Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Junos OS cuentas de usuario

Junos OS le permite crear cuentas para usuarios de enrutador, conmutador y seguridad. Todos los usuarios también pertenecen a una de las clases de inicio de sesión del sistema.

Junos OS requiere que todos los usuarios tengan una cuenta de usuario predefinida para poder iniciar sesión en el dispositivo. Para cada cuenta de usuario, se define el nombre de inicio de sesión para el usuario y, opcionalmente, la información que identifica al usuario. Las cuentas de usuario permiten que los usuarios tengan acceso a un enrutador o un conmutador o un dispositivo de seguridad. Lea este tema para obtener más información.

Descripción general de cuentas de usuario

Junos OS y Junos OS de usuario evolucionado proporcionan una forma para que los usuarios accedan al dispositivo. (Los usuarios pueden acceder al dispositivo sin cuentas si configuró RADIUS o los servidores TACACS +, tal y como se describe en Junos os métodos de autenticación de usuario). Para cada cuenta, debe definir el nombre de inicio de sesión y la contraseña del usuario y, opcionalmente, parámetros y metadatos adicionales para el usuario. Después de crear una cuenta, el software crea un directorio principal para el usuario.

Siempre hay una cuenta para root el usuario en la configuración. Puede configurar la contraseña para root utilizar la instrucción root-Authentication , tal y como se describe en Configuring the root password.

Es una práctica común utilizar servidores de autenticación remota para almacenar de forma centralizada la información acerca de los usuarios. Aún así, también es una buena práctica configurar al menos un usuario que no sea raíz directamente en cada dispositivo, en caso de que se interrumpa el acceso al servidor de autenticación remota. Este único usuario no raíz suele tener un nombre genérico, como admin.

Para cada cuenta de usuario, puede definir lo siguiente:

  • Usuario Nombre que identifica al usuario. Debe ser único dentro del dispositivo. No incluya espacios, dos puntos o comas en el nombre de usuario. El nombre de usuario puede tener hasta 64 caracteres.

  • Nombre completo del usuario: (Opcional) Si el nombre completo contiene espacios, entre comillas. No incluya signos de dos puntos o comas.

  • Identificador de usuario (UID): Adicional Identificador numérico asociado con el nombre de cuenta de usuario. Por lo general, no es necesario establecer el UID, ya que el software lo asigna automáticamente cuando se ejecuta la configuración. Sin embargo, si configura manualmente el UID, debe encontrarse en el intervalo de 100 a 64.000 y debe ser único dentro del dispositivo.

    Debe asegurarse de que el UID sea único. Sin embargo, es posible asignar el mismo UID a distintos usuarios. Si lo hace, la CLI mostrará una advertencia cuando confirme la configuración y, a continuación, asignará el UID duplicado.

  • Privilegio de acceso del usuario: (Obligatorio) Una de las clases de inicio de sesión que definió en la instrucción en el nivel de jerarquía o una de las clases predeterminadas enumeradas en Junos OS de acceso class[edit system login] de usuario.

  • Método de autenticación o métodos y contraseñas que el usuario puede usar para acceder al dispositivo: puede usar SSH o una contraseña de síntesis de mensajes 5 (MD5) o puede ingresar una contraseña de texto sin formato que el Junos OS cifra mediante cifrado al estilo MD5 antes de introducirla en la base de datos de contraseñas. Para cada método, puede especificar la contraseña del usuario. Si configura la plain-text-password opción, se le pedirá que escriba y confirme la contraseña:

    Los requisitos predeterminados para las contraseñas de texto sin formato son:

    • La contraseña debe tener entre 6 y 128 caracteres.

    • Puede incluir la mayoría de las clases de caracteres en una contraseña (letras mayúsculas, letras minúsculas, números, signos de puntuación y otros caracteres especiales). No se recomienda utilizar caracteres de control.

    • Las contraseñas válidas deben contener al menos un cambio de mayúsculas o minúsculas o de la clase de caracteres.

