Configuration des comptes d’utilisateur et de l’authentification JDM
Présentation des comptes d’utilisateurs JDM
Sur une plate-forme Junos OS désagrégée, tous les éléments informatiques sont des entités de calcul distinctes, et leurs comptes utilisateur et mots de passe sont gérés séparément. Par exemple, les comptes d’utilisateur JDM, y compris le compte utilisateur racine, sont totalement distincts des comptes d’utilisateurs de VM Junos.
- Compte racine
- Connexion automatique aux VNF Junos
- Autres comptes d’utilisateur
- Authentification des utilisateurs
Compte racine
Dans la configuration par défaut définie en usine, le JDM est configuré avec un compte utilisateur racine. Toutefois, aucun mot de passe n’est défini pour le compte. Vous devez configurer un mot de passe racine dans le cadre de la configuration initiale. Si la configuration initiale de la plate-forme est effectuée via la fonction d’accueil du téléphone, celle-ci doit contenir le paramètre de mot de passe racine. Tant que vous n’avez pas configuré un mot de passe racine, vous ne pouvez pas accéder à certaines des invites utilisateur et vous ne pouvez pas valider une configuration à l’aide de l’interface de ligne de commande JDM.
Vous pouvez définir le mot de passe racine uniquement à partir de l’interface de ligne de commande JDM. Vous ne pouvez pas définir ou modifier le mot de passe racine à partir du shell JDM. Le mot de passe racine JDM est automatiquement propagé au shell JDM.
Connexion automatique aux VNF Junos
Lorsque des VNF Junos telles que JCP et vSRX sont présentes sur un équipement NFX250, le compte de connexion automatique JDM vous permet de vous connecter à la VNF Junos sans mot de passe.
Pour configurer la connexion automatique à JDM :
root@jdm> request setup jdm-auto-login
Pour vous connecter à la VNF Junos à partir de JDM :
root@jdm> ssh jdm-sysuser@vjunos0
Autres comptes d’utilisateur
Vous pouvez créer des comptes d’utilisateur autres que le compte racine dans le JDM. Pour ce faire, vous devez utiliser l’interface de ligne de commande JDM. Vous ne pouvez pas utiliser le shell JDM pour créer des comptes utilisateur.
Le JDM prend en charge les mêmes fonctionnalités pour les comptes d’utilisateurs que Junos OS. En d’autres termes, le JDM prend en charge les classes de connexion, les exigences de mot de passe personnalisées, les limites de nombre de tentatives de connexion, etc.
Authentification des utilisateurs
Le JDM prend en charge deux des trois méthodes d’authentification utilisateur que Junos OS prend en charge : l’authentification par mot de passe local et l’authentification TACACS+. Il ne prend pas en charge l’authentification RADIUS.
Configuration des comptes d’utilisateur et de l’authentification JDM
Vous créez des comptes d’utilisateur et configurez l’authentification de ces comptes dans JDM de la même manière que dans Junos OS. Cette rubrique fournit de brefs conseils sur la configuration des comptes d’utilisateur et de l’authentification. Pour plus d’informations, consultez la documentation junos OS.
Pour définir le mot de passe racine JDM :
root@jdm# set system root-authentication plain-text-password
Vous devez utiliser l’interface de ligne de commande JDM pour définir le mot de passe racine. Vous ne pouvez pas définir le mot de passe racine à l’aide du shell JDM.
Pour créer un nouveau compte utilisateur JDM :
root@jdm# set system login user user-name class class-name authentication plain-text-password
Vous ne pouvez pas créer de comptes utilisateur JDM à partir du shell JDM.
Pour configurer les clés SSH pour qu’un utilisateur active SSH sans mot de passe :
root@jdm# set system login user user-name load-key-file URL-to-ssh-key-file
Pour configurer l’authentification TACAS+ pour les comptes utilisateur :
root@jdm# set system tacplus-server server-address secret password
Note:TACACS+ permet de prendre en charge l’authentification SSH. Une fois configuré, la configuration TACACS+ s’applique à la fois à LDM et à l’authentification SSH hôte. Sur l’hôte, TACACS+ est utilisé pour authentifier les requêtes SSH uniquement pour le compte racine et pour les requêtes provenant de l’extérieur de l’équipement.
Vous pouvez spécifier le numéro de port du serveur d’authentification TACACS+ et la période d’expiration. Pour ce faire :
root@jdm# set system tacplus-server server-address port port-number
root@jdm# set system tacplus-server server-address timeout period
Note:Par défaut, le numéro de port TACACS+ est défini sur 49, et la période d’expiration est définie sur 5 secondes.
Vous devez également configurer le nom d’utilisateur ainsi que la classe de l’utilisateur localement sur JDM :
root@jdm# set system login user user-name root@jdm# set system login user user-name class super-user
Pour permettre aux utilisateurs de se connecter à l’équipement NFX250 en tant qu’utilisateur racine :
root@jdm# root-login allow
Pour empêcher les utilisateurs de se connecter à l’équipement NFX250 en tant qu’utilisateur racine :
root@jdm# root-login deny
Pour permettre aux utilisateurs de se connecter à l’équipement NFX250 en tant qu’utilisateur racine via une méthode d’authentification (par exemple, l’authentification RSA) qui ne nécessite pas de mot de passe :
root@jdm# root-login deny-password