Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comptes d’utilisateurs

Junos OS vous permet (l’administrateur système) de créer des comptes pour les utilisateurs de routeur, de commutateur et de sécurité. Tous les utilisateurs appartiennent à l’une des classes de connexion système.

Vous créez des comptes d’utilisateur afin que les utilisateurs puissent accéder à un routeur, à un commutateur ou à un équipement de sécurité. Tous les utilisateurs doivent disposer d’un compte utilisateur prédéfini avant de pouvoir se connecter à l’équipement. Vous créez des comptes utilisateur, puis définissez le nom de connexion et les informations d’identification pour chaque compte utilisateur.

Présentation des comptes d’utilisateurs

Les comptes d’utilisateur offrent aux utilisateurs un moyen d’accéder à un équipement. Pour chaque compte, vous définissez le nom de connexion de l’utilisateur, son mot de passe et toutes les informations utilisateur supplémentaires. Une fois que vous avez créé un compte, le logiciel crée un répertoire personnel pour l’utilisateur.

Un compte utilisateur root est toujours présent dans la configuration. Vous pouvez configurer le mot de passe pour root l’utilisation de l’instruction root-authentication .

Bien qu’il soit courant d’utiliser des serveurs d’authentification distants pour stocker de manière centralisée les informations sur les utilisateurs, il est également bon de configurer au moins un utilisateur non root sur chaque équipement. De cette façon, vous pouvez toujours accéder à l’équipement si sa connexion au serveur d’authentification distant est interrompue. Cet utilisateur non racine porte généralement un nom générique tel que admin.

Pour chaque compte utilisateur, vous pouvez définir les éléments suivants :

  • Nom d’utilisateur (requis) : Nom qui identifie l’utilisateur. Il doit être unique. Évitez d’utiliser des espaces, des colons ou des virgules dans le nom d’utilisateur. Le nom d’utilisateur peut inclure jusqu’à 64 caractères.

  • Nom complet de l’utilisateur : (Facultatif) Si le nom complet contient des espaces, joignez-le entre guillemets. Évitez l’utilisation de colons ou de virgules.

  • Identifiant utilisateur (UID) : (Facultatif) Identificateur numérique associé au nom du compte utilisateur. L’UID est affecté automatiquement lorsque vous validez la configuration, de sorte que vous n’avez pas besoin de la définir manuellement. Toutefois, si vous choisissez de configurer l’UID manuellement, utilisez une valeur unique comprise entre 100 et 64 000.

  • Droits d’accès de l’utilisateur : (Requis) L’une des classes de connexion que vous avez définies dans l’instruction class au niveau de la [edit system login] hiérarchie ou dans l’une des classes de connexion par défaut.

  • Méthode ou méthodes d’authentification et mots de passe pour l’accès à l’équipement (requis) : Vous pouvez utiliser une clé SSH, un mot de passe Message Digest 5 (MD5) ou un mot de passe en texte clair qui Junos OS chiffre à l’aide du chiffrement de type MD5 avant de l’entrer dans la base de données de mot de passe. Pour chaque méthode, vous pouvez spécifier le mot de passe de l’utilisateur. Si vous configurez l’option plain-text-password , vous recevez une invite pour saisir et confirmer le mot de passe :

    Pour créer des mots de passe valides en texte clair, assurez-vous qu’ils :

    • Contenir entre 6 et 128 caractères.

    • Inclure la plupart des classes de caractères (majuscules, lettres en minuscules, chiffres, marques de ponctuation et autres caractères spéciaux), mais n’inclut pas de caractères de contrôle.

    • Contenir au moins une modification de cas ou de classe de caractères.

    Junos-FIPS et Common Criteria ont les exigences de mot de passe spécifiques suivantes. Ils doivent :

    • Entre 10 et 20 caractères.
    • Utilisez au moins trois des cinq jeux de caractères définis (lettres en majuscules, minuscules, chiffres, marques de ponctuation et autres caractères spéciaux).

    Si Junos-FIPS est installé sur l’équipement, vous devez respecter les exigences spécifiques de mot de passe, sinon les mots de passe ne sont pas configurés.

Pour l’authentification SSH, vous pouvez copier le contenu d’un fichier de clé SSH dans la configuration. Vous pouvez également configurer les informations clés SSH directement. Utilisez l’instruction load-key-file pour charger un fichier de clé SSH précédemment généré (par exemple, à l’aide de ssh-keygen). L’argument load-key-file est le chemin d’accès à l’emplacement et au nom du fichier. L’instruction load-key-file charge les clés publiques RSA (SSH version 1 et SSH version 2 ). Le contenu du fichier de clé SSH est copié dans la configuration immédiatement après avoir configuré l’instruction load-key-file .

