Inhoudsopgave:
Video: Junos Space - Password Recovery 2024
Er zijn twee manieren waarop u gebruikersaccounts in Junos kunt configureren - handmatig op elk apparaat of met behulp van een authenticatieserver. Als u een klein aantal apparaten hebt en u niet vaak wijzigingen aanbrengt, is het instellen van afzonderlijke accounts op elk apparaat een eenvoudige manier om netwerkbeheerders toegang te bieden.
Voor grotere netwerken is het gebruik van een gecentraliseerde verificatieserver echter veel eenvoudiger omdat u alle accountgegevens op één plaats kunt opslaan en u deze slechts één keer bijwerkt wanneer er wijzigingen optreden.
Lokale gebruikersconfiguratie
We zullen eerst de lokale gebruikersconfiguratiemethode tonen. Wanneer u voor een individuele gebruiker een account op een apparaat maakt, wijst u een loginnaam, wachtwoord en rechten toe en geeft u informatie over de gebruiker. Dit proces lijkt erg op wat je hebt gedaan voor de eerste apparaatconfiguratie. Hier is een voorbeeld dat een supergebruikersaccount instelt voor een gebruiker met de naam Mike:
[bewerk systeem login] gebruiker @ junos-device # stel gebruiker mike class super-user in [wijzig systeem login] gebruiker @ junos-device # stel gebruiker mike volledige naam in "Mike Bushong" [edit systeem login] user @ junos-device # set user mike authentication plain-text-password Nieuw wachtwoord: ******** Type nieuw wachtwoord in: ********
Het eerste commando definieert een account voor de gebruiker Mike en geeft hem supergebruikersrechten (eerder weergegeven in Tabel 6-3), waarmee hij alle bewerkingen op de router kan uitvoeren. Het tweede commando definieert zijn volledige naam. En het derde commando maakt een wachtwoord voor Mike. Hoewel het commando aangeeft dat het een plain-text-wachtwoord (ASCII) is, codeert de Junos OS-software het wachtwoord, zoals u kunt zien wanneer u de configuratie weergeeft:
[systeemaanmelding bewerken] user @ junos-device # show user mike {uid 2001; klasse super-gebruiker; authenticatie {versleuteld-wachtwoord "$ 1 $ BmFLXWlx $ sYKMY7XrTRHv40AD3 / Z7U1"; ## SECRET-DATA}}
Het systeem heeft de uid toegewezen als een beknopte manier om gebruikersinformatie bij te houden.
Gebruikersconfiguratie verificatieserver
Grotere organisaties centraliseren over het algemeen het verificatieproces door RADIUS-servers (Remote Authentication Dial-In User Service) in het netwerk in te stellen. Alle accountinformatie wordt opgeslagen op de server. Wanneer een gebruiker probeert in te loggen bij de router, vraagt de router de RADIUS-server om de gebruiker te valideren.
Zo configureert u gecentraliseerde verificatie:
-
Ga naar de configuratiemodus en configureer het IP-adres en wachtwoord (dat RADIUS een "geheim" noemt) van de RADIUS-server:
[bewerk systeem] user @ junos-device # set radius-server 192.168. 10. 1 geheim 123456 [bewerk systeem] user @ junos-device # toon radius-server {192. 168. 10. 1 geheim "$ 9 $ ZQUk. FTz6Ct5TcyevLX"; ## SECRET-DATA}
Houd er rekening mee dat het wachtwoord is gecodeerd.
-
Maak van RADIUS de primaire authenticatiemethode:
[bewerk systeem] gebruiker @ junos-device # stel authenticatie-bestelling in [radius wachtwoord]
Met deze configuratie, wanneer een gebruiker zich probeert aan te melden bij de router, Junos OS-software probeert eerst om de gebruiker te authenticeren tegen de RADIUS-database. Als deze stap slaagt, mag de gebruiker inloggen. Als de stap mislukt, controleert de software op accounts die op de router zijn geconfigureerd. Als de gebruiker een lokaal account heeft en de referenties overeenkomen, kan de gebruiker zich aanmelden. Anders wordt de toegang geweigerd.
Als u een RADIUS-server voor verificatie gebruikt, kunt u ook één account instellen voor een groep gebruikers. In plaats van veel individuele accounts in te stellen voor mensen met dezelfde functieverantwoordelijkheden, kunt u een gedeeld account voor de hele groep maken. Maak op de router het groepsaccount als volgt aan:
[bewerk systeem login] gebruiker @ junos-device # stel gebruiker architecten class super-user in [bewerk systeem login] gebruiker @ junos-device # stel gebruiker architecten volledige naam in " Netwerkontwerpteam "
De volgende stap is om de gebruiker op de RADIUS-server toe te wijzen aan de groepsaccountnaam die u zojuist aan de gebruiker op de router hebt gegeven. Hoe u deze stap uitvoert, is afhankelijk van welke RADIUS-software u op de server gebruikt.