    Junos-FIPS y Common Criteria tienen requisitos de contraseña especiales. Las contraseñas de FIPS y Common Criteria deben tener una longitud comprendida entre 10 y 20 caracteres. Las contraseñas deben utilizar al menos tres de los cinco conjuntos de caracteres definidos (letras mayúsculas, letras minúsculas, dígitos, signos de puntuación y otros caracteres especiales). Si Junos-FIPS está instalado en el dispositivo, no podrá configurar contraseñas a menos que cumplan este estándar.

En el caso de la autenticación SSH, puede copiar el contenido de un archivo de clave SSH en la configuración o configurar directamente la información de clave de SSH. Utilice el load-key-file comando url filename para cargar un archivo de clave SSH que se generó anteriormente, por ejemplo, mediante ssh-keygen . El nombre de archivo URL es la ruta a la ubicación y el nombre del archivo. Este comando carga las claves públicas de RSA (SSH versión 1 y SSH versión 2) y DSA (SSH versión 2). El contenido del archivo de claves SSH se copia en la configuración inmediatamente después de especificar la load-key-file instrucción. Opcionalmente, puede usar ssh-dsa <from el nombre de host ssh-rsa <from de clave pública > y el nombre de host de clave pública>instrucciones para configurar directamente las claves SSH.

Las siguientes combinaciones de versión de TLS y conjunto de cifrado fallarán cuando use el tipo especificado de clave de host.

Con claves de host RSA:

  • TLS_1.0@DHE-RSA-AES128-SHA

  • TLS_1.0@DHE-RSA-AES256-SHA

Con claves de host DSA:

  • TLS 1.0 (cifrados predeterminados)

  • TLS 1.1 (cifrados predeterminados)

  • TLS_1.0@DHE-DSS-AES128-SHA

  • TLS_1.0@DHE-DSS-AES256-SHA

Para cada cuenta de usuario y para los inicios de sesión raíz, puede configurar más de una clave RSA o DSA pública para la autenticación del usuario. Cuando un usuario inicia una sesión utilizando una cuenta de usuario o como raíz, se hace referencia a las claves públicas configuradas para determinar si la clave privada coincide con alguna de ellas.

Para ver las entradas de claves SSH, utilice el comando show modo de configuración. Por ejemplo:

Junos-comparador de cifrado de FIPS y cuentas de usuario

Junos-FIPS define un conjunto restringido de roles de usuario. A diferencia del Junos OS, que habilita una amplia gama de capacidades a los usuarios, FIPS 140-2 define tipos específicos de usuarios (descifrador, usuario y mantenimiento). Los usuarios de FIPS y los encargados de la criptografía realizan todas las tareas de configuración relacionadas con FIPS y emiten todos los comandos relacionados con FIPS. Las configuraciones de los usuarios del descifrado y del FIPS deben seguir las directrices de FIPS 140-2. Normalmente, ningún usuario aparte de un responsable de cifrado puede realizar tareas relacionadas con FIPS.

Configuración de usuario de Crypto Office

Junos-FIPS ofrece un control más preciso de los permisos de usuario que los mandatos de FIPS 140-2. Para la conformidad FIPS 140-2, cualquier usuario Junos-FIPS con el, secretsecurityy maintenance el conjunto de bits de permiso es un director de cifrado. En la mayoría de los super-user casos, la clase debe reservarse para un responsable de cifrado. Se puede definir un usuario de FIPS como cualquier usuario de Junos-FIPS que no tenga secretlos securitybits, maintenance y.

Configuración de usuario FIPS

Un encargador de cifrado configura a los usuarios de FIPS. A los usuarios de FIPS se les pueden conceder permisos que normalmente están reservados para un funcionario de cifrado; por ejemplo, el permiso para hacer que se doble con el sistema y que sea individual como-II FIPS PICs.

Ejemplo Configuración de cuentas de usuario

En el ejemplo siguiente se muestra cómo crear cuentas para cuatro usuarios de un enrutador o conmutador, y crear una remotecuenta para el usuario de la plantilla. Todos los usuarios utilizan una de las clases predeterminadas de inicio de sesión del sistema. El alexander usuario también tiene dos claves públicas DSA (algoritmo de señal digital) configuradas para la autenticación SSH.

Ejemplo Configuración de nuevos usuarios

En este ejemplo se muestra cómo configurar nuevos usuarios.

Aplicables

Antes de configurar esta característica, es necesaria una configuración especial más allá de la inicialización del dispositivo.

Descripción general

Puede agregar usuarios nuevos a la base de datos local del dispositivo. Para cada cuenta, defina un nombre de inicio de sesión y una contraseña para el usuario y especifique una clase de inicio de sesión para los privilegios de acceso. La contraseña de inicio de sesión debe cumplir los siguientes criterios:

  • La contraseña debe tener al menos seis caracteres de longitud.

  • Puede incluir la mayoría de las clases de caracteres en una contraseña (caracteres alfabéticos, numéricos y especiales), pero no en los caracteres de control.

  • La contraseña debe contener al menos un cambio de mayúsculas o minúsculas o de la clase de carácter.

En este ejemplo, creará una clase login llamada Operator-and-boot y le permitirá reiniciar el dispositivo. Puede definir cualquier número de clases de inicio de sesión. A continuación, permite que la clase de inicio de sesión Operator and-boot Utilice comandos definidos con bits de permiso Clear, Network, Reset, Trace y View.

A continuación, creará las cuentas de usuario. Las cuentas de usuario le permiten tener acceso al dispositivo. (Puede acceder al dispositivo sin cuentas si configuró RADIUS o servidores TACACS +). Puede definir el nombre de usuario como Cmartin y la clase de inicio de sesión como superusuario. Por último, debe definir la contraseña cifrada para el usuario.

Automática

Modalidades

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los [edit] comandos en la CLI en el nivel de jerarquía y, a continuación, entrar commit desde el modo de configuración.

Configuración rápida de GUI
Procedimiento paso a paso

Para configurar nuevos usuarios:

  1. En la interfaz de usuario de J-Web Configure>System Properties>User Management, seleccione.

  2. Haga Editclic en. Aparecerá el cuadro de diálogo Editar administración de usuarios.

  3. Seleccione la Users ficha.

  4. Haga Add clic aquí para agregar un nuevo usuario. Aparecerá el cuadro de diálogo Agregar usuario.

  5. En el cuadro Nombre de usuario, escriba un nombre único para el usuario.

    No incluya espacios, dos puntos o comas en el nombre de usuario.

  6. En el cuadro ID de usuario, escriba un identificador único para el usuario.

  7. En el cuadro Nombre completo, escriba el nombre completo del usuario.

    Si el nombre completo contiene espacios, inclúyalo entre comillas. No incluya signos de dos puntos o comas.

  8. En los cuadros contraseña y Confirmar contraseña, escriba una contraseña de inicio de sesión para el usuario y Compruebe la entrada.

  9. En la lista Clase de inicio de sesión, seleccione el privilegio de acceso del usuario:

    • operator

    • read-only

    • unauthorized

    Esta lista también incluye cualquier clase de inicio de sesión definida por el usuario.

  10. Haga OK clic en el cuadro de diálogo Agregar usuario y editar administración de usuarios.

  11. Haga OK clic aquí para comprobar su configuración y guardarla como configuración candidata.

  12. Si ha terminado de configurar el dispositivo, haga Commit Options>Commitclic en.

Procedimiento paso a paso

El ejemplo siguiente requiere que se exploren varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte uso del editor de CLI en el modo de configuración en la guía del usuario de CLI.

Para configurar nuevos usuarios:

  1. Establezca el nombre de la clase login y permita el uso del comando reboot.

  2. Establezca los bits de permiso para la clase login.

  3. Establece el nombre de usuario, clase de inicio de sesión y contraseña cifrada del usuario.

Resultados

Desde el modo de configuración, escriba el show system login comando para confirmar la configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirlo.

En el ejemplo siguiente se muestra cómo crear cuentas para cuatro usuarios de un enrutador o conmutador, y crear una remotecuenta para el usuario de la plantilla. Todos los usuarios utilizan una de las clases predeterminadas de inicio de sesión del sistema. El alexander usuario también tiene dos claves públicas DSA (algoritmo de señal digital) configuradas para la autenticación SSH.

