Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
Nesta página
 

Contas de usuário

Junos OS permite que você (o administrador do sistema) crie contas para usuários de roteador, switch e segurança. Todos os usuários pertencem a uma das aulas de login do sistema.

Você cria contas de usuário para que os usuários possam acessar um roteador, switch ou dispositivo de segurança. Todos os usuários devem ter uma conta de usuário predefinida antes que possam fazer login no dispositivo. Você cria contas de usuário e depois define o nome de login e identifica informações para cada conta do usuário.

Visão geral das contas do usuário

As contas de usuário fornecem uma maneira de os usuários acessarem um dispositivo. Para cada conta, você define o nome de login, senha e quaisquer informações adicionais do usuário. Depois de criar uma conta, o software cria um home directory para o usuário.

Uma conta para o usuário root está sempre presente na configuração. Você pode configurar a senha para root usar a root-authentication declaração.

Embora seja comum usar servidores de autenticação remota para armazenar centralmente informações sobre usuários, também é uma boa prática configurar pelo menos um usuário não-raiz em cada dispositivo. Dessa forma, você ainda pode acessar o dispositivo se sua conexão com o servidor de autenticação remota for interrompida. Esse usuário não-raiz geralmente tem um nome genérico como admin.

Para cada conta do usuário, você pode definir o seguinte:

  • Nome de usuário (Necessário): Nome que identifica o usuário. Deve ser único. Evite usar espaços, cólons ou vírgulas no nome do usuário. O nome de usuário pode incluir até 64 caracteres.

  • Nome completo do usuário: (Opcional) Se o nome completo contém espaços, coloque-o entre aspas. Evite o uso de cólons ou vírgulas.

  • Identificador de usuário (UID): (Opcional) Identificador numérico associado ao nome da conta do usuário. O UID é atribuído automaticamente quando você confirma a configuração, para que você não precise configurá-la manualmente. No entanto, se você optar por configurar o UID manualmente, use um valor único na faixa de 100 a 64.000.

  • Privilégio de acesso do usuário: (Necessário) Uma das aulas de login que você definiu na class declaração na [edit system login] hierarquia ou em uma das aulas de login padrão.

  • Métodos ou métodos de autenticação e senhas para acesso ao dispositivo (Necessário): Você pode usar uma chave SSH, uma senha Message Digest 5 (MD5) ou uma senha de texto simples que Junos OS criptografa usando criptografia estilo MD5 antes de inseri-la no banco de dados de senhas. Para cada método, você pode especificar a senha do usuário. Se você configurar a opção plain-text-password , você receberá um prompt para inserir e confirmar a senha:

    Para criar senhas de texto simples válidas, certifique-se de que elas:

    • Contenha entre 6 e 128 caracteres.

    • Inclua a maioria das classes de caracteres (letras maiúsculas, letras minúsculas, números, marcas de pontuação e outros caracteres especiais), mas não inclui caracteres de controle.

    • Contenha pelo menos uma mudança de caso ou classe de caracteres.

    O Junos-FIPS e os critérios comuns têm os seguintes requisitos especiais de senha. Eles devem:

    • Tenha entre 10 e 20 caracteres.
    • Use pelo menos três dos cinco conjuntos de caracteres definidos (letras maiúsculas, letras minúsculas, dígitos, marcas de pontuação e outros caracteres especiais).

    Se o Junos-FIPS estiver instalado no dispositivo, você deve aderir aos requisitos especiais de senha ou as senhas não estiverem configuradas.

Para autenticação de SSH, você pode copiar o conteúdo de um arquivo chave SSH na configuração. Você também pode configurar diretamente as informações da chave SSH. Use a load-key-file declaração para carregar um arquivo chave SSH que foi gerado anteriormente , (por exemplo, usando ssh-keygen). O load-key-file argumento é o caminho para a localização e o nome do arquivo. A load-key-file declaração carrega chaves públicas RSA (SSH versão 1 e SSH versão 2). O conteúdo do arquivo chave SSH é copiado na configuração imediatamente após você configurar a load-key-file declaração.

Evite usar a seguinte versão de segurança de camada de transporte (TLS) e as combinações de pacotes cifrados (chave de host RSA), que falharão:

Com as chaves de host RSA:

  • TLS_1.0@DHE-RSA-AES128-SHA

  • TLS_1.0@DHE-RSA-AES256-SHA

Para cada conta do usuário e para logins raiz, você pode configurar mais de uma chave RSA pública para autenticação do usuário. Quando um usuário faz login usando uma conta de usuário ou como raiz, as chaves públicas configuradas são mencionadas para determinar se a chave privada corresponde a alguma das contas do usuário.

Para ver as entradas chave SSH, use o comando do modo show de configuração. Por exemplo:

Visão geral do Junos-FIPS Crypto Officer e das contas de usuário

O Junos-FIPS define um conjunto restrito de funções de usuário. Ao contrário do Junos OS, que permite uma ampla variedade de recursos aos usuários, o FIPS 140-2 define tipos específicos de usuários (Crypto Officer, User e Maintenance). Os oficiais de criptografia e usuários FIPS executam todas as tarefas de configuração relacionadas ao FIPS e emitem todos os comandos relacionados à FIPS. As configurações do Crypto Officer e fips do usuário devem seguir as diretrizes do FIPS 140-2. Normalmente, apenas um Crypto Officer pode realizar tarefas relacionadas à FIPS.

Configuração do usuário do Crypto Officer

O Junos-FIPS oferece a você um controle mais fino das permissões do usuário do que as exigidas pelo FIPS 140-2. Para conformidade com o FIPS 140-2, qualquer usuário Junos-FIPS com o secretconjunto de securitybits de permissão é maintenance um Crypto Officer. Na maioria dos casos, você deve reservar a super-user classe para um Crypto Officer. Um usuário FIPS pode ser definido como qualquer usuário Junos-FIPS que não tenha o secretconjunto, securitye maintenance bits.

Configuração do usuário do FIPS

Um oficial de criptografia configura usuários FIPS. Usuários FIPS certas permissões normalmente reservadas a um Crypto Officer; por exemplo, você pode conceder a um usuário FIPS permissão para zerar o sistema e PICs FIPS individuais AS-II.

Exemplo: Configure novas contas de usuário

Este exemplo mostra como configurar novas contas de usuário.

Requisitos

Você não precisa de nenhuma configuração especial antes de usar este recurso.

Visão geral

Você pode adicionar novas contas de usuário ao banco de dados local do dispositivo. Para cada conta, você (o administrador do sistema) define um nome de login e senha para o usuário e especifica uma aula de login para privilégios de acesso. A senha de login deve atender aos seguintes critérios:

  • A senha deve ter pelo menos seis caracteres de comprimento.

  • Você pode incluir a maioria das aulas de caracteres na senha (caracteres alfabéticos, numéricos e especiais), mas não os caracteres de controle.

  • A senha deve conter pelo menos uma alteração de caso ou classe de caracteres.

Neste exemplo, você cria uma classe de login chamada operador-and-boot e permite que ele reinicialize o dispositivo. Você pode definir qualquer número de aulas de login. Em seguida, permita que a classe de login de operador e inicialização use comandos definidos nos seguintes bits:

  • claro

  • rede

  • repor

  • traço

  • visualizar permissão

Em seguida, crie contas de usuário para permitir o acesso ao dispositivo. Definir o nome de usuário como usuário aleatório e a classe de login como superusuário. Por fim, defina a senha criptografada para o usuário.

Configuração

Procedimento

Configuração rápida da CLI

Para configurar rapidamente este exemplo, copie os seguintes comandos, cole-os em um arquivo de texto, remova qualquer quebra de linha, altere todos os detalhes necessários para combinar com a configuração da sua rede, copiar e colar os comandos na CLI no nível de [edit] hierarquia e, em seguida, entrar commit no modo de configuração.

Procedimento passo a passo

Para configurar novos usuários:

  1. Defina o nome da classe de login e permita o uso do comando de reinicialização.

  2. Defina os bits de permissão para a aula de login.

  3. Definir o nome de usuário, a aula de login e a senha criptografada para o usuário.

Configuração rápida da GUI
Procedimento passo a passo

Para configurar novos usuários:

  1. Na interface de usuário J-Web, selecione Configure>System Properties>User Management.

  2. Clique em Edit. A caixa de diálogo de gerenciamento de usuários edita.

  3. Selecione a guia Users .

  4. Clique Add para adicionar um novo usuário. A caixa de diálogo do usuário Add aparece.

  5. Na caixa de nome do usuário, digite um nome exclusivo para o usuário.

    Evite espaços, cólons e vírgulas no nome do usuário.

