Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Benutzerkonten

Junos OS ermöglicht Ihnen (dem Systemadministrator), Konten für Router-, Switch- und Sicherheitsbenutzer zu erstellen. Alle Benutzer gehören zu den Anmeldeklassen des Systems.

Sie erstellen Benutzerkonten, sodass Benutzer auf einen Router, einen Switch oder ein Sicherheitsgerät zugreifen können. Bevor sich alle Benutzer am Gerät anmelden, müssen sie über ein vordefiniertes Benutzerkonto verfügen. Sie erstellen Benutzerkonten und legen dann den Anmeldenamen und die Identifizierung von Informationen für jedes Benutzerkonto fest.

Benutzerkonten im Überblick

Benutzerkonten bieten eine Möglichkeit für Benutzer, auf ein Gerät zu zugreifen. Sie definieren für jedes Konto den Anmeldenamen, das Kennwort und alle zusätzlichen Benutzerinformationen des Benutzers. Nachdem Sie ein Konto erstellt haben, erstellt die Software ein Home directory für den Benutzer.

Ein Konto für den Benutzer root ist in der Konfiguration immer vorhanden. Sie können das Kennwort für die root Verwendung der Anweisung root-authentication konfigurieren.

Es ist üblich, Remote-Authentifizierungsserver zum zentralen Speichern von Informationen über Benutzer zu verwenden. Bewährte Verfahren zur Konfiguration von mindestens einem Nicht-Root-Benutzer auf jedem Gerät sind jedoch auch üblich. So können Sie weiterhin auf das Gerät zugreifen, wenn die Verbindung zum Remote-Authentifizierungsserver unterbrochen wird. Dieser Nicht-Root-Benutzer hat in der Regel einen allgemeinen Namen wie admin .

Für jedes Benutzerkonto können Sie Folgendes definieren:

  • Benutzername (erforderlich): Name, der den Benutzer identifiziert. Es muss einzigartig sein. Es vermeidet die Verwendung von Leerzeichen, Kommata oder Kommas im Benutzernamen. Der Benutzername kann bis zu 64 Zeichen enthalten.

  • Name des Benutzers: (optional) Wenn der vollständige Name Bereiche enthält, schließen Sie sie in Anführungszeichen ein. Vermeiden Sie die Verwendung von Kommata oder Kommmas.

  • Benutzerkennung (UID): (optional) Numerische Kennung, die dem Namen des Benutzerkontos zugeordnet ist. Die Benutzeroberfläche wird automatisch zugewiesen, wenn Sie die Konfiguration festlegen. Sie müssen sie also nicht manuell festlegen. Wenn Sie die Benutzeroberfläche jedoch manuell konfigurieren möchten, verwenden Sie einen eindeutigen Wert in dem Bereich zwischen 100 und 64.000.

  • Zugriffsrechte des Benutzers: (erforderlich) Einer der Anmeldeklassen, die Sie in der Anweisung in der Hierarchie definiert haben, oder einer class[edit system login] der Standard-Anmeldeklassen.

  • Authentifizierungsmethode oder -methoden und -passwörter für den Gerätezugriff (erforderlich): Sie können einen SSH-Schlüssel, ein Message Digest 5 (MD5)-Kennwort oder ein Klartextkennwort verwenden, das mit md5-licher Verschlüsselung verschlüsselt wird, bevor Sie sie in die Kennwortdatenbank Junos OS eingeben. Für jede Methode können Sie das Benutzerkennwort angeben. Wenn Sie die Option plain-text-password konfigurieren, erhalten Sie eine Eingabeaufforderung und Kennwort bestätigen:

    Um gültige Klartextkennwörter zu erstellen, müssen Sie sicherstellen, dass diese:

    • Zwischen 6 und 128 Zeichen enthalten.

    • Umfassen die meisten Zeichenklassen (Großbuchstaben, Großbuchstaben, Zahlen, Interpunkteierungszeichen und andere Sonderzeichen), enthalten aber keine Steuerungszeichen.

    • Enthalten mindestens eine Änderung von Fall oder Zeichenklasse.

    Junos-FIPS und Common Criteria erfüllen die folgenden speziellen Kennwortanforderungen. Sie müssen:

    • Zwischen 10 und 20 Zeichen lang sein.
    • Verwenden Sie mindestens drei der fünf definierten Zeichensätze (Großbuchstaben, Kleinbuchstaben, Digits, Interpunkteierungszeichen und andere Sonderzeichen).

