Управление пользователями¶
Описание¶
Учетная запись пользователя по умолчанию fakel, а также вновь создаваемые учетные записи
пользователей имеют все возможности для настройки системы. Все учетные записи имеют
права sudo и, следовательно, могут работать в системе в качестве привилегированного пользователя.
Поддерживаются как локально администрируемые, так и удаленно администрируемые учетные записи RADIUS.
В крупных инсталляциях нецелесообразно настраивать каждого пользователя отдельно на каждой системе. ПО Факел поддерживает использование серверов RADIUS для аутентификации пользователей.
Аутентификация на основе ключа¶
Настоятельно рекомендуется использовать аутентификацию по ключу SSH.
По умолчанию существует только один пользователь fakel, которому можно назначить
любое количество ключей. Создать ssh-ключ можно с помощью команды ssh-keygen
на локальной машине, которая (по умолчанию) сохранит его в файле ~/.ssh/id_rsa.pub.
Каждый SSH-ключ состоит из трех частей:
ssh-rsa AAAAB3NzaC1yc2EAAAABAA...VBD5lKwEWB username@host.example.com.
Используются только тип ssh-rsa и ключ AAAB3N.... Обратите внимание,
что длина ключа обычно составляет несколько сотен символов, и его придется
копировать и вставлять. Некоторые эмуляторы терминалов могут случайно разбить его на
несколько строк. Будьте внимательны при вставке, чтобы он вставлялся только в
одну строку. Третья часть является просто идентификатором и служит для справки.
Настройка¶
Пример настройки¶
В следующем примере и User1, и User2 смогут подключаться к ПО Факел
по SSH под именем пользователя fakel, используя свои собственные ключи.
User1 имеет ограничение на подключение только с одного IP адреса.
Список команд для настройки:
set system login user fakel authentication public-keys 'User1' key "AAAAB3Nz...KwEW"
set system login user fakel authentication public-keys 'User1' type ssh-rsa
set system login user fakel authentication public-keys 'User1' options "from="192.168.0.100""
set system login user fakel authentication public-keys 'User2' key "AAAAQ39x...fbV3"
set system login user fakel authentication public-keys 'User2' type ssh-rsa
Список команд¶
Основные настройки¶
- • system login user <name> full-name “<string>”¶
Создает нового системного пользователя с именем пользователя
<name>и реальным именем, заданным в поле<string>.
- • system login user <name> authentication plaintext-password <password>¶
Устанавливает пароль пользователя
<name>в открытом виде для данной системы. Пароль в открытом виде будет автоматически переведен в защищенный хэшированный пароль и нигде не будет сохранен в открытом виде.
- • system login user <name> authentication encrypted-password <password>¶
Устанавливает зашифрованный пароль для заданного имени пользователя
<name>. Это удобно для переноса хэшированного пароля из системы в систему.
Настройки аутентификации на основе ключей¶
- • system login user <username> authentication public-keys <identifier> key <key>¶
Назначает связку открытых ключей SSH
<key>, идентифицированную по ключу<identifier>, локальному пользователю <username>.
- • system login user <username> authentication public-keys <identifier> type <type>¶
Каждая часть открытого ключа SSH, на которую ссылается
<identifier>, требует настройки<type>используемого открытого ключа. Этот тип может быть любым из:
ecdsa-sha2-nistp256ecdsa-sha2-nistp384ecdsa-sha2-nistp521ssh-dssssh-ed25519ssh-rsa
Примечание
Вы можете назначить несколько ключей одному и тому же пользователю, используя уникальный идентификатор для каждого SSH-ключа.
- • system login user <username> authentication public-keys <identifier> options <options>¶
Задает параметры для данного открытого ключа
<identifier>.
Настройка авторизации через RADIUS¶
- • set system login radius server <address> key <secret>¶
Устанавливает
<address>пользователя RADIUS-сервера с секретомpre-shared-secret, заданным в поле<secret>. Можно указать несколько серверов.
- • set system login radius server <address> port <port>¶
Определяет порт
<port>, через который можно связаться с сервером RADIUS<address>. По умолчанию это значение равно 1812.
- • set system login radius server <address> timeout <timeout>¶
Установите
<timeout>в секундах при запросе к серверу RADIUS<address>.
- • set system login radius server <address> disable¶
Временно отключает определенный сервер RADIUS
<address>.
- • set system login radius source-address <address>¶
Серверы RADIUS могут быть усилены путем разрешения подключения только определенных IP адресов. Для этого можно настроить адрес источника каждого запