Root-Passwort
Wenn das Gerät zum ersten Mal eingeschaltet wird, kann es konfiguriert werden. Zunächst melden Sie sich als Benutzer root ohne Passwort an. Sie müssen ein Nur-Text-Kennwort für den Benutzer auf Root-Ebene (dessen Benutzername root ist) konfigurieren, wenn Sie die Konfiguration zum ersten Mal ändern und bestätigen. Die Konfiguration eines Nur-Text-Kennworts ist eine Möglichkeit, den Zugriff auf die Stammebene durch nicht autorisierte Benutzer zu schützen. Wenn Sie das Root-Passwort für das Gerät vergessen haben, können Sie das Root-Passwort mit dem Verfahren zur Kennwortwiederherstellung zurücksetzen.
Konfigurieren des Root-Kennworts
Wenn Sie den Router oder Switch einschalten, kann er konfiguriert werden. Zunächst melden Sie sich als Benutzer root ohne Passwort an. Das Stammverzeichnis ist der Einstiegspunkt zu allen anderen Ordnern und Dateien auf diesem Gerät. Daher ist der Zugriff auf das Stammverzeichnis standardmäßig auf ein vordefiniertes Benutzerkonto beschränkt, das als Root-Benutzer bezeichnet wird. Der Root-Benutzer (auch Superuser genannt) hat uneingeschränkten Zugriff und volle Berechtigungen innerhalb des Systems. Der Ausdruck "Als root anmelden" wird häufig verwendet, wenn sich der Benutzer für eine Aktion als Root-Benutzer am Gerät anmelden muss.
Wenn Sie ein leeres Kennwort mit der encrypted-password Anweisung auf der Hierarchieebene für die [edit system root-authentication] Stammauthentifizierung konfigurieren, können Sie eine Konfiguration bestätigen. Sie können sich jedoch nicht als Root-Benutzer anmelden und Root-Zugriff auf den Router oder Switch erhalten.
Nachdem Sie sich angemeldet haben, sollten Sie das Root-Kennwort (Superuser-Kennwort) konfigurieren, indem Sie die root-authentication Anweisung auf Hierarchieebene [edit system] einfügen und eine der Kennwortoptionen konfigurieren:
[edit system] root-authentication { (encrypted-password "password"| plain-text-password); load-key-file URL filename; ssh-ecdsa “public-key” <from hostname>; ssh-rsa “public-key” <from hostname>; }
Wenn Sie die plain-text-password Option konfigurieren, werden Sie aufgefordert, das Kennwort einzugeben und zu bestätigen:
[edit system] user@host# set root-authentication plain-text-password New password: type password here Retype new password: retype password here
Die Standardanforderungen für Nur-Text-Kennwörter sind:
-
Das Passwort muss zwischen 6 und 128 Zeichen lang sein.
-
Sie können die meisten Zeichenklassen in ein Kennwort aufnehmen (Großbuchstaben, Kleinbuchstaben, Zahlen, Satzzeichen und andere Sonderzeichen). Steuerzeichen werden nicht empfohlen.
-
Gültige Kennwörter müssen mindestens einen Groß- oder Kleinbuchstaben oder eine Zeichenklasse enthalten.
Wenn Sie die encrypted-password Option verwenden, ist ein Null-Passwort (leer) nicht zulässig. Sie müssen ein Kennwort konfigurieren, dessen Zeichenanzahl zwischen 1 und 128 Zeichen liegt, und das Kennwort in Anführungszeichen setzen.
Sie können die load-key-file URL filename Anweisung verwenden, um eine SSH-Schlüsseldatei zu laden, die zuvor mit ssh-keygengeneriert wurde. Die URL filename Option ist der Pfad zum Speicherort und Namen der Datei. Wenn Sie diese Option verwenden, wird der Inhalt der Schlüsseldatei sofort nach Eingabe der load-key-file URL Anweisung in die Konfiguration kopiert. Mit diesem Befehl werden öffentliche RSA- (SSH-Version 1 und SSH-Version 2) und DSA-Schlüssel (SSH-Version 2) geladen.
Optional können Sie die ssh-ecdsa oder-Anweisungen ssh-rsa verwenden, um SSH-RSA- und ECDSA-Schlüssel direkt zu konfigurieren, um Stammanmeldungen zu authentifizieren. Sie können mehr als einen öffentlichen Schlüssel für die SSH-Authentifizierung von Root-Logins sowie für Benutzerkonten konfigurieren. Wenn sich ein Benutzer als root anmeldet, ermittelt das Gerät, ob der private Schlüssel mit einem der konfigurierten öffentlichen Schlüssel übereinstimmt.