    Wenn Junos-FIPS auf dem Gerät installiert wird, müssen Sie die speziellen Kennwortanforderungen erfüllen oder die Passwörter sind nicht konfiguriert.

Zur SSH-Authentifizierung können Sie den Inhalt einer SSH-Schlüsseldatei in die Konfiguration kopieren. Sie können auch direkt SSH-Schlüsselinformationen konfigurieren. Verwenden Sie die Anweisung zum Laden einer zuvor generierten load-key-file SSH-Schlüsseldatei (z. B. über ssh-keygen ). Es load-key-file wird der Pfad zum Dateispeicherort und -name verwendet. Die Aussage lädt die öffentlichen load-key-file Schlüssel von RSA (SSH Version 1 und SSH Version 2). Der Inhalt der SSH-Schlüsseldatei wird unmittelbar nach der Konfiguration der Anweisung in die Konfiguration load-key-file kopiert.

Vermeiden Sie die Verwendung der folgenden TLS-Version (Transportschicht Security) und Cipher Suite (RSA Host Key)-Kombinationen, die ausfallen:

Mit RSA Host-Schlüsseln:

  • TLS_1.0@DHE-RSA-AES128-SHA

  • TLS_1.0@DHE-RSA-AES256-SHA

Für jedes Benutzerkonto und für Root-Logins können Sie mehr als einen öffentlichen RSA-Schlüssel zur Benutzerauthentifizierung konfigurieren. Wenn sich ein Benutzer über ein Benutzerkonto oder als Root anmeldet, werden die konfigurierten öffentlichen Schlüssel referenziert, um zu bestimmen, ob der private Schlüssel zu einem der Benutzerkonten passt.

Verwenden Sie den Konfigurationsmodusbefehl, um die SSH-Schlüsseleinträge show anzeigen zu können. Zum Beispiel:

Junos-FIPS Crypto Officer und Benutzerkonten – Übersicht

Junos-FIPS definiert eine beschränkte Gruppe von Benutzerrollen. Im Gegensatz zur Junos OS, die eine Vielzahl von Funktionen für Benutzer ermöglicht, definiert FIPS 140-2 bestimmte Benutzertypen (Crypto Officer, Benutzer und Wartung). Crypto Officers und FIPS-Benutzer führen alle FIPS-bezogenen Konfigurationsaufgaben aus und geben alle FIPS-bezogenen Befehle aus. Crypto Officer und FIPS-Benutzerkonfigurationen müssen die FIPS 140-2-Richtlinien einhalten. In der Regel kann nur ein Crypto Officer FIPS-bezogene Aufgaben ausführen.

Crypto Officer-Benutzerkonfiguration

Junos-FIPS bietet Ihnen eine feinere Kontrolle der Benutzerberechtigungen als diejenigen, die von FIPS 140-2 verfügen. Für FIPS 140-2-Konformität ist jeder Junos-FIPS-Benutzer mit dem , und Berechtigungsbits festgelegter secretsecurity Crypto maintenance Officer. In den meisten Fällen sollten Sie die Klasse super-user für einen Crypto Officer reservieren. Ein FIPS-Benutzer kann als beliebiger Junos-FIPS-Benutzer definiert werden, der nicht über einen bestimmten secretsecuritymaintenance Bits-Set verfügt.

FIPS-Benutzerkonfiguration

Ein Crypto Officer richtet FIPS-Benutzer ein. FIPS-Benutzer bestimmte Berechtigungen, die normalerweise nur einem Crypto Officer vorbehalten sind; Beispielsweise können Sie eine FIPS-Benutzerberechtigung zum Zeroisieren des Systems und einzelner AS-II FIPS PICs erteilen.

Beispiel: Neue Benutzerkonten konfigurieren

In diesem Beispiel wird die Konfiguration neuer Benutzerkonten veranschaulicht.

Anforderungen

Bevor Sie diese Funktion nutzen, benötigen Sie keine speziellen Konfigurationen.

Überblick

Sie können der lokalen Datenbank des Geräts neue Benutzerkonten hinzufügen. Für jedes Konto definieren Sie (der Systemadministrator) einen Anmeldenamen und ein Kennwort für den Benutzer und geben eine Anmeldeklasse für Zugriffsberechtigungen an. Das Anmeldekennwort muss die folgenden Kriterien erfüllen:

  • Das Kennwort muss mindestens sechs Zeichen lang sein.

