Comptes d’utilisateurs
Junos OS Evolved vous permet (l’administrateur système) de créer des comptes pour les utilisateurs de routeurs, de commutateurs et de sécurité. Tous les utilisateurs appartiennent à l’une des classes de connexion système.
Vous créez des comptes d’utilisateur afin que les utilisateurs puissent accéder à un routeur, un commutateur ou un périphérique de sécurité. Tous les utilisateurs doivent disposer d’un compte d’utilisateur prédéfini avant de pouvoir se connecter à l’appareil. Vous créez des comptes d’utilisateurs, puis définissez le nom d’utilisateur et les informations d’identification de chaque compte d’utilisateur.
Vue d’ensemble des comptes d’utilisateurs
Les comptes d’utilisateur offrent aux utilisateurs un moyen d’accéder à un appareil. Pour chaque compte, vous définissez le nom d'utilisateur de l'utilisateur, son mot de passe et toute information supplémentaire de l'utilisateur. Une fois que vous avez créé un compte, le logiciel crée un répertoire personnel pour l’utilisateur.
Un compte pour l’utilisateur root est toujours présent dans la configuration. Vous pouvez configurer le mot de passe pour root utiliser l’instruction root-authentication .
Bien qu’il soit courant d’utiliser des serveurs d’authentification à distance pour stocker de manière centralisée les informations sur les utilisateurs, il est également recommandé de configurer au moins un utilisateur non root sur chaque appareil. De cette façon, vous pouvez toujours accéder à l’appareil si sa connexion au serveur d’authentification distant est interrompue. Cet utilisateur non-root a généralement un nom générique tel que admin.
Pour chaque compte d’utilisateur, vous pouvez définir les éléments suivants :
-
Nom d’utilisateur (obligatoire) : nom qui identifie l’utilisateur. Il doit être unique. Évitez d’utiliser des espaces, des deux-points ou des virgules dans le nom d’utilisateur. Le nom d’utilisateur peut comporter jusqu’à 32 caractères.
-
Nom complet de l’utilisateur : (Facultatif) Si le nom complet contient des espaces, placez-le entre guillemets. Évitez d’utiliser des deux-points ou des virgules.
-
Identificateur d’utilisateur (UID) : (Facultatif) Identificateur numérique associé au nom du compte d’utilisateur. L’UID est attribué automatiquement lorsque vous validez la configuration, vous n’avez donc pas besoin de le définir manuellement. Toutefois, si vous choisissez de configurer l’UID manuellement, utilisez une valeur unique comprise entre 100 et 64 000.
-
Privilège d’accès de l’utilisateur : (Obligatoire) L’une des classes de connexion que vous avez définies dans l’instruction
classde la[edit system login]hiérarchie ou l’une des classes de connexion par défaut. -
Méthode(s) d’authentification et mots de passe pour l’accès aux périphériques (obligatoire) : vous pouvez utiliser une clé SSH, un mot de passe chiffré ou un mot de passe en texte brut chiffré par Junos OS Evolved avant de le saisir dans la base de données de mots de passe. Pour chaque méthode, vous pouvez spécifier le mot de passe de l’utilisateur. Si vous configurez l’option
plain-text-password, vous êtes invité à saisir et à confirmer le mot de passe :[edit system login user username] user@host# set authentication plain-text-password New password: type password here Retype new password: retype password here
Pour créer des mots de passe valides en texte clair, assurez-vous qu’ils :
-
Contient entre 6 et 128 caractères.
-
Incluez la plupart des classes de caractères (lettres majuscules, lettres minuscules, chiffres, signes de ponctuation et autres caractères spéciaux), mais n’incluez pas les caractères de contrôle.
-
Contenir au moins un changement de casse ou de classe de caractères.
-
Pour l’authentification SSH, vous pouvez copier le contenu d’un fichier de clé SSH dans la configuration. Vous pouvez également configurer directement les informations de clé SSH. Utilisez l’instruction load-key-file pour charger un fichier de clé SSH qui a été généré précédemment (par exemple, à l’aide de ssh-keygen). L’argument load-key-file est le chemin d’accès à l’emplacement et au nom du fichier. L’instruction load-key-file charge les clés publiques RSA (SSH version 1 et SSH version 2). Le contenu du fichier de clé SSH est copié dans la configuration immédiatement après la configuration de l’instruction load-key-file .
Évitez d’utiliser les combinaisons suivantes de la version du couche transport (TLS) et de la suite de chiffrement (clé hôte RSA), qui échoueront :
Avec les clés d’hôte RSA :
-
TLS_1.0@DHE-RSA-AES128-SHA
-
TLS_1.0@DHE-RSA-AES256-SHA
Pour chaque compte d’utilisateur et pour les connexions root, vous pouvez configurer plusieurs clés RSA publiques pour l’authentification des utilisateurs. Lorsqu’un utilisateur se connecte à l’aide d’un compte d’utilisateur ou en tant que root, les clés publiques configurées sont référencées pour déterminer si la clé privée correspond à l’un des comptes d’utilisateur.
