Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
이 페이지에서
 

사용자 계정

Junos OS을(를) 활성화하면 시스템 관리자가 라우터, 스위치 및 보안 사용자에 대한 계정을 만들 수 있습니다. 모든 사용자는 시스템 로그인 클래스 중 하나에 속합니다.

사용자가 라우터, 스위치 또는 보안 디바이스에 액세스할 수 있도록 사용자 계정을 만듭니다. 모든 사용자는 디바이스에 로그인하기 전에 사전 정의된 사용자 계정을 가져야 합니다. 사용자 계정을 만들고 각 사용자 계정에 대한 로그인 이름 및 식별 정보를 정의합니다.

사용자 계정 개요

사용자 계정은 사용자가 디바이스 액세스할 수 있는 한 가지 수단을 제공합니다. 각 계정의 경우, 사용자 로그인 이름, 비밀번호 및 추가적인 사용자 정보를 지정해야 합니다. 계정을 생성한 이후에는 소프트웨어가 사용자를 위해 홈 디렉터리를 만듭니다.

사용자 계정 root은(는) 항상 구성에 있습니다. root-authentication문을 root사용하여 에 대한 비밀번호를 구성할 수 있습니다.

원격 인증 서버를 사용하여 사용자에 대한 정보를 중앙 집중식으로 저장하는 것이 일반적이지만, 각 디바이스에 적어도 하나의 비-루트 사용자를 구성하는 것도 바람직합니다. 원격 인증 서버와의 연결이 중단되면 이러한 방식으로 여전히 디바이스에 액세스할 수 있습니다. 이 비-루트 사용자는 일반적으로 admin와(과) 같은 일반적인 이름을 가집니다.

각 사용자 계정의 경우 다음을 지정할 수 있습니다.

  • 사용자 이름(필수): 사용자를 식별하는 이름. 고유한 이름이어야 합니다. 사용자 이름에 공백, 콜론 또는 쉼표를 사용하지 않도록 하십시오. 사용자 이름은 최대 64자까지 포함할 수 있습니다.

  • 사용자 이름: (선택 사항) 이름에 공백이 포함되어 있는 경우 따옴표를 붙입니다. 콜론 또는 쉼표를 사용하지 않도록 하십시오.

  • 사용자 식별자(UID): (선택 사항) 사용자 계정 이름과 관련된 숫자 식별자. UID는 구성을 커밋할 때 자동으로 지정되므로 수동으로 설정할 필요가 없습니다. 그러나 UID를 수동으로 구성하기로 결정한 경우 100에서 64,000까지 범위의 고유한 값을 사용합니다.

  • 사용자의 액세스 특권: (필수) [edit system login]계층의 class문에 정의된 로그인 클래스 중 하나 또는 기본 로그인 클래스 중 하나.

  • 디바이스 액세스를 위한 인증 방법 또는 메서드 및 비밀번호(필수): SSH 키, Message Digest 5(MD5) 비밀번호 또는 비밀번호 데이터베이스에 입력하기 전에 MD5 스타일 암호화를 사용하여 Junos OS 암호화하는 평범한 텍스트 비밀번호를 사용할 수 있습니다. 각 메서드의 경우, 사용자의 비밀번호를 지정할 수 있습니다. plain-text-password 옵션을 구성하면 비밀번호를 입력하고 확인하라는 메시지가 표시됩니다.

    유효한 일반 텍스트 비밀번호를 생성하려면 다음을 확인해야 합니다.

    • 6~128자를 포함하는지 확인합니다.

    • 대부분의 문자 클래스(대문자, 소문자, 숫자, 구두점 및 기타 특수 문자)를 포함하지만 컨트롤 문자를 포함하지 않는지 확인합니다.

    • 적어도 하나의 케이스 또는 문자 클래스의 변경 내용을 포함하는지 확인합니다.

    Junos-FIPS 및 Common Criteria는 다음과 같은 특수한 비밀번호 요구 사항을 갖습니다. 다음 요구 사항을 충족해야 합니다.

    • 10~20자 사이의 길이여야 합니다.
    • 5개의 정의된 문자 모음(대문자, 소문자, 자릿수, 구두점 및 기타 특수 문자) 중 적어도 3개를 사용해야 합니다.

    디바이스에 Junos-FIPS가 설치되어 있는 경우, 특수 비밀번호 요구 사항을 준수하거나 비밀번호를 구성하지 않아야 합니다.

SSH 인증의 경우, SSH 키 파일 내용을 구성으로 복사할 수 있습니다. 또한 SSH 키 정보를 직접 구성할 수도 있습니다. load-key-file 문을 사용하여 이전에 생성한 SSH 키 파일을 로드합니다(예를 들어, ssh-keygen 사용). load-key-file 인수는 파일 위치 및 이름에 대한 경로입니다. load-key-file 문은 RSA(SSH 버전 1 및 SSH 버전 2) 공개 키를 로드합니다. load-key-file 문을 구성한 직후 SSH 키 파일 내용이 구성으로 복사됩니다.

다음 전송 레이어 보안(TLS) 버전 및 사이퍼 스위트(RSA 호스트 키) 조합을 사용하지 않도록 합니다. 이를 사용할 경우 실패합니다.

RSA 호스트 키 사용:

  • TLS_1.0@DHE-RSA-AES128-SHA

  • TLS_1.0@DHE-RSA-AES256-SHA

각 사용자 계정 및 루트 로그인의 경우 사용자 인증을 위한 하나 이상의 공개 RSA 키를 구성할 수 있습니다. 사용자가 사용자 계정 또는 루트로 로그인한 경우, 구성된 공개 키를 참조하여 비공개 키가 사용자 계정과 일치하는지 여부를 결정합니다.

SSH 키 항목을 보려면 구성 모드 show 명령을 사용합니다. 예:

Junos-FIPS 암호화 담당자 및 사용자 계정 개요

Junos-FIPS는 제한된 사용자 역할 집합을 정의합니다. 사용자에게 다양한 기능을 제공하는 Junos OS와 달리 FIPS 140-2는 특정 유형의 사용자(암호화 담당자, 사용자 및 유지보수 담당자)를 정의합니다. 암호화 담당자 및 FIPS 사용자는 모든 FIPS 관련 구성 작업을 수행하고 모든 FIPS 관련 명령을 실행합니다. Crypto Officer 및 FIPS 사용자 구성은 FIPS 140-2 지침을 따라야 합니다. 일반적으로 암호화 담당자만 FIPS 관련 작업을 수행할 수 있습니다.

암호화 담당자 사용자 구성

Junos-FIPS는 FIPS 140-2에서 요구하는 것보다 더 세밀하게 사용자 권한을 제어합니다. FIPS 140-2 준수를 위해,secret securitymaintenance권한 비트가 설정된 Junos-FIPS 사용자는 모두 암호 책임자입니다. 대부분의 경우 super-user 클래스를 암호 담당자용으로 예약해야 합니다. FIPS 사용자는,secret ,security maintenance비트가 설정되지 않은 Junos-FIPS 사용자로 정의할 수 있습니다.

FIPS 사용자 구성

암호화 담당자는 FIPS 사용자를 설정합니다. FIPS 사용자는 일반적으로 암호화 담당자에게 예약된 특정 권한을 가집니다. 예를 들어, 시스템 및 개별 AS-II FIPS PIC를 영점화할 수 있는 FIPS 사용자 권한을 부여할 수 있습니다.

예: 새 사용자 계정 구성

이 예시는 새로운 사용자 계정을 구성하는 방법을 보여줍니다.

요구 사항

이 기능을 사용하는 데 특별한 구성이 필요하지 않습니다.

개요

디바이스의 로컬 데이터베이스에 새 사용자 계정을 추가할 수 있습니다. 각 계정에 대해 시스템 관리자는 사용자의 로그인 이름과 패스워드를 정의하고 액세스 권한에 대한 로그인 클래스를 지정합니다. 로그인 패스워드는 다음 기준을 충족해야 합니다.

  • 패스워드는 최소 6자 이상이어야 합니다.

  • 패스워드에 대부분의 문자 클래스(알파벳, 숫자, 특수문자)를 포함할 수 있지만 제어 문자를 포함할 수는 없습니다.

  • 패스워드에는 1개 이상의 대소문자나 문자 클래스가 포함되어야 합니다.

이 예시에서는 operator-and-boot라는 이름의 로그인 클래스를 생성하고 디바이스를 재부팅할 수 있도록 허용합니다. 원하는 수의 로그인 클래스를 정의할 수 있습니다. 그런 다음 operator-and-boot 로그인 클래스가 다음 비트에 정의된 명령을 사용하도록 합니다.

  • clear

  • 네트워크

  • reset

  • trace

  • view permission

다음으로 사용자 계정을 생성하여 디바이스에 대한 액세스를 활성화합니다. 사용자 이름을 randomuser로 설정하고 로그인 클래스를 superuser로 설정합니다. 마지막으로 사용자에 대해 암호화된 패스워드를 정의합니다.

구성

절차

CLI 빠른 구성

이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 [edit]계층 수준에서 명령을 CLI로 복사해 붙여 넣은 다음, 구성 모드에서 commit을(를) 입력합니다.

단계별 절차

새 사용자 구성 방법:

  1. 로그인 클래스 이름을 설정하고 재부팅 명령 사용을 허용합니다.

  2. 로그인 클래스에 대한 권한 비트를 설정합니다.

  3. 사용자에 대한 사용자 이름, 로그인 클래스, 암호화된 패스워드를 설정합니다.

GUI 빠른 구성
단계별 절차

새 사용자 구성 방법:

  1. J-Web 사용자 인터페이스에서 Configure>System Properties>User Management을(를) 선택합니다.

  2. Edit을(를) 클릭합니다. 사용자 관리 편집(Edit User Management) 대화 상자가 열립니다.

  3. Users 탭을 선택합니다.

  4. Add을(를) 클릭하여 새 사용자를 추가합니다. 사용자 추가(Add User) 대화 상자가 열립니다.

  5. 사용자(User) 이름 상자에 사용자에 대한 고유 이름을 입력합니다.

