Mot de passe root
Lorsque l’appareil est mis sous tension pour la première fois, il est prêt à être configuré. Dans un premier temps, vous vous connectez en tant qu’utilisateur root sans mot de passe. Vous devez configurer un mot de passe en texte brut pour l’utilisateur de niveau racine (dont le nom d’utilisateur est root) la première fois que vous modifiez et validez la configuration. La configuration d’un mot de passe en texte brut est un moyen de protéger l’accès au niveau racine par les utilisateurs non autorisés. Si vous oubliez le mot de passe root de l’appareil, vous pouvez utiliser la procédure de récupération du mot de passe pour réinitialiser le mot de passe root.
Configurer le mot de passe root
Lorsque vous mettez le routeur ou le commutateur sous tension, il est prêt à être configuré. Dans un premier temps, vous vous connectez en tant qu’utilisateur root sans mot de passe. Le répertoire racine est le point d’entrée de tous les autres dossiers et fichiers de ce périphérique. Par conséquent, l’accès au répertoire racine est limité par défaut à un compte d’utilisateur prédéfini appelé utilisateur racine. L’utilisateur root (également appelé superutilisateur) dispose d’un accès illimité et d’autorisations complètes dans le système. L’expression « se connecter en tant qu’utilisateur root » est couramment utilisée lorsqu’une action nécessite que l’utilisateur se connecte à l’appareil en tant qu’utilisateur root.
Si vous configurez un mot de passe vide à l’aide de l’instruction encrypted-password au niveau de la hiérarchie pour l’authentification [edit system root-authentication] racine, vous pouvez valider une configuration. Cependant, vous ne pouvez pas vous connecter en tant qu’utilisateur root et obtenir un accès root au routeur ou au commutateur.
Après vous être connecté, vous devez configurer le mot de passe root (superutilisateur) en incluant l’instruction root-authentication au niveau de la [edit system] hiérarchie et en configurant l’une des options de mot de passe :
[edit system] root-authentication { (encrypted-password "password"| plain-text-password); load-key-file URL filename; ssh-ecdsa “public-key” <from hostname>; ssh-rsa “public-key” <from hostname>; }
Si vous configurez l’option plain-text-password , vous êtes invité à saisir et à confirmer le mot de passe :
[edit system] user@host# set root-authentication plain-text-password New password: type password here Retype new password: retype password here
Les exigences par défaut pour les mots de passe en texte brut sont les suivantes :
-
Le mot de passe doit comporter entre 6 et 128 caractères.
-
Vous pouvez inclure la plupart des classes de caractères dans un mot de passe (lettres majuscules, lettres minuscules, chiffres, signes de ponctuation et autres caractères spéciaux). Les caractères de contrôle ne sont pas recommandés.
-
Les mots de passe valides doivent contenir au moins une lettre majuscule ou minuscule, ou une classe de caractères.
Si vous utilisez cette encrypted-password option, un mot de passe nul (vide) n’est pas autorisé. Vous devez configurer un mot de passe dont le nombre de caractères est compris entre 1 et 128 caractères et le placer entre guillemets.
Vous pouvez utiliser l’instruction load-key-file URL filename pour charger un fichier de clé SSH précédemment généré à l’aide de ssh-keygen. L’option URL filename est le chemin d’accès à l’emplacement et au nom du fichier. Lors de l’utilisation de cette option, le contenu du fichier de clé est copié dans la configuration immédiatement après la saisie de l’instruction load-key-file URL . Cette commande charge les clés publiques RSA (SSH version 1 et SSH version 2) et DSA (SSH version 2).
Si vous le souhaitez, vous pouvez utiliser les instructions ou ssh-rsa pour configurer directement les ssh-ecdsa clés SSH RSA et ECDSA afin d’authentifier les connexions racines. Vous pouvez configurer plusieurs clés publiques pour l’authentification SSH des connexions root ainsi que pour les comptes d’utilisateurs. Lorsqu’un utilisateur se connecte en tant que root, l’appareil détermine si la clé privée correspond à l’une des clés publiques configurées.
