Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Auf dieser Seite
 

Benutzerkonten

Junos OS Ermöglicht Ihnen (dem Systemadministrator) das Erstellen von Konten für Router-, Switch- und Sicherheitsbenutzer. Alle Benutzer gehören einer der Systemanmeldeklassen an.

Sie erstellen Benutzerkonten, damit Benutzer auf einen Router, Switch oder ein Sicherheitsgerät zugreifen können. Alle Benutzer müssen über ein vordefiniertes Benutzerkonto verfügen, bevor sie sich am Gerät anmelden können. Sie erstellen Benutzerkonten und definieren dann den Anmeldenamen und die Identifikationsinformationen für jedes Benutzerkonto.

Übersicht über Benutzerkonten

Benutzerkonten bieten Benutzern eine Möglichkeit, auf ein Gerät zuzugreifen. Für jedes Konto definieren Sie den Anmeldenamen, das Kennwort und alle zusätzlichen Benutzerinformationen des Benutzers. Nachdem Sie ein Konto erstellt haben, erstellt die Software ein Home-Verzeichnis für den Benutzer.

Ein Konto für den Benutzer root ist immer in der Konfiguration vorhanden. Sie können das Kennwort für root die Verwendung der root-authentication Anweisung konfigurieren.

Es ist zwar üblich, Remoteauthentifizierungsserver zu verwenden, um Informationen über Benutzer zentral zu speichern, es empfiehlt sich jedoch auch, auf jedem Gerät mindestens einen Nicht-Root-Benutzer zu konfigurieren. Auf diese Weise können Sie auch dann auf das Gerät zugreifen, wenn die Verbindung zum Remote-Authentifizierungsserver unterbrochen wird. Dieser Nicht-Root-Benutzer hat normalerweise einen generischen Namen, z. B admin. .

Für jedes Benutzerkonto können Sie Folgendes definieren:

  • Benutzername (erforderlich): Name, der den Benutzer identifiziert. Es muss einzigartig sein. Vermeiden Sie die Verwendung von Leerzeichen, Doppelpunkten oder Kommas im Benutzernamen. Der Benutzername kann bis zu 64 Zeichen lang sein.

  • Vollständiger Name des Benutzers: (Optional) Wenn der vollständige Name Leerzeichen enthält, schließen Sie ihn in Anführungszeichen ein. Vermeiden Sie die Verwendung von Doppelpunkten oder Kommas.

  • Benutzerkennung (UID): (Optional) Numerischer Bezeichner, der dem Namen des Benutzerkontos zugeordnet ist. Die UID wird automatisch zugewiesen, wenn Sie die Konfiguration bestätigen, sodass Sie sie nicht manuell festlegen müssen. Wenn Sie die UID jedoch manuell konfigurieren möchten, verwenden Sie einen eindeutigen Wert im Bereich von 100 bis 64.000.

  • Zugriffsberechtigung des Benutzers: (Erforderlich) Eine der Anmeldeklassen, die Sie in der class Anweisung in der [edit system login] Hierarchie definiert haben, oder eine der Standardanmeldeklassen.

  • Authentifizierungsmethode(n) und Kennwörter für den Gerätezugriff (erforderlich): Sie können einen SSH-Schlüssel, ein verschlüsseltes Kennwort oder ein Nur-Text-Kennwort verwenden, das Junos OS verschlüsselt wird, bevor es in die Kennwortdatenbank eingegeben wird. Für jede Methode können Sie das Kennwort des Benutzers angeben. Wenn Sie die plain-text-password Option konfigurieren, werden Sie aufgefordert, das Kennwort einzugeben und zu bestätigen:

    Um gültige Nur-Text-Passwörter zu erstellen, stellen Sie sicher, dass sie:

    • Enthält zwischen 6 und 128 Zeichen.

    • Schließen Sie die meisten Zeichenklassen (Großbuchstaben, Kleinbuchstaben, Zahlen, Satzzeichen und andere Sonderzeichen), aber keine Steuerzeichen ein.

    • Mindestens eine Änderung der Groß-/Kleinschreibung oder Zeichenklasse enthalten.

    Für Junos-FIPS und Common Criteria gelten die folgenden besonderen Kennwortanforderungen. Sie müssen:

    • Sie müssen zwischen 10 und 20 Zeichen lang sein.
    • Verwenden Sie mindestens drei der fünf definierten Zeichensätze (Großbuchstaben, Kleinbuchstaben, Ziffern, Satzzeichen und andere Sonderzeichen).

