Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Présentation des comptes d’utilisateurs

Les comptes d’utilisateur offrent aux utilisateurs un moyen d’accéder à un équipement. Pour chaque compte, vous définissez le nom de connexion de l’utilisateur, son mot de passe et toutes les informations utilisateur supplémentaires. Une fois que vous avez créé un compte, le logiciel crée un répertoire personnel pour l’utilisateur.

Un compte utilisateur root est toujours présent dans la configuration. Vous pouvez configurer le mot de passe pour root l’utilisation de l’instruction root-authentication .

Bien qu’il soit courant d’utiliser des serveurs d’authentification distants pour stocker de manière centralisée les informations sur les utilisateurs, il est également bon de configurer au moins un utilisateur non root sur chaque équipement. De cette façon, vous pouvez toujours accéder à l’équipement si sa connexion au serveur d’authentification distant est interrompue. Cet utilisateur non racine porte généralement un nom générique tel que admin.

Pour chaque compte utilisateur, vous pouvez définir les éléments suivants :

  • Nom d’utilisateur (obligatoire) : nom qui identifie l’utilisateur. Il doit être unique. Évitez d’utiliser des espaces, des colons ou des virgules dans le nom d’utilisateur. Le nom d’utilisateur peut inclure jusqu’à 64 caractères.

  • Nom complet de l’utilisateur : (facultatif) Si le nom complet contient des espaces, joignez-le entre guillemets. Évitez l’utilisation de colons ou de virgules.

  • Identifiant utilisateur (UID) : (facultatif) Identificateur numérique associé au nom du compte utilisateur. L’UID est affecté automatiquement lorsque vous validez la configuration, de sorte que vous n’avez pas besoin de la définir manuellement. Toutefois, si vous choisissez de configurer l’UID manuellement, utilisez une valeur unique comprise entre 100 et 64 000.

  • Privilège d’accès de l’utilisateur : (obligatoire) Une des classes de connexion que vous avez définies dans l’instruction class au niveau de la [edit system login] hiérarchie ou dans l’une des classes de connexion par défaut.

  • Méthode ou méthodes d’authentification et mots de passe pour l’accès à l’équipement (requis) : vous pouvez utiliser une clé SSH, un mot de passe MD5 (Message Digest 5) ou un mot de passe en texte clair que Junos OS chiffre à l’aide d’un chiffrement de type MD5 avant de l’entrer dans la base de données de mot de passe. Pour chaque méthode, vous pouvez spécifier le mot de passe de l’utilisateur. Si vous configurez l’option plain-text-password , vous recevez une invite pour saisir et confirmer le mot de passe :

    Pour créer des mots de passe valides en texte clair, assurez-vous qu’ils :

    • Contenir entre 6 et 128 caractères.

    • Inclure la plupart des classes de caractères (majuscules, lettres en minuscules, chiffres, marques de ponctuation et autres caractères spéciaux), mais n’inclut pas de caractères de contrôle.

    • Contenir au moins une modification de cas ou de classe de caractères.

    Junos-FIPS et Common Criteria ont les exigences de mot de passe spécifiques suivantes. Ils doivent :

    • Entre 10 et 20 caractères.
    • Utilisez au moins trois des cinq jeux de caractères définis (lettres en majuscules, minuscules, chiffres, marques de ponctuation et autres caractères spéciaux).

    Si Junos-FIPS est installé sur l’équipement, vous devez respecter les exigences spécifiques de mot de passe, sinon les mots de passe ne sont pas configurés.

Pour l’authentification SSH, vous pouvez copier le contenu d’un fichier de clé SSH dans la configuration. Vous pouvez également configurer les informations clés SSH directement. Utilisez l’instruction load-key-file pour charger un fichier de clé SSH précédemment généré (par exemple, à l’aide de ssh-keygen). L’argument load-key-file est le chemin d’accès à l’emplacement et au nom du fichier. L’instruction load-key-file charge les clés publiques RSA (SSH version 1 et SSH version 2). Le contenu du fichier de clé SSH est copié dans la configuration immédiatement après avoir configuré l’instruction load-key-file .

Évitez d’utiliser la version TLS (Transport Layer Security) et les combinaisons de chiffrement (clés d’hôte RSA) suivantes, qui échoueront :

Avec les clés d’hôte RSA :

  • TLS_1.0@DHE-RSA-AES128-SHA

  • TLS_1.0@DHE-RSA-AES256-SHA

Pour chaque compte utilisateur et pour les connexions racines, vous pouvez configurer plusieurs clés RSA publiques pour l’authentification de l’utilisateur. Lorsqu’un utilisateur se connecte à l’aide d’un compte utilisateur ou en tant que root, les clés publiques configurées sont référencées pour déterminer si la clé privée correspond à l’un des comptes d’utilisateur.

Pour afficher les entrées de clé SSH, utilisez la commande de mode show de configuration. Par exemple :