[edit system] user@host# set root-authentication load-key-file my-host:.ssh/id_rsa.pub .file.19692 | 0 KB | 0.3 kB/s | ETA: 00:00:00 | 100%
En mode configuration, vous pouvez confirmer vos entrées de clé SSH en entrant la show commande. Il doit ressembler à la sortie suivante :
[edit system]
user@host# show
root-authentication {
ssh-rsa "$ABC123"; ## SECRET-DATA
}
Exemple : Configurer un mot de passe en texte brut pour les connexions root
Cet exemple montre comment configurer un mot de passe en texte brut pour l’utilisateur de niveau racine (le nom d’utilisateur est root). La configuration d’un mot de passe en texte brut est un moyen d’empêcher les utilisateurs non autorisés d’accéder au niveau racine. Vous devez empêcher les utilisateurs non autorisés d’accéder aux commandes de superutilisateur qui peuvent être utilisées pour modifier la configuration de votre système.
Exigences
Aucune configuration spéciale au-delà de l’initialisation de l’appareil n’est requise avant de configurer cet exemple.
Les exigences par défaut pour un mot de passe en texte brut sont les suivantes :
-
Doit comporter de 6 à 128 caractères.
-
Peut inclure la plupart des classes de caractères (lettres majuscules, lettres minuscules, chiffres, signes de ponctuation et autres caractères spéciaux). Les caractères de contrôle ne sont pas recommandés.
-
Doit contenir au moins un changement de casse ou de classe de caractères.
Aperçu
Lorsque vous mettez le routeur sous tension, il est prêt à être configuré. Dans un premier temps, vous vous connectez en tant qu’utilisateur racine sans mot de passe. Pour définir le mot de passe root, plusieurs options s’offrent à vous. Cet exemple montre comment saisir un mot de passe en texte brut que l’appareil chiffre ensuite pour vous.
Configuration
- Configuration rapide de l’interface de ligne de commande
- Configurer un mot de passe en texte brut pour la racine de l’utilisateur
- Résultats
Configuration rapide de l’interface de ligne de commande
Pour configurer rapidement cet exemple, copiez la commande suivante et collez-la dans la fenêtre. Lorsque vous y êtes invité, tapez le nouveau mot de passe, puis lorsque vous y êtes invité, saisissez-le à nouveau.
set system root-authentication plain-text-password
Configurer un mot de passe en texte brut pour la racine de l’utilisateur
Procédure étape par étape
Pour configurer un mot de passe en texte brut pour l’utilisateur racine :
-
Tapez la
setcommande du mot de passe en texte brut et appuyez sur Entrée.[edit] user@host# set system root-authentication plain-text-password New password:
-
Saisissez le nouveau mot de passe à côté de l’invite
New passwordet appuyez sur Entrée.New password: new-password Retype new password:
-
Saisissez à nouveau le même mot de passe à côté de l’invite
Retype new passwordet appuyez sur Entrée.New password: new-password Retype new password: new-password
Résultats
En mode configuration, confirmez votre configuration à l’aide de la show system commande. Cela devrait ressembler à quelque chose comme ceci :
[edit]
user@host# show system
root-authentication {
encrypted-password "$ABC123"; ## SECRET-DATA
}
Si la sortie n’affiche pas la configuration prévue, répétez les instructions de cet exemple pour corriger la configuration.
Une fois que vous avez confirmé que la configuration est correcte, passez commit en mode de configuration.
Vérification
Vérifier la configuration d’un mot de passe en texte brut pour l’utilisateur root
But
Vérifiez la configuration d’un mot de passe en texte brut pour l’utilisateur racine.
Action
En mode opérationnel, confirmez votre configuration en entrant la show configuration system commande.
user@host> show configuration system
root-authentication {
encrypted-password "$ABC123"; ## SECRET-DATA
}
Signification
Si vous utilisez un mot de passe en texte brut, l’appareil chiffre automatiquement le mot de passe dès que vous le configurez. Vous n’avez pas besoin de configurer l’appareil pour chiffrer le mot de passe, comme dans d’autres systèmes. Les mots de passe en texte brut sont masqués et marqués comme ## SECRET-DATA dans la configuration. Lorsqu’un utilisateur consulte la configuration, il ne voit que la chaîne chiffrée, et non le mot de passe non chiffré.