    Wenn Junos-FIPS auf dem Gerät installiert ist, müssen Sie die speziellen Kennwortanforderungen einhalten, andernfalls sind die Kennwörter nicht konfiguriert.

Für die SSH-Authentifizierung können Sie den Inhalt einer SSH-Schlüsseldatei in die Konfiguration kopieren. Sie können SSH-Schlüsselinformationen auch direkt konfigurieren. Verwenden Sie die load-key-file Anweisung, um eine SSH-Schlüsseldatei zu laden, die zuvor generiert wurde (z. B. mit ). ssh-keygen Das load-key-file Argument ist der Pfad zum Speicherort und Namen der Datei. Die load-key-file Anweisung lädt öffentliche RSA-Schlüssel (SSH Version 1 und SSH Version 2). Der Inhalt der SSH-Schlüsseldatei wird unmittelbar nach der Konfiguration load-key-file der Anweisung in die Konfiguration kopiert.

Vermeiden Sie die Verwendung der folgenden Kombinationen aus Transport Layer Security (TLS) und Cipher Suite (RSA-Hostschlüssel), da dies fehlschlägt:

Mit RSA-Hostschlüsseln:

  • TLS_1.0@DHE-RSA-AES128-SHA

  • TLS_1.0@DHE-RSA-AES256-SHA

Für jedes Benutzerkonto und für Root-Anmeldungen können Sie mehr als einen öffentlichen RSA-Schlüssel für die Benutzerauthentifizierung konfigurieren. Wenn sich ein Benutzer mit einem Benutzerkonto oder als root anmeldet, wird auf die konfigurierten öffentlichen Schlüssel verwiesen, um festzustellen, ob der private Schlüssel mit einem der Benutzerkonten übereinstimmt.

Um die SSH-Schlüsseleinträge anzuzeigen, verwenden Sie den Befehl configuration mode show . Zum Beispiel:

Übersicht über Junos-FIPS Crypto Officer und Benutzerkonten

Junos-FIPS definiert einen eingeschränkten Satz von Benutzerrollen. Im Gegensatz zum Junos-Betriebssystem, das Benutzern eine breite Palette von Funktionen bietet, definiert FIPS 140-2 bestimmte Benutzertypen (Crypto Officer, Benutzer und Wartung). Crypto Officers und FIPS-Benutzer führen alle FIPS-bezogenen Konfigurationsaufgaben aus und geben alle FIPS-bezogenen Befehle aus. Crypto Officer- und FIPS-Benutzerkonfigurationen müssen den FIPS 140-2-Richtlinien entsprechen. In der Regel kann nur ein Crypto Officer FIPS-bezogene Aufgaben ausführen.

Crypto Officer-Benutzerkonfiguration

Junos-FIPS bietet Ihnen eine genauere Kontrolle der Benutzerberechtigungen als die in FIPS 140-2 vorgeschriebenen. In Bezug auf die FIPS 140-2-Konformität ist jeder Junos-FIPS-Benutzer mit den secretsecurityfestgelegten , und maintenance Berechtigungsbits ein Crypto Officer. In den meisten Fällen sollten Sie den super-user Kurs für einen Krypto-Offizier reservieren. Ein FIPS-Benutzer kann als jeder Junos-FIPS-Benutzer definiert werden, für den die secretBits , securityund maintenance nicht festgelegt sind.

FIPS-Benutzerkonfiguration

Ein Krypto-Beauftragter richtet FIPS-Benutzer ein. FIPS-Benutzer bestimmte Berechtigungen, die normalerweise einem Krypto-Offizier vorbehalten sind; Sie können z. B. einem FIPS-Benutzer die Berechtigung erteilen, das System und einzelne AS-II-FIPS-PICs auf Null zu setzen.

Beispiel: Neue Benutzerkonten konfigurieren

In diesem Beispiel wird gezeigt, wie neue Benutzerkonten konfiguriert werden.

Anforderungen

Sie benötigen keine speziellen Konfigurationen, bevor Sie diese Funktion verwenden können.

