Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Учетные записи пользователей

Junos OS позволяет (системного администратора) создавать учетные записи для маршрутизатора, коммутатора и пользователей безопасности. Все пользователи принадлежат к одному из классов входа в систему.

Учетные записи пользователей создаются таким образом, чтобы пользователи могли получить доступ к маршрутизатору, коммутатору или устройство обеспечения безопасности. Для входа на устройство у всех пользователей должна быть предопределена учетная запись пользователя. Создаются учетные записи пользователей, а затем определяются имя входа и идентификация для каждой учетной записи.

Обзор учетных записей пользователей

Учетные записи пользователей предоставляют пользователям один из способов доступа к устройству. Для каждой учетной записи определяется имя пользователя, пароль и любая дополнительная информация о пользователе. После создания учетной записи программное обеспечение создает для пользователя домашний каталог.

Учетная запись пользователя root всегда присутствует в конфигурации. Можно настроить пароль для использования root этого root-authentication утверждения.

Хотя для централизованного хранения сведений о пользователях обычно используются удаленные серверы аутентификации, на каждом устройстве лучше настроить по крайней мере одного некорнячного пользователя. Таким образом, можно получить доступ к устройству, если его подключение к удаленному серверу аутентификации будет прервано. Этот некорневой пользователь обычно имеет общее имя, такое как admin .

Для каждой учетной записи пользователя можно определить следующее:

  • Имя пользователя (необходимо): Имя, которое идентифицирует пользователя. Он должен быть уникальным. Избегайте использования пробелов, двоеточий или запятых в имени пользователя. Имя пользователя может включать до 64 символов.

  • Полное имя пользователя: (Необязательно) Если полное имя содержит пробелы, занося его в кавычках. Избегайте использования двоеточий или запятых.

  • Идентификатор пользователя (UID): (Необязательно) Цифровой идентификатор, связанный с именем учетной записи пользователя. При сфиксации конфигурации UID устанавливается автоматически, поэтому нет необходимости устанавливать его вручную. Однако если настроить UID вручную, используйте уникальное значение в диапазоне от 100 до 64 000.

  • Привилегии доступа пользователя: (Требуется) Один из классов входа, определенных в окне иерархии или одного из классов входа по class[edit system login] умолчанию.

  • Метод или методы аутентификации и пароли для доступа к устройствам (требуется): Можно использовать ключ SSH, пароль Message Digest 5 (MD5) или простой пароль, который шифрует шифрование в MD5-стиле перед вводом его в базу данных Junos OS пароля. Для каждого метода можно указать пароль пользователя. При настройке plain-text-password параметра будет выводиться запрос на ввод и подтверждение пароля:

    Чтобы создать допустимые простые пароли, убедитесь, что они:

    • Содержит от 6 до 128 символов.

    • Включай большинство классов символов (за верхнем регистре, буквы, цифры, знаки препинания и другие специальные символы), но не содержат control characters.

    • Содержит хотя бы одно изменение случая или класса символа.

    Junos-FIPS и общие критерии предъявляют следующие особые требования к паролям. Они должны:

    • Длиной от 10 до 20 символов.
    • Используйте как минимум три из пяти определенных наборов символов (за верхнем регистре, буквы в нижнем регистре, цифры, знаки препинания и другие специальные символы).

    Если Junos-FIPS установлено на устройстве, необходимо соблюдать особые требования к паролям, иначе пароли не настроены.

Для аутентификации SSH можно скопировать содержимое файла ключа SSH в конфигурацию. Можно также настроить информацию ключа SSH напрямую. Используйте утверждение для загрузки файла ключа SSH, сгенерированного ранее load-key-file (например, с ssh-keygen помощью). Аргумент load-key-file является путем к расположению и имени файла. Утверждение load-key-file загружает открытые ключи RSA (SSH версии 1 и SSH версии 2). Содержимое файла ключа SSH копируется в конфигурацию сразу после настройки load-key-file утверждения.

