Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Cuentas de usuario

Junos OS le permite a usted (el administrador del sistema) crear cuentas para usuarios de enrutadores, conmutadores y seguridad. Todos los usuarios pertenecen a una de las clases de inicio de sesión del sistema.

Puede crear cuentas de usuario para que los usuarios puedan acceder a un enrutador, conmutador o dispositivo de seguridad. Todos los usuarios deben tener una cuenta de usuario predefinida antes de poder iniciar sesión en el dispositivo. Cree cuentas de usuario y, a continuación, defina el nombre de inicio de sesión y la información de identificación de cada cuenta de usuario.

Descripción general de las cuentas de usuario

Las cuentas de usuario proporcionan una forma para que los usuarios accedan a un dispositivo. Para cada cuenta, se definen el nombre de inicio de sesión, la contraseña y cualquier información de usuario adicional del usuario. Después de haber creado una cuenta, el software crea un directorio de inicio para el usuario.

Una cuenta para el usuario root siempre está presente en la configuración. Puede configurar la contraseña para root utilizar la root-authentication instrucción.

Aunque es común usar servidores de autenticación remota para almacenar información centralizada sobre los usuarios, también se recomienda configurar al menos un usuario no root en cada dispositivo. De esta manera, aún puede acceder al dispositivo si se interrumpe su conexión con el servidor de autenticación remota. Este usuario no root suele tener un nombre genérico como admin.

Para cada cuenta de usuario, puede definir lo siguiente:

  • Nombre de usuario (obligatorio): Nombre que identifica al usuario. Debe ser único. Evite usar espacios, dos puntos o comas en el nombre de usuario. El nombre de usuario puede incluir hasta 64 caracteres.

  • Nombre completo del usuario: (Opcional) Si el nombre completo contiene espacios, escríbalo entre comillas. Evite el uso de dos puntos o comas.

  • Identificador de usuario (UID): (Opcional) Identificador numérico asociado al nombre de la cuenta de usuario. El UID se asigna automáticamente al confirmar la configuración, por lo que no es necesario establecerla manualmente. Sin embargo, si decide configurar el UID manualmente, utilice un valor único en el intervalo de 100 a 64.000.

  • Privilegio de acceso del usuario: (Requerido) Una de las clases de inicio de sesión definidas en la class instrucción en la [edit system login] jerarquía o una de las clases de inicio de sesión predeterminadas.

  • Método o métodos de autenticación y contraseñas para el acceso al dispositivo (obligatorio): Puede utilizar una clave SSH, una contraseña de síntesis de mensaje 5 (MD5) o una contraseña de texto sin formato que Junos OS cifra mediante cifrado de estilo MD5 antes de introducirla en la base de datos de contraseñas. Para cada método, puede especificar la contraseña del usuario. Si configura la plain-text-password opción, recibirá un mensaje para ingresar y confirmar la contraseña:

    Para crear contraseñas de texto sin formato válidas, asegúrese de que:

    • Contienen entre 6 y 128 caracteres.

    • Incluya la mayoría de las clases de caracteres (letras mayúsculas, minúsculas, números, signos de puntuación y otros caracteres especiales), pero no incluya caracteres de control.

    • Contener al menos un cambio de mayúsculas y minúsculas o de clase de carácter.

    Junos-FIPS y Common Criteria tienen los siguientes requisitos especiales de contraseña. Deben:

    • Tener entre 10 y 20 caracteres.
    • Utilice al menos tres de los cinco conjuntos de caracteres definidos (letras mayúsculas, minúsculas, dígitos, signos de puntuación y otros caracteres especiales).

    Si Junos-FIPS está instalado en el dispositivo, debe cumplir los requisitos especiales de contraseña o las contraseñas no están configuradas.

Para la autenticación SSH, puede copiar el contenido de un archivo de clave SSH en la configuración. También puede configurar la información de la clave SSH directamente. Utilice la load-key-file instrucción para cargar un archivo de clave SSH generado anteriormente (por ejemplo, mediante ssh-keygen). El load-key-file argumento es la ruta de acceso a la ubicación y el nombre del archivo. La load-key-file instrucción carga las claves públicas RSA (SSH versión 1 y SSH versión 2). El contenido del archivo de clave SSH se copia en la configuración inmediatamente después de configurar la load-key-file instrucción.