En el ejemplo siguiente se muestra cómo crear cuentas para cuatro usuarios de un enrutador o conmutador, y crear una remotecuenta para el usuario de la plantilla. Todos los usuarios utilizan una de las clases predeterminadas de inicio de sesión del sistema. El alexander usuario también tiene dos claves públicas DSA (algoritmo de señal digital) configuradas para la autenticación SSH.

En el ejemplo siguiente se muestra cómo crear cuentas para cuatro usuarios de un enrutador o conmutador, y crear una remotecuenta para el usuario de la plantilla. Todos los usuarios utilizan una de las clases predeterminadas de inicio de sesión del sistema. El alexander usuario también tiene dos claves públicas DSA (algoritmo de señal digital) configuradas para la autenticación SSH.

Si ha terminado de configurar el dispositivo, entre commit en el modo de configuración.

Nota:

Para configurar completamente RADIUS o una autenticación TACACS +, debe configurar al menos un servidor RADIUS o TACACS +, y especificar una cuenta de plantilla de usuario. Realice una de las tareas siguientes:

Comproba

Confirme que la configuración funciona correctamente.

Verificación de la configuración de los nuevos usuarios

Purpose

Compruebe que se han configurado los nuevos usuarios.

Intervención

En modo operativo, escriba el show system login comando.

Configurar cuentas de usuario mediante un grupo de configuración

Dado Junos OS y Junos OS las cuentas de usuario evolucionadas se configuran en varios dispositivos, por lo general se configuran dentro de un grupo de configuración. Como tal, los ejemplos que se muestran aquí se encuentran en un globalgrupo de configuración llamado. El uso de un grupo de configuración para las cuentas de usuario es opcional.

Para crear una cuenta de usuario:

  1. Agregue un usuario nuevo mediante el nombre de inicio de sesión de la cuenta asignada del usuario.
  2. Adicional Configure un nombre descriptivo completo para la cuenta.

    Si el nombre completo incluye espacios, incluya el nombre completo entre comillas.

    Por ejemplo:

  3. Adicional Establezca el identificador de usuario (UID) para la cuenta.

    Al igual que con los sistemas UNIX, UID exige permisos de usuario y acceso a los archivos. Si no establece el UID, como el software le asigna uno. El formato del UID es un número comprendido en el rango de 100 a 64000.

    Por ejemplo:

  4. Asigne el usuario a una clase login.

    Puede definir sus propias clases de inicio de sesión o asignar una de las clases de inicio de sesión predefinidas.

    Las clases de inicio de sesión predefinidas son las siguientes:

    • superusuu general: todos los permisos

    • operador: permisos clear, network, reset, trace y view

    • solo lectura: ver permisos

    • no autorizado: sin permiso

    Por ejemplo:

  5. Utilice uno de los métodos siguientes para configurar la contraseña de usuario.
    • Para escribir una contraseña sin cifrar que el sistema Cifre por usted, utilice el siguiente comando para establecer la contraseña de usuario:

      A medida que ingresa la contraseña como texto sin formato, el software la cifra de inmediato. No es necesario configurar el software para cifrar la contraseña como en otros sistemas. Por lo tanto, las contraseñas de texto sin formato se ocultan y se marcan como # # datos secretos en la configuración.

    • Para escribir una contraseña que ya esté cifrada, utilice el siguiente comando para establecer la contraseña de usuario:

      PRECAUCIÓN:

      No utilice la encrypted-password opción a menos que la contraseña ya esté cifrada y esté introduciendo la versión cifrada de la contraseña.

      Si configura accidentalmente la encrypted-password opción con una contraseña de texto sin formato o con comillas ("") en blanco, no podrá iniciar sesión en el dispositivo como este usuario.

    • Para cargar claves públicas previamente generadas a partir de un archivo con nombre en una ubicación URL especificada, utilice el comando siguiente para establecer la contraseña de usuario:

    • Para especificar una cadena pública SSH, utilice el siguiente comando para establecer la contraseña de usuario:

  6. En el nivel superior de la configuración, aplique el grupo de configuración.

    Si utiliza un grupo de configuración, debe aplicarlo para que surta efecto.

  7. Confirme la configuración.
  8. Para verificar la configuración, cierre la sesión y vuelva a iniciarla como el nuevo usuario.