Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Junos OS 사용자 계정

Junos OS 라우터, 스위치 및 보안 사용자를 위한 계정을 만들 수 있습니다. 또한 모든 사용자는 시스템 로그인 클래스 중 하나에 속합니다.

Junos OS 디바이스에 로그인하기 전에 모든 사용자에게 사전 정의된 사용자 계정이 필요합니다. 각 사용자 계정에서 사용자에 대한 로그인 이름과 사용자를 식별하는 정보를 정의할 수 있습니다. 사용자 계정은 사용자가 라우터나 스위치 또는 보안 장치에 액세스할 수 있는 방법을 제공합니다. 자세한 내용은 이 주제를 읽어 보시죠.

사용자 계정 개요

Junos OS Junos OS Evolved 사용자 계정은 사용자가 디바이스에 액세스할 수 있는 한 가지 방법을 제공합니다. (사용자 인증 방법에 설명된 바와 같이 RADIUS 또는 TACACS+ 서버를 구성한 경우 계정 없이 장비에 액세스할 Junos OS 수 있습니다.) 각 계정에 대해 사용자에 대한 로그인 이름과 암호를 정의하고, 선택적으로 사용자를 위한 추가 매개 변수 및 메타데이터를 정의할 수 있습니다. 계정을 만든 후 소프트웨어는 사용자를 위한 홈 디렉토리를 생성합니다.

사용자에 대한 계정은 root 항상 구성에 존재합니다. 루트 암호 구성에 설명된 바와 같이 루트 인증 명령문을 사용할 수 있도록 암호를 root구성합니다.root-authentication

원격 인증 서버를 사용하여 사용자에 대한 정보를 중앙에서 저장하는 것은 일반적인 관행입니다. 이와 같은 경우에도 원격 인증 서버에 대한 액세스가 중단되는 경우, 각 장비에서 하나 이상의 비 루트 사용자를 직접 구성하는 것이 좋습니다. 이 비 루트 사용자에는 일반적으로 1과 같은 일반 이름이 admin 있습니다.

각 사용자 계정에서 다음과 같은 정의할 수 있습니다.

  • Username: 사용자를 식별하는 이름 디바이스 내에서 고유해야 합니다. 사용자 이름에 공백, 콜론 또는 콤마를 포함하지 말 것. 사용자 이름에는 최대 64자까지 이름이 있을 수 있습니다.

  • 사용자 이름: (선택 사항) 정식 이름에 공백이 포함되어 있는 경우 견적 마크에 동봉합니다. 콜론 또는 콤비를 포함하지 말 것.

  • 사용자 식별자(UID): (선택 사항) 사용자 계정 이름과 연관된 Numeric 식별자입니다. 일반적으로 구성을 커밋할 때 소프트웨어가 자동으로 UID를 할당하기 때문에 UID를 설정할 필요가 없습니다. 그러나 UID를 수동으로 구성하는 경우, 100에서 64,000 범위에 있어야하며 디바이스 내에서 고유해야 합니다.

    UID가 고유한지 확인해야 합니다. 그러나 동일한 UID를 다른 사용자에게 할당할 수 있습니다. 이렇게 하는 경우 구성을 커밋하면 CLI 경고가 표시된 다음 중복 UID를 할당합니다.

  • 사용자의 액세스 권한: (필수) 계층 수준에서 명령문에 정의된 로그인 클래스 또는 사용자 액세스 권한에 나열된 기본 클래스 Junos OS class[edit system login]있습니다.

  • 사용자가 장비에 액세스하는 데 사용할 수 있는 인증 방법 또는 방법 및 암호— SSH 또는 MD5(Message Digest 5) 암호를 사용하거나 Junos OS 암호 데이터베이스에 입력하기 전에 MD5 스타일의 암호화를 사용하여 암호화하는 일반 텍스트 암호를 입력할 수 있습니다. 각 메소드에 대해 사용자 암호를 지정할 수 있습니다. 옵션을 구성하면 암호를 입력하고 확인하라는 메시지가 plain-text-password 표시됩니다.

    일반 텍스트 암호의 기본 요구 사항은

    • 암호는 6자에서 128자 사이에 있어야 합니다.

    • 대부분의 문자 클래스를 암호(대문자, 소문자, 번호, 문장 부호 및 기타 특수 문자)에 포함할 수 있습니다. 제어 문자는 권장하지 않습니다.

    • 유효한 암호는 케이스 또는 문자 클래스에 대한 최소 한 번의 변경을 포함해야 합니다.

    Junos-FIPS 및 Common Criteria에는 특수한 암호 요구 사항이 있습니다. FIPS 및 Common Criteria 암호는 10자에서 20자 사이에 길이가 되어야 합니다. 암호는 정의된 5개의 문자 집합(대소문자, 소문자, 숫자, 문장 부호 및 기타 특수 문자)을 최소 3개 이상 사용해야 합니다. Junos-FIPS가 장치에 설치되는 경우 이 표준을 충족하지 않는 한 암호를 구성할 수 없습니다.

SSH 인증의 경우 SSH 키 파일의 내용을 구성에 복사하거나 SSH 키 정보를 직접 구성할 수 있습니다. URL load-key-file 파일명 명령을 사용하여 이전에 생성된 SSH 키 파일을 로딩합니다(예: ssh-keygen URL 파일명은 파일의 위치와 이름로 가는 경로입니다. 이 명령어는 RSA(SSH 버전 1 및 SSH 버전 2) 및 DSA(SSH 버전 2) 공용 키를 로드합니다. SSH 키 파일의 내용은 명령문을 입력한 직후 구성에 load-key-file 복사됩니다. 선택적으로 SSH 키를 직접 구성하기 위해 > 호스트 ssh-rsa <from 이름과 공용 키 호스트 > 명령문을 사용할 수 있습니다. ssh-dsa <from

다음과 같은 TLS 버전과 암호 스위트 조합은 지정된 유형의 호스트 키를 사용할 때 실패합니다.

RSA 호스트 키 사용 시:

  • TLS_1.0@DHE-RSA-AES128-SHA

  • TLS_1.0@DHE-RSA-AES256-SHA

DSA 호스트 키 사용 시:

  • TLS 1.0(기본 암호)

  • TLS 1.1(기본 암호)

  • TLS_1.0@DHE-DSS-AES128-SHA

  • TLS_1.0@DHE-DSS-AES256-SHA

각 사용자 계정 및 루트 로그인의 경우 사용자 인증을 위해 두 개 이상의 공용 RSA 또는 DSA 키를 구성할 수 있습니다. 사용자 계정 또는 루트로 로그인하면 구성된 공용 키가 참조하여 개인 키와 일치하는지 여부를 확인할 수 있습니다.

SSH 키 항목을 확인하려면 Configuration 모드 명령을 show 사용하여 몇 가지 예를 들면 다음과 같습니다.

Junos-FIPS 암호화 책임자 및 사용자 계정 개요

Junos-FIPS는 제한된 사용자 역할 세트를 정의합니다. 광범위한 Junos OS 기능을 지원할 수 있는 기존 플랫폼과 달리, FIPS 140-2는 특정 유형의 사용자(암호화 책임자, 사용자 및 유지 보수)를 정의합니다. 암호화 담당자와 FIPS 사용자는 모든 FIPS 관련 구성 작업을 수행하고 모든 FIPS 관련 명령을 발행합니다. 암호화 담당자 및 FIPS 사용자 구성은 FIPS 140-2 가이드라인을 준수해야 합니다. 일반적으로 암호화 담당자 이외에는 FIPS 관련 작업을 수행할 수 없습니다.

암호화 책임자 사용자 구성

Junos-FIPS는 FIPS 140-2에 의해 요청된 권한보다 사용자 권한을 보다 세분화합니다. FIPS 140-2 준수의 경우 , 및 권한 비트 세트가 있는 Junos-FIPS 사용자는 암호화 secretsecuritymaintenance 책임자입니다. 대부분의 경우, 강의는 암호화 super-user 책임자(Crypto Officer)를 위해 예약해야 합니다. FIPS User는 , 및 비트 세트가 없는 모든 Junos-FIPS secretsecuritymaintenance 사용자로 정의할 수 있습니다.

FIPS 사용자 구성

암호화 담당자가 FIPS 사용자를 설정합니다. FIPS 사용자는 암호화 책임자에 대해 일반적으로 예약된 권한을 부여할 수 있습니다. 예를 들어 시스템과 개별 AS-II FIPS PICs를 제로화할 수 있는 권한도 있습니다.

예를 들면 다음과 같습니다. 사용자 계정 구성

다음 예제에서는 4개의 라우터 또는 스위치 사용자에 대한 계정을 생성하고 템플릿 사용자에 대한 계정을 만드는 방법을 remote 보여줍니다. 모든 사용자는 기본 시스템 로그인 클래스 중 하나를 이용합니다. 또한 사용자에게는 SSH 인증을 위해 구성된 2개의 DSA(디지털 신호 alexander 알고리즘) 공용 키가 있습니다.

예를 들면 다음과 같습니다. 신규 사용자 구성

이 예에서는 새 사용자를 구성하는 방법을 보여줍니다.

요구 사항

이 기능을 구성하기 전에 장비 초기화 이외에는 특별한 구성이 필요하지 않습니다.

개요

디바이스의 로컬 데이터베이스에 새 사용자를 추가할 수 있습니다. 각 계정에 대해 사용자에 대한 로그인 이름과 암호를 정의하고 액세스 권한에 대한 로그인 클래스를 지정합니다. 로그인 암호는 다음 기준을 충족해야 합니다.

