Junos OS 用户帐户
Junos OS 允许您为路由器、交换机和安全用户创建帐户。所有用户也属于一个系统登录类。
Junos OS 要求所有用户都具有预定义的用户帐户,然后才能登录设备。对于每个用户帐户,定义用户的登录名和标识用户的信息(可选)。用户帐户为用户提供了一种访问路由器或交换机或安全设备的方法。有关详细信息,请阅读本主题。
Junos OS 用户帐户概述
用户帐户为用户提供一种访问设备的方式。(如果您配置了 RADIUS 或 TACACS + 服务器,则用户无需帐户即可访问设备,如Junos OS User Authentication Methods中所述。)对于每个帐户,您都要定义用户的登录名和密码,以及用户的附加参数和元数据(可选)。创建帐户后,软件将为用户创建主目录。
用户root的帐户始终存在于配置中。配置密码时root使用root-authentication语句,详见Configuring the Root Password中的说明。
使用远程认证服务器集中存储有关用户的信息是一种常见实践。即便如此,也是在每台设备上直接配置至少一个非 root 用户的好方法,以防对远程认证服务器的访问中断。这台非 root 用户通常具有通用名称,例如admin。
对于每个用户帐户,您可以定义以下内容:
名称标识用户的名称。它必须在设备中是唯一的。在用户名中不能包含空格、冒号或逗号。用户名的长度最高可达64个字符。
用户’姓名全名:必如果全名中包含空格,请将其放在 引号。不要包含冒号或逗号。
用户标识符(UID):必与用户帐户名称相关联的数字标识符。通常无需设置 UID,因为软件会在您提交配置时自动分配它。但是,如果手动配置了 UID,它必须介于100到64000之间,并且必须在设备中是唯一的。
您必须确保该 UID 是唯一的。但是,可以为不同用户分配相同的 UID。如果这样做,当您提交配置并分配重复的 UID 时,CLI 将显示警告。
用户’的访问权限:要求您在class[edit system login]层次结构级别的语句中定义的登录类之一,或者Junos OS 用户访问权限中列出的默认类之一.
用户可用于访问设备—的身份验证方法或方法和密码您可以使用 SSH 或消息摘要5(MD5)密码,也可以输入 JUNOS OS 使用 MD5 样式加密在密码数据库中输入之前加密的纯文本密码。对于每种方法,您都可以指定’用户密码。如果将 plain-text-password选项时,系统会提示您输入并确认密码:
[edit system login user username]user@host# set authentication plain-text-passwordNew password: type password hereRetype new password: retype password here纯文本密码的默认要求如下:
密码长度必须为6到128个字符。
您可以将大多数字符类包含在密码中(大写字母、小写字母、数字、标点符号和其他特殊字符)。不建议使用控制字符。
有效密码必须至少包含一个 case 或字符类变更。
Junos-FIPS 和通用标准具有特殊的密码要求。FIPS 和通用标准密码长度必须为10到20个字符。密码必须至少使用五个定义字符集中的三个(大写字母、小写字母、数字、标点符号和其他特殊字符)。如果设备上安装了 Junos-FIPS,则不能配置密码,除非符合此标准。
对于 SSH 身份验证,您可以将 SSH 密钥文件的内容复制到配置中或直接配置 SSH 密钥信息。将 load-key-file URL 文件名命令加载先前生成的 SSH 密钥文件,例如使用ssh-keygen。T4000 路由器不支持 URL 文件名是文件’所在位置和名称的路径。此命令将加载 RSA (SSH 版本1和 SSH 版本2)和 DSA (SSH 版本2)公共密钥。在输入load-key-file语句后,SSH 密钥文件的内容将立即复制到配置中。您也可以使用ssh-dsa 公共密钥 <from 段> 和ssh-rsa 公共密钥 <from 段用于直接配置 SSH 密钥的 > 语句。
对于每个用户帐户和 root 登录,您可以配置一个以上的公共 RSA 或 DSA 密钥进行用户认证。当用户使用用户帐户或 root 登录时,将引用配置的公钥,以确定私钥是否与其中任何一个匹配。
要查看 SSH 密钥条目,请使用配置模式show命令。例如:
Junos-FIPS 加密官和用户帐户概述
Junos-FIPS 定义一组有限的用户角色。与支持用户广泛功能的 Junos OS 不同,FIPS 140-2 定义了特定类型的用户(加密官、用户和维护)。加密监察官和 FIPS 用户执行所有与 FIPS 相关的配置任务,并发出所有与 FIPS 相关的命令。加密官和 FIPS 用户配置必须遵循 FIPS 140-2 准则。通常,除了加密官之外,任何用户都不能执行与 FIPS 相关的任务。
加密官用户配置
Junos FIPS 提供比 FIPS 140-2 要求更精细的用户权限控制。对于 FIPS 140-2 合规,具有secret、 security和maintenance权限位集的任何 Junos FIPS 用户都是加密官。大多数情况下,应super-user为加密官保留此类。Fips 用户可定义为未设置、 secretsecurity和maintenance位的任何 Junos FIPS 用户。
