이 페이지 내용
사용자 계정
Junos OS Evolved 를 사용하면 시스템 관리자가 라우터, 스위치 및 보안 사용자에 대한 계정을 만들 수 있습니다. 모든 사용자는 시스템 로그인 클래스 중 하나에 속합니다.
사용자가 라우터, 스위치 또는 보안 디바이스에 액세스할 수 있도록 사용자 계정을 만듭니다. 모든 사용자는 디바이스에 로그인하기 전에 사전 정의된 사용자 계정을 가져야 합니다. 사용자 계정을 만들고 각 사용자 계정에 대한 로그인 이름 및 식별 정보를 정의합니다.
사용자 계정 개요
사용자 계정은 사용자가 디바이스 액세스할 수 있는 한 가지 수단을 제공합니다. 각 계정의 경우, 사용자 로그인 이름, 비밀번호 및 추가적인 사용자 정보를 지정해야 합니다. 계정을 생성한 이후에는 소프트웨어가 사용자를 위해 홈 디렉터리를 만듭니다.
사용자 root 계정 은(는) 항상 구성에 있습니다. 문을 사용하여 root-authentication 에 대한 root 비밀번호를 구성할 수 있습니다.
원격 인증 서버를 사용하여 사용자에 대한 정보를 중앙 집중식으로 저장하는 것이 일반적이지만, 각 디바이스에 적어도 하나의 비-루트 사용자를 구성하는 것도 바람직합니다. 원격 인증 서버와의 연결이 중단되면 이러한 방식으로 여전히 디바이스에 액세스할 수 있습니다. 이 비-루트 사용자는 일반적으로 와(과) admin같은 일반적인 이름을 가집니다.
각 사용자 계정의 경우 다음을 지정할 수 있습니다.
-
사용자 이름(필수): 사용자를 식별하는 이름입니다. 고유한 이름이어야 합니다. 사용자 이름에 공백, 콜론 또는 쉼표를 사용하지 않도록 하십시오. 사용자 이름은 최대 32자까지 포함할 수 있습니다.
-
사용자 이름: (선택 사항) 이름에 공백이 포함되어 있는 경우 따옴표를 붙입니다. 콜론 또는 쉼표를 사용하지 않도록 하십시오.
-
사용자 식별자(UID): (선택 사항) 사용자 계정 이름과 관련된 숫자 식별자입니다. UID는 구성을 커밋할 때 자동으로 지정되므로 수동으로 설정할 필요가 없습니다. 그러나 UID를 수동으로 구성하기로 결정한 경우 100에서 64,000까지 범위의 고유한 값을 사용합니다.
-
사용자의 액세스 특권: (필수) 계층의 문
[edit system login]에class정의된 로그인 클래스 중 하나 또는 기본 로그인 클래스 중 하나. -
디바이스 액세스를 위한 인증 방법 또는 메서드 및 비밀번호(필수): SSH 키, 암호화된 비밀번호 또는 Junos OS Evolved 가 비밀번호 데이터베이스에 입력하기 전에 암호화하는 일반 텍스트 비밀번호를 사용할 수 있습니다. 각 메서드의 경우, 사용자의 비밀번호를 지정할 수 있습니다. 옵션을 구성
plain-text-password하면 비밀번호를 입력하고 확인하라는 메시지가 표시됩니다.[edit system login user username] user@host# set authentication plain-text-password New password: type password here Retype new password: retype password here
유효한 일반 텍스트 비밀번호를 생성하려면 다음을 확인해야 합니다.
-
6자에서 128자 사이여야 합니다.
-
대부분의 문자 클래스(대문자, 소문자, 숫자, 구두점 및 기타 특수 문자)를 포함하지만 컨트롤 문자를 포함하지 않는지 확인합니다.
-
적어도 하나의 케이스 또는 문자 클래스의 변경 내용을 포함하는지 확인합니다.
-
SSH 인증의 경우, SSH 키 파일 내용을 구성으로 복사할 수 있습니다. 또한 SSH 키 정보를 직접 구성할 수도 있습니다. load-key-file 문을 사용하여 이전에 생성한 SSH 키 파일을 로드합니다(예를 들어, ssh-keygen사용). load-key-file 인수는 파일 위치 및 이름에 대한 경로입니다. 문은 load-key-file RSA(SSH 버전 1 및 SSH 버전 2) 공개 키를 로드합니다. 문을 구성한 직후 SSH 키 파일 내용이 구성으로 복사됩니다 load-key-file .
다음 전송 레이어 보안(TLS) 버전 및 사이퍼 스위트(RSA 호스트 키) 조합을 사용하지 않도록 합니다. 이를 사용할 경우 실패합니다.
RSA 호스트 키 사용:
-
TLS_1.0@DHE-RSA-AES128-SHA
-
TLS_1.0@DHE-RSA-AES256-SHA
각 사용자 계정 및 루트 로그인의 경우 사용자 인증을 위한 하나 이상의 공개 RSA 키를 구성할 수 있습니다. 사용자가 사용자 계정 또는 루트로 로그인한 경우, 구성된 공개 키를 참조하여 비공개 키가 사용자 계정과 일치하는지 여부를 결정합니다.
