Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Cuentas de usuario

Junos OS le permite (el administrador del sistema) crear cuentas para usuarios de enrutadores, conmutadores y seguridad. Todos los usuarios pertenecen a una de las clases de inicio de sesión del sistema.

Puede crear cuentas de usuario para que los usuarios puedan acceder a un enrutador, conmutador o dispositivo de seguridad. Todos los usuarios deben tener una cuenta de usuario predefinida antes de poder iniciar sesión en el dispositivo. Se crean cuentas de usuario y, a continuación, se define el nombre de inicio de sesión y la información de identificación de cada cuenta de usuario.

Descripción general de cuentas de usuario

Las cuentas de usuario proporcionan una forma para que los usuarios accedan a un dispositivo. Para cada cuenta, se define el nombre de inicio de sesión, la contraseña y cualquier información adicional del usuario. Después de crear una cuenta, el software crea un directorio de inicio para el usuario.

Una cuenta para el usuario root siempre está presente en la configuración. Puede configurar la contraseña para root usar la root-authentication instrucción.

Aunque es común usar servidores de autenticación remotos para almacenar de forma centralizada información sobre los usuarios, también es una buena práctica configurar al menos un usuario no raíz en cada dispositivo. De esta manera, aún puede acceder al dispositivo si se interrumpe su conexión con el servidor de autenticación remota. Este usuario no raíz suele tener un nombre genérico como admin.

Para cada cuenta de usuario, puede definir lo siguiente:

  • Nombre de usuario (obligatorio): Nombre que identifica al usuario. Debe ser único. Evite usar espacios, dos puntos o comas en el nombre de usuario. El nombre de usuario puede incluir hasta 64 caracteres.

  • Nombre completo del usuario: (Opcional) Si el nombre completo contiene espacios, colópelo entre comillas. Evite el uso de dos puntos o comas.

  • Identificador de usuario (UID): (Opcional) Identificador numérico asociado con el nombre de cuenta de usuario. El UID se asigna automáticamente al confirmar la configuración, por lo que no es necesario establecerla manualmente. Sin embargo, si elige configurar el UID manualmente, use un valor único en el intervalo de 100 a 64 000.

  • Privilegios de acceso del usuario: (Obligatorio) Una de las clases de inicio de sesión definidas en la class instrucción de la [edit system login] jerarquía o una de las clases de inicio de sesión predeterminadas.

  • Método o métodos de autenticación y contraseñas para el acceso al dispositivo (obligatorio): Puede usar una clave SSH, una contraseña de síntesis de mensaje 5 (MD5) o una contraseña de texto sin formato que Junos OS se cifra mediante el cifrado del estilo MD5 antes de introducirla en la base de datos de contraseñas. Para cada método, puede especificar la contraseña del usuario. Si configura la plain-text-password opción, recibirá un mensaje para ingresar y confirmar la contraseña:

    Para crear contraseñas de texto sin formato válidas, asegúrese de que:

    • Contienen entre 6 y 128 caracteres.

    • Incluye la mayoría de las clases de caracteres (letras mayúsculas, minúsculas, números, signos de puntuación y otros caracteres especiales), pero no incluyen caracteres de control.

    • Contener al menos un cambio de clase de caso o carácter.

    Junos-FIPS y Common Criteria tienen los siguientes requisitos especiales de contraseña. Deben:

    • Tener entre 10 y 20 caracteres.
    • Utilice al menos tres de los cinco conjuntos de caracteres definidos (letras mayúsculas, minúsculas, dígitos, signos de puntuación y otros caracteres especiales).

    Si Junos-FIPS está instalado en el dispositivo, debe cumplir con los requisitos especiales de contraseña o las contraseñas no están configuradas.

Para la autenticación SSH, puede copiar el contenido de un archivo de clave SSH en la configuración. También puede configurar la información de clave SSH directamente. Utilice la load-key-file instrucción para cargar un archivo de clave SSH generado anteriormente (por ejemplo, mediante ssh-keygen). El load-key-file argumento es la ruta a la ubicación y el nombre del archivo. La load-key-file instrucción carga las claves públicas RSA (SSH versión 1 y SSH versión 2). El contenido del archivo de clave SSH se copia en la configuración inmediatamente después de configurar la load-key-file instrucción.