Избегайте использования следующих транспортный уровень обеспечения безопасности (TLS) и комбинаций наборов шифров (ключа хоста RSA), которые не смогут использовать следующие комбинации:

С ключами хоста RSA:

  • TLS_1.0@DHE-RSA-AES128-SHA

  • TLS_1.0@DHE-RSA-AES256-SHA

Для каждой учетной записи пользователя и корневого входа можно настроить несколько публичных ключей RSA для аутентификации пользователя. При входе пользователя в систему с использованием учетной записи пользователя или в качестве корневого используется настройка открытых ключей для определения совпадения частного ключа с любой из учетных записей пользователя.

Для просмотра записей ключа SSH используется команда режима show конфигурации. Например:

Обзор Junos-FIPS Crypto Officer и учетных записей пользователей

Junos-FIPS определяет ограниченный набор ролей пользователей. В отличие Junos OS, которая обеспечивает широкий диапазон возможностей для пользователей, FIPS 140-2 определяет конкретные типы пользователей (Crypto Officer, User, and Maintenance). Crypto Officers и пользователи FIPS выполняют все связанные с FIPS задачи конфигурации и выполняют все связанные с FIPS команды. Конфигурации crypto Officer и пользователя FIPS должны следовать инструкциям FIPS 140-2. Обычно только криптограф может выполнять задачи, связанные с FIPS.

Конфигурация пользователя Crypto Officer

Junos-FIPS обеспечивает более тонкое управление пользовательскими разрешениями, чем те, которые ого затверяются FIPS 140-2. Для соответствия FIPS 140-2 любой Junos-FIPS с набором битов разрешения и набором разрешений secretsecurity является crypto maintenance Officer. В большинстве случаев необходимо зарезервировать super-user класс для crypto Officer. Пользователя FIPS можно определить как любого Junos-FIPS, у него нет установленных битов и secretsecuritymaintenance битов.

Конфигурация пользователя FIPS

Криптограф настраивает пользователей FIPS. Пользователи FIPS обычно зарезервированы для криптографа; например, можно предоставить пользователю FIPS разрешение на нули системы и отдельных РС FIPS AS-II.

Примере: Настройка новых учетных записей пользователей

В этом примере показано, как настраивать новые учетные записи пользователей.

Требования

Перед использованием этой функции нет необходимости в специальных настройках.

Обзор

Новые учетные записи пользователей можно добавить в локовую базу данных устройства. Для каждой учетной записи вы (системный администратор) определяете имя пользователя и пароль для входа и определяете класс входа для привилегий доступа. Пароль входа должен соответствовать следующим критериям:

  • Пароль должен иметь длину не менее шести символов.

  • Большинство классов символов можно включить в пароль (алфавитный, цифровой и специальный), но не символы управления.

  • Пароль должен содержать хотя бы одно изменение случая или класса символов.

В данном примере создается класс входа с именем operator-and-boot, который позволяет перезагрудить устройство. Можно определить любое количество классов входа. Затем позвольте классу входа оператора и загрузки использовать команды, определенные в следующих битах:

  • Ясно

  • Сети

  • Сброс

  • Трассировки

  • просмотр разрешений

Затем создайте учетные записи пользователей для обеспечения доступа к устройству. Установите имя пользователя как randomuser, а класс входа — как суперпользователь. Наконец, определите зашифрованный пароль для пользователя.

Конфигурации

Процедуры

интерфейс командной строки быстрой конфигурации

Чтобы быстро настроить этот пример, скопируйте следующие команды, введите их в текстовый файл, удалите все обрывы строки, измените все данные, необходимые для настройки сети, скопируйте и введите команды в интерфейс командной строки на иерархии, а затем войдите в режим [edit]commit настройки.

Пошаговая процедура

Чтобы настроить новых пользователей:

  1. Задайте имя класса входа и разрешим использование команды reboot.

  2. Установите биты разрешения для класса входа.

  3. Установите для пользователя имя пользователя, класс входа и зашифрованный пароль.

Быстрое настройка с GUI
Пошаговая процедура

Чтобы настроить новых пользователей:

  1. В пользовательском интерфейсе J-Web выберите Configure>System Properties>User Management .

  2. Нажмите Edit кнопку . Появится диалоговое окно Edit User Management (Редактирование управления пользователем).

  3. Выберите Users вкладку.

  4. AddЩелкните, чтобы добавить нового пользователя. Появится диалоговое окно Add User (Добавление пользователя).

  5. В поле User name (Имя пользователя) введите уникальное имя пользователя.

    Избегайте пробелов, двоеточий и запятых в имени пользователя.

