Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

Junos OS 用户帐户

 

Junos OS 允许您为路由器、交换机和安全用户创建帐户。所有用户也属于一个系统登录类。

Junos OS 要求所有用户都具有预定义的用户帐户,然后才能登录设备。对于每个用户帐户,定义用户的登录名和标识用户的信息(可选)。用户帐户为用户提供了一种访问路由器或交换机或安全设备的方法。有关详细信息,请阅读本主题。

Junos OS 用户帐户概述

用户帐户为用户提供一种访问设备的方式。(如果您配置了 RADIUS 或 TACACS + 服务器,则用户无需帐户即可访问设备,如Junos OS User Authentication Methods中所述。)对于每个帐户,您都要定义用户的登录名和密码,以及用户的附加参数和元数据(可选)。创建帐户后,软件将为用户创建主目录。

用户root的帐户始终存在于配置中。配置密码时root使用root-authentication语句,详见Configuring the Root Password中的说明。

使用远程认证服务器集中存储有关用户的信息是一种常见实践。即便如此,也是在每台设备上直接配置至少一个非 root 用户的好方法,以防对远程认证服务器的访问中断。这台非 root 用户通常具有通用名称,例如admin

对于每个用户帐户,您可以定义以下内容:

  • 名称标识用户的名称。它必须在设备中是唯一的。在用户名中不能包含空格、冒号或逗号。用户名的长度最高可达64个字符。

  • 用户’姓名全名:必如果全名中包含空格,请将其放在 引号。不要包含冒号或逗号。

  • 用户标识符(UID):必与用户帐户名称相关联的数字标识符。通常无需设置 UID,因为软件会在您提交配置时自动分配它。但是,如果手动配置了 UID,它必须介于100到64000之间,并且必须在设备中是唯一的。

    您必须确保该 UID 是唯一的。但是,可以为不同用户分配相同的 UID。如果这样做,当您提交配置并分配重复的 UID 时,CLI 将显示警告。

  • 用户’的访问权限:要求您在class[edit system login]层次结构级别的语句中定义的登录类之一,或者Junos OS 用户访问权限中列出的默认类之一.

  • 用户可用于访问设备—的身份验证方法或方法和密码您可以使用 SSH 或消息摘要5(MD5)密码,也可以输入 JUNOS OS 使用 MD5 样式加密在密码数据库中输入之前加密的纯文本密码。对于每种方法,您都可以指定’用户密码。如果将 plain-text-password选项时,系统会提示您输入并确认密码:

    纯文本密码的默认要求如下:

    • 密码长度必须为6到128个字符。

    • 您可以将大多数字符类包含在密码中(大写字母、小写字母、数字、标点符号和其他特殊字符)。不建议使用控制字符。

    • 有效密码必须至少包含一个 case 或字符类变更。

    Junos-FIPS 和通用标准具有特殊的密码要求。FIPS 和通用标准密码长度必须为10到20个字符。密码必须至少使用五个定义字符集中的三个(大写字母、小写字母、数字、标点符号和其他特殊字符)。如果设备上安装了 Junos-FIPS,则不能配置密码,除非符合此标准。

对于 SSH 身份验证,您可以将 SSH 密钥文件的内容复制到配置中或直接配置 SSH 密钥信息。将 load-key-file URL 文件名命令加载先前生成的 SSH 密钥文件,例如使用ssh-keygen。T4000 路由器不支持 URL 文件名是文件’所在位置和名称的路径。此命令将加载 RSA (SSH 版本1和 SSH 版本2)和 DSA (SSH 版本2)公共密钥。在输入load-key-file语句后,SSH 密钥文件的内容将立即复制到配置中。您也可以使用ssh-dsa 公共密钥 <from > 和ssh-rsa 公共密钥 <from 用于直接配置 SSH 密钥的 > 语句。

对于每个用户帐户和 root 登录,您可以配置一个以上的公共 RSA 或 DSA 密钥进行用户认证。当用户使用用户帐户或 root 登录时,将引用配置的公钥,以确定私钥是否与其中任何一个匹配。

要查看 SSH 密钥条目,请使用配置模式show命令。例如:

Junos-FIPS 加密官和用户帐户概述

Junos-FIPS 定义一组有限的用户角色。与支持用户广泛功能的 Junos OS 不同,FIPS 140-2 定义了特定类型的用户(加密官、用户和维护)。加密监察官和 FIPS 用户执行所有与 FIPS 相关的配置任务,并发出所有与 FIPS 相关的命令。加密官和 FIPS 用户配置必须遵循 FIPS 140-2 准则。通常,除了加密官之外,任何用户都不能执行与 FIPS 相关的任务。

加密官用户配置

Junos FIPS 提供比 FIPS 140-2 要求更精细的用户权限控制。对于 FIPS 140-2 合规,具有secretsecuritymaintenance权限位集的任何 Junos FIPS 用户都是加密官。大多数情况下,应super-user为加密官保留此类。Fips 用户可定义为未设置、 secretsecuritymaintenance位的任何 Junos FIPS 用户。

FIPS 用户配置

加密官设置 FIPS 用户。FIPS 用户可被授予通常为加密官保留的权限;例如,zeroize 系统和单个 II FIPS pic 的权限。

示例:配置用户帐户

以下示例显示如何为四个路由器或交换机用户创建帐户,并为模板用户remote创建帐户。所有用户均使用其中一个默认系统登录类。用户alexander还具有两个为 SSH 身份验证配置的数字信号算法(DSA)公共密钥。

