Überblick über Benutzerkonten
Benutzerkonten bieten benutzern eine Möglichkeit, auf ein Gerät zuzugreifen. Für jedes Konto legen Sie den Anmeldenamen, das Kennwort und alle zusätzlichen Benutzerinformationen des Benutzers fest. Nachdem Sie ein Konto erstellt haben, erstellt die Software ein Homeverzeichnis für den Benutzer.
Ein Konto für den Benutzer root ist immer in der Konfiguration vorhanden. Sie können das Kennwort für root die Verwendung der root-authentication Anweisung konfigurieren.
Die Verwendung von Remoteauthentifizierungsservern zur zentralen Speicherung von Benutzerinformationen ist üblich. Es ist jedoch auch empfehlenswert, mindestens einen Nicht-Root-Benutzer auf jedem Gerät zu konfigurieren. Auf diese Weise können Sie weiterhin auf das Gerät zugreifen, wenn die Verbindung zum Remoteauthentifizierungsserver unterbrochen wird. Dieser Nicht-Root-Benutzer hat normalerweise einen generischen Namen wie admin.
Für jedes Benutzerkonto können Sie Folgendes festlegen:
-
Benutzername (erforderlich): Name, der den Benutzer identifiziert. Es muss einzigartig sein. Vermeiden Sie die Verwendung von Leerzeichen, Kolonen oder Kommas im Benutzernamen. Der Benutzername kann bis zu 64 Zeichen enthalten.
-
Vollständiger Name des Benutzers: (Optional) Wenn der vollständige Name Leerzeichen enthält, umschließen Sie ihn in Anführungszeichen. Vermeiden Sie die Verwendung von Kolonen oder Kommas.
-
Benutzerkennung (UID): (Optional) Numerischer Identifikator, der dem Benutzernamen zugeordnet ist. Die Benutzeroberfläche wird automatisch zugewiesen, wenn Sie die Konfiguration bestätigen, sodass Sie sie nicht manuell festlegen müssen. Wenn Sie jedoch die Benutzeroberfläche manuell konfigurieren möchten, verwenden Sie einen eindeutigen Wert im Bereich von 100 bis 64.000.
-
Zugriffsberechtigung des Benutzers: (Erforderlich) Eine der Anmeldeklassen, die Sie in der
classAnweisung in der[edit system login]Hierarchie oder einer der Standardanmeldungsklassen definiert haben. -
Authentifizierungsmethode oder -methoden und Kennwörter für den Gerätezugriff (erforderlich): Sie können einen SSH-Schlüssel, ein Message Digest 5 (MD5)-Kennwort oder ein Klartextkennwort verwenden, das Junos OS mit MD5-Verschlüsselung verschlüsselt, bevor Sie es in die Kennwortdatenbank eingeben. Für jede Methode können Sie das Kennwort des Benutzers angeben. Wenn Sie die
plain-text-passwordOption konfigurieren, erhalten Sie eine Aufforderung zur Eingabe und Bestätigung des Kennworts:[edit system login user username] user@host# set authentication plain-text-password New password: type password here Retype new password: retype password here
Um gültige Klartext-Kennwörter zu erstellen, stellen Sie sicher, dass sie:
-
Enthalten zwischen 6 und 128 Zeichen.
-
Enthalten Sie die meisten Zeichenklassen (Großbuchstaben, Kleinschreibung, Zahlen, Punktzeichen und andere Sonderzeichen), aber keine Steuerzeichen.
-
Enthält mindestens eine Änderung der Fall- oder Zeichenklasse.
Junos-FIPS und Common Criteria erfüllen die folgenden speziellen Kennwortanforderungen. Sie müssen:
- Zwischen 10 und 20 Zeichen lang sein.
- Verwenden Sie mindestens drei der fünf definierten Zeichensätze (Großbuchstaben, Kleinbuchstaben, Ziffern, Punktzeichen und andere Sonderzeichen).
Wenn Junos-FIPS auf dem Gerät installiert ist, müssen Sie die speziellen Kennwortanforderungen einhalten, oder die Kennwörter sind nicht konfiguriert.
-
Für die SSH-Authentifizierung können Sie den Inhalt einer SSH-Schlüsseldatei in die Konfiguration kopieren. Sie können auch SSH-Schlüsselinformationen direkt konfigurieren. Verwenden Sie die load-key-file Anweisung, um eine zuvor generierte SSH-Schlüsseldatei zu laden (z. B. durch Verwenden ssh-keygen). Das load-key-file Argument ist der Pfad zum Dateispeicherort und -namen. Die load-key-file Anweisung lädt öffentliche SCHLÜSSEL FÜR RSA (SSH Version 1 und SSH Version 2). Der Inhalt der SSH-Schlüsseldatei wird unmittelbar nach der Konfiguration der Anweisung in die load-key-file Konfiguration kopiert.
Vermeiden Sie die Verwendung der folgenden TLS-Version (Transport Layer Security) und Kombinationen der Cipher Suite (RSA Host Key), die fehlschlagen:
Mit RSA-Hostschlüsseln:
-
TLS_1.0@DHE-RSA-AES128-SHA
-
TLS_1.0@DHE-RSA-AES256-SHA
Für jedes Benutzerkonto und für Root-Logins können Sie mehr als einen öffentlichen RSA-Schlüssel für die Benutzerauthentifizierung konfigurieren. Wenn sich ein Benutzer mithilfe eines Benutzerkontos oder als Root anmeldet, werden die konfigurierten öffentlichen Schlüssel referenziert, um festzustellen, ob der private Schlüssel mit einem der Benutzerkonten übereinstimmt.
Um die SSH-Schlüsseleinträge anzuzeigen, verwenden Sie den Konfigurationsmodus-Befehl show . Zum Beispiel:
[edit system login user boojum]
user@host# set authentication load-key-file my-host:.ssh/id_rsa.pub
.file.19692 | 0 KB | 0.3 kB/s | ETA: 00:00:00 | 100%
[edit system login user boojum]
user@host# show
authentication {
ssh-rsa "$ABC123"; # SECRET-DATA
}