或逗号。用户名最多可包含 32 个字符。
-
用户的全名:(可选)如果全名中包含空格,请用引号括起来。避免使用冒号或逗号。
-
用户标识符 (UID):(可选)与用户帐户名关联的数字标识符。提交配置时,系统会自动分配 UID,因此您无需手动设置。但是,如果选择手动配置 UID,请使用 100 到 64,000 范围内的唯一值。
-
用户的访问权限:(必需)您在层次结构的
class语句[edit system login]中定义的登录类之一,或默认登录类之一。 -
用于设备访问的身份验证方法和密码(必需):您可以使用 SSH 密钥、加密密码或 Junos OS Evolved 在将其输入密码数据库之前对其进行加密的纯文本密码。对于每种方法,可以指定用户的密码。如果配置该
plain-text-password选项,则会收到输入并确认密码的提示:[edit system login user username] user@host# set authentication plain-text-password New password: type password here Retype new password: retype password here
要创建有效的纯文本密码,请确保它们:
-
包含 6 到 128 个字符。
-
包括大多数字符类(大写字母、小写字母、数字、标点符号和其他特殊字符),但不包括控制字符。
-
至少包含一个大小写或字符类的变化。
-
对于 SSH 身份验证,您可以将 SSH 密钥文件的内容复制到配置中。您也可以直接配置 SSH 密钥信息。使用语 load-key-file 句加载之前生成的 SSH 密钥文件(例如,通过使用 ssh-keygen)。 load-key-file 参数是文件位置和名称的路径。该 load-key-file 语句将加载 RSA(SSH 版本 1 和 SSH 版本 2)公钥。配置 load-key-file 语句后,SSH 密钥文件的内容会立即复制到配置中。
避免使用以下传输层安全性 (TLS) 版本和密码套件(RSA 主机密钥)组合,这些组合将失败:
使用 RSA 主机密钥:
-
TLS_1.0@DHE-RSA-AES128-SHA
-
TLS_1.0@DHE-RSA-AES256-SHA
对于每个用户帐户和 root 登录,您可以配置多个公共 RSA 密钥进行用户身份验证。当用户使用用户帐户或以 root 身份登录时,将引用配置的公钥以确定私钥是否与任何用户帐户匹配。
要查看 SSH 密钥条目,请使用配置模式 show 命令。例如:
[edit system login user boojum]
user@host# set authentication load-key-file my-host:.ssh/id_rsa.pub
.file.19692 | 0 KB | 0.3 kB/s | ETA: 00:00:00 | 100%
[edit system login user boojum]
user@host# show
authentication {
ssh-rsa "$ABC123"; # SECRET-DATA
}
示例:配置新用户帐户
此示例说明如何配置新用户帐户。
要求
使用此功能之前,不需要任何特殊配置。
概述
您可以将新用户帐户添加到设备的本地数据库。对于每个帐户,您(系统管理员)为用户定义登录名和密码,并指定访问权限的登录类。登录密码必须满足以下条件:
-
密码长度必须至少为六个字符。
-
密码中可以包含大多数字符类(字母、数字和特殊字符),但不能控制字符。
-
密码必须至少有一个大小写或字符类的变化。
在此示例中,您将创建一个名为 operator-and-boot 的登录类,并允许它重新启动设备。您可以定义任意数量的登录类。然后,允许操作员和引导登录类使用以下位中定义的命令:
-
清楚
-
网络
-
重置
-
跟踪
-
查看权限
接下来,创建用户帐户以启用对设备的访问。将用户名设置为 randomuser,将登录名类设置为超级用户。最后,为用户定义加密密码。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改详细信息,以便与网络配置匹配,将命令复制并粘贴到层 [edit] 级的 CLI 中,然后进入 commit 配置模式。
set system login class operator-and-boot allow-commands "request system reboot" set system login class operator-and-boot permissions [clear network reset trace view] set system login user randomuser class superuser authentication encrypted-password $1$ABC123
分步过程
要配置新用户:
-
设置登录类的名称并允许使用 reboot 命令。
[edit system login] user@host# set class operator-and-boot allow-commands “request system reboot”
-
设置登录类的权限位。
[edit system login] user@host# set class operator-and-boot permissions [clear network reset trace view]
-
设置用户的用户名、登录类和加密密码。
[edit system login] user@host# set userrandomuser class superuser authentication encrypted-password $1$ABC123
结果
在配置模式下,输入 show system login 命令以确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show system login
class operator-and-boot {
permissions [ clear network reset trace view ];
allow-commands "request system reboot";
}
user randomuser {
class superuser;
authentication {
encrypted-password "$1$ABC123";
}
}
以下示例演示如何为四个用户创建帐户。它还显示了如何为模板用户 remote创建帐户。所有用户都使用默认的系统登录类之一。
[edit]
system {
login {
user philip {
full-name “Philip of Macedonia”;
uid 1001;
class super-user;
authentication {
encrypted-password “$ABC123”;
}
}
user alexander {
full-name “Alexander the Great”;
uid 1002;
class operator;
authentication {
encrypted-password “$ABC123”;
}
}
user darius {
full-name “Darius King of Persia”;
uid 1003;
class operator;
authentication {
ssh-rsa “1024 37 12341234@ecbatana.per”;
}
}
user anonymous {
class unauthorized;
}
user remote {
full-name “All remote users”;
uid 9999;
class read-only;
}
}
}
配置设备后,进入 commit 配置模式。
在配置组中配置用户帐户
若要更轻松地在多个设备上配置相同的用户帐户,请在配置组中配置这些帐户。此处显示的示例位于名为 global的配置组中。为用户帐户使用配置组是可选的。
要创建用户帐户,请执行以下操作: