Sur cette page

Vue d’ensemble des comptes d’utilisateurs
Présentation du responsable des comptes utilisateur et du responsable crypto Junos-FIPS
Exemple : Configurer de nouveaux comptes d’utilisateur
Configurer les comptes d’utilisateur dans un groupe de configuration

Comptes d’utilisateurs

Junos OS Permet (à l’administrateur système) de créer des comptes pour les utilisateurs du routeur, du commutateur et de la sécurité. Tous les utilisateurs appartiennent à l’une des classes de connexion système.

Vous créez des comptes d’utilisateur afin que les utilisateurs puissent accéder à un routeur, un commutateur ou un équipement de sécurité. Tous les utilisateurs doivent disposer d’un compte utilisateur prédéfini avant de pouvoir se connecter à l’appareil. Vous créez des comptes d’utilisateur, puis définissez le nom de connexion et les informations d’identification de chaque compte d’utilisateur.

Vue d’ensemble des comptes d’utilisateurs

Les comptes d’utilisateur permettent aux utilisateurs d’accéder à un appareil. Pour chaque compte, vous définissez le nom d’utilisateur de l’utilisateur, son mot de passe et toute information supplémentaire sur l’utilisateur. Une fois que vous avez créé un compte, le logiciel crée un répertoire personnel pour l’utilisateur.

Un compte pour l’utilisateur root est toujours présent dans la configuration. Vous pouvez configurer le mot de passe pour root l’utilisation de l’instruction root-authentication .

Bien qu’il soit courant d’utiliser des serveurs d’authentification distants pour stocker de manière centralisée des informations sur les utilisateurs, il est également recommandé de configurer au moins un utilisateur non root sur chaque appareil. De cette façon, vous pouvez toujours accéder à l’appareil si sa connexion au serveur d’authentification à distance est interrompue. Cet utilisateur non-root a généralement un nom générique tel que admin.

Pour chaque compte utilisateur, vous pouvez définir les éléments suivants :

Nom d’utilisateur (obligatoire) : Nom identifiant l’utilisateur. Il doit être unique. Évitez d’utiliser des espaces, des deux-points ou des virgules dans le nom d’utilisateur. Le nom d’utilisateur peut comporter jusqu’à 64 caractères.
Nom et prénom de l’utilisateur : (Facultatif) Si le nom complet contient des espaces, mettez-le entre guillemets. Évitez d’utiliser des deux-points ou des virgules.
Identifiant utilisateur (UID) : (Facultatif) Identificateur numérique associé au nom du compte d’utilisateur. L’UID est attribué automatiquement lorsque vous validez la configuration, vous n’avez donc pas besoin de le définir manuellement. Toutefois, si vous choisissez de configurer l’UID manuellement, utilisez une valeur unique comprise entre 100 et 64 000.
Privilège d’accès de l’utilisateur : (Obligatoire) L’une des classes de connexion que vous avez définies dans l’instruction de la [edit system login] hiérarchie ou l’une class des classes de connexion par défaut.
Méthode(s) d’authentification et mots de passe pour l’accès à l’appareil (obligatoire) : Vous pouvez utiliser une clé SSH, un mot de passe Message Digest 5 (MD5) ou un mot de passe en texte brut qui Junos OS chiffre à l’aide du chiffrement de type MD5 avant de le saisir dans la base de données de mots de passe. Pour chaque méthode, vous pouvez spécifier le mot de passe de l’utilisateur. Si vous configurez l’option plain-text-password , vous recevez un message vous invitant à saisir et à confirmer le mot de passe :
Pour créer des mots de passe en texte brut valides, assurez-vous qu’ils :
- Contient entre 6 et 128 caractères.
- Inclut la plupart des classes de caractères (lettres majuscules, lettres minuscules, chiffres, signes de ponctuation et autres caractères spéciaux), mais n’inclut pas les caractères de contrôle.
- Contenir au moins un changement de casse ou de classe de caractères.
Junos-FIPS et Common Criteria ont les exigences particulières suivantes en matière de mots de passe. Ils doivent :
- Comporter entre 10 et 20 caractères.
- Utilisez au moins trois des cinq jeux de caractères définis (lettres majuscules, lettres minuscules, chiffres, signes de ponctuation et autres caractères spéciaux).
Si Junos-FIPS est installé sur l’équipement, vous devez respecter les exigences particulières en matière de mots de passe, sinon les mots de passe ne sont pas configurés.

Pour l’authentification SSH, vous pouvez copier le contenu d’un fichier de clé SSH dans la configuration. Vous pouvez également configurer directement les informations de clé SSH. Utilisez l’instruction load-key-file pour charger un fichier de clé SSH qui a été généré précédemment (par exemple, en utilisant ssh-keygen). L’argument load-key-file est le chemin d’accès à l’emplacement et au nom du fichier. L’instruction load-key-file charge les clés publiques RSA (SSH version 1 et SSH version 2). Le contenu du fichier de clé SSH est copié dans la configuration immédiatement après la configuration de l’instruction load-key-file .

Évitez d’utiliser les combinaisons suivantes de la version TLS (couche transport Security) et de la suite de chiffrement (clé hôte RSA), qui échoueront :

Avec les clés d’hôte RSA :

TLS_1.0@DHE-RSA-AES128-SHA
TLS_1.0@DHE-RSA-AES256-SHA

Pour chaque compte d’utilisateur et pour les connexions root, vous pouvez configurer plusieurs clés RSA publiques pour l’authentification des utilisateurs. Lorsqu’un utilisateur se connecte à l’aide d’un compte d’utilisateur ou en tant que root, les clés publiques configurées sont référencées pour déterminer si la clé privée correspond à l’un des comptes d’utilisateur.

Pour afficher les entrées de clé SSH, utilisez la commande configuration mode show . Par exemple :

Présentation du responsable des comptes utilisateur et du responsable crypto Junos-FIPS

Junos-FIPS définit un ensemble restreint de rôles d’utilisateur. Contrairement à Junos OS, qui offre un large éventail de fonctionnalités aux utilisateurs, la norme FIPS 140-2 définit des types d’utilisateurs spécifiques (Crypto Officer, Utilisateur et Maintenance). Les responsables du chiffrement et les utilisateurs FIPS effectuent toutes les tâches de configuration liées à FIPS et exécutent toutes les commandes liées à FIPS. Les configurations du responsable du chiffrement et de l’utilisateur FIPS doivent suivre les directives de la norme FIPS 140-2. En règle générale, seul un responsable des cryptomonnaies peut effectuer des tâches liées à la FIPS.

Configuration utilisateur de Crypto Officer
Configuration de l’utilisateur FIPS

Configuration utilisateur de Crypto Officer

Junos-FIPS vous offre un contrôle plus précis des droits utilisateur que ceux exigés par la norme FIPS 140-2. Pour se conformer à la norme FIPS 140-2, tout utilisateur Junos-FIPS sur lequel les bits d’autorisation , securityet , secretmaintenance sont définis est un responsable du chiffrement. Dans la plupart des cas, vous devez réserver le cours à un responsable de la super-user cryptographie. Un utilisateur FIPS peut être défini comme n’importe quel utilisateur Junos-FIPS dont les secretbits , et , securityne maintenance sont pas définis.

Configuration de l’utilisateur FIPS

Un responsable des cryptomonnaies configure les utilisateurs FIPS. Utilisateurs FIPS certaines autorisations normalement réservées à un Crypto Officer ; par exemple, vous pouvez accorder à un utilisateur FIPS l’autorisation de remettre à zéro le système et les PICS FIPS AS-II individuels.

Exemple : Configurer de nouveaux comptes d’utilisateur

Cet exemple montre comment configurer de nouveaux comptes d’utilisateur.

Conditions préalables
Présentation
Configuration
Vérification

Conditions préalables

Vous n’avez pas besoin de configurations spéciales avant d’utiliser cette fonctionnalité.

Présentation

Vous pouvez ajouter de nouveaux comptes d’utilisateur à la base de données locale de l’appareil. Pour chaque compte, vous (l’administrateur système) définissez un nom d’utilisateur et un mot de passe pour l’utilisateur et spécifiez une classe de connexion pour les privilèges d’accès. Le mot de passe de connexion doit répondre aux critères suivants :

Le mot de passe doit comporter au moins six caractères.
Vous pouvez inclure la plupart des classes de caractères dans le mot de passe (caractères alphabétiques, numériques et spéciaux), mais pas les caractères de contrôle.
Le mot de passe doit contenir au moins un changement de casse ou de classe de caractères.

Dans cet exemple, vous créez une classe de connexion nommée operator-and-boot et vous l’autorisez à redémarrer l’appareil. Vous pouvez définir autant de classes de connexion que vous le souhaitez. Ensuite, autorisez la classe de connexion operator-and-boot à utiliser les commandes définies dans les bits suivants :

Clair
Réseau
Réinitialiser
Trace
Afficher l’autorisation

Ensuite, créez des comptes d’utilisateur pour permettre l’accès à l’appareil. Définissez le nom d’utilisateur comme randomuser et la classe de connexion comme superuser. Enfin, définissez le mot de passe chiffré de l’utilisateur.

Configuration

Procédure

Configuration rapide de l’interface de ligne de commande
Procédure étape par étape
Configuration rapide de l’interface graphique
Résultats

Configuration rapide de l’interface de ligne de commande

Pour configurer rapidement cet exemple, copiez les commandes suivantes, collez-les dans un fichier texte, supprimez les sauts de ligne, modifiez tous les détails nécessaires pour qu’ils correspondent à la configuration de votre réseau, copiez et collez les commandes dans l’interface de ligne de commande au niveau de la hiérarchie, puis passez commit en mode de [edit] configuration.

Procédure étape par étape

Pour configurer de nouveaux utilisateurs :

Définissez le nom de la classe de connexion et autorisez l’utilisation de la commande reboot.

Définissez les bits d’autorisation pour la classe de connexion.

Définissez le nom d’utilisateur, la classe de connexion et le mot de passe chiffré de l’utilisateur.

Configuration rapide de l’interface graphique

Procédure étape par étape

Pour configurer de nouveaux utilisateurs :

Dans l’interface utilisateur de J-Web, sélectionnez Configure>System Properties>User Management.
Cliquez sur Edit. La boîte de dialogue Modifier la gestion des utilisateurs s’affiche.
Sélectionnez l’onglet Users .
Cliquez pour Add ajouter un nouvel utilisateur. La boîte de dialogue Ajouter un utilisateur s’affiche.
Dans la zone Nom d’utilisateur, tapez un nom unique pour l’utilisateur.

Évitez les espaces, les deux-points et les virgules dans le nom d’utilisateur.
Dans la zone ID utilisateur, tapez un ID unique pour l’utilisateur.
Dans la zone Nom complet, tapez le nom complet de l’utilisateur.

Si le nom complet contient des espaces, mettez-le entre guillemets. Évitez les deux-points et les virgules.
Dans les zones Mot de passe et Confirmer le mot de passe, entrez un mot de passe de connexion pour l’utilisateur et vérifiez votre saisie.
Dans la liste Classe de connexion, sélectionnez le privilège d’accès de l’utilisateur :
- operator
- read-only
- unauthorized
Cette liste inclut également toutes les classes de connexion définies par l’utilisateur.
Cliquez dans OK la boîte de dialogue Ajouter un utilisateur et dans la boîte de dialogue Modifier la gestion des utilisateurs.
Vérifiez OK votre configuration et enregistrez-la en tant que configuration candidate.
Après avoir configuré l’appareil, cliquez sur Commit Options>Commit.