Überblick

Sie können der lokalen Datenbank des Geräts neue Benutzerkonten hinzufügen. Für jedes Konto definieren Sie (der Systemadministrator) einen Anmeldenamen und ein Kennwort für den Benutzer und geben eine Anmeldeklasse für Zugriffsrechte an. Das Login-Passwort muss folgende Kriterien erfüllen:

  • Das Passwort muss mindestens sechs Zeichen lang sein.

  • Sie können die meisten Zeichenklassen (alphabetische, numerische und Sonderzeichen) in das Kennwort aufnehmen, jedoch keine Steuerzeichen.

  • Das Kennwort muss mindestens eine Änderung der Groß-/Kleinschreibung oder Zeichenklasse enthalten.

In diesem Beispiel erstellen Sie eine Anmeldeklasse mit dem Namen operator-and-boot und erlauben ihr, das Gerät neu zu starten. Sie können beliebig viele Login-Klassen definieren. Erlauben Sie dann der operator-and-boot-Anmeldeklasse, Befehle zu verwenden, die in den folgenden Bits definiert sind:

  • klar

  • Netz

  • zurücksetzen

  • Spur

  • Berechtigung zum Anzeigen

Erstellen Sie als Nächstes Benutzerkonten, um den Zugriff auf das Gerät zu ermöglichen. Legen Sie den Benutzernamen als randomuser und die login-Klasse als superuser fest. Definieren Sie abschließend das verschlüsselte Passwort für den Benutzer.

Konfiguration

Verfahren

CLI-Schnellkonfiguration

Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, ändern Sie alle Details, die für Ihre Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, und fügen Sie sie auf Hierarchieebene [edit] in die CLI ein, und wechseln commit Sie dann in den Konfigurationsmodus.

Schritt-für-Schritt-Anleitung

So konfigurieren Sie neue Benutzer:

  1. Legen Sie den Namen der Anmeldeklasse fest und lassen Sie die Verwendung des Neustartbefehls zu.

  2. Legen Sie die Berechtigungsbits für die Anmeldeklasse fest.

  3. Legen Sie den Benutzernamen, die Anmeldeklasse und das verschlüsselte Kennwort für den Benutzer fest.

GUI-Schnellkonfiguration
Schritt-für-Schritt-Anleitung

So konfigurieren Sie neue Benutzer:

  1. Wählen Sie in der J-Web-Benutzeroberfläche die Option aus Configure>System Properties>User Management.

  2. Klicken Sie auf Edit. Das Dialogfeld "Benutzerverwaltung bearbeiten" wird angezeigt.

  3. Wählen Sie die Users Registerkarte aus.

  4. Klicken Sie hier Add , um einen neuen Benutzer hinzuzufügen. Das Dialogfeld "Benutzer hinzufügen" wird angezeigt.

  5. Geben Sie im Feld Benutzername einen eindeutigen Namen für den Benutzer ein.

    Vermeiden Sie Leerzeichen, Doppelpunkte und Kommas im Benutzernamen.

  6. Geben Sie im Feld Benutzer-ID eine eindeutige ID für den Benutzer ein.

  7. Geben Sie im Feld Vollständiger Name den vollständigen Namen des Benutzers ein.

    Wenn der vollständige Name Leerzeichen enthält, schließen Sie ihn in Anführungszeichen ein. Vermeiden Sie Doppelpunkte und Kommas.

  8. Geben Sie in den Feldern Kennwort und Kennwort bestätigen ein Anmeldekennwort für den Benutzer ein, und überprüfen Sie Ihre Eingabe.

  9. Wählen Sie in der Liste Anmeldeklasse die Zugriffsberechtigung des Benutzers aus:

    • operator

    • read-only

    • unauthorized

    Diese Liste enthält auch alle benutzerdefinierten Anmeldeklassen.

  10. Klicken Sie in OK das Dialogfeld "Benutzer hinzufügen" und dann auf "Benutzerverwaltung bearbeiten".

  11. Klicken Sie auf diese Schaltfläche OK , um Ihre Konfiguration zu überprüfen und als Kandidatenkonfiguration zu speichern.

  12. Nachdem Sie das Gerät konfiguriert haben, klicken Sie auf Commit Options>Commit.

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den show system login Befehl eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Das folgende Beispiel zeigt, wie Konten für vier Benutzer erstellt werden. Außerdem wird gezeigt, wie Sie ein Konto für den Vorlagenbenutzer remoteerstellen. Alle Benutzer verwenden eine der standardmäßigen Systemanmeldeklassen.