Evite usar las siguientes combinaciones de versión de Seguridad de la capa de transporte (TLS) y conjunto de cifrado (clave de host RSA), que fallarán:

Con claves de host RSA:

  • TLS_1.0@DHE-RSA-AES128-SHA

  • TLS_1.0@DHE-RSA-AES256-SHA

Para cada cuenta de usuario y para los inicios de sesión raíz, puede configurar más de una clave RSA pública para la autenticación de usuarios. Cuando un usuario inicia sesión con una cuenta de usuario o como raíz, se hace referencia a las claves públicas configuradas para determinar si la clave privada coincide con alguna de las cuentas de usuario.

Para ver las entradas de la clave SSH, utilice el comando de modo show de configuración. Por ejemplo:

Descripción general de las cuentas de usuario y oficial de criptografía de Junos-FIPS

Junos-FIPS define un conjunto restringido de roles de usuario. A diferencia de Junos OS, que permite una amplia gama de capacidades para los usuarios, FIPS 140-2 define tipos específicos de usuarios (Crypto Officer, User y Maintenance). Los oficiales criptográficos y los usuarios de FIPS realizan todas las tareas de configuración relacionadas con FIPS y emiten todos los comandos relacionados con FIPS. Las configuraciones de usuario de Crypto Officer y FIPS deben seguir las directrices de FIPS 140-2. Por lo general, solo un oficial criptográfico puede realizar tareas relacionadas con FIPS.

Configuración de usuario de Crypto Officer

Junos-FIPS le ofrece un control más preciso de los permisos de usuario que los exigidos por FIPS 140-2. Para la conformidad con FIPS 140-2, cualquier usuario de Junos-FIPS con los bits , y maintenance de secretsecuritypermiso establecidos es un oficial de cifrado. En la mayoría de los casos, debe reservar la super-user clase para un Oficial de Criptografía. Un usuario FIPS se puede definir como cualquier usuario de Junos-FIPS que no tenga los secretsecuritybits , y , establecidosmaintenance.

Configuración del usuario FIPS

Un oficial criptográfico configura usuarios FIPS. Usuarios de FIPS ciertos permisos normalmente reservados para un Crypto Officer; por ejemplo, puede conceder a un usuario FIPS permiso para poner a cero el sistema y las PIC FIPS individuales de AS-II.

Ejemplo: Configurar nuevas cuentas de usuario

En este ejemplo se muestra cómo configurar nuevas cuentas de usuario.

Requisitos

No necesita ninguna configuración especial antes de utilizar esta función.

Descripción general

Puede agregar nuevas cuentas de usuario a la base de datos local del dispositivo. Para cada cuenta, usted (el administrador del sistema) define un nombre de inicio de sesión y una contraseña para el usuario y especifica una clase de inicio de sesión para los privilegios de acceso. La contraseña de inicio de sesión debe cumplir los siguientes criterios:

  • La contraseña debe tener al menos seis caracteres.

  • Puede incluir la mayoría de las clases de caracteres en la contraseña (caracteres alfabéticos, numéricos y especiales), pero no caracteres de control.

  • La contraseña debe contener al menos un cambio de mayúsculas y minúsculas o de clase de carácter.

En este ejemplo, se crea una clase de inicio de sesión denominada operator-and-boot y se permite reiniciar el dispositivo. Puede definir cualquier número de clases de inicio de sesión. A continuación, permita que la clase de inicio de sesión de operador y arranque utilice comandos definidos en los siguientes bits:

  • claro

  • red

  • restablecimiento

  • rastreo

  • Ver permiso

A continuación, cree cuentas de usuario para habilitar el acceso al dispositivo. Establezca el nombre de usuario como randomuser y la clase login como superusuario. Por último, defina la contraseña cifrada para el usuario.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de [edit] jerarquía y, a continuación, ingrese commit al modo de configuración.

Procedimiento paso a paso

Para configurar nuevos usuarios:

  1. Establezca el nombre de la clase de inicio de sesión y permita el uso del comando de reinicio.

  2. Establezca los bits de permiso para la clase de inicio de sesión.

  3. Establezca el nombre de usuario, la clase de inicio de sesión y la contraseña cifrada para el usuario.

Configuración rápida de la GUI
Procedimiento paso a paso

Para configurar nuevos usuarios:

  1. En la interfaz de usuario de J-Web, seleccione Configure>System Properties>User Management.

  2. Haga clic en Edit. Aparecerá el cuadro de diálogo Editar administración de usuarios.

  3. Seleccione la Users pestaña.

  4. Haga clic Add para agregar un nuevo usuario. Aparecerá el cuadro de diálogo Agregar usuario.

  5. En el cuadro Nombre de usuario, escriba un nombre único para el usuario.

    Evite espacios, dos puntos y comas en el nombre de usuario.

