이 페이지의 내용
사용자 계정
Junos OS Evolved 를 통해 시스템 관리자는 라우터, 스위치 및 보안 사용자에 대한 계정을 생성할 수 있습니다. 모든 사용자는 시스템 로그인 클래스 중 하나에 속합니다.
사용자가 라우터, 스위치 또는 보안 디바이스에 액세스할 수 있도록 사용자 계정을 만듭니다. 모든 사용자는 디바이스에 로그인하기 전에 사전 정의된 사용자 계정을 가지고 있어야 합니다. 사용자 계정을 만들고 각 사용자 계정에 대한 로그인 이름 및 식별 정보를 정의합니다.
사용자 계정 개요
사용자 계정은 사용자가 디바이스에 액세스할 수 있는 한 가지 방법을 제공합니다. 각 계정에 대해 사용자의 로그인 이름, 비밀번호 및 추가 사용자 정보를 정의합니다. 계정을 생성한 이후에는 소프트웨어가 사용자를 위한 홈 디렉터리를 생성합니다.
사용자 root 계정은 항상 구성에 있습니다. 문을 사용하여 암호를 root 구성할 수 있습니다 root-authentication .
원격 인증 서버를 사용하여 사용자에 대한 정보를 중앙 집중식으로 저장하는 것이 일반적이지만, 각 디바이스에 루트가 아닌 사용자를 한 명 이상 구성하는 것도 바람직합니다. 이렇게 하면 원격 인증 서버와의 연결이 중단된 경우에도 디바이스에 액세스할 수 있습니다. 이 비-루트 사용자는 일반적으로 와 같은 일반적인 이름을 가지고 있습니다 admin.
각 사용자 계정에 대해 다음을 정의할 수 있습니다.
-
사용자 이름(필수): 사용자를 식별하는 이름입니다. 고유해야 합니다. 사용자 이름에 공백, 콜론 또는 쉼표를 사용하지 마십시오. 사용자 이름은 최대 32자까지 포함할 수 있습니다.
-
사용자의 전체 이름: (선택 사항) 이름에 공백이 포함되어 있는 경우 따옴표로 묶습니다. 콜론 또는 쉼표를 사용하지 마십시오.
-
UID(사용자 식별자): (선택 사항) 사용자 계정 이름과 연결된 숫자 식별자입니다. UID는 구성을 커밋할 때 자동으로 할당되므로 수동으로 설정할 필요가 없습니다. 그러나 UID를 수동으로 구성하기로 선택한 경우 100에서 64,000 사이의 고유한 값을 사용합니다.
-
사용자의 액세스 권한: (필수) 계층의 문
[edit system login]에class정의한 로그인 클래스 중 하나 또는 기본 로그인 클래스 중 하나입니다. -
디바이스 액세스를 위한 인증 방법 또는 방법 및 비밀번호(필수): SSH 키, MD5(Message Digest 5) 비밀번호 또는 Junos OS Evolved 가 비밀번호 데이터베이스에 입력하기 전에 MD5 스타일 암호화를 사용하여 암호화하는 일반 텍스트 비밀번호를 사용할 수 있습니다. 각 메서드에 대해 사용자의 암호를 지정할 수 있습니다. 옵션을 구성
plain-text-password하면 암호를 입력하고 확인하라는 메시지가 표시됩니다.[edit system login user username] user@host# set authentication plain-text-password New password: type password here Retype new password: retype password here
유효한 일반 텍스트 암호를 만들려면 다음을 확인해야 합니다.
-
6자에서 128자 사이여야 합니다.
-
대부분의 문자 클래스(대문자, 소문자, 숫자, 구두점 및 기타 특수 문자)를 포함하지만 컨트롤 문자는 포함하지 않습니다.
-
적어도 하나의 케이스 또는 문자 클래스의 변경 내용을 포함합니다.
-
SSH 인증의 경우 SSH 키 파일의 내용을 구성으로 복사할 수 있습니다. SSH 키 정보를 직접 구성할 수도 있습니다. load-key-file 문을 사용하여 이전에 생성한 SSH 키 파일을 로드합니다(예: ssh-keygen). 인수는 load-key-file 파일 위치 및 이름에 대한 경로입니다. 문은 load-key-file RSA(SSH 버전 1 및 SSH 버전 2) 공개 키를 로드합니다. SSH 키 파일의 내용은 문을 구성한 직후 구성에 복사됩니다 load-key-file .
다음 전송 계층 보안(TLS) 버전 및 암호 제품군(RSA 호스트 키) 조합을 사용하지 마십시오. 이 경우 실패합니다.
RSA 호스트 키 사용:
-
TLS_1.0@DHE-RSA-AES128-SHA
-
TLS_1.0@DHE-RSA-AES256-SHA
각 사용자 계정 및 루트 로그인에 대해 사용자 인증을 위해 둘 이상의 공개 RSA 키를 구성할 수 있습니다. 사용자가 사용자 계정을 사용하거나 루트로 로그인하면 구성된 공개 키를 참조하여 개인 키가 사용자 계정과 일치하는지 여부를 결정합니다.
