Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Junos OS учетных записей пользователей

Junos OS позволяет создавать учетные записи для маршрутизатора, коммутатора и пользователей безопасности. Все пользователи также принадлежат к одному из классов входа в систему.

Junos OS требует, чтобы у всех пользователей была предопределена учетная запись пользователя, прежде чем они смогут войти на устройство. Для каждой учетной записи пользователя определяется имя пользователя для входа и, дополнительно, информация, идентифицируемая пользователем. Учетные записи пользователей предоставляют пользователям доступ к маршрутизатору, коммутатору или устройство обеспечения безопасности. Дополнительные сведения об этом разделе.

Обзор учетных записей пользователей

учетные записи Junos OS и Junos OS Evolved обеспечивают пользователям доступ к устройству одним способом. (Пользователи могут получить доступ к устройству без учетных записей, если RADIUS серверы TACACS+, как описано в Junos OS методов аутентификациипользователей.) Для каждой учетной записи определяется имя пользователя и пароль, а также дополнительные параметры и метаданные для пользователя. После создания учетной записи программное обеспечение создает для пользователя домашний каталог.

Учетная запись пользователя root всегда присутствует в конфигурации. Пароль настроен для использования утверждения аутентификации корня, как описано в описании документа Настройка rootкорневого пароля.root-authentication

Обычно для централизованного хранения информации о пользователях используются удаленные серверы аутентификации. Даже в этом случае, в случае нарушения доступа к удаленному серверу аутентификации, лучше всего настраивать на каждом устройстве хотя бы одного некорнячного пользователя. Этот некорневой пользователь обычно имеет общее имя, admin например.

Для каждой учетной записи пользователя можно определить следующее:

  • Пользователя: Имя, которое идентифицирует пользователя. Он должен быть уникальным внутри устройства. Не включай пробелы, двоеточия или запятые в имя пользователя. Имя пользователя может иметь длину до 64 символов.

  • Полное имя пользователя: (Необязательно) Если полное имя содержит пробелы, занося его в кавычках. Не включает двоеточие или запятые.

  • Идентификатор пользователя (UID): (Необязательно) Цифровой идентификатор, связанный с именем учетной записи пользователя. Обычно не требуется устанавливать UID, поскольку программное обеспечение автоматически назначает его при сфиксации конфигурации. Однако при настройке UID вручную он должен находится в диапазоне от 100 до 64 000 и должен быть уникальным внутри устройства.

    Необходимо убедиться, что UID уникален. Тем не менее, один и тот же UID можно назначить разным пользователям. Если это сделать, интерфейс командной строки отображает предупреждение о сфиксации конфигурации, а затем назначает дубликат UID.

  • Привилегии доступа пользователя: (Требуется) Один из классов входа, определенных в утверждениях на уровне иерархии, или один из классов по умолчанию, перечисленных в Junos OS class[edit system login] доступа пользователя.

  • Метод или методы аутентификации, которые пользователь может использовать для доступа к устройству . Можно использовать пароль SSH или Message Digest 5 (MD5) или ввести простой пароль, который Junos OS шифровать с помощью шифрования ВD5-стиле перед вводом его в базу данных пароля. Для каждого метода можно указать пароль пользователя. При настройке plain-text-password параметра будет предложено ввести и подтвердить пароль:

    Стандартные требования для простых паролей:

    • Пароль должен иметь длину от 6 до 128 символов.

    • Большинство классов символов можно включить в пароль (заголовные буквы, буквы в нижнем регистре, цифры, знаки препинания и другие специальные символы). Символы управления не рекомендуется.

    • Допустимые пароли должны содержать как минимум одну смену случая или класса символов.

    Junos-FIPS и общие критерии предъявляют особые требования к паролям. Пароли FIPS и общих критериев должны иметь длину от 10 до 20 символов. Пароли должны использовать как минимум три из пяти определенных наборов символов (за верхнем регистре, буквы в нижнем регистре, цифры, знаки препинания и другие специальные символы). Если Junos-FIPS установлено на устройстве, нельзя настроить пароли, если они не соответствуют данному стандарту.

Для аутентификации SSH можно скопировать содержимое файла ключа SSH в конфигурацию или напрямую настроить информацию ключа SSH. Используйте команду load-key-file URL filename для загрузки ранее сгенерированного файла ключа SSH. ssh-keygen Имя файла URL-адреса является путем к расположению и имени файла. Эта команда загружает открытые ключи RSA (SSH версии 1 и SSH версии 2) и DSA (SSH версии 2). Содержимое файла ключа SSH копируется в конфигурацию сразу после ввода load-key-file утверждения. Дополнительно можно использовать имя ssh-dsa <from хоста общего ключа > ssh-rsa <from имя хоста и имя хоста > для прямой настройки SSH-ключей.

При использовании указанного типа ключа хоста не удастся использовать следующую TLS-версию и комбинации наборов шифров.

