用户帐户
Junos OS 允许您(系统管理员)为路由器、交换机和安全用户创建帐户。所有用户都属于其中一个系统登录类。
您可以创建用户帐户,以便用户可以访问路由器、交换机或安全设备。所有用户都必须具有预定义的用户帐户,然后才能登录到设备。创建用户帐户,然后定义每个用户帐户的登录名和标识信息。
用户帐户概述
用户帐户为用户提供了一种访问设备的方式。对于每个帐户,您可以定义用户的登录名、密码和任何其他用户信息。创建帐户后,软件会为用户创建主目录。
配置中始终存在用户的 root 帐户。您可以配置使用该root-authentication语句的密码root。
虽然通常使用远程认证服务器来集中存储有关用户的信息,但最好在每个设备上至少配置一个非 root 用户。这样,如果设备与远程身份验证服务器的连接中断,您仍然可以访问该设备。此非 root 用户通常具有通用名称,例如 admin。
对于每个用户帐户,您可以定义以下内容:
-
用户名(必填):标识用户的名称。它必须是唯一的。避免在用户名中使用空格、冒号或逗号。用户名最多可包含 64 个字符。
-
用户的全名:(可选)如果全名包含空格,请用引号将其括起来。避免使用冒号或逗号。
-
用户标识符 (UID):(可选)与用户帐户名关联的数字标识符。提交配置时会自动分配 UID,因此您无需手动设置。但是,如果选择手动配置 UID,请使用 100 到 64,000 范围内的唯一值。
-
用户的访问权限:(必填)您在层次结构的
[edit system login]语句中class定义的登录类之一,或缺省登录类之一。 -
用于设备访问的身份验证方法或方法和密码(必需):您可以使用 SSH 密钥、消息摘要 5 (MD5) 密码或纯文本密码 Junos OS (在将密码输入密码数据库之前使用 MD5 样式的加密进行加密)。对于每种方法,您可以指定用户的密码。如果配置该
plain-text-password选项,则会收到输入并确认密码的提示:[edit system login user username] user@host# set authentication plain-text-password New password: type password here Retype new password: retype password here
要创建有效的纯文本密码,请确保它们:
-
包含 6 到 128 个字符。
-
包括大多数字符类(大写字母、小写字母、数字、标点符号和其他特殊字符),但不包括控制字符。
-
至少包含一个大小写或字符类的变化。
Junos-FIPS 和通用标准具有以下特殊密码要求。他们必须:
- 长度在 10 到 20 个字符之间。
- 至少使用五个已定义的字符集中的三个(大写字母、小写字母、数字、标点符号和其他特殊字符)。
如果设备上安装了 Junos-FIPS,则必须遵守特殊密码要求,否则未配置密码。
-
对于 SSH 身份验证,您可以将 SSH 密钥文件的内容复制到配置中。您也可以直接配置 SSH 密钥信息。使用该 load-key-file 语句加载之前生成的 SSH 密钥文件(例如,通过使用 ssh-keygen)。load-key-file参数是文件位置和名称的路径。该 load-key-file 语句加载 RSA(SSH 版本 1 和 SSH 版本 2) 公钥。配置 load-key-file 语句后,SSH 密钥文件的内容将立即复制到配置中。
避免使用以下传输层安全性 (TLS) 版本和密码套件(RSA 主机密钥)组合,这些组合将失败:
使用 RSA 主机密钥:
-
TLS_1.0@DHE-RSA-AES128-SHA
-
TLS_1.0@DHE-RSA-AES256-SHA
对于每个用户帐户和 root 登录,您可以配置多个用于用户身份验证的公共 RSA 密钥。当用户使用用户帐户或以 root 身份登录时,将引用配置的公钥以确定私钥是否与任何用户帐户匹配。
要查看 SSH 密钥条目,请使用配置模式 show 命令。例如:
[edit system login user boojum]
user@host# set authentication load-key-file my-host:.ssh/id_rsa.pub
.file.19692 | 0 KB | 0.3 kB/s | ETA: 00:00:00 | 100%
[edit system login user boojum]
user@host# show
authentication {
ssh-rsa "$ABC123"; # SECRET-DATA
}
Junos-FIPS 加密主管和用户帐户概述
Junos-FIPS 定义了一组受限制的用户角色。与为用户提供广泛功能的 Junos OS 不同,FIPS 140-2 定义了特定类型的用户(加密官、用户和维护)。加密官员和 FIPS 用户执行所有与 FIPS 相关的配置任务并发出所有与 FIPS 相关的命令。加密主管和 FIPS 用户配置必须遵循 FIPS 140-2 准则。通常,只有加密官员才能执行与 FIPS 相关的任务。
密码官用户配置
Junos-FIPS 为您提供了比 FIPS 140-2 规定的更精细的用户权限控制。对于 FIPS 140-2 一致性,任何设置了 、 security和maintenance权限位的 secretJunos-FIPS 用户都是加密官员。在大多数情况下,您应该为加密官员保留 super-user 课程。FIPS 用户可以定义为未 secret设置 、 security和 maintenance 位的任何 Junos-FIPS 用户。
FIPS 用户配置
加密官员设置 FIPS 用户。FIPS 用户通常为加密官员保留的某些权限;例如,您可以授予 FIPS 用户将系统和单个 AS-II FIPS PIC 归零的权限。
示例:配置新用户帐户
此示例演示如何配置新用户帐户。
要求
在使用此功能之前,不需要任何特殊配置。
概述