  • 암호는 최소 6자 이상이 되어야 합니다.

  • 대부분의 문자 클래스를 암호(영문자, 숫자, 특수 문자)에 포함하지만 제어 문자는 포함할 수 없습니다.

  • 암호는 케이스 또는 문자 클래스에 대한 최소 한 번의 변경을 포함해야 합니다.

이 예에서는 운영자 및 부팅이라는 로그인 클래스를 생성하고 디바이스를 재부팅할 수 있도록 허용합니다. 원하는 수의 로그인 클래스를 정의할 수 있습니다. 그런 다음, 운영자-부팅 로그인 클래스가 clear, 네트워크, 리셋, 추적 및 보기 권한 비트에 정의된 명령을 사용할 수 있도록 합니다.

그런 다음 사용자 계정을 생성합니다. 사용자 계정을 통해 장비에 액세스할 수 있습니다. (또는 TACACS+ 서버를 구성한 경우 계정 없이 RADIUS 액세스할 수 있습니다.) 사용자 이름을 cmartin으로 설정하고 로그인 클래스를 수퍼러(superuser)로 설정할 수 있습니다. 마지막으로, 사용자를 위해 암호화된 암호를 정의합니다.

구성

절차

CLI 빠른 구성

이 예제를 신속하게 구성하려면 다음 명령을 복사하여 텍스트 파일에 붙여넣기하고, 라인 끊기를 제거하고, 네트워크 구성과 일치하는 데 필요한 세부 정보를 변경하고, 계층 수준에서 명령어를 CLI 입력한 다음 구성 모드에서 [edit]commit 입력합니다.

GUI 빠른 구성
단계별 절차

신규 사용자를 구성하는 경우:

  1. J-Web 사용자 인터페이스에서 Configure>System Properties>User Management 를 선택합니다.

  2. Edit을 클릭합니다. 사용자 관리 편집 대화 상자가 나타납니다.

  3. 탭을 Users 선택합니다.

  4. Add 사용자를 추가하려면 클릭하십시오. Add User 대화 상자가 나타납니다.

  5. User name box에서 사용자에 대한 고유 이름을 입력합니다.

    사용자 이름에 공백, 콜론 또는 콤마를 포함하지 말 것.

  6. 사용자 ID 상자에서 사용자에 대한 고유 ID를 입력합니다.

  7. Full Name 상자에서 사용자의 전체 이름을 입력합니다.

    정식 이름에 공백이 포함되어 있는 경우 견적 마크에 동봉합니다. 콜론 또는 콤비를 포함하지 말 것.

  8. Password and Confirm Password 상자에서 사용자를 위한 로그인 암호를 입력하고 항목을 검증합니다.

  9. Login Class 목록에서 사용자의 액세스 권한을 선택합니다.

    • operator

    • read-only

    • unauthorized

    이 목록에는 사용자 정의 로그인 클래스도 포함되어 있습니다.

  10. OKAdd User 대화 상자를 클릭하고 사용자 관리 편집 대화 상자를 클릭합니다.

  11. 구성을 OK 확인하고 후보 구성으로 저장하려면 클릭하십시오.

  12. 디바이스 구성이 완료되면 Commit Options>Commit 을 클릭합니다.

단계별 절차

다음 예제에서는 구성 계층의 다양한 수준을 탐색해야 합니다. 이를 위한 지침은 에서 Configuration Mode의 CLI 편집자 사용 CLI 참조하십시오.

신규 사용자를 구성하는 경우:

  1. 로그인 클래스의 이름을 설정하고 재부팅 명령어를 사용할 수 있도록 합니다.

  2. 로그인 클래스에 대한 권한 비트를 설정합니다.

  3. 사용자 이름, 로그인 클래스 및 암호화된 암호를 설정할 수 있습니다.

결과

구성 모드에서 명령을 입력하여 구성을 show system login 확인 출력이 의도한 구성을 표시하지 않는 경우 이 예제에서 구성 지침을 반복하여 수정합니다.

다음 예제에서는 4개의 라우터 또는 스위치 사용자에 대한 계정을 생성하고 템플릿 사용자에 대한 계정을 만드는 방법을 remote 보여줍니다. 모든 사용자는 기본 시스템 로그인 클래스 중 하나를 이용합니다. 또한 사용자에게는 SSH 인증을 위해 구성된 2개의 DSA(디지털 신호 alexander 알고리즘) 공용 키가 있습니다.

다음 예제에서는 4개의 라우터 또는 스위치 사용자에 대한 계정을 생성하고 템플릿 사용자에 대한 계정을 만드는 방법을 remote 보여줍니다. 모든 사용자는 기본 시스템 로그인 클래스 중 하나를 이용합니다. 또한 사용자에게는 SSH 인증을 위해 구성된 2개의 DSA(디지털 신호 alexander 알고리즘) 공용 키가 있습니다.

다음 예제에서는 4개의 라우터 또는 스위치 사용자에 대한 계정을 생성하고 템플릿 사용자에 대한 계정을 만드는 방법을 remote 보여줍니다. 모든 사용자는 기본 시스템 로그인 클래스 중 하나를 이용합니다. 또한 사용자에게는 SSH 인증을 위해 구성된 2개의 DSA(디지털 신호 alexander 알고리즘) 공용 키가 있습니다.

디바이스 구성이 완료되면 commit 구성 모드에서 입력합니다.

주:

완벽하게 RADIUS 또는 TACACS+ 인증을 설정하려면 최소 1개 이상의 RADIUS 또는 TACACS+ 서버를 구성하고 사용자 템플릿 계정을 지정해야 합니다. 다음 작업 중 하나를 수행합니다.

확인

구성이 제대로 작동하고 있는지 확인합니다.

새로운 사용자 구성 확인

목적

새 사용자가 구성된지 확인

실행

작동 모드에서 명령어를 show system login 입력합니다.

구성 그룹을 사용하여 사용자 계정 구성

Junos OS Junos OS Evolved 사용자 계정은 여러 디바이스에 구성되어 있기 때문에 일반적으로 구성 그룹 내에서 구성됩니다. 여기에 표시된 예제는 이라는 구성 그룹에서 볼 수 global 있습니다. 사용자 계정에 구성 그룹을 사용하는 것은 선택 사항입니다.

사용자 계정을 생성하려면 다음을 사용하세요.

  1. 사용자의 할당된 계정 로그인 이름을 사용하여 새 사용자를 추가합니다.
  2. (선택 사항) 계정에 대한 전체 설명 이름을 구성합니다.

    정식 이름에 공백이 포함되어 있는 경우 전체 이름을 견적 마크에 동봉합니다.

    몇 가지 예를 들면 다음과 같습니다.

  3. (선택 사항) 계정에 대한 사용자 ID(UID)를 설정합니다.

    UNIX 시스템과 함께 UID는 사용자 권한 및 파일 액세스를 적용합니다. UID를 설정하지 않은 경우 소프트웨어가 사용자에게 할당할 수 있습니다. UID의 형식은 100 ~ 64000 범위의 많은 수입니다.

    몇 가지 예를 들면 다음과 같습니다.

  4. 사용자를 로그인 클래스에 할당합니다.

    자체 로그인 클래스를 정의하거나 사전 정의한 로그인 클래스 중 하나를 할당할 수 있습니다.

    사전 정의한 로그인 클래스는 다음과 같습니다.

    • 수퍼 유저(super-user)—모든 권한

    • 운영자—clear, 네트워크, 리셋, 추적 및 권한 보기

    • 읽기 전용— 권한 보기

    • 인증되지 않은 권한 없음

    몇 가지 예를 들면 다음과 같습니다.

  5. 다음 방법 중 하나를 사용하여 사용자 암호를 구성합니다.
    • 시스템이 사용자를 위해 암호화하는 투명 텍스트 암호를 입력하기 위해 다음 명령을 사용하여 사용자 암호를 설정할 수 있습니다.

      일반 텍스트에 암호를 입력하면 소프트웨어는 암호를 즉시 암호화합니다. 다른 시스템에서와 같은 암호를 암호화하도록 소프트웨어를 구성할 책임이 없습니다. 따라서 일반 텍스트 암호는 숨겨져 구성에서 ## SECRET-DATA로 표시됩니다.

    • 이미 암호화된 암호를 입력하고, 다음 명령을 사용하여 사용자 암호를 설정할 수 있습니다.

      경고:

      암호가 이미 암호화되고 암호의 암호화된 버전을 입력하지 않는 한 이 옵션을 encrypted-password 사용하지 않습니다.

      일반 텍스트 암호로 옵션을 구성하거나 빈 견적 표시(" ")를 사용하는 경우 이 사용자로 장비에 로그인할 encrypted-password 수 없습니다.

    • 이전에 생성된 공용 키를 지정된 URL 위치에서 로드하기 위해 다음 명령을 사용하여 사용자 암호를 설정할 수 있습니다.

    • ssh public string을 입력하기 위해 다음 명령을 사용하여 사용자 암호를 설정할 수 있습니다.

  6. 구성의 최상위 수준에서 구성 그룹을 적용합니다.

    구성 그룹을 사용하는 경우 해당 그룹이 적용되는 데 적용해야 합니다.

  7. 구성을 커밋합니다.
  8. 구성을 확인하려면 로그아웃하고 새 사용자로 로그인합니다.