FIPS 用户配置
加密官设置 FIPS 用户。FIPS 用户可被授予通常为加密官保留的权限;例如,zeroize 系统和单个 II FIPS pic 的权限。
示例:配置用户帐户
以下示例显示如何为四个路由器或交换机用户创建帐户,并为模板用户remote创建帐户。所有用户均使用其中一个默认系统登录类。用户alexander还具有两个为 SSH 身份验证配置的数字信号算法(DSA)公共密钥。
示例:配置新用户
此示例演示如何配置新用户。
要求
在配置此功能之前,不需要进行设备初始化以外的特殊配置。
概述
您可以向设备’的本地数据库添加新用户。对于每个帐户,您都要定义用户的登录名和密码,并为访问权限指定登录类。登录密码必须满足以下条件:
密码长度必须至少为六个字符。
您可以将大多数字符类包含在密码中(字母、数字和特殊字符),但不能包括控制字符。
密码必须至少包含一个大小写或字符类更改。
在此示例中,您将创建一个名为 operator 和 boot 的登录类,并允许其重新启动设备。您可以定义任意数量的登录类。然后,您可以允许操作员和启动登录类使用在 clear、network、reset、trace 和 view 权限位中定义的命令。
然后创建用户帐户。用户帐户允许您访问设备。(如果您配置 RADIUS 或 TACACS + 服务器,则无需帐户即可访问设备。您将用户名设置为 cmartin,而将登录类设为超级用户。最后,为用户定义加密密码。
配置
CLI 快速配置
要快速配置此示例,请复制以下命令,将其粘贴到文本文件中,删除任何换行符,更改与网络配置匹配的必要详细信息,将命令复制并粘贴到[edit]层次结构级别的 CLI 中,然后从commit配置模式进入。
GUI 快速配置
要配置新用户:
- 在 J-Web 用户界面中,选择Configure>System Properties>User Management""。
- 单击Edit。此时将出现 "编辑用户管理" 对话框。
- 选择 " Users " 选项卡。
- 单击Add可添加新用户。将显示添加用户对话框。
- 在 "用户名" 框中,键入用户的唯一名称。
在用户名中不能包含空格、冒号或逗号。
- 在 "用户 ID" 框中,键入用户的唯一 ID。
- 在 "全名" 框中,键入用户’的全名。
如果全名中包含空格,请用引号将其引起来。不要包含冒号或逗号。
- 在 "密码" 和 "确认密码" 框中,输入用户的登录密码并验证输入。
- 从登录类列表中选择用户’的访问权限:
operator
read-only
unauthorized
此列表还包括任何用户定义的登录类。
- 在OK添加用户对话框中单击,并编辑用户管理对话框。
- 单击OK以检查您的配置并将其另存为候选配置。
- 如果您完成了设备配置,请单击Commit Options>Commit。
分步过程
下面的示例要求您在配置层次结构中导航各个级别。有关如何执行此操作的说明,请参阅在配置模式中使用 CLI 编辑器中的使用配置模式中的 CLI 编辑器。
要配置新用户:
- 设置登录类的名称,并允许使用 reboot 命令。[edit system login]user@host# set class operator-and-boot allow-commands “request system reboot”
- 设置登录类的权限位。[edit system login]user@host# set class operator-and-boot permissions [clear network reset trace view]
- 设置用户的用户名、登录类和加密密码。[edit system login]user@host# set user cmartin class superuser authentication encrypted-password $1$ABC123
结果
从配置模式,输入show system login命令以确认您的配置。如果输出未显示预期配置,请重复此示例中的配置说明进行更正。
以下示例显示如何为四个路由器或交换机用户创建帐户,并为模板用户remote创建帐户。所有用户均使用其中一个默认系统登录类。用户alexander还具有两个为 SSH 身份验证配置的数字信号算法(DSA)公共密钥。
以下示例显示如何为四个路由器或交换机用户创建帐户,并为模板用户remote创建帐户。所有用户均使用其中一个默认系统登录类。用户alexander还具有两个为 SSH 身份验证配置的数字信号算法(DSA)公共密钥。
以下示例显示如何为四个路由器或交换机用户创建帐户,并为模板用户remote创建帐户。所有用户均使用其中一个默认系统登录类。用户alexander还具有两个为 SSH 身份验证配置的数字信号算法(DSA)公共密钥。
如果您完成了设备配置,请从commit配置模式进入。
要完全设置 RADIUS 或 TACACS + 认证,必须至少配置一个 RADIUS 或 TACACS + 服务器,并指定用户模板帐户。执行以下任务之一:
配置 RADIUS 服务器。请参阅示例:Example: Configuring a RADIUS Server for System Authentication的 RADIUS 服务器。
配置 TACACS + 服务器。请参阅示例:Example: Configuring a TACACS+ Server for System Authentication。
配置用户。请参阅示例:配置新用户。
配置模板帐户。请参阅示例:Example: Creating Template Accounts。
针对
确认配置是否正常工作。
验证新用户配置
用途
验证是否已配置新用户。
操作
在操作模式下,输入show system login命令。
使用配置组配置 Junos OS 用户帐户
由于用户帐户配置在多台设备上,因此通常在配置组内配置。因此,此处显示的示例位于称为global的配置组中。对您的用户帐户使用配置组是可选的。
要创建用户帐户:
- 使用用户’分配的帐户登录名添加新用户。[edit groups global]user@host# edit system login user username
- 必为帐户配置完整的描述性名称。
如果全名中包含空格,请用引号将整个名称引起来。
[edit groups global system login user user-name]user@host# set full-name complete-name例如:
user@host# show groupsglobal {system {login {user admin {full-name "general administrator";}}}} - 必设置帐户的用户标识符(UID)。
与 UNIX 系统一样,该 UID 还会实施用户权限和文件访问。如果不设置 UID,Junos OS 为您分配一个。UID 的格式为100到64000范围内的一个数字。
[edit groups global system login user user-name]user@host# set uid uid-value例如:
user@host# show groupsglobal {system {login {user admin {uid 9999;}}}} - 将用户分配给登录类。
您可以定义自己的登录类或分配一个预定义的 Junos OS 登录类。
预定义的登录类如下:
超级用户—所有权限
运营—商清除、网络、重置、跟踪和查看权限
只读—视图权限
未经—授权的无权限
[edit groups global system login user user-name]user@host# set class class-name例如:
user@host# show groupsglobal {system {login {user admin {class super-user;}}}} 使用以下其中一种方法配置用户密码。
要输入系统为您加密的明文密码,请使用以下命令设置用户密码:
[edit groups global system login user user-name]user@host# set authentication plain-text-password passwordNew Password: type password hereRetype new password: retype password here以纯文本形式输入密码时,Junos OS 立即对其加密。您无需将 Junos OS 配置为在某些其他系统中加密密码。因此,纯文本密码将隐藏并标记为配置中的 # # 机密数据。
要输入已加密的密码,请使用以下命令设置用户密码:
小心 除非密码已加密encrypted-password ,并且您正在输入密码的加密版本,否则不要使用该选项。
如果意外使用纯文本encrypted-password密码或空引号("")来配置该选项,您将无法作为此用户登录设备。
[edit groups global system login user user-name]user@host# set authentication encrypted-password "password"要从指定 URL 位置的命名文件加载以前生成的公共密钥,请使用以下命令设置用户密码:
[edit groups global system login user user-name]user@host# set authentication load-key-file URL filename要输入 ssh 公共字符串,请使用以下命令设置用户密码:
[edit groups global system login user user-name]user@host# set authentication (ssh-ecdsa | ssh-ed25519 | ssh-rsa) authorized-key
- 在配置的最高层,应用配置组。
如果使用配置组,则必须应用它才能使其生效。
[edit]user@host# set apply-groups global - 提交配置。user@host# commit
- 要验证配置,请注销并重新登录为新用户。