Evite usar las siguientes combinaciones de versión de seguridad de capa de transporte (TLS) y conjunto de cifrado (clave de host RSA), que producirá un error:

Con las claves de host RSA:

  • TLS_1.0@DHE-RSA-AES128-SHA

  • TLS_1.0@DHE-RSA-AES256-SHA

Para cada cuenta de usuario y para inicios de sesión raíz, puede configurar más de una clave RSA pública para la autenticación de usuario. Cuando un usuario inicia sesión con una cuenta de usuario o como raíz, se hace referencia a las claves públicas configuradas para determinar si la clave privada coincide con alguna de las cuentas de usuario.

Para ver las entradas de clave SSH, utilice el comando de modo show de configuración. Por ejemplo:

Descripción general de cuentas de usuario y oficial criptográfico de Junos-FIPS

Junos-FIPS define un conjunto restringido de roles de usuario. A diferencia de Junos OS, que permite una amplia gama de capacidades para los usuarios, FIPS 140-2 define tipos específicos de usuarios (Crypto Officer, Usuario y Mantenimiento). Los agentes criptográficos y los usuarios de FIPS realizan todas las tareas de configuración relacionadas con FIPS y emiten todos los comandos relacionados con FIPS. Las configuraciones de los agentes criptográficos y de usuario de FIPS deben seguir las pautas de FIPS 140-2. Por lo general, solo un agente criptográfico puede realizar tareas relacionadas con FIPS.

Configuración de usuario de Crypto Officer

Junos-FIPS le ofrece un control más fino de los permisos de usuario que los exigidos por FIPS 140-2. Para la conformidad con FIPS 140-2, cualquier usuario de Junos-FIPS con el secretconjunto de bits de securitypermiso y maintenance , es un oficial criptográfico. En la mayoría de los casos, debe reservar la super-user clase para un Agente criptográfico. Un usuario FIPS se puede definir como cualquier usuario de Junos-FIPS que no tenga el secret, securityy maintenance bits configurados.

Configuración de usuario de FIPS

Un agente criptográfico configura a los usuarios de FIPS. Los usuarios de FIPS ciertos permisos normalmente reservados para un agente criptográfico; por ejemplo, puede conceder un permiso de usuario FIPS para cero el sistema y las PIC FIPS individuales de AS-II.

Ejemplo: Configurar nuevas cuentas de usuario

En este ejemplo, se muestra cómo configurar nuevas cuentas de usuario.

Requisitos

No necesita configuraciones especiales antes de usar esta función.

Descripción general

Puede agregar nuevas cuentas de usuario a la base de datos local del dispositivo. Para cada cuenta, usted (el administrador del sistema) define un nombre de inicio de sesión y una contraseña para el usuario y especifica una clase de inicio de sesión para los privilegios de acceso. La contraseña de inicio de sesión debe cumplir los siguientes criterios:

  • La contraseña debe tener al menos seis caracteres de longitud.

  • Puede incluir la mayoría de las clases de caracteres en la contraseña (caracteres alfabéticos, numéricos y especiales), pero no caracteres de control.

  • La contraseña debe contener al menos un cambio de clase de caso o carácter.

En este ejemplo, se crea una clase de inicio de sesión denominada operator-and-boot y se le permite reiniciar el dispositivo. Puede definir cualquier número de clases de inicio de sesión. A continuación, permita que la clase de inicio de sesión de operador y arranque use comandos definidos en los siguientes bits:

  • Claro

  • red

  • Restablecer

  • Rastro

  • permiso de vista

A continuación, cree cuentas de usuario para habilitar el acceso al dispositivo. Establezca el nombre de usuario como randomuser y la clase de inicio de sesión como superusuario. Por último, defina la contraseña cifrada para el usuario.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el [edit] nivel de jerarquía y, luego, ingrese commit en el modo de configuración.

Procedimiento paso a paso

Para configurar nuevos usuarios:

  1. Establezca el nombre de la clase de inicio de sesión y permita el uso del comando de reinicio.

  2. Establezca los bits de permiso para la clase de inicio de sesión.

  3. Establezca el nombre de usuario, la clase de inicio de sesión y la contraseña cifrada para el usuario.

Configuración rápida de GUI
Procedimiento paso a paso

Para configurar nuevos usuarios:

  1. En la interfaz de usuario de J-Web, seleccione Configure>System Properties>User Management.

  2. Haga clic en Edit. Aparecerá el cuadro de diálogo Editar administración de usuarios.

  3. Seleccione la Users pestaña.

  4. Haga clic Add para agregar un nuevo usuario. Aparecerá el cuadro de diálogo Agregar usuario.

  5. En el cuadro Nombre de usuario, escriba un nombre único para el usuario.

    Evite espacios, dos puntos y comas en el nombre de usuario.