SSH 키 항목을 보려면 구성 모드 show 명령을 사용합니다. 예를 들어:
[edit system login user boojum]
user@host# set authentication load-key-file my-host:.ssh/id_rsa.pub
.file.19692 | 0 KB | 0.3 kB/s | ETA: 00:00:00 | 100%
[edit system login user boojum]
user@host# show
authentication {
ssh-rsa "$ABC123"; # SECRET-DATA
}
예: 새 사용자 계정 구성
이 예시는 새로운 사용자 계정을 구성하는 방법을 보여줍니다.
요구 사항
이 기능을 사용하는 데 특별한 구성이 필요하지 않습니다.
개요
디바이스의 로컬 데이터베이스에 새 사용자 계정을 추가할 수 있습니다. 각 계정에 대해 시스템 관리자는 사용자의 로그인 이름과 패스워드를 정의하고 액세스 권한에 대한 로그인 클래스를 지정합니다. 로그인 패스워드는 다음 기준을 충족해야 합니다.
-
패스워드는 최소 6자 이상이어야 합니다.
-
패스워드에 대부분의 문자 클래스(알파벳, 숫자, 특수문자)를 포함할 수 있지만 제어 문자를 포함할 수는 없습니다.
-
패스워드에는 1개 이상의 대소문자나 문자 클래스가 포함되어야 합니다.
이 예시에서는 operator-and-boot라는 이름의 로그인 클래스를 생성하고 디바이스를 재부팅할 수 있도록 허용합니다. 원하는 수의 로그인 클래스를 정의할 수 있습니다. 그런 다음 operator-and-boot 로그인 클래스가 다음 비트에 정의된 명령을 사용하도록 합니다.
-
맑다
-
네트워크
-
재설정
-
자취
-
보기 권한
다음으로 사용자 계정을 생성하여 디바이스에 대한 액세스를 활성화합니다. 사용자 이름을 randomuser로 설정하고 로그인 클래스를 superuser로 설정합니다. 마지막으로 사용자에 대해 암호화된 패스워드를 정의합니다.
구성
절차
CLI 빠른 구성
이 예를 빠르게 구성하려면, 아래 명령을 복사하여 텍스트 파일로 붙여 넣은 다음 모든 라인브레이크를 제거하고, 네트워크 구성을 일치하는 데 필요한 세부 사항을 바꾸고 계층 수준에서 명령을 CLI로 [edit] 복사해 붙여 넣은 다음, 구성 모드에서 을(를) 입력합니다 commit .
set system login class operator-and-boot allow-commands "request system reboot" set system login class operator-and-boot permissions [clear network reset trace view] set system login user randomuser class superuser authentication encrypted-password $1$ABC123
단계별 절차
새 사용자 구성 방법:
-
로그인 클래스 이름을 설정하고 재부팅 명령 사용을 허용합니다.
[edit system login] user@host# set class operator-and-boot allow-commands “request system reboot”
-
로그인 클래스에 대한 권한 비트를 설정합니다.
[edit system login] user@host# set class operator-and-boot permissions [clear network reset trace view]
-
사용자에 대한 사용자 이름, 로그인 클래스, 암호화된 패스워드를 설정합니다.
[edit system login] user@host# set userrandomuser class superuser authentication encrypted-password $1$ABC123
결과
구성 모드에서 명령을 입력하여 show system login 구성을 확인합니다. 출력이 의도된 구성을 표시하지 않으면, 이 예의 구성 지침을 반복하여 수정합니다.
[edit]
user@host# show system login
class operator-and-boot {
permissions [ clear network reset trace view ];
allow-commands "request system reboot";
}
user randomuser {
class superuser;
authentication {
encrypted-password "$1$ABC123";
}
}
다음 예시는 4명의 사용자에 대한 계정을 만드는 방법을 보여줍니다. 또한 템플릿 사용자 remote에 대한 계정을 만드는 방법도 보여줍니다. 모든 사용자는 기본 시스템 로그인 클래스 중 하나를 사용합니다.
[edit]
system {
login {
user philip {
full-name “Philip of Macedonia”;
uid 1001;
class super-user;
authentication {
encrypted-password “$ABC123”;
}
}
user alexander {
full-name “Alexander the Great”;
uid 1002;
class operator;
authentication {
encrypted-password “$ABC123”;
}
}
user darius {
full-name “Darius King of Persia”;
uid 1003;
class operator;
authentication {
ssh-rsa “1024 37 12341234@ecbatana.per”;
}
}
user anonymous {
class unauthorized;
}
user remote {
full-name “All remote users”;
uid 9999;
class read-only;
}
}
}
디바이스를 구성한 후 구성 모드에서 을(를) 입력 commit 하십시오.
구성 그룹에서 사용자 계정 구성
여러 디바이스에서 동일한 사용자 계정을 쉽게 구성하려면 구성 그룹 내에서 계정을 구성합니다. 여기에 표시된 예는 이라는 global구성 그룹에서 있습니다. 사용자 계정의 구성 그룹을 사용하는 것은 선택 사항입니다.
사용자 계정을 생성하기 위해 다음을 수행합니다.