Nachdem Sie das Gerät konfiguriert haben, wechseln commit Sie in den Konfigurationsmodus.

Verifizierung

Vergewissern Sie sich, dass die Konfiguration ordnungsgemäß funktioniert.

Überprüfen der Konfiguration "Neue Benutzer"

Zweck

Vergewissern Sie sich, dass die neuen Benutzer konfiguriert sind.

Action!

Melden Sie sich mit dem neuen Benutzerkonto oder den neuen Konten und dem Kennwort beim Gerät an, um zu bestätigen, dass Sie Zugriff haben.

Konfigurieren von Benutzerkonten in einer Konfigurationsgruppe

Um die Konfiguration derselben Benutzerkonten auf mehreren Geräten zu vereinfachen, konfigurieren Sie die Konten innerhalb einer Konfigurationsgruppe. Die hier gezeigten Beispiele befinden sich in einer Konfigurationsgruppe namens global. Die Verwendung einer Konfigurationsgruppe für Ihre Benutzerkonten ist optional.

So erstellen Sie ein Benutzerkonto:

  1. Fügen Sie einen neuen Benutzer hinzu, indem Sie den dem Benutzer zugewiesenen Kontoanmeldenamen verwenden.
  2. (Optional) Konfigurieren Sie einen beschreibenden Namen für das Konto.

    Wenn der Name Leerzeichen enthält, schließen Sie den gesamten Namen in Anführungszeichen ein.

    Zum Beispiel:

  3. (Optional) Legen Sie die Benutzer-ID (UID) für das Konto fest.

    Wie bei UNIX-Systemen erzwingt die UID Benutzerberechtigungen und Dateizugriff. Wenn Sie die UID nicht festlegen, weist Ihnen die Software eine zu. Das Format der UID ist eine Zahl zwischen 100 und 64.000.

    Zum Beispiel:

  4. Weisen Sie den Benutzer einer Anmeldeklasse zu.

    Sie können eigene Login-Klassen definieren oder eine der vordefinierten Login-Klassen zuweisen.

    Die vordefinierten Anmeldeklassen lauten wie folgt:

    • Super-User – alle Berechtigungen

    • Operator: Berechtigungen löschen, vernetzen, zurücksetzen, verfolgen und anzeigen

    • Schreibgeschützt – Berechtigungen anzeigen

    • Nicht autorisiert – keine Berechtigungen

    Zum Beispiel:

  5. Verwenden Sie eine der folgenden Methoden, um das Benutzerkennwort zu konfigurieren:

    • Um ein Klartextkennwort einzugeben, das das System für Sie verschlüsselt, verwenden Sie den folgenden Befehl, um das Benutzerkennwort festzulegen:

      Wenn Sie das Passwort im Klartext eingeben, verschlüsselt die Software es. Sie müssen die Software nicht konfigurieren, um das Kennwort zu verschlüsseln. Klartext-Passwörter werden ausgeblendet und in der Konfiguration als ## SECRET-DATA gekennzeichnet.

    • Um ein verschlüsseltes Kennwort einzugeben, verwenden Sie den folgenden Befehl, um das Benutzerkennwort festzulegen:

      VORSICHT:

      Verwenden Sie diese encrypted-password Option nur, wenn das Kennwort bereits verschlüsselt ist und Sie die verschlüsselte Version des Kennworts eingeben.

      Wenn Sie die encrypted-password Option versehentlich mit einem Nur-Text-Passwort oder mit leeren Anführungszeichen (" ") konfigurieren, können Sie sich nicht als dieser Benutzer am Gerät anmelden.

    • Verwenden Sie den folgenden Befehl, um zuvor generierte öffentliche Schlüssel aus einer benannten Datei an einem angegebenen URL-Speicherort zu laden:

    • Verwenden Sie den folgenden Befehl, um eine öffentliche SSH-Zeichenfolge einzugeben:

  6. Wenden Sie auf der obersten Ebene der Konfiguration die Konfigurationsgruppe an.

    Wenn Sie eine Konfigurationsgruppe verwenden, müssen Sie sie anwenden, damit sie wirksam wird.

  7. Bestätigen Sie die Konfiguration.
  8. Um die Konfiguration zu überprüfen, melden Sie sich als neuer Benutzer ab und wieder an.