  6. En el cuadro ID de usuario, escriba un ID único para el usuario.

  7. En el cuadro Nombre completo, escriba el nombre completo del usuario.

    Si el nombre completo contiene espacios, colópelo entre comillas. Evite los dos puntos y las comas.

  8. En los cuadros Contraseña y Confirmar contraseña, escriba una contraseña de inicio de sesión para el usuario y verifique su entrada.

  9. En la lista Clase de inicio de sesión, seleccione el privilegio de acceso del usuario:

    • operator

    • read-only

    • unauthorized

    Esta lista también incluye cualquier clase de inicio de sesión definida por el usuario.

  10. Haga clic OK en el Cuadro de diálogo Agregar usuario y editar administración de usuarios.

  11. Haga clic OK para comprobar la configuración y guardarla como configuración candidata.

  12. Después de configurar el dispositivo, haga clic en Commit Options>Commit.

Resultados

En el modo de configuración, ingrese el comando para confirmar la show system login configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

En el siguiente ejemplo, se muestra cómo crear cuentas para cuatro usuarios. También muestra cómo crear una cuenta para el usuario remotede la plantilla. Todos los usuarios usan una de las clases predeterminadas de inicio de sesión del sistema.

Después de configurar el dispositivo, ingrese commit al modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Comprobar la configuración de nuevos usuarios

Propósito

Compruebe que los nuevos usuarios están configurados.

Acción

Inicie sesión en el dispositivo con la nueva cuenta de usuario o cuentas y contraseña para confirmar que tiene acceso.

Configurar cuentas de usuario en un grupo de configuración

Para facilitar la configuración de las mismas cuentas de usuario en varios dispositivos, configure las cuentas dentro de un grupo de configuración. Los ejemplos que se muestran aquí se encuentran en un grupo de configuración llamado global. Es opcional usar un grupo de configuración para sus cuentas de usuario.

Para crear una cuenta de usuario:

  1. Agregue un nuevo usuario mediante el nombre de inicio de sesión asignado de la cuenta del usuario.
  2. (Opcional) Configure un nombre descriptivo para la cuenta.

    Si el nombre incluye espacios, encierre el nombre completo entre comillas.

    Por ejemplo:

  3. (Opcional) Establezca el identificador de usuario (UID) para la cuenta.

    Al igual que con los sistemas UNIX, la UID hace cumplir los permisos de usuario y el acceso a archivos. Si no establece el UID, el software asignará uno por usted. El formato de la UID es un número entre 100 y 64 000.

    Por ejemplo:

  4. Asigne al usuario a una clase de inicio de sesión.

    Puede definir sus propias clases de inicio de sesión o asignar una de las clases de inicio de sesión predefinidas.

    Las clases de inicio de sesión predefinidas son las siguientes:

    • superusuario: todos los permisos

    • operador: borrar, red, restablecer, rastrear y ver permisos

    • de solo lectura: ver permisos

    • no autorizados: sin permisos

    Por ejemplo:

  5. Utilice uno de los métodos siguientes para configurar la contraseña de usuario:

    • Para escribir una contraseña de texto sin formato que el sistema cifra por usted, utilice el siguiente comando para establecer la contraseña de usuario:

      A medida que ingresa la contraseña en texto sin formato, el software la cifra. No es necesario configurar el software para cifrar la contraseña. Las contraseñas de texto sin formato se ocultan y se marcan como ## SECRET-DATA en la configuración.

    • Para escribir una contraseña cifrada, utilice el siguiente comando para establecer la contraseña de usuario:

      Precaución:

      No utilice la encrypted-password opción a menos que la contraseña ya esté cifrada y escriba la versión cifrada de la contraseña.

      Si configura accidentalmente la encrypted-password opción con una contraseña de texto sin formato o con comillas en blanco (" "), no podrá iniciar sesión en el dispositivo como este usuario.

    • Para cargar claves públicas generadas anteriormente desde un archivo con nombre en una ubicación URL especificada, utilice el siguiente comando:

    • Para ingresar una cadena pública SSH, utilice el siguiente comando:

  6. En el nivel superior de la configuración, aplique el grupo de configuración.

    Si utiliza un grupo de configuración, debe aplicarlo para que tenga efecto.

  7. Confirme la configuración.
  8. Para comprobar la configuración, cierre sesión y vuelva a iniciar sesión como nuevo usuario.