    사용자 이름에서 공백, 콜론, 쉼표를 사용하지 않습니다.

  6. 사용자 ID(User ID) 상자에 사용자에 대한 고유 ID를 입력합니다.

  7. 이름(Full Name) 상자에 사용자의 이름 전체를 입력합니다.

    이름에 공백이 포함되어 있는 경우 따옴표를 붙입니다. 콜론과 쉼표를 사용하지 않습니다.

  8. 패스워드(Password)와 패스워드 확인(Confirm Password) 상자에 사용자에 대한 로그인 패스워드를 입력하고 입력한 내용을 확인합니다.

  9. 로그인 클래스(Login Class) 목록에서 사용자의 액세스 권한을 선택합니다.

    • operator

    • read-only

    • unauthorized

    이 목록에는 사용자 정의된 로그인 클래스도 포함됩니다.

  10. 사용자 추가(Add User) 대화 상자와 사용자 관리 편집(Edit User Management) 대화 상자에서 OK을(를) 클릭합니다.

  11. OK을(를) 클릭하여 구성을 확인하고 후보 구성으로 저장합니다.

  12. 디바이스를 구성한 후 Commit Options>Commit을(를) 클릭합니다.

결과

구성 모드에서 show system login 명령을 입력하여 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.

다음 예시는 4명의 사용자에 대한 계정을 만드는 방법을 보여줍니다. 또한 템플릿 사용자 remote에 대해 계정을 만드는 방법도 보여줍니다. 모든 사용자는 기본 시스템 로그인 클래스 중 하나를 사용합니다.

디바이스를 구성한 후 구성 모드에서 commit을(를) 입력하십시오.

검증

구성이 올바르게 작동하고 있는지 확인합니다.

새 사용자 구성 확인

목적

새 사용자가 구성된 것을 확인합니다.

작업

새 사용자 계정과 패스워드를 사용하여 디바이스에 로그인한 뒤 액세스 권한이 있는지 확인합니다.

구성 그룹에서 사용자 계정 구성

여러 디바이스에서 동일한 사용자 계정을 쉽게 구성하려면 구성 그룹 내에서 계정을 구성합니다. 여기에 표시된 예는 global이라는 구성 그룹에서 있습니다. 사용자 계정의 구성 그룹을 사용하는 것은 선택 사항입니다.

사용자 계정을 생성하기 위해 다음을 수행합니다.

  1. 사용자에게 할당된 계정 로그인 이름을 사용해 새로운 사용자를 추가합니다.
  2. (선택 사항) 계정에 대한 설명 이름을 구성합니다.

    이름에 공백이 포함되어 있는 경우 전체 이름을 따옴표로 묶습니다.

    예:

  3. (선택 사항) 계정의 사용자 식별자(UID)를 설정합니다.

    UNIX 시스템과 마찬가지로 UID는 사용자 권한 및 파일 액세스를 적용합니다. UID를 설정하지 않은 경우 소프트웨어 중 하나를 할당합니다. UID의 형식은 100에서 64,000 사이의 수입니다.

    예:

  4. 로그인 클래스에 사용자를 할당합니다.

    자신만의 고유의 로그인 클래스를 정의하거나 사전 정의된 로그인 클래스 중 하나를 할당할 수 있습니다.

    사전 정의된 로그인 클래스는 다음과 같습니다.

    • 슈퍼 사용자 - 모든 권한

    • 운영자 - 지우기, 네트워크, 재설정, 추적 및 보기 권한

    • 읽기 전용 - 보기 권한

    • 권한 없음 - 권한이 없음

    예:

  5. 사용자 비밀번호를 구성하기 위해 다음 방법 중 하나를 사용합니다.

    • 시스템에서 암호화하는 일반 텍스트 암호를 입력하기 위해 다음 명령을 사용해 사용자 암호를 설정합니다.

      암호를 일반 텍스트로 입력하면 소프트웨어가 그것을 암호화합니다. 암호를 암호화하기 위해 소프트웨어를 구성할 필요는 없습니다. 일반 텍스트 암호는 숨겨져 있으며 구성에서 ## SECRET-DATA로 표시됩니다.

    • 암호화된 암호를 입력하기 위해 다음 명령을 사용해 사용자 암호를 설정합니다.

      경고:

      암호가 이미 암호화되어 있고 암호화된 버전의 암호를 입력하는 경우가 아니면 encrypted-password 옵션은 사용하지 마십시오.

      실수로 encrypted-password 옵션을 일반 텍스트 암호나 빈 따옴표(")로 구성한 경우 이 사용자로 디바이스에 로그인할 수 없습니다.

    • 지정된 URL 위치에 명명된 파일에서 이전에 생성된 공용 키를 불러오기 위해 다음 명령을 사용합니다.

    • SSH 공용 문자열을 입력하기 위해 다음 명령을 사용합니다.

  6. 구성의 최상위 수준에서 구성 그룹을 적용합니다.

    구성 그룹을 사용하는 경우 해당 구성 그룹을 적용해야 합니다.

  7. 구성을 커밋합니다.
  8. 구성을 확인하기 위해 로그아웃한 후 새로운 사용자로 다시 로그인하십시오.