  6. В поле User ID (ID пользователя) введите уникальный ID для пользователя.

  7. В поле Full Name (Полное имя) введите полное имя пользователя.

    Если полное имя содержит пробелы, занося его в кавычках. Избегайте двоеточия и запятых.

  8. В полях Password (Пароль) и Confirm Password (Подтверждение пароля) введите для пользователя пароль для входа и проверьте свой ввод.

  9. В списке Login Class выберите привилегию доступа пользователя:

    • operator

    • read-only

    • unauthorized

    В этот список также входят все классы входа, определенные пользователем.

  10. Щелкните OK диалоговое окно Add User (Добавить пользователя) и edit User Management (Редактировать управление пользователем).

  11. OKЩелкните, чтобы проверить конфигурацию и сохранить ее в качестве возможной конфигурации.

  12. После настройки устройства нажмите кнопку Commit Options>Commit .

Результаты

В режиме конфигурации подтвердите конфигурацию путем ввода show system login команды. Если в выходных данных не отображается конфигурация, повторите инструкции по настройке, показанные в данном примере, чтобы исправить ее.

В следующем примере показано, как создать учетные записи для четырех пользователей. Здесь также показано, как создать учетную запись для пользователя remote шаблона. Все пользователи используют один из классов входа в систему по умолчанию.

После настройки устройства войдите в commit режим конфигурации.

Проверки

Подтвердим, что конфигурация работает правильно.

Проверка конфигурации новых пользователей

Цель

Убедитесь, что новые пользователи настроены.

Действий

Войдите на устройство с новой учетной записью, учетной записью и паролем, чтобы подтвердить доступ.

Настройка учетных записей пользователей в группе конфигурации

Чтобы упростить настройку одинаковых учетных записей пользователей на нескольких устройствах, настройте учетные записи внутри группы конфигураций. Примеры, показанные здесь, находятся в группе конфигураций с и названием global . Использование группы конфигурации для учетных записей пользователей необязательно.

Для создания учетной записи пользователя:

  1. Добавьте нового пользователя, используя имя для входа в систему с присвоенной учетной записью.
  2. (Необязательно) Настройте описательное имя учетной записи.

    Если имя содержит пробелы, занесем все имя в кавычках.

    Например:

  3. (Необязательно) Установите идентификатор пользователя (UID) для учетной записи.

    Как и в системах UNIX, UID обеспечивает выполнение пользовательских разрешений и доступа к файлам. Если не задать UID, то программное обеспечение назначит его вам. Формат UID имеет число от 100 до 64 000.

    Например:

  4. Назначьте пользователя классу входа.

    Можно определить собственные классы входа или назначить один из заранее определенных классов входа.

    Предопределенные классы входа:

    • супер-пользователь — все разрешения

    • оператор — очистка, сеть, сброс, трассировка и просмотр разрешений

    • read-only — разрешения просмотра

    • неавторизованные — без разрешений

    Например:

  5. Используйте один из следующих методов настройки пароля пользователя:
    • Чтобы ввести зашифрованный системой пароль, используйте следующую команду, чтобы установить пароль пользователя:

      При вводе пароля простым текстом программа шифрует его. Нет необходимости настраивать программное обеспечение для шифрования пароля. Неявные пароли в конфигурации помечаются как ##SECRET-DATA.

    • Чтобы ввести зашифрованный пароль, используйте следующую команду для того, чтобы установить пароль пользователя:

      ОСТОРОЖНО:

      Не используйте этот параметр, если пароль уже зашифрован и не вступаете в encrypted-password зашифрованную версию пароля.

      Если случайно настроить параметр с нелицензивным паролем или с пустыми кавычками ( «), то войти в систему с помощью этого encrypted-password пользователя нельзя.

    • Чтобы загрузить ранее сгенерированные открытые ключи из именуемого файла в указанное местоположение URL, используйте следующую команду:

    • Чтобы ввести публичную строку SSH, используйте следующую команду:

  6. Применим группу конфигурации на верхнем уровне.

    При использовании группы конфигураций необходимо применить ее для того, чтобы она вступила в силу.

  7. Сфиксировать конфигурацию.
  8. Для проверки конфигурации войдите в систему и войдите в качестве нового пользователя.