  6. Na caixa de ID do usuário, digite um ID exclusivo para o usuário.

  7. Na caixa de nome completo, digite o nome completo do usuário.

    Se o nome completo contém espaços, coloque-o entre aspas. Evite cólons e vírgulas.

  8. Nas caixas de senha e confirmação de senha, digite uma senha de login para o usuário e verifique sua entrada.

  9. Na lista de aulas de login, selecione o privilégio de acesso do usuário:

    • operator

    • read-only

    • unauthorized

    Esta lista também inclui quaisquer aulas de login definidas pelo usuário.

  10. Clique OK na caixa de diálogo Adicionar usuário e editar a caixa de diálogo do gerenciamento de usuários.

  11. Clique OK para verificar sua configuração e salvá-la como configuração do candidato.

  12. Depois de configurar o dispositivo, clique Commit Options>Commitem .

Resultados

No modo de configuração, confirme sua configuração inserindo o show system login comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

O exemplo a seguir mostra como criar contas para quatro usuários. Ele também mostra como criar uma conta para o usuário remotemodelo. Todos os usuários usam uma das aulas de login padrão do sistema.

Depois de configurar o dispositivo, entre commit no modo de configuração.

Verificação

Confirme se a configuração está funcionando corretamente.

Verifique a configuração dos novos usuários

Propósito

Verifique se os novos usuários estão configurados.

Ação

Faça login no dispositivo com a nova conta de usuário ou contas e senha para confirmar se você tem acesso.

Configure contas de usuário em um grupo de configuração

Para facilitar a configuração das mesmas contas de usuário em vários dispositivos, configure as contas dentro de um grupo de configuração. Os exemplos mostrados aqui estão em um grupo de configuração chamado global. Usar um grupo de configuração para suas contas de usuário é opcional.

Para criar uma conta de usuário:

  1. Adicione um novo usuário, usando o nome de login de conta atribuído do usuário.
  2. (Opcional) Configure um nome descritivo para a conta.

    Se o nome incluir espaços, inclua todo o nome entre aspas.

    Por exemplo:

  3. (Opcional) Definir o identificador de usuário (UID) para a conta.

    Como acontece com os sistemas UNIX, o UID aplica permissões de usuário e acesso a arquivos. Se você não definir o UID, o software atribui um para você. O formato do UID é um número entre 100 e 64.000.

    Por exemplo:

  4. Atribua o usuário a uma aula de login.

    Você pode definir suas próprias aulas de login ou atribuir uma das aulas de login predefinidas.

    As aulas de login predefinidas são as seguintes:

    • super-usuário — todas as permissões

    • operador — permissões claras, de rede, de reset, de rastreamento e de visualização

    • somente leitura — visualizar permissões

    • não autorizado — sem permissões

    Por exemplo:

  5. Use um dos seguintes métodos para configurar a senha do usuário:

    • Para inserir uma senha de texto clara que o sistema criptografa para você, use o seguinte comando para definir a senha do usuário:

      Ao digitar a senha em texto simples, o software a criptografa. Você não precisa configurar o software para criptografar a senha. As senhas de texto simples estão ocultas e marcadas como ## SECRET-DATA na configuração.

    • Para inserir uma senha criptografada, use o seguinte comando para definir a senha do usuário:

      CUIDADO:

      Não use a opção a encrypted-password menos que a senha esteja criptografada e você esteja digitando a versão criptografada da senha.

      Se você configurar acidentalmente a opção encrypted-password com uma senha de texto simples ou com aspas em branco (" "), você não poderá fazer login no dispositivo como este usuário.

    • Para carregar as chaves públicas geradas anteriormente de um arquivo nomeado em um local de URL especificado, use o seguinte comando:

    • Para inserir uma string pública de SSH, use o seguinte comando:

  6. No nível superior da configuração, aplique o grupo de configuração.

    Se você usa um grupo de configuração, você deve aplicá-lo para que ele entre em vigor.

  7. Confirmar a configuração.
  8. Para verificar a configuração, faça login e faça login como o novo usuário.