С ключами хоста RSA:

  • TLS_1.0@DHE-RSA-AES128-SHA

  • TLS_1.0@DHE-RSA-AES256-SHA

С ключами хоста DSA:

  • TLS 1.0 (шифры по умолчанию)

  • TLS 1.1 (шифры по умолчанию)

  • TLS_1.0@DHE-DSS-AES128-SHA

  • TLS_1.0@DHE-DSS-AES256-SHA

Для каждой учетной записи пользователя и корневого входа можно настроить несколько публичных ключей RSA или DSA для аутентификации пользователя. При входе пользователя в систему с использованием учетной записи пользователя или в качестве корневого используется настройка открытых ключей, с помощью которых можно определить, совпадает ли этот частный ключ с любым из них.

Для просмотра записей SSH-ключей используется команда режима show конфигурации. Например:

Обзор Junos-FIPS Crypto Officer и учетных записей пользователей

Junos-FIPS определяет ограниченный набор ролей пользователей. В отличие Junos OS, которая обеспечивает широкий диапазон возможностей для пользователей, FIPS 140-2 определяет конкретные типы пользователей (Crypto Officer, User, and Maintenance). Crypto Officers и пользователи FIPS выполняют все связанные с FIPS задачи конфигурации и выполняют все связанные с FIPS команды. Конфигурации crypto Officer и пользователя FIPS должны следовать инструкциям FIPS 140-2. Обычно пользователь, кроме crypto Officer, не может выполнять задачи, связанные с FIPS.

Конфигурация пользователя Crypto Officer

Junos-FIPS обеспечивает более точное управление пользовательскими разрешениями, чем те, которые ого затверяются FIPS 140-2. Для соответствия FIPS 140-2 любой Junos-FIPS с набором битов разрешения и набором разрешений secretsecurity является crypto maintenance Officer. В большинстве случаев класс super-user следует резервировать для crypto Officer. Пользователя FIPS можно определить как любого Junos-FIPS, у него нет установленных битов и secretsecuritymaintenance битов.

Конфигурация пользователя FIPS

Криптограф настраивает пользователей FIPS. Пользователям FIPS могут быть предоставлены разрешения, обычно зарезервированные для crypto Officer; например, разрешение на нули системы и отдельных РС AS-II FIPS.

Примере: Настройка учетных записей пользователей

В следующем примере показано, как создавать учетные записи для четырех пользователей маршрутизатора или коммутатора, а также создавать учетную запись для пользователя remote шаблона. Все пользователи используют один из классов входа в систему по умолчанию. У alexander пользователя также есть два открытых алгоритма цифровых сигналов (DSA), настроенных для аутентификации SSH.

Примере: Настройка новых пользователей

В данном примере показано, как настраивать новых пользователей.

Требования

До настройки этой функции специальная настройка после инициализации устройства не требуется.

Обзор

Новых пользователей можно добавить в локовую базу данных устройства. Для каждой учетной записи определяется имя пользователя и пароль для входа, а также определяется класс входа для привилегий доступа. Пароль входа должен соответствовать следующим критериям:

  • Пароль должен иметь длину не менее шести символов.

  • Большинство классов символов можно включить в пароль (алфавитный, цифровой и специальный символы), но не символы управления.

  • Пароль должен содержать хотя бы одно изменение случая или класса символов.

В данном примере создается класс входа с именем operator-and-boot, который позволяет перезагрудить устройство. Можно определить любое количество классов входа. Затем вы разрешаете классу входа оператора и загрузки использовать команды, определенные в битах clear, network, reset, trace и view permission.

Затем создаются учетные записи пользователей. Учетные записи пользователей позволяют получить доступ к устройству. (Можно получить доступ к устройству без учетных записей, если настроены RADIUS серверы TACACS+. Вы установили имя пользователя как cmartin, а класс входа в систему — как суперпользователь. Наконец, определяется зашифрованный пароль для пользователя.

Конфигурации

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все разрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите из режима [edit]commit конфигурации.

Быстрое настройка с GUI
Пошаговая процедура

Чтобы настроить новых пользователей:

  1. В пользовательском интерфейсе J-Web выберите Configure>System Properties>User Management .

  2. Нажмите Edit кнопку . Появится диалоговое окно Edit User Management (Редактирование управления пользователем).

  3. Выберите Users вкладку.

  4. AddЩелкните, чтобы добавить нового пользователя. Появится диалоговое окно Add User (Добавление пользователя).

  5. В поле User name (Имя пользователя) введите уникальное имя пользователя.

    Не включай пробелы, двоеточия или запятые в имя пользователя.

  6. В поле User ID (ID пользователя) введите уникальный ID для пользователя.

  7. В поле Full Name (Полное имя) введите полное имя пользователя.

    Если полное имя содержит пробелы, занося его в кавычках. Не включает двоеточие или запятые.

  8. В полях Password (Пароль) и Confirm Password (Подтверждение пароля) введите для пользователя пароль для входа и проверьте свой ввод.

  9. В списке Login Class выберите привилегию доступа пользователя:

    • operator

    • read-only

    • unauthorized

    В этот список также входят все классы входа, определенные пользователем.

  10. Щелкните OK диалоговое окно Add User (Добавить пользователя) и edit User Management (Редактировать управление пользователем).

  11. OKЩелкните, чтобы проверить конфигурацию и сохранить ее в качестве возможной конфигурации.

  12. После настройки устройства нажмите кнопку Commit Options>Commit .

Пошаговая процедура

В следующем примере необходимо провести различные уровни в иерархии конфигурации. Инструкции по этому способу см. в "Использование редактора интерфейс командной строки в режиме конфигурации" в руководстве интерфейс командной строки пользователя.

Чтобы настроить новых пользователей:

  1. Задайте имя класса входа и разрешим использование команды reboot.

  2. Установите биты разрешения для класса входа.

  3. Установите для пользователя имя пользователя, класс входа и зашифрованный пароль.

Результаты

В режиме конфигурации подтвердите конфигурацию, введите show system login команду. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

В следующем примере показано, как создавать учетные записи для четырех пользователей маршрутизатора или коммутатора, а также создавать учетную запись для пользователя remote шаблона. Все пользователи используют один из классов входа в систему по умолчанию. У alexander пользователя также есть два открытых алгоритма цифровых сигналов (DSA), настроенных для аутентификации SSH.

В следующем примере показано, как создавать учетные записи для четырех пользователей маршрутизатора или коммутатора, а также создавать учетную запись для пользователя remote шаблона. Все пользователи используют один из классов входа в систему по умолчанию. У alexander пользователя также есть два открытых алгоритма цифровых сигналов (DSA), настроенных для аутентификации SSH.

В следующем примере показано, как создавать учетные записи для четырех пользователей маршрутизатора или коммутатора, а также создавать учетную запись для пользователя remote шаблона. Все пользователи используют один из классов входа в систему по умолчанию. У alexander пользователя также есть два открытых алгоритма цифровых сигналов (DSA), настроенных для аутентификации SSH.

После настройки устройства войдите в commit режим конфигурации.

Прим.:

Чтобы полностью RADIUS или аутентификацию TACACS+, необходимо настроить по крайней мере одну RADIUS или TACACS+ сервер и указать учетную запись пользовательского шаблона. Выполнение одной из следующих задач:

Проверки

Подтвердим, что конфигурация работает правильно.

Проверка конфигурации новых пользователей

Цель

Убедитесь, что новые пользователи настроены.

Действий

В рабочем режиме введите show system login команду.

Настройка учетных записей пользователей с помощью группы конфигурации

Поскольку учетные записи Junos OS Junos OS и Junos OS Evolved настраиваются на нескольких устройствах, обычно они настраиваются внутри группы конфигураций. Таким образом, примеры, показанные здесь, находятся в группе конфигураций с и названием global . Использование группы конфигурации для учетных записей пользователей необязательно.

Для создания учетной записи пользователя:

  1. Добавьте нового пользователя, используя имя для входа в систему с присвоенной учетной записью.
  2. (Необязательно) Настройте полное описательное имя учетной записи.

    Если полное имя содержит пробелы, занесем все имя в кавычках.

    Например:

  3. (Необязательно) Установите идентификатор пользователя (UID) для учетной записи.

    Как и в системах UNIX, UID обеспечивает выполнение пользовательских разрешений и доступа к файлам. Если UID не задан, программа назначает его вам. Формат UID – это число в диапазоне от 100 до 64000.

    Например:

  4. Назначьте пользователя классу входа.

    Можно определить собственные классы входа или назначить один из заранее определенных классов входа.

    Предопределенные классы входа:

    • супер-пользователь — все разрешения

    • оператор — очистка, сеть, сброс, трассировка и просмотр разрешений

    • read-only — просмотр разрешений

    • неавторизованные — без разрешений

    Например:

  5. Используйте один из следующих методов настройки пароля пользователя.
    • Чтобы ввести зашифрованный системой пароль, используйте следующую команду, чтобы установить пароль пользователя:

      При вводе пароля простым текстом программное обеспечение шифрует его немедленно. Не нужно настраивать программное обеспечение для шифрования пароля, как в некоторых других системах. Поэтому неявные пароли являются скрытыми и в конфигурации помечены как ## SECRET-DATA.

    • Чтобы ввести пароль, который уже зашифрован, используйте следующую команду для того, чтобы установить пароль пользователя:

      ОСТОРОЖНО:

      Не используйте этот параметр, если пароль не зашифрован и не вводите зашифрованную encrypted-password версию пароля.

      Если случайно настроить параметр с нелицензивным паролем или с пустыми кавычками ( «), то войти в систему с помощью этого encrypted-password пользователя нельзя.

    • Чтобы загрузить ранее сгенерированные открытые ключи из именуемого файла в указанное местоположение URL, используйте следующую команду, чтобы установить пароль пользователя:

    • Чтобы ввести строку ssh public, используйте следующую команду для ввода пароля пользователя:

  6. Применим группу конфигурации на верхнем уровне.

    При использовании группы конфигураций необходимо применить ее для того, чтобы она вступила в силу.

  7. Сфиксировать конфигурацию.
  8. Для проверки конфигурации войдите в систему и войдите в качестве нового пользователя.