Benutzerkonten
Mit Junos OS Evolved können Sie (der Systemadministrator) Konten für Router-, Switch- und Sicherheitsbenutzer erstellen. Alle Benutzer gehören zu einer der Systemanmeldeklassen.
Sie erstellen Benutzerkonten, damit Benutzer auf einen Router, Switch oder ein Sicherheitsgerät zugreifen können. Alle Benutzer müssen über ein vordefiniertes Benutzerkonto verfügen, bevor sie sich am Gerät anmelden können. Sie erstellen Benutzerkonten und definieren dann den Anmeldenamen und die identifizierenden Informationen für jedes Benutzerkonto.
Übersicht über Benutzerkonten
Benutzerkonten bieten Benutzern eine Möglichkeit, auf ein Gerät zuzugreifen. Für jedes Konto definieren Sie den Anmeldenamen, das Kennwort und alle zusätzlichen Benutzerinformationen des Benutzers. Nachdem Sie ein Konto erstellt haben, erstellt die Software ein Home-Verzeichnis für den Benutzer.
Ein Konto für den Benutzer root ist immer in der Konfiguration vorhanden. Sie können das Kennwort für root die Verwendung der root-authentication Anweisung konfigurieren.
Es ist zwar üblich, Remote-Authentifizierungsserver zu verwenden, um Informationen über Benutzer zentral zu speichern, aber es empfiehlt sich auch, mindestens einen Nicht-Root-Benutzer auf jedem Gerät zu konfigurieren. Auf diese Weise können Sie weiterhin auf das Gerät zugreifen, wenn die Verbindung zum Remote-Authentifizierungsserver unterbrochen wird. Dieser Nicht-Root-Benutzer hat in der Regel einen generischen Namen, z. B admin. . .
Für jedes Benutzerkonto können Sie Folgendes festlegen:
-
Benutzername (erforderlich): Name, der den Benutzer identifiziert. Sie muss eindeutig sein. Vermeiden Sie die Verwendung von Leerzeichen, Doppelpunkten oder Kommas im Benutzernamen. Der Benutzername kann bis zu 32 Zeichen lang sein.
-
Vollständiger Name des Benutzers: (Optional) Wenn der vollständige Name Leerzeichen enthält, schließen Sie ihn in Anführungszeichen ein. Vermeiden Sie die Verwendung von Doppelpunkten oder Kommas.
-
Benutzer-ID (UID): (Optional) Numerische Kennung, die dem Namen des Benutzerkontos zugeordnet ist. Die UID wird automatisch zugewiesen, wenn Sie die Konfiguration bestätigen, sodass Sie sie nicht manuell festlegen müssen. Wenn Sie die UID jedoch manuell konfigurieren möchten, verwenden Sie einen eindeutigen Wert im Bereich zwischen 100 und 64.000.
-
Zugriffsberechtigung des Benutzers: (Erforderlich) Eine der Anmeldeklassen, die Sie in der Anweisung in der
class[edit system login]Hierarchie definiert haben, oder eine der Standardanmeldeklassen. -
Authentifizierungsmethode(n) und Kennwörter für den Gerätezugriff (erforderlich): Sie können einen SSH-Schlüssel, ein verschlüsseltes Kennwort oder ein Nur-Text-Kennwort verwenden, das Junos OS Evolved verschlüsselt, bevor es in die Kennwortdatenbank eingegeben wird. Für jede Methode können Sie das Kennwort des Benutzers angeben. Wenn Sie die
plain-text-passwordOption konfigurieren, erhalten Sie eine Aufforderung zur Eingabe und Bestätigung des Kennworts:[edit system login user username] user@host# set authentication plain-text-password New password: type password here Retype new password: retype password here
Um gültige Nur-Text-Kennwörter zu erstellen, stellen Sie sicher, dass diese:
-
Sie müssen zwischen 6 und 128 Zeichen enthalten.
-
Schließen Sie die meisten Zeichenklassen (Großbuchstaben, Kleinbuchstaben, Zahlen, Satzzeichen und andere Sonderzeichen) ein, jedoch keine Steuerzeichen.
-
Sie enthalten mindestens eine Änderung der Groß-/Kleinschreibung oder der Zeichenklasse.
-
Für die SSH-Authentifizierung können Sie den Inhalt einer SSH-Schlüsseldatei in die Konfiguration kopieren. Sie können SSH-Schlüsselinformationen auch direkt konfigurieren. Verwenden Sie die Anweisung load-key-file , um eine SSH-Schlüsseldatei zu laden, die zuvor generiert wurde (z. B. mit ssh-keygen). Das load-key-file Argument ist der Pfad zum Speicherort und Namen der Datei. Die load-key-file Anweisung lädt öffentliche RSA-Schlüssel (SSH Version 1 und SSH Version 2). Der Inhalt der SSH-Schlüsseldatei wird unmittelbar nach der load-key-file Konfiguration der Anweisung in die Konfiguration kopiert.
Vermeiden Sie die Verwendung der folgenden Kombinationen aus Transportschicht Security (TLS)-Version und Verschlüsselungssuite (RSA-Hostschlüssel), die fehlschlagen können:
Mit RSA-Hostschlüsseln:
-
TLS_1.0@DHE-RSA-AES128-SHA
-
TLS_1.0@DHE-RSA-AES256-SHA
Für jedes Benutzerkonto und für Root-Anmeldungen können Sie mehr als einen öffentlichen RSA-Schlüssel für die Benutzerauthentifizierung konfigurieren. Wenn sich ein Benutzer mit einem Benutzerkonto oder als root anmeldet, wird auf die konfigurierten öffentlichen Schlüssel verwiesen, um festzustellen, ob der private Schlüssel mit einem der Benutzerkonten übereinstimmt.
Um die SSH-Schlüsseleinträge anzuzeigen, verwenden Sie den Befehl configuration mode show . Zum Beispiel:
[edit system login user boojum]
user@host# set authentication load-key-file my-host:.ssh/id_rsa.pub
.file.19692 | 0 KB | 0.3 kB/s | ETA: 00:00:00 | 100%
[edit system login user boojum]
user@host# show
authentication {
ssh-rsa "$ABC123"; # SECRET-DATA
}
Beispiel: Konfigurieren neuer Benutzerkonten
In diesem Beispiel wird gezeigt, wie neue Benutzerkonten konfiguriert werden.
Anforderungen
Sie benötigen keine speziellen Konfigurationen, bevor Sie diese Funktion verwenden können.
Überblick
Sie können der lokalen Datenbank des Geräts neue Benutzerkonten hinzufügen. Für jedes Konto definieren Sie (der Systemadministrator) einen Anmeldenamen und ein Kennwort für den Benutzer und geben eine Anmeldeklasse für Zugriffsrechte an. Das Login-Passwort muss folgende Kriterien erfüllen:
-
Das Passwort muss mindestens sechs Zeichen lang sein.
-
Sie können die meisten Zeichenklassen (alphabetische, numerische und Sonderzeichen) in das Kennwort aufnehmen, jedoch keine Steuerzeichen.
-
Das Passwort muss mindestens eine Änderung der Groß-/Kleinschreibung oder Zeichenklasse enthalten.
In diesem Beispiel erstellen Sie eine Anmeldeklasse mit dem Namen operator-and-boot und erlauben ihr, das Gerät neu zu starten. Sie können beliebig viele Login-Klassen definieren. Lassen Sie dann zu, dass die Anmeldeklasse operator-and-boot Befehle verwendet, die in den folgenden Bits definiert sind:
-
klar
-
Netz
-
zurücksetzen
-
Spur
-
Berechtigung anzeigen
Erstellen Sie als Nächstes Benutzerkonten, um den Zugriff auf das Gerät zu ermöglichen. Legen Sie den Benutzernamen als randomuser und die Anmeldeklasse als Superuser fest. Definieren Sie abschließend das verschlüsselte Passwort für den Benutzer.
Konfiguration
Verfahren
CLI Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle erforderlichen Details, um sie an Ihre Netzwerkkonfiguration anzupassen, kopieren Sie die Befehle, fügen Sie sie auf der [edit] Hierarchieebene in die CLI ein, und wechseln commit Sie dann in den Konfigurationsmodus.
set system login class operator-and-boot allow-commands "request system reboot" set system login class operator-and-boot permissions [clear network reset trace view] set system login user randomuser class superuser authentication encrypted-password $1$ABC123
Schritt-für-Schritt-Anleitung
So konfigurieren Sie neue Benutzer:
-
Legen Sie den Namen der Anmeldeklasse fest und erlauben Sie die Verwendung des Reboot-Befehls.
[edit system login] user@host# set class operator-and-boot allow-commands “request system reboot”
-
Legen Sie die Berechtigungsbits für die Anmeldeklasse fest.
[edit system login] user@host# set class operator-and-boot permissions [clear network reset trace view]
-
Legen Sie den Benutzernamen, die Anmeldeklasse und das verschlüsselte Kennwort für den Benutzer fest.
[edit system login] user@host# set userrandomuser class superuser authentication encrypted-password $1$ABC123
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show system login Befehl eingeben. Wenn in der Ausgabe nicht die beabsichtigte Konfiguration angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show system login
class operator-and-boot {
permissions [ clear network reset trace view ];
allow-commands "request system reboot";
}
user randomuser {
class superuser;
authentication {
encrypted-password "$1$ABC123";
}
}
Das folgende Beispiel zeigt, wie Konten für vier Benutzer erstellt werden. Außerdem wird gezeigt, wie Sie ein Konto für den Vorlagenbenutzer remoteerstellen. Alle Benutzer verwenden eine der standardmäßigen Systemanmeldeklassen.
[edit]
system {
login {
user philip {
full-name “Philip of Macedonia”;
uid 1001;
class super-user;
authentication {
encrypted-password “$ABC123”;
}
}
user alexander {
full-name “Alexander the Great”;
uid 1002;
class operator;
authentication {
encrypted-password “$ABC123”;
}
}
user darius {
full-name “Darius King of Persia”;
uid 1003;
class operator;
authentication {
ssh-rsa “1024 37 12341234@ecbatana.per”;
}
}
user anonymous {
class unauthorized;
}
user remote {
full-name “All remote users”;
uid 9999;
class read-only;
}
}
}
Nachdem Sie das Gerät konfiguriert haben, wechseln commit Sie in den Konfigurationsmodus.
Verifizierung
Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.
Konfigurieren von Benutzerkonten in einer Konfigurationsgruppe
Um die Konfiguration derselben Benutzerkonten auf mehreren Geräten zu vereinfachen, konfigurieren Sie die Konten innerhalb einer Konfigurationsgruppe. Die hier gezeigten Beispiele befinden sich in einer Konfigurationsgruppe mit dem Namen global. Die Verwendung einer Konfigurationsgruppe für Ihre Benutzerkonten ist optional.
So erstellen Sie ein Benutzerkonto: