根密码
首次打开设备电源后,即可进行配置。最初,您以没有 root 密码的用户身份登录。首次修改并提交配置时,必须为 root 用户(其用户名为 root)配置纯文本密码。配置纯文本密码是防止未经授权的用户访问根级别的一种方法。如果忘记了设备的 root 密码,可以使用密码恢复过程重置 root 密码。
配置 root 密码
打开路由器或交换机电源后,即可进行配置。最初,您以没有 root 密码的用户身份登录。根目录是该设备上所有其他文件夹和文件的入口点。因此,默认情况下,对根目录的访问仅限于称为 root 用户的预定义用户帐户。root 用户(也称为 超级用户)在系统内具有无限制访问权限和完全权限。当操作要求用户以 root 用户身份登录设备时,通常会使用表达式“以 root 身份登录”。
如果在层次结构级别使用[edit system root-authentication]语句配置encrypted-password空密码以进行 root 身份验证,则可以提交配置。但是,您不能以 root 用户身份登录并获得对路由器或交换机的根级别访问权限。
登录后,应通过在层次结构级别包含root-authentication[edit system]语句并配置其中一个密码选项来配置 root(超级用户)密码:
[edit system] root-authentication { (encrypted-password "password"| plain-text-password); load-key-file URL filename; ssh-ecdsa “public-key” <from hostname>; ssh-rsa “public-key” <from hostname>; }
如果配置该 plain-text-password 选项,系统会提示您输入并确认密码:
[edit system] user@host# set root-authentication plain-text-password New password: type password here Retype new password: retype password here
纯文本密码的默认要求如下:
-
密码长度必须介于 6 到 128 个字符之间。
-
密码中可以包含大多数字符类(大写字母、小写字母、数字、标点符号和其他特殊字符)。不建议使用控制字符。
-
有效密码必须至少包含一个大写字母或一个小写字母,或者一个字符类。
如果使用选项 encrypted-password ,则不允许使用空密码(空)。您必须配置字符数为 1 到 128 个字符的密码,并用引号将密码括起来。
您可以使用该 load-key-file URL filename 语句加载之前使用 生成的 ssh-keygenSSH 密钥文件。该 URL filename 选项是文件位置和名称的路径。使用此选项时,密钥文件的内容会在输入 load-key-file URL 语句后立即复制到配置中。此命令加载 RSA(SSH 版本 1 和 SSH 版本 2)和 DSA(SSH 版本 2)公钥。
或者,您可以使用 or ssh-rsa 语句直接ssh-ecdsa配置 SSH RSA 和 ECDSA 密钥来对根登录进行身份验证。您可以为 root 登录的 SSH 身份验证以及用户帐户配置多个公钥。当用户以 root 身份登录时,设备将确定私钥是否与任何配置的公钥匹配。
[edit system] user@host# set root-authentication load-key-file my-host:.ssh/id_rsa.pub .file.19692 | 0 KB | 0.3 kB/s | ETA: 00:00:00 | 100%
在配置模式下,您可以通过输入 show 命令来确认您的 SSH 密钥条目。它应类似于以下输出:
[edit system]
user@host# show
root-authentication {
ssh-rsa "$ABC123"; ## SECRET-DATA
}
示例:为 root 登录配置纯文本密码
此示例说明如何为 root 用户(用户名为 root)配置纯文本密码。配置纯文本密码是防止未经授权的用户访问根级别的一种方法。您必须防止未经授权的用户访问可用于更改系统配置的超级用户命令。
要求
配置此示例之前,不需要除设备初始化之外的特殊配置。
纯文本密码的默认要求如下:
-
长度必须为 6 到 128 个字符。
-
可以包含大多数字符类(大写字母、小写字母、数字、标点符号和其他特殊字符)。不建议使用控制字符。
-
必须至少有一个大小写或字符类的变化。
概述
打开路由器电源后,即可进行配置。最初,您以 root 用户身份登录,无需密码。要设置 root 密码,您有多个选项。此示例说明如何输入纯文本密码,然后设备会为您加密该密码。
配置
CLI 快速配置
要快速配置此示例,请复制以下命令并将其粘贴到窗口中。出现提示时,键入新密码,然后在出现提示时重新键入。
set system root-authentication plain-text-password
为 root 用户配置纯文本密码
分步过程
要为 root 用户配置纯文本密码:
-
set键入纯文本密码命令,然后按 Enter 键。[edit] user@host# set system root-authentication plain-text-password New password:
-
在提示旁边
New password键入新密码,然后按 Enter 键。New password: new-password Retype new password:
-
在提示旁边
Retype new password重新键入相同的密码,然后按 Enter。New password: new-password Retype new password: new-password
结果
在配置模式下,使用 show system 命令确认您的配置。它应该看起来像这样:
[edit]
user@host# show system
root-authentication {
encrypted-password "$ABC123"; ## SECRET-DATA
}
如果输出未显示预期的配置,请重复此示例中的说明以更正配置。
确认配置正确后,进入 commit 配置模式。
验证
验证为 Root 用户配置的纯文本密码
目的
验证为 root 用户配置的纯文本密码。
行动
在操作模式下,输入 show configuration system 命令以确认您的配置。
user@host> show configuration system
root-authentication {
encrypted-password "$ABC123"; ## SECRET-DATA
}
意义
如果使用纯文本密码,设备会在您配置密码后立即自动加密密码。您不必像在其他某些系统中那样配置设备来加密密码。纯文本密码在配置中将隐藏并标记为 ## SECRET-DATA。当用户查看配置时,用户只能看到加密的字符串,看不到未加密的密码。