示例:配置新用户

此示例演示如何配置新用户。

要求

在配置此功能之前,不需要进行设备初始化以外的特殊配置。

概述

您可以向设备’的本地数据库添加新用户。对于每个帐户,您都要定义用户的登录名和密码,并为访问权限指定登录类。登录密码必须满足以下条件:

  • 密码长度必须至少为六个字符。

  • 您可以将大多数字符类包含在密码中(字母、数字和特殊字符),但不能包括控制字符。

  • 密码必须至少包含一个大小写或字符类更改。

在此示例中,您将创建一个名为 operator 和 boot 的登录类,并允许其重新启动设备。您可以定义任意数量的登录类。然后,您可以允许操作员和启动登录类使用在 clear、network、reset、trace 和 view 权限位中定义的命令。

然后创建用户帐户。用户帐户允许您访问设备。(如果您配置 RADIUS 或 TACACS + 服务器,则无需帐户即可访问设备。您将用户名设置为 cmartin,而将登录类设为超级用户。最后,为用户定义加密密码。

配置

CLI 快速配置

要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。

GUI 快速配置

要配置新用户:

  1. 在 J-Web 用户界面中,选择Configure>System Properties>User Management""。
  2. 单击Edit。此时将出现 "编辑用户管理" 对话框。
  3. 选择 " Users " 选项卡。
  4. 单击Add可添加新用户。将显示添加用户对话框。
  5. 在 "用户名" 框中,键入用户的唯一名称。

    在用户名中不能包含空格、冒号或逗号。

  6. 在 "用户 ID" 框中,键入用户的唯一 ID。
  7. 在 "全名" 框中,键入用户’的全名。

    如果全名中包含空格,请用引号将其引起来。不要包含冒号或逗号。

  8. 在 "密码" 和 "确认密码" 框中,输入用户的登录密码并验证输入。
  9. 从登录类列表中选择用户’的访问权限:
    • operator

    • read-only

    • unauthorized

    此列表还包括任何用户定义的登录类。

  10. OK添加用户对话框中单击,并编辑用户管理对话框。
  11. 单击OK以检查您的配置并将其另存为候选配置。
  12. 如果您完成了设备配置,请单击Commit Options>Commit

分步过程

下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器中的使用配置模式中的 CLI 编辑器

要配置新用户:

  1. 设置登录类的名称,并允许使用 reboot 命令。
  2. 设置登录类的权限位。
  3. 设置用户的用户名、登录类和加密密码。

结果

从配置模式,输入show system login命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。

以下示例显示如何为四个路由器或交换机用户创建帐户,并为模板用户remote创建帐户。所有用户均使用其中一个默认系统登录类。用户alexander还具有两个为 SSH 身份验证配置的数字信号算法(DSA)公共密钥。

以下示例显示如何为四个路由器或交换机用户创建帐户,并为模板用户remote创建帐户。所有用户均使用其中一个默认系统登录类。用户alexander还具有两个为 SSH 身份验证配置的数字信号算法(DSA)公共密钥。

以下示例显示如何为四个路由器或交换机用户创建帐户,并为模板用户remote创建帐户。所有用户均使用其中一个默认系统登录类。用户alexander还具有两个为 SSH 身份验证配置的数字信号算法(DSA)公共密钥。

如果您完成了设备配置,请从commit配置模式进入。

注意

要完全设置 RADIUS 或 TACACS + 认证,必须至少配置一个 RADIUS 或 TACACS + 服务器,并指定用户模板帐户。执行以下任务之一:

针对

确认配置是否正常工作。

验证新用户配置

用途

验证是否已配置新用户。

操作

在操作模式下,输入show system login命令。

使用配置组配置 Junos OS 用户帐户

由于用户帐户配置在多台设备上,因此通常在配置组内配置。因此,此处显示的示例位于称为global的配置组中。对您的用户帐户使用配置组是可选的。

要创建用户帐户:

  1. 使用用户’分配的帐户登录名添加新用户。
  2. 必为帐户配置完整的描述性名称。

    如果全名中包含空格,请用引号将整个名称引起来。

    例如:

  3. 必设置帐户的用户标识符(UID)。

    与 UNIX 系统一样,该 UID 还会实施用户权限和文件访问。如果不设置 UID,Junos OS 为您分配一个。UID 的格式为100到64000范围内的一个数字。

    例如:

  4. 将用户分配给登录类。

    您可以定义自己的登录类或分配一个预定义的 Junos OS 登录类。

    预定义的登录类如下:

    • 超级用户—所有权限

    • 运营—商清除、网络、重置、跟踪和查看权限

    • 只读—视图权限

    • 未经—授权的无权限

    例如:

  5. 使用以下其中一种方法配置用户密码。

    • 要输入系统为您加密的明文密码,请使用以下命令设置用户密码:

      以纯文本形式输入密码时,Junos OS 立即对其加密。您无需将 Junos OS 配置为在某些其他系统中加密密码。因此,纯文本密码将隐藏并标记为配置中的 # # 机密数据。

    • 要输入已加密的密码,请使用以下命令设置用户密码:

      小心

      除非密码已加密encrypted-password ,并且您正在输入密码的加密版本,否则不要使用该选项。

      如果意外使用纯文本encrypted-password密码或空引号("")来配置该选项,您将无法作为此用户登录设备。

    • 要从指定 URL 位置的命名文件加载以前生成的公共密钥,请使用以下命令设置用户密码:

    • 要输入 ssh 公共字符串,请使用以下命令设置用户密码:

  6. 在配置的最高层,应用配置组。

    如果使用配置组,则必须应用它才能使其生效。

  7. 提交配置。
  8. 要验证配置,请注销并重新登录为新用户。