Làm thế nào để cấu hình User Accounts trong Junos - núm vú cao su

Có hai cách mà bạn có thể cấu hình tài khoản người dùng trong Junos - bằng tay trên mỗi thiết bị hoặc sử dụng một máy chủ xác thực. Nếu bạn có một số ít thiết bị và bạn không thường xuyên sửa đổi, việc thiết lập các tài khoản cá nhân trên từng thiết bị là cách đơn giản để cung cấp quyền truy cập cho quản trị viên mạng.

Tuy nhiên, đối với các mạng lớn hơn, sử dụng máy chủ xác thực tập trung sẽ dễ dàng hơn nhiều vì bạn có thể lưu trữ tất cả thông tin tài khoản ở một nơi, và chỉ cập nhật nó một lần khi có thay đổi.

Cấu hình người dùng cục bộ

Chúng tôi sẽ chỉ cho bạn phương pháp cấu hình người dùng địa phương. Khi bạn tạo tài khoản trên thiết bị cho người dùng cá nhân, bạn chỉ định tên đăng nhập, mật khẩu và đặc quyền và bạn cung cấp thông tin về người dùng. Quá trình này rất giống với những gì bạn đã làm cho thiết lập thiết bị ban đầu. Dưới đây là ví dụ tạo tài khoản người dùng siêu cho người dùng có tên Mike:

[chỉnh sửa hệ thống đăng nhập] user @ JUNOS thiết bị # tập người dùng mike lớp siêu người dùng [sửa hệ thống đăng nhập] user @ JUNOS thiết bị # tập người dùng mike toàn tên “Mike Bushong” [chỉnh sửa hệ thống đăng nhập] user @ JUNOS thiết bị # thiết lập xác thực người dùng mike plain-text-mật khẩu mật khẩu mới: ******** nhập lại mật khẩu mới: ********

lệnh đầu tiên xác định một tài khoản cho người sử dụng Mike và cho anh ta đặc quyền siêu người dùng (được thể hiện trước đó trong Bảng 6-3), cho phép anh ta thực hiện tất cả các thao tác trên router. Lệnh thứ hai xác định tên đầy đủ của mình. Và lệnh thứ ba tạo ra một mật khẩu cho Mike. Mặc dù lệnh nói rằng nó là một mật khẩu văn bản thuần (ASCII), phần mềm hệ điều hành Junos mã hóa mật khẩu, như bạn thấy khi bạn hiển thị cấu hình:

[edit hệ thống đăng nhập] người sử dụng @ junos-thiết bị # hiển thị user mike {uid 2001; lớp super-user; xác thực {mã hóa mật khẩu "$ 1 $ BmFLXWlx $ sYKMY7XrTRHv40AD3 / Z7U1"; ## SECRET-DATA}}

Hệ thống đã chỉ định uid như một cách súc tích để theo dõi thông tin người dùng.

cấu hình xác thực người sử dụng máy chủ

tổ chức lớn thường tập trung quá trình xác thực, thiết lập từ xa xác thực Dial-In tài Service (RADIUS) các máy chủ trên mạng. Tất cả thông tin tài khoản được lưu trữ trên máy chủ. Khi người dùng cố gắng đăng nhập vào router, router sẽ truy vấn máy chủ RADIUS để xác thực người dùng.

Đây là cách bạn thiết lập chứng thực trung tâm:

1. Nhập chế độ cấu hình và định cấu hình địa chỉ IP và mật khẩu (RADIUS gọi là "bí mật") của máy chủ RADIUS:

   [edit system] user @ junos-device # set radius-server 192.168. 10. 1 bí mật 123456 [hệ thống chỉnh sửa] người dùng @ junos-thiết bị # hiển thị bán kính-máy chủ {192. 168. 10. 1 bí mật "$ 9 $ ZQUk. FTz6Ct5TcyevLX"; ## SECRET-DATA}
   

   Lưu ý rằng mật khẩu được mã hóa.

2. Làm cho RADIUS là phương thức xác thực chính:

[edit system] user @ junos-device # set authentication-order [radius password]

Với cấu hình này, khi người dùng cố gắng đăng nhập vào router, Phần mềm Junos OS đầu tiên cố gắng xác thực người dùng dựa vào cơ sở dữ liệu RADIUS. Nếu bước này thành công, người dùng được phép đăng nhập. Nếu không thành công, phần mềm sẽ kiểm tra các tài khoản được cấu hình trên router. Nếu người dùng có một tài khoản cục bộ và các thông tin phù hợp, người dùng có thể đăng nhập. Nếu không, truy cập bị từ chối.

Sử dụng máy chủ RADIUS để xác thực cũng cho phép bạn thiết lập một tài khoản cho một nhóm người dùng. Thay vì thiết lập nhiều tài khoản cá nhân cho những người có cùng trách nhiệm công việc, bạn có thể tạo một tài khoản được chia sẻ cho toàn bộ nhóm. Trên router, tạo tài khoản nhóm như sau:

[edit hệ thống đăng nhập] user @ junos-device # thiết lập người dùng kiến ​​trúc sư lớp super-user [edit hệ thống đăng nhập] user @ junos-device # thiết lập người sử dụng kiến ​​trúc sư đầy đủ tên " Nhóm thiết kế mạng "

Bước tiếp theo của bạn là lập bản đồ người dùng trên máy chủ RADIUS tới tên tài khoản nhóm bạn vừa cung cấp cho người dùng trên router. Cách bạn thực hiện bước này phụ thuộc vào phần mềm RADIUS nào bạn đang sử dụng trên máy chủ.