  • Sie können die meisten Zeichenklassen in das Kennwort (alphabetische, numerische und Sonderzeichen) beinhalten, aber nicht in Steuerungszeichen.

  • Das Kennwort muss mindestens eine Änderung der Fall- oder Zeichenklasse enthalten.

In diesem Beispiel erstellen Sie eine Anmeldeklasse namens Operator-and-Boot und ermöglichen den Neustart des Geräts. Sie können eine beliebige Anzahl von Anmeldeklassen definieren. Ermöglichen Sie der Operator-and-Boot-Anmeldeklasse dann die Verwendung von Befehlen, die in den folgenden Bits definiert sind:

  • Klar

  • Netzwerk

  • Zurücksetzen

  • Spur

  • Ansichtsberechtigung

Erstellen Sie als nächstes Benutzerkonten, um den Zugriff auf das Gerät zu ermöglichen. Wählen Sie den Benutzernamen als RandomUser und die Anmeldeklasse als Superuser. Schließlich definieren Sie das verschlüsselte Kennwort für den Benutzer.

Konfiguration

Verfahren

CLI-Konfiguration

Um dieses Beispiel schnell konfigurieren zu können, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenbrüche, ändern Sie alle Details, die zur Übereinstimmung mit Ihrer Netzwerkkonfiguration erforderlich sind, kopieren Sie die Befehle, und fügen Sie die Befehle in die CLI der Hierarchieebene ein, und geben Sie sie dann im Konfigurationsmodus [edit]commit ein.

Schritt-für-Schritt-Verfahren

So konfigurieren Sie neue Benutzer:

  1. Geben Sie den Namen der Anmeldeklasse ein, und geben Sie den Befehl zum Neustart ein.

  2. Legen Sie die Berechtigungsbits für die Anmeldeklasse fest.

  3. Wählen Sie Benutzername, Anmeldeklasse und verschlüsseltes Kennwort für den Benutzer.

Gui-Quickkonfiguration
Schritt-für-Schritt-Verfahren

So konfigurieren Sie neue Benutzer:

  1. Wählen Sie in der J-Web-Benutzeroberfläche die Option Configure>System Properties>User Management aus.

  2. Klicken Edit Sie auf . Das Dialogfeld "Benutzerverwaltung bearbeiten" wird angezeigt.

  3. Wählen Sie die Users Registerkarte aus.

  4. Klicken, Add um einen neuen Benutzer hinzuzufügen. Das Dialogfeld "Benutzer hinzufügen" wird angezeigt.

  5. Geben Sie im Feld "Benutzername" einen eindeutigen Namen für den Benutzer ein.

    Raum, Kommata und Kommmas im Benutzernamen vermeiden.

  6. Geben Sie im Feld "Benutzer-ID" eine eindeutige ID für den Benutzer ein.

  7. Geben Sie im Feld "Full Name" den vollständigen Namen des Benutzers ein.

    Wenn der vollständige Name Bereiche enthält, schließen Sie sie in Anführungszeichen ein. Verhindern Sie Kommata und Kommata.

  8. Geben Sie im Kontrollkästchen Kennwort und Kennwort bestätigen ein Anmeldekennwort für den Benutzer ein, und verifizieren Sie Ihren Eintrag.

  9. Wählen Sie in der Liste "Anmeldeklasse" die Zugriffsberechtigungen des Benutzers aus:

    • operator

    • read-only

    • unauthorized

    Diese Liste enthält außerdem benutzerdefinierte Anmeldeklassen.

  10. Klicken OK Sie im Dialogfeld "Benutzer hinzufügen" und im Dialogfeld "Benutzerverwaltung bearbeiten".

  11. Klicken OK Sie hier, um Ihre Konfiguration zu prüfen und als Kandidatenkonfiguration zu speichern.

  12. Klicken Sie nach der Konfiguration des Geräts auf Commit Options>Commit .

Ergebnisse

Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie den Befehl show system login eingeben. Wenn in der Ausgabe die beabsichtigte Konfiguration nicht angezeigt wird, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.

Im folgenden Beispiel wird veranschaulicht, wie Konten für vier Benutzer erstellt werden. Darüber hinaus wird veranschaulicht, wie ein Konto für den Benutzer der Vorlage erstellt remote wird. Alle Benutzer verwenden einen der Standardanmeldungsklassen für das System.