SSH 키 항목을 보려면 구성 모드 show 명령을 사용합니다. 예를 들어:
[edit system login user boojum]
user@host# set authentication load-key-file my-host:.ssh/id_rsa.pub
.file.19692 | 0 KB | 0.3 kB/s | ETA: 00:00:00 | 100%
[edit system login user boojum]
user@host# show
authentication {
ssh-rsa "$ABC123"; # SECRET-DATA
}
예: 새 사용자 계정 구성
이 예에서는 새 사용자 계정을 구성하는 방법을 보여 줍니다.
요구 사항
이 기능을 사용하기 전에 특별한 구성이 필요하지 않습니다.
개요
디바이스의 로컬 데이터베이스에 새 사용자 계정을 추가할 수 있습니다. 각 계정에 대해 시스템 관리자는 사용자의 로그인 이름과 패스워드를 정의하고 액세스 권한에 대한 로그인 클래스를 지정합니다. 로그인 비밀번호는 다음 기준을 충족해야 합니다.
-
암호는 최소 6자 이상이어야 합니다.
-
암호에 대부분의 문자 클래스(알파벳, 숫자 및 특수 문자)를 포함할 수 있지만 제어 문자는 포함할 수 없습니다.
-
비밀번호에는 하나 이상의 대소문자 또는 문자 클래스 변경이 포함되어야 합니다.
이 예시에서는 operator-and-boot라는 이름의 로그인 클래스를 생성하고 디바이스를 재부팅할 수 있도록 허용합니다. 원하는 수의 로그인 클래스를 정의할 수 있습니다. 그런 다음 operator-and-boot 로그인 클래스가 다음 비트에 정의된 명령을 사용하도록 허용합니다.
-
맑다
-
네트워크
-
재설정
-
자취
-
보기 권한
그런 다음 사용자 계정을 만들어 디바이스에 액세스할 수 있도록 합니다. 사용자 이름을 randomuser로 설정하고 로그인 클래스를 superuser로 설정합니다. 마지막으로 사용자에 대해 암호화된 암호를 정의합니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 변경하고, 계층 수준에서 명령을 [edit] CLI로 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set system login class operator-and-boot allow-commands "request system reboot" set system login class operator-and-boot permissions [clear network reset trace view] set system login user randomuser class superuser authentication encrypted-password $1$ABC123
단계별 절차
새 사용자 구성 방법:
-
로그인 클래스의 이름을 설정하고 재부팅 명령 사용을 허용합니다.
[edit system login] user@host# set class operator-and-boot allow-commands “request system reboot”
-
로그인 클래스에 대한 권한 비트를 설정합니다.
[edit system login] user@host# set class operator-and-boot permissions [clear network reset trace view]
-
사용자의 사용자 이름, 로그인 클래스, 암호화된 패스워드를 설정합니다.
[edit system login] user@host# set userrandomuser class superuser authentication encrypted-password $1$ABC123
결과
구성 모드에서 명령을 입력하여 show system login 구성을 확인합니다. 출력이 의도한 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show system login
class operator-and-boot {
permissions [ clear network reset trace view ];
allow-commands "request system reboot";
}
user randomuser {
class superuser;
authentication {
encrypted-password "$1$ABC123";
}
}
다음 예제에서는 4명의 사용자에 대한 계정을 만드는 방법을 보여 줍니다. 또한 템플릿 사용자에 remote대한 계정을 만드는 방법도 보여줍니다 . 모든 사용자는 기본 시스템 로그인 클래스 중 하나를 사용합니다.
[edit]
system {
login {
user philip {
full-name “Philip of Macedonia”;
uid 1001;
class super-user;
authentication {
encrypted-password “$ABC123”;
}
}
user alexander {
full-name “Alexander the Great”;
uid 1002;
class operator;
authentication {
encrypted-password “$ABC123”;
}
}
user darius {
full-name “Darius King of Persia”;
uid 1003;
class operator;
authentication {
ssh-rsa “1024 37 12341234@ecbatana.per”;
}
}
user anonymous {
class unauthorized;
}
user remote {
full-name “All remote users”;
uid 9999;
class read-only;
}
}
}
디바이스를 구성한 후 구성 모드로 들어갑니다 commit .
구성 그룹에서 사용자 계정 구성
여러 기기에서 동일한 사용자 계정을 쉽게 구성하려면 구성 그룹 내에서 계정을 구성합니다. 여기에 표시된 예는 라는 global구성 그룹에 있습니다. 사용자 계정의 구성 그룹을 사용하는 것은 선택 사항입니다.
사용자 계정을 생성하려면,