[edit system] user@host# set root-authentication load-key-file my-host:.ssh/id_rsa.pub .file.19692 | 0 KB | 0.3 kB/s | ETA: 00:00:00 | 100%
Im Konfigurationsmodus können Sie Ihre SSH-Schlüsseleingaben bestätigen, indem Sie den show Befehl eingeben. Sie sollte in etwa wie die folgende Ausgabe aussehen:
[edit system]
user@host# show
root-authentication {
ssh-rsa "$ABC123"; ## SECRET-DATA
}
Beispiel: Konfigurieren eines Nur-Text-Kennworts für Root-Anmeldungen
In diesem Beispiel wird gezeigt, wie ein Nur-Text-Kennwort für den Benutzer auf Root-Ebene konfiguriert wird (der Benutzername ist root). Die Konfiguration eines Nur-Text-Kennworts ist eine Möglichkeit, um zu verhindern, dass nicht autorisierte Benutzer auf die Stammebene zugreifen. Sie müssen verhindern, dass nicht autorisierte Benutzer Zugriff auf Superuser-Befehle erhalten, mit denen Sie Ihre Systemkonfiguration ändern können.
Anforderungen
Vor der Konfiguration dieses Beispiels ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Die Standardanforderungen für ein Nur-Text-Kennwort lauten wie folgt:
-
Muss zwischen 6 und 128 Zeichen lang sein.
-
Kann die meisten Zeichenklassen (Großbuchstaben, Kleinbuchstaben, Zahlen, Satzzeichen und andere Sonderzeichen) enthalten. Steuerzeichen werden nicht empfohlen.
-
Muss mindestens eine Änderung der Groß-/Kleinschreibung oder Zeichenklasse enthalten.
Überblick
Wenn Sie den Router einschalten, kann er konfiguriert werden. Zunächst melden Sie sich als Benutzer auf Root-Ebene ohne Kennwort an. Um das Root-Passwort festzulegen, haben Sie mehrere Möglichkeiten. In diesem Beispiel wird gezeigt, wie Sie ein Nur-Text-Kennwort eingeben, das das Gerät dann für Sie verschlüsselt.
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie den folgenden Befehl, und fügen Sie ihn in das Fenster ein. Wenn Sie dazu aufgefordert werden, geben Sie das neue Kennwort ein, und geben Sie es dann erneut ein, wenn Sie dazu aufgefordert werden.
set system root-authentication plain-text-password
Konfigurieren eines Nur-Text-Kennworts für den Benutzer Root
Schritt-für-Schritt-Anleitung
So konfigurieren Sie ein Nur-Text-Kennwort für den Benutzer auf Root-Ebene:
-
Geben Sie den
setBefehl für das Nur-Text-Kennwort ein, und drücken Sie die Eingabetaste.[edit] user@host# set system root-authentication plain-text-password New password:
-
Geben Sie das neue Kennwort neben der
New passwordEingabeaufforderung ein und drücken Sie die Eingabetaste.New password: new-password Retype new password:
-
Geben Sie dasselbe Kennwort neben der
Retype new passwordEingabeaufforderung erneut ein und drücken Sie die Eingabetaste.New password: new-password Retype new password: new-password
Befund
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration mit dem show system Befehl. Es sollte ungefähr so aussehen:
[edit]
user@host# show system
root-authentication {
encrypted-password "$ABC123"; ## SECRET-DATA
}
Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
Nachdem Sie sich vergewissert haben, dass die Konfiguration korrekt ist, wechseln commit Sie in den Konfigurationsmodus.
Verifizierung
Überprüfen der Konfiguration eines Nur-Text-Kennworts für den Benutzer root
Zweck
Überprüfen Sie die Konfiguration eines Nur-Text-Kennworts für den Benutzer auf Stammebene.
Aktion
Bestätigen Sie im Betriebsmodus Ihre Konfiguration, indem Sie den show configuration system Befehl eingeben.
user@host> show configuration system
root-authentication {
encrypted-password "$ABC123"; ## SECRET-DATA
}
Bedeutung
Wenn Sie ein Nur-Text-Kennwort verwenden, verschlüsselt das Gerät das Kennwort automatisch, sobald Sie es konfigurieren. Sie müssen das Gerät nicht so konfigurieren, dass das Kennwort verschlüsselt wird, wie dies bei einigen anderen Systemen der Fall ist. Klartext-Passwörter werden ausgeblendet und in der Konfiguration als ## SECRET-DATA gekennzeichnet. Wenn ein Benutzer die Konfiguration anzeigt, sieht er nur die verschlüsselte Zeichenfolge, nicht das unverschlüsselte Kennwort.