Évitez d’utiliser la version TLS (Transport Layer Security) et les combinaisons de chiffrement (clés d’hôte RSA) suivantes, qui échoueront :

Avec les clés d’hôte RSA :

  • TLS_1.0@DHE-RSA-AES128-SHA

  • TLS_1.0@DHE-RSA-AES256-SHA

Pour chaque compte utilisateur et pour les connexions racines, vous pouvez configurer plusieurs clés RSA publiques pour l’authentification de l’utilisateur. Lorsqu’un utilisateur se connecte à l’aide d’un compte utilisateur ou en tant que root, les clés publiques configurées sont référencées pour déterminer si la clé privée correspond à l’un des comptes d’utilisateur.

Pour afficher les entrées de clé SSH, utilisez la commande de mode show de configuration. Par exemple :

Présentation de Junos-FIPS Crypto Officer et des comptes utilisateur

Junos-FIPS définit un ensemble restreint de rôles d’utilisateur. Contrairement à Junos OS, qui offre un large éventail de fonctionnalités aux utilisateurs, FIPS 140-2 définit des types spécifiques d’utilisateurs (Crypto Officer, User et Maintenance). Les agents de chiffrement et les utilisateurs FIPS effectuent toutes les tâches de configuration liées aux FIPS et délivrent toutes les commandes liées à FIPS. Crypto Officer et FIPS Les configurations des utilisateurs doivent suivre les directives FIPS 140-2. En règle générale, seul un crypto officer peut effectuer des tâches liées aux FIPS.

Configuration utilisateur Crypto Officer

Junos-FIPS vous offre un contrôle plus fin des autorisations utilisateur que ceux requis par FIPS 140-2. Pour la conformité FIPS 140-2, n’importe quel utilisateur Junos-FIPS avec le secretjeu securityde bits d’autorisation , et maintenance de bits d’autorisation, est un agent de chiffrement. Dans la plupart des cas, vous devriez réserver le super-user cours pour un agent de cryptographie. Un utilisateur FIPS peut être défini comme n’importe quel utilisateur Junos-FIPS qui n’a pas le secret, securityet maintenance bits définis.

Configuration utilisateur FIPS

Un agent de cryptographie configure les utilisateurs FIPS. FIPS Utilisateurs certaines autorisations normalement réservées à un crypto officer ; par exemple, vous pouvez accorder à un utilisateur FIPS l’autorisation de zeroiser le système et les PIC FIPS AS-II individuels.

Exemple : Configurer de nouveaux comptes d’utilisateur

Cet exemple montre comment configurer de nouveaux comptes d’utilisateur.

Conditions préalables

Vous n’avez besoin d’aucune configuration particulière avant d’utiliser cette fonctionnalité.

Présentation

Vous pouvez ajouter de nouveaux comptes d’utilisateur à la base de données locale de l’équipement. Pour chaque compte, vous (l’administrateur système) définissez un nom de connexion et un mot de passe pour l’utilisateur et spécifiez une classe de connexion pour les privilèges d’accès. Le mot de passe de connexion doit répondre aux critères suivants :

  • Le mot de passe doit être d’au moins six caractères.

  • Vous pouvez inclure la plupart des classes de caractères dans le mot de passe (caractères alphabétiques, numériques et spéciaux), mais pas les caractères de contrôle.

  • Le mot de passe doit contenir au moins un changement de casse ou de classe de caractère.

Dans cet exemple, vous créez une classe de connexion nommée operator-and-boot et lui autorisez le redémarrage de l’équipement. Vous pouvez définir n’importe quel nombre de classes de connexion. Ensuite, autorisez la classe de connexion opérateur-boot à utiliser les commandes définies dans les bits suivants :

  • Clair

  • Réseau

  • Réinitialiser

  • Trace

  • afficher les autorisations

Ensuite, créez des comptes d’utilisateur pour activer l’accès à l’équipement. Définissez le nom d’utilisateur comme utilisateur aléatoireet la classe de connexion comme superutilisateur. Enfin, définissez le mot de passe chiffré de l’utilisateur.

Configuration

Procédure

Configuration rapide CLI

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez tous les sauts de ligne, modifiez tous les détails nécessaires pour correspondre à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la [edit] hiérarchie, puis entrez commit en mode de configuration.

Procédure étape par étape

Pour configurer de nouveaux utilisateurs :

  1. Définissez le nom de la classe de connexion et autorisez l’utilisation de la commande de redémarrage.

  2. Définissez les bits d’autorisation pour la classe de connexion.

  3. Définissez le nom d’utilisateur, la classe de connexion et le mot de passe chiffré pour l’utilisateur.

Configuration rapide de l’interface graphique
Procédure étape par étape

Pour configurer de nouveaux utilisateurs :

  1. Dans l’interface utilisateur J-Web, sélectionnez Configure>System Properties>User Management.

  2. Cliquez sur Edit. La boîte de dialogue Modifier la gestion des utilisateurs s’affiche.

  3. Sélectionnez l’onglet Users .

  4. Cliquez Add pour ajouter un nouvel utilisateur. La boîte de dialogue Ajouter un utilisateur s’affiche.

  5. Dans la zone Nom d’utilisateur, saisissez un nom unique pour l’utilisateur.

    Évitez les espaces, les colons et les virgules dans le nom d’utilisateur.