Résultats

En mode configuration, confirmez votre configuration en entrant la show system login commande. Si la sortie n’affiche pas la configuration prévue, répétez les instructions de configuration de cet exemple pour la corriger.

L’exemple suivant montre comment créer des comptes pour quatre utilisateurs. Il montre également comment créer un compte pour l’utilisateur remotedu modèle. Tous les utilisateurs utilisent l’une des classes de connexion système par défaut.

Après avoir configuré l’appareil, passez commit en mode de configuration.

Vérification

Vérifiez que la configuration fonctionne correctement.

Vérifier la configuration des nouveaux utilisateurs

But
Action

But

Vérifiez que les nouveaux utilisateurs sont configurés.

Action

Connectez-vous à l’appareil avec le ou les nouveaux comptes utilisateur et le mot de passe pour confirmer que vous y avez accès.

Configurer les comptes d’utilisateur dans un groupe de configuration

Pour faciliter la configuration des mêmes comptes d’utilisateur sur plusieurs appareils, configurez les comptes à l’intérieur d’un groupe de configuration. Les exemples présentés ici se trouvent dans un groupe de configuration appelé global. L’utilisation d’un groupe de configuration pour vos comptes d’utilisateurs est facultative.

Pour créer un compte utilisateur :

Ajoutez un nouvel utilisateur à l’aide du nom d’utilisateur de connexion au compte qui lui a été attribué.

(Facultatif) Configurez un nom descriptif pour le compte.

Si le nom comprend des espaces, placez-le entre guillemets.

Par exemple :

(Facultatif) Définissez l’identifiant utilisateur (UID) du compte.
Comme pour les systèmes UNIX, l’UID applique les autorisations utilisateur et l’accès aux fichiers. Si vous ne définissez pas l’UID, le logiciel vous en attribue un. Le format de l’UID est un nombre compris entre 100 et 64 000.
Par exemple :
Affectez l’utilisateur à une classe de connexion.
Vous pouvez définir vos propres classes de connexion ou affecter l’une des classes de connexion prédéfinies.

Les classes de connexion prédéfinies sont les suivantes :
- Super-utilisateur : toutes les autorisations
- Opérateur : effacer, mettre en réseau, réinitialiser, tracer et afficher les autorisations
- Lecture seule : affichez les autorisations
- Non autorisé : aucune autorisation
Par exemple :
Utilisez l’une des méthodes suivantes pour configurer le mot de passe de l’utilisateur :
- Pour entrer un mot de passe en texte clair que le système chiffre pour vous, utilisez la commande suivante pour définir le mot de passe de l’utilisateur :
  Lorsque vous saisissez le mot de passe en texte brut, le logiciel le chiffre. Vous n’avez pas besoin de configurer le logiciel pour chiffrer le mot de passe. Les mots de passe en texte brut sont masqués et marqués comme ## SECRET-DATA dans la configuration.
- Pour entrer un mot de passe chiffré, utilisez la commande suivante pour définir le mot de passe de l’utilisateur :
  
  ATTENTION :
  
  N’utilisez pas l’option encrypted-password à moins que le mot de passe ne soit déjà chiffré et que vous saisissiez la version chiffrée du mot de passe.
  
  Si vous configurez accidentellement l’option avec un mot de passe en texte brut ou avec des guillemets vides ( » « ), vous ne pourrez pas vous connecter à l’appareil en tant qu’utilisateur encrypted-password .
- Pour charger des clés publiques précédemment générées à partir d’un fichier nommé à un emplacement d’URL spécifié, utilisez la commande suivante :
- Pour entrer une chaîne publique SSH, utilisez la commande suivante :
Au niveau supérieur de la configuration, appliquez le groupe de configuration.
Si vous utilisez un groupe de configuration, vous devez l’appliquer pour qu’il prenne effet.
Validez la configuration.
Pour vérifier la configuration, déconnectez-vous et reconnectez-vous en tant que nouvel utilisateur.