Управление пользователями#
Описание#
Учетная запись пользователя по умолчанию fakel, а также вновь создаваемые учетные записи
пользователей имеют все возможности для настройки системы. Все учетные записи имеют
права sudo и, следовательно, могут работать в системе в качестве привилегированного пользователя.
Поддерживаются как локально администрируемые, так и удаленно администрируемые учетные записи RADIUS.
В крупных инсталляциях нецелесообразно настраивать каждого пользователя отдельно на каждой системе. ПО Факел поддерживает использование серверов RADIUS для аутентификации пользователей.
Аутентификация на основе ключа#
Настоятельно рекомендуется использовать аутентификацию по ключу SSH.
По умолчанию существует только один пользователь fakel, которому можно назначить
любое количество ключей. Создать ssh-ключ можно с помощью команды ssh-keygen
на локальной машине, которая (по умолчанию) сохранит его в файле ~/.ssh/id_rsa.pub.
Каждый SSH-ключ состоит из трех частей:
ssh-rsa AAAAB3NzaC1yc2EAAAABAA...VBD5lKwEWB username@host.example.com.
Используются только тип ssh-rsa и ключ AAAB3N.... Обратите внимание,
что длина ключа обычно составляет несколько сотен символов, и его придется
копировать и вставлять. Некоторые эмуляторы терминалов могут случайно разбить его на
несколько строк. Будьте внимательны при вставке, чтобы он вставлялся только в
одну строку. Третья часть является просто идентификатором и служит для справки.
Настройка#
Пример настройки#
В следующем примере и User1, и User2 смогут подключаться к ПО Факел
по SSH под именем пользователя fakel, используя свои собственные ключи.
User1 имеет ограничение на подключение только с одного IP адреса.
Список команд для настройки:
set system login user fakel authentication public-keys 'User1' key "AAAAB3Nz...KwEW"
set system login user fakel authentication public-keys 'User1' type ssh-rsa
set system login user fakel authentication public-keys 'User1' options "from="192.168.0.100""
set system login user fakel authentication public-keys 'User2' key "AAAAQ39x...fbV3"
set system login user fakel authentication public-keys 'User2' type ssh-rsa
Список команд#
Основные настройки#
- • system login user <name> full-name “<string>”#
Создает нового системного пользователя с именем пользователя
<name>и реальным именем, заданным в поле<string>.
- • system login user <name> authentication plaintext-password <password>#
Устанавливает пароль пользователя
<name>в открытом виде для данной системы. Пароль в открытом виде будет автоматически переведен в защищенный хэшированный пароль и нигде не будет сохранен в открытом виде.
- • system login user <name> authentication encrypted-password <password>#
Устанавливает зашифрованный пароль для заданного имени пользователя
<name>. Это удобно для переноса хэшированного пароля из системы в систему.
Настройки аутентификации на основе ключей#
- • system login user <username> authentication public-keys <identifier> key <key>#
Назначает связку открытых ключей SSH
<key>, идентифицированную по ключу<identifier>, локальному пользователю <username>.
- • system login user <username> authentication public-keys <identifier> type <type>#
Каждая часть открытого ключа SSH, на которую ссылается
<identifier>, требует настройки<type>используемого открытого ключа. Этот тип может быть любым из:
ecdsa-sha2-nistp256ecdsa-sha2-nistp384ecdsa-sha2-nistp521ssh-dssssh-ed25519ssh-rsa
Примечание
Вы можете назначить несколько ключей одному и тому же пользователю, используя уникальный идентификатор для каждого SSH-ключа.
- • system login user <username> authentication public-keys <identifier> options <options>#
Задает параметры для данного открытого ключа
<identifier>.
Настройка авторизации через RADIUS#
- • set system login radius server <address> key <secret>#
Устанавливает
<address>пользователя RADIUS-сервера с секретомpre-shared-secret, заданным в поле<secret>. Можно указать несколько серверов.
- • set system login radius server <address> port <port>#
Определяет порт
<port>, через который можно связаться с сервером RADIUS<address>. По умолчанию это значение равно 1812.
- • set system login radius server <address> timeout <timeout>#
Установите
<timeout>в секундах при запросе к серверу RADIUS<address>.
- • set system login radius server <address> disable#
Временно отключает определенный сервер RADIUS
<address>.
- • set system login radius source-address <address>#
Серверы RADIUS могут быть усилены путем разрешения подключения только определенных IP адресов. Для этого можно настроить адрес источника каждого запроса RADIUS. Если этот параметр не задан, то входящие соединения с сервером RADIUS будут использовать ближайший адрес интерфейса, указывающий на сервер, что приводит к ошибкам в сетях OSPF, например, при отказе канала связи и использовании резервного маршрута.
Подсказка
Если вы хотите, чтобы пользователи-администраторы проходили аутентификацию через RADIUS, необходимо отправить атрибут Cisco-AV-Pair shell:priv-lvl=15. Без этого атрибута вы получите только обычных, непривилегированных пользователей системы.
Настройка баннера входа в систему#
Вы можете установить баннер с сообщением после или перед входом в систему для отображения определенной информации для данной системы.
- • set system login banner pre-login <message>#
Устанавливает сообщение
<message>, которое будет показано при подключении по SSH и перед входом пользователя в систему.
- • set system login banner post-login <message>#
Устанавливает сообщение
<message>, которое будет показано после входа пользователя в систему.
Примечание
Чтобы создать новую строку в сообщении для входа в систему, необходимо экранировать символ новой строки с помощью \\\n.