JDM-Benutzerkonten und Authentifizierung konfigurieren
Übersicht über JDM-Benutzerkonten
Auf einer disaggregierten Junos OS-Plattform sind alle Rechenelemente separate Recheneinheiten, deren Benutzerkonten und Kennwörter separat verwaltet werden. Beispielsweise sind JDM-Benutzerkonten, einschließlich des Root-Benutzerkontos, vollständig von den Junos-VM-Benutzerkonten getrennt.
Root-Konto
In der werkseitigen Standardkonfiguration wird das JDM mit einem Root-Benutzerkonto eingerichtet. Es ist jedoch kein Passwort für das Konto festgelegt. Bei der Erstkonfiguration müssen Sie ein Root-Kennwort konfigurieren. Wenn die Erstkonfiguration der Plattform über die Telefon-Home-Funktion erfolgt, muss die Konfiguration die Root-Passworteinstellung enthalten. Solange Sie kein Root-Kennwort konfiguriert haben, können Sie nicht auf einige der Benutzeraufforderungen zugreifen und eine Konfiguration nicht mithilfe der JDM-Befehlszeilenschnittstelle festschreiben.
Sie können das Root-Kennwort nur über die JDM-CLI festlegen. Sie können das Root-Passwort nicht über die JDM-Shell festlegen oder ändern. Das JDM-Root-Passwort wird automatisch an die JDM-Shell weitergegeben.
Automatische Anmeldung für Junos-VNFs
Wenn Junos-VNFs wie JCP und vSRX Virtual Firewall auf einem NFX250-Gerät vorhanden sind, können Sie sich mit dem JDM-Konto für die automatische Anmeldung ohne Kennwort bei Junos VNF anmelden.
So konfigurieren Sie die automatische Anmeldung bei JDM:
root@jdm> request setup jdm-auto-login
So melden Sie sich von JDM aus bei Junos VNF an:
root@jdm> ssh jdm-sysuser@vjunos0
Andere Benutzerkonten
Sie können andere Benutzerkonten als das Root-Konto im JDM erstellen. Dazu müssen Sie die JDM-CLI verwenden. Sie können die JDM-Shell nicht zum Erstellen von Benutzerkonten verwenden.
JDM unterstützt die gleichen Funktionen für Benutzerkonten wie Junos OS. Das heißt, das JDM unterstützt Anmeldeklassen, benutzerdefinierte Kennwortanforderungen, Begrenzungen der Anzahl von Anmeldeversuchen usw.
Benutzerauthentifizierung
Das JDM unterstützt zwei der drei Methoden zur Benutzerauthentifizierung, die von Junos OS unterstützt werden: die lokale Kennwortauthentifizierung und die TACACS+-Authentifizierung. Die RADIUS-Authentifizierung wird nicht unterstützt.
JDM-Benutzerkonten und Authentifizierung konfigurieren
Sie erstellen Benutzerkonten und konfigurieren die Authentifizierung für diese Konten in JDM auf die gleiche Weise wie in Junos OS. Dieses Thema enthält eine kurze Anleitung zum Konfigurieren von Benutzerkonten und Authentifizierung. Weitere Informationen finden Sie in der Junos OS-Dokumentation.
So legen Sie das JDM-Root-Passwort fest:
root@jdm# set system root-authentication plain-text-password
Sie müssen die JDM-CLI verwenden, um das Root-Kennwort festzulegen. Sie können das Root-Passwort nicht über die JDM-Shell festlegen.
So erstellen Sie ein neues JDM-Benutzerkonto:
root@jdm# set system login user user-name class class-name authentication plain-text-password
JDM-Benutzerkonten können nicht über die JDM-Shell erstellt werden.
So konfigurieren Sie SSH-Schlüssel für einen Benutzer, um SSH ohne Kennwort zu aktivieren:
root@jdm# set system login user user-name load-key-file URL-to-ssh-key-file
So konfigurieren Sie die TACAS+-Authentifizierung für Benutzerkonten:
root@jdm# set system tacplus-server server-address secret password
Hinweis:TACACS+ wird verwendet, um die SSH-Authentifizierung zu unterstützen, und nach der Konfiguration gilt die TACACS+-Konfiguration sowohl für die JDM- als auch für die Host-SSH-Authentifizierung. Auf dem Host wird TACACS+ zur Authentifizierung von SSH-Anfragen nur für das Root-Konto und bei Anforderung von außerhalb des Geräts verwendet.
Optional können Sie die Portnummer des TACACS+-Authentifizierungsservers und den Zeitüberschreitungszeitraum angeben. Gehen Sie dazu wie folgt vor:
root@jdm# set system tacplus-server server-address port port-number
root@jdm# set system tacplus-server server-address timeout period
Hinweis:Standardmäßig ist die TACACS+-Portnummer auf 49 und der Timeout-Zeitraum auf 5 Sekunden festgelegt.
Außerdem müssen Sie den Benutzernamen zusammen mit der Klasse des Benutzers lokal auf JDM konfigurieren:
root@jdm# set system login user user-name root@jdm# set system login user user-name class super-user
So erlauben Sie Benutzern, sich als Root-Benutzer am NFX250-Gerät anzumelden:
root@jdm# root-login allow
So verhindern Sie, dass sich Benutzer als Root-Benutzer beim NFX250-Gerät anmelden:
root@jdm# root-login deny
So erlauben Sie Benutzern, sich als Root-Benutzer über eine Authentifizierungsmethode (z. B. RSA-Authentifizierung), für die kein Kennwort erforderlich ist, am NFX250-Gerät anzumelden:
root@jdm# root-login deny-password