Geben Sie nach der Konfiguration des Geräts commit den Konfigurationsmodus ein.

Überprüfung

Stellen Sie sicher, dass die Konfiguration ordnungsgemäß funktioniert.

Konfiguration neuer Benutzer überprüfen

Zweck

Stellen Sie sicher, dass die neuen Benutzer konfiguriert sind.

Aktion

Melden Sie sich mit dem neuen Benutzerkonto oder Konto und dem Kennwort am Gerät an, um zu bestätigen, dass Sie Zugriff haben.

Benutzerkonten in einer Konfigurationsgruppe konfigurieren

Um die Konfiguration derselben Benutzerkonten auf mehreren Geräten zu erleichtern, konfigurieren Sie die Konten innerhalb einer Konfigurationsgruppe. Die hier dargestellten Beispiele sind in einer Konfigurationsgruppe namens global . Die Verwendung einer Konfigurationsgruppe für Ihre Benutzerkonten ist optional.

So erstellen Sie ein Benutzerkonto:

  1. Fügen Sie einen neuen Benutzer mit dem zugewiesenen Anmeldenamen des Benutzers hinzu.
  2. (optional) Konfigurieren Sie einen deskriptiven Namen für das Konto.

    Wenn der Name Leerzeichen enthält, schließen Sie den gesamten Namen in Anführungszeichen ein.

    Zum Beispiel:

  3. (optional) Legen Sie die Benutzerkennung (UID) für das Konto fest.

    Wie bei UNIX-Systemen setzt die UID Benutzerberechtigungen und Dateizugriff durch. Wenn Sie die Benutzeroberfläche nicht festlegen, weist die Software Ihnen eine zu. Das Format der BENUTZEROBERFLÄCHE ist eine Zahl zwischen 100 und 64.000.

    Zum Beispiel:

  4. Weisen Sie den Benutzer einer Anmeldeklasse zu.

    Sie können Ihre eigenen Anmeldeklassen definieren oder einen der vordefinierten Anmeldeklassen zuweisen.

    Folgende Anmeldeklassen sind vorab festgelegt:

    • Super-User – alle Berechtigungen

    • Operator – Clear, Network, Reset, Trace und Ansicht von Berechtigungen

    • schreibgeschützt – Berechtigungen anzeigen

    • nicht autorisiert – Keine Berechtigungen

    Zum Beispiel:

  5. Verwenden Sie eine der folgenden Methoden zum Konfigurieren des Benutzerkennworts:
    • Verwenden Sie den folgenden Befehl, um ein Klartextkennwort einzugeben, das von dem System für Sie verschlüsselt wurde. Geben Sie das Benutzerkennwort mit folgendem Befehl ein:

      Wenn Sie das Kennwort in Nur-Text eingeben, verschlüsselt die Software es. Sie müssen die Software zur Verschlüsselung des Kennworts nicht konfigurieren. Klartext-Kennwörter sind verborgen und in der Konfiguration als #SECRET-DATA markiert.

    • Verwenden Sie zum Eingeben eines verschlüsselten Kennworts den folgenden Befehl, um das Benutzerkennwort zu festlegen:

      ACHTUNG:

      Verwenden Sie diese Option nur, wenn das Kennwort bereits verschlüsselt ist und Sie die verschlüsselte encrypted-password Version des Kennworts eingeben.

      Wenn Sie die Option versehentlich mit einem Klartextkennwort oder mit leerem Anführungszeichen konfiguriert haben (" ") können Sie sich als Benutzer nicht encrypted-password am Gerät anmelden.

    • Verwenden Sie den folgenden Befehl, um zuvor generierte öffentliche Schlüssel aus einer angegebenen Datei an einem angegebenen URL-Standort zu laden:

    • Verwenden Sie den folgenden Befehl, um einen öffentlichen SSH-String ein eingaben zu können:

  6. Wenden Sie auf der obersten Ebene der Konfiguration die Konfigurationsgruppe an.

    Wenn Sie eine Konfigurationsgruppe verwenden, müssen Sie sie anwenden, um sie zum Tragen zu können.

  7. Commit für die Konfiguration.
  8. Um die Konfiguration zu prüfen, melden Sie sich ab und melden Sie sich als neuer Benutzer wieder an.