  6. Dans la zone ID utilisateur, saisissez un ID unique pour l’utilisateur.

  7. Dans la zone Nom complet, saisissez le nom complet de l’utilisateur.

    Si le nom complet contient des espaces, joignez-le entre guillemets. Évitez les colons et les virgules.

  8. Dans les zones Mot de passe et Confirmer le mot de passe, saisissez un mot de passe de connexion pour l’utilisateur et vérifiez votre participation.

  9. Dans la liste Classe de connexion, sélectionnez les droits d’accès de l’utilisateur :

    • operator

    • read-only

    • unauthorized

    Cette liste comprend également toutes les classes de connexion définies par l’utilisateur.

  10. Cliquez OK dans la boîte de dialogue Ajouter un utilisateur et modifiez la gestion de l’utilisateur.

  11. Cliquez OK pour vérifier votre configuration et l’enregistrer comme configuration de candidature.

  12. Une fois l’équipement configuré, cliquez sur Commit Options>Commit.

Résultats

En mode configuration, confirmez votre configuration en entrant la show system login commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration fournies dans cet exemple pour la corriger.

L’exemple suivant montre comment créer des comptes pour quatre utilisateurs. Il indique également comment créer un compte pour l’utilisateur remotedu modèle . Tous les utilisateurs utilisent l’une des classes de connexion système par défaut.

Après avoir configuré l’unité, entrez commit en mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérifier la configuration des nouveaux utilisateurs

But

Vérifiez que les nouveaux utilisateurs sont configurés.

Action

Connectez-vous à l’équipement à l’aide du nouveau compte ou compte utilisateur et du mot de passe pour confirmer que vous y avez accès.

Configurer les comptes d’utilisateur dans un groupe de configuration

Pour faciliter la configuration des mêmes comptes utilisateur sur plusieurs équipements, configurez les comptes à l’intérieur d’un groupe de configuration. Les exemples présentés ici sont dans un groupe de configuration appelé global. L’utilisation d’un groupe de configuration pour vos comptes d’utilisateur est facultative.

Pour créer un compte utilisateur :

  1. Ajoutez un nouvel utilisateur à l’aide du nom de connexion de son compte affecté.
  2. (Facultatif) Configurez un nom descriptif du compte.

    Si le nom inclut des espaces, joignez l’ensemble du nom entre guillemets.

    Par exemple :

  3. (Facultatif) Définissez l’identifiant utilisateur (UID) pour le compte.

    Comme pour les systèmes UNIX, l’IUD applique les autorisations utilisateur et l’accès aux fichiers. Si vous ne définissez pas l’UID, le logiciel vous en attribue un. Le format de l’UID est entre 100 et 64 000.

    Par exemple :

  4. Attribuez à l’utilisateur une classe de connexion.

    Vous pouvez définir vos propres classes de connexion ou attribuer l’une des classes de connexion prédéfinies.

    Les classes de connexion prédéfinies sont les suivantes :

    • super-utilisateur : toutes les autorisations

    • opérateur : autorisation d’affichage, de réinitialisation, de réinitialisation et de réinitialisation du réseau

    • lecture seule : afficher les autorisations

    • non autorisé, pas d’autorisation

    Par exemple :

  5. Utilisez l’une des méthodes suivantes pour configurer le mot de passe de l’utilisateur :
    • Pour saisir un mot de passe en texte clair que le système chiffre pour vous, utilisez la commande suivante pour définir le mot de passe de l’utilisateur :

      Lorsque vous saisissez le mot de passe en texte clair, le logiciel le chiffre. Il n’est pas nécessaire de configurer le logiciel pour chiffrer le mot de passe. Les mots de passe en texte clair sont masqués et marqués comme ## SECRET-DATA dans la configuration.

    • Pour saisir un mot de passe chiffré, utilisez la commande suivante pour définir le mot de passe de l’utilisateur :

      ATTENTION :

      N’utilisez pas l’option encrypted-password , sauf si le mot de passe est déjà chiffré et que vous entrez la version chiffrée du mot de passe.

      Si vous configurez accidentellement l’option à l’aide encrypted-password d’un mot de passe en texte clair ou avec des guillemets vierges (« »), vous ne pourrez pas vous connecter à l’équipement en tant qu’utilisateur.

    • Pour charger les clés publiques générées précédemment à partir d’un fichier nommé à un emplacement URL spécifié, utilisez la commande suivante :

    • Pour entrer une chaîne publique SSH, utilisez la commande suivante :

  6. Au niveau supérieur de la configuration, appliquez le groupe de configuration.

    Si vous utilisez un groupe de configuration, vous devez l’appliquer pour qu’il prenne effet.

  7. Validez la configuration.
  8. Pour vérifier la configuration, connectez-vous et connectez-vous en tant que nouvel utilisateur.