  6. En el cuadro Id. de usuario, escriba un identificador único para el usuario.

  7. En el cuadro Nombre completo, escriba el nombre completo del usuario.

    Si el nombre completo contiene espacios, escríbalo entre comillas. Evite los dos puntos y las comas.

  8. En los cuadros Contraseña y Confirmar contraseña, escriba una contraseña de inicio de sesión para el usuario y compruebe su entrada.

  9. En la lista Clase de inicio de sesión, seleccione el privilegio de acceso del usuario:

    • operator

    • read-only

    • unauthorized

    Esta lista también incluye cualquier clase de inicio de sesión definida por el usuario.

  10. Haga clic OK en el cuadro de diálogo Agregar usuario y en el cuadro de diálogo Editar administración de usuarios.

  11. Haga clic OK para comprobar su configuración y guardarla como configuración candidata.

  12. Después de configurar el dispositivo, haga clic en Commit Options>Commit.

Resultados

En el modo de configuración, confirme la configuración introduciendo el show system login comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

En el ejemplo siguiente se muestra cómo crear cuentas para cuatro usuarios. También muestra cómo crear una cuenta para el usuario remotede la plantilla. Todos los usuarios utilizan una de las clases de inicio de sesión predeterminadas del sistema.

Después de configurar el dispositivo, ingrese commit al modo de configuración.

Verificación

Confirme que la configuración funcione correctamente.

Comprobar la configuración de nuevos usuarios

Propósito

Compruebe que los nuevos usuarios están configurados.

Acción

Inicie sesión en el dispositivo con la nueva cuenta de usuario o cuentas y contraseña para confirmar que tiene acceso.

Configurar cuentas de usuario en un grupo de configuración

Para facilitar la configuración de las mismas cuentas de usuario en varios dispositivos, configure las cuentas dentro de un grupo de configuración. Los ejemplos que se muestran aquí se encuentran en un grupo de configuración denominado global. El uso de un grupo de configuración para sus cuentas de usuario es opcional.

Para crear una cuenta de usuario:

  1. Agregue un nuevo usuario utilizando el nombre de inicio de sesión de la cuenta asignada al usuario.
  2. (Opcional) Configure un nombre descriptivo para la cuenta.

    Si el nombre incluye espacios, escriba el nombre completo entre comillas.

    Por ejemplo:

  3. (Opcional) Establezca el identificador de usuario (UID) de la cuenta.

    Al igual que con los sistemas UNIX, el UID impone permisos de usuario y acceso a archivos. Si no configura el UID, el software le asigna uno. El formato del UID es un número entre 100 y 64.000.

    Por ejemplo:

  4. Asigne al usuario a una clase de inicio de sesión.

    Puede definir sus propias clases de inicio de sesión o asignar una de las clases de inicio de sesión predefinidas.

    Las clases de inicio de sesión predefinidas son las siguientes:

    • Superusuario: todos los permisos

    • operador: borrar, red, restablecer, rastrear y ver permisos

    • Solo lectura: permisos de visualización

    • No autorizado: sin permisos

    Por ejemplo:

  5. Utilice uno de los métodos siguientes para configurar la contraseña de usuario:

    • Para introducir una contraseña de texto sin cifrar que el sistema cifra automáticamente, utilice el siguiente comando para establecer la contraseña de usuario:

      A medida que ingresa la contraseña en texto sin formato, el software la cifra. No es necesario configurar el software para cifrar la contraseña. Las contraseñas de texto sin formato se ocultan y se marcan como ## SECRET-DATA en la configuración.

    • Para escribir una contraseña cifrada, utilice el siguiente comando para establecer la contraseña de usuario:

      Precaución:

      No utilice la encrypted-password opción a menos que la contraseña ya esté cifrada y esté introduciendo la versión cifrada de la contraseña.

      Si configura accidentalmente la encrypted-password opción con una contraseña de texto sin formato o con comillas en blanco (""), no podrá iniciar sesión en el dispositivo como este usuario.

    • Para cargar claves públicas generadas previamente desde un archivo con nombre en una ubicación URL especificada, use el siguiente comando:

    • Para escribir una cadena pública SSH, utilice el siguiente comando:

  6. En el nivel superior de la configuración, aplique el grupo de configuración.

    Si utiliza un grupo de configuración, debe aplicarlo para que surta efecto.

  7. Confirme la configuración.
  8. Para comprobar la configuración, cierre sesión y vuelva a iniciarla como el nuevo usuario.