Pour afficher les entrées de clé SSH, utilisez la commande configuration mode show . Par exemple:
[edit system login user boojum]
user@host# set authentication load-key-file my-host:.ssh/id_rsa.pub
.file.19692 | 0 KB | 0.3 kB/s | ETA: 00:00:00 | 100%
[edit system login user boojum]
user@host# show
authentication {
ssh-rsa "$ABC123"; # SECRET-DATA
}
Exemple : Configurer de nouveaux comptes d’utilisateur
Cet exemple montre comment configurer de nouveaux comptes d’utilisateur.
Exigences
Vous n’avez pas besoin de configurations spéciales avant d’utiliser cette fonctionnalité.
Aperçu
Vous pouvez ajouter de nouveaux comptes d’utilisateur à la base de données locale de l’appareil. Pour chaque compte, vous (l’administrateur système) définissez un nom d’utilisateur et un mot de passe pour l’utilisateur et spécifiez une classe de connexion pour les privilèges d’accès. Le mot de passe de connexion doit répondre aux critères suivants :
-
Le mot de passe doit comporter au moins six caractères.
-
Vous pouvez inclure la plupart des classes de caractères dans le mot de passe (caractères alphabétiques, numériques et spéciaux), mais pas les caractères de contrôle.
-
Le mot de passe doit contenir au moins un changement de casse ou de classe de caractères.
Dans cet exemple, vous créez une classe de connexion nommée operator-and-boot et l’autorisez à redémarrer l’appareil. Vous pouvez définir autant de classes de connexion que vous le souhaitez. Ensuite, autorisez la classe de connexion operator-and-boot à utiliser les commandes définies dans les bits suivants :
-
clair
-
réseau
-
réinitialisation
-
trace
-
Afficher l’autorisation
Ensuite, créez des comptes d’utilisateur pour permettre l’accès à l’appareil. Définissez le nom d’utilisateur sur randomuser et la classe de connexion sur superuser. Enfin, définissez le mot de passe chiffré de l’utilisateur.
Configuration
Procédure
Configuration rapide de la CLI
Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à votre configuration réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis passez commit en mode configuration.
set system login class operator-and-boot allow-commands "request system reboot" set system login class operator-and-boot permissions [clear network reset trace view] set system login user randomuser class superuser authentication encrypted-password $1$ABC123
Procédure étape par étape
Pour configurer de nouveaux utilisateurs :
-
Définissez le nom de la classe de connexion et autorisez l’utilisation de la commande reboot.
[edit system login] user@host# set class operator-and-boot allow-commands “request system reboot”
-
Définissez les bits d’autorisation pour la classe de connexion.
[edit system login] user@host# set class operator-and-boot permissions [clear network reset trace view]
-
Définissez le nom d’utilisateur, la classe de connexion et le mot de passe chiffré de l’utilisateur.
[edit system login] user@host# set userrandomuser class superuser authentication encrypted-password $1$ABC123
Résultats
En mode configuration, confirmez votre configuration en entrant la show system login commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.
[edit]
user@host# show system login
class operator-and-boot {
permissions [ clear network reset trace view ];
allow-commands "request system reboot";
}
user randomuser {
class superuser;
authentication {
encrypted-password "$1$ABC123";
}
}
L’exemple suivant montre comment créer des comptes pour quatre utilisateurs. Il montre également comment créer un compte pour l’utilisateur remotedu modèle. Tous les utilisateurs utilisent l’une des classes de connexion système par défaut.
[edit]
system {
login {
user philip {
full-name “Philip of Macedonia”;
uid 1001;
class super-user;
authentication {
encrypted-password “$ABC123”;
}
}
user alexander {
full-name “Alexander the Great”;
uid 1002;
class operator;
authentication {
encrypted-password “$ABC123”;
}
}
user darius {
full-name “Darius King of Persia”;
uid 1003;
class operator;
authentication {
ssh-rsa “1024 37 12341234@ecbatana.per”;
}
}
user anonymous {
class unauthorized;
}
user remote {
full-name “All remote users”;
uid 9999;
class read-only;
}
}
}
Après avoir configuré l’appareil, passez commit en mode de configuration.
Vérification
Vérifiez que la configuration fonctionne correctement.
Configurer des comptes d’utilisateur dans un groupe de configuration
Pour faciliter la configuration des mêmes comptes d’utilisateur sur plusieurs appareils, configurez les comptes à l’intérieur d’un groupe de configuration. Les exemples présentés ici se trouvent dans un groupe de configuration appelé global. L’utilisation d’un groupe de configuration pour vos comptes d’utilisateur est facultative.
Pour créer un compte d’utilisateur :