您可以将新用户帐户添加到设备的本地数据库。对于每个帐户,您(系统管理员)为用户定义登录名和密码,并指定访问权限的登录类。登录密码必须满足以下条件:
-
密码长度必须至少为 6 个字符。
-
密码中可以包含大多数字符类(字母、数字和特殊字符),但不能包含控制字符。
-
密码必须至少包含一个大小写或字符类的变化。
在此示例中,您将创建一个名为operator-and-boot 的登录类,并允许它重新启动设备。您可以定义任意数量的登录类。然后,允许操作员和引导登录类使用以下位中定义的命令:
-
清楚
-
网络
-
重置
-
trace
-
查看权限
接下来,创建用户帐户以启用对设备的访问。将用户名设置为随机用户,将登录类设置为超级用户。最后,为用户定义加密密码。
配置
程序
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除所有换行符,更改与您的网络配置匹配所需的任何详细信息,将命令复制并粘贴到层次结构级别的 CLI [edit] 中,然后进入 commit 配置模式。
set system login class operator-and-boot allow-commands "request system reboot" set system login class operator-and-boot permissions [clear network reset trace view] set system login user randomuser class superuser authentication encrypted-password $1$ABC123
分步过程
要配置新用户:
-
设置登录类的名称并允许使用重新启动命令。
[edit system login] user@host# set class operator-and-boot allow-commands “request system reboot”
-
设置登录类的权限位。
[edit system login] user@host# set class operator-and-boot permissions [clear network reset trace view]
-
设置用户的用户名、登录类和加密密码。
[edit system login] user@host# set userrandomuser class superuser authentication encrypted-password $1$ABC123
GUI 快速配置
分步过程
要配置新用户:
-
在 J-Web 用户界面中,选择
Configure>System Properties>User Management。 -
单击
Edit。将出现“编辑用户管理”对话框。 -
Users选择选项卡。 -
单击以
Add添加新用户。此时将显示“添加用户”对话框。 -
在“用户名”框中,键入用户的唯一名称。
避免在用户名中使用空格、冒号和逗号。
-
在“用户 ID”框中,键入用户的唯一 ID。
-
在“全名”框中,键入用户的全名。
如果全名包含空格,请用引号将其括起来。避免使用冒号和逗号。
-
在“密码”和“确认密码”框中,输入用户的登录密码并验证您的输入。
-
从“登录类”列表中,选择用户的访问权限:
-
operator -
read-only -
unauthorized
此列表还包括任何用户定义的登录类。
-
-
在“添加用户”对话框和“编辑用户管理”对话框中单击
OK。 -
单击此项
OK可检查您的配置并将其另存为候选配置。 -
配置设备后,单击
Commit Options>Commit。
结果
在配置模式下,输入 show system login 命令确认您的配置。如果输出未显示预期的配置,请重复此示例中的配置说明,以便进行更正。
[edit]
user@host# show system login
class operator-and-boot {
permissions [ clear network reset trace view ];
allow-commands "request system reboot";
}
user randomuser {
class superuser;
authentication {
encrypted-password "$1$ABC123";
}
}
以下示例演示如何为四个用户创建帐户。它还展示了如何为模板用户 remote创建帐户。所有用户都使用默认系统登录类之一。
[edit]
system {
login {
user philip {
full-name “Philip of Macedonia”;
uid 1001;
class super-user;
authentication {
encrypted-password “$ABC123”;
}
}
user alexander {
full-name “Alexander the Great”;
uid 1002;
class operator;
authentication {
encrypted-password “$ABC123”;
}
}
user darius {
full-name “Darius King of Persia”;
uid 1003;
class operator;
authentication {
ssh-rsa “1024 37 12341234@ecbatana.per”;
}
}
user anonymous {
class unauthorized;
}
user remote {
full-name “All remote users”;
uid 9999;
class read-only;
}
}
}
配置设备后,进入 commit 配置模式。
在配置组中配置用户帐户
为了更轻松地在多台设备上配置相同的用户帐户,请在配置组中配置帐户。此处显示的示例位于名为 global的配置组中。为您的用户帐户使用配置群组是可选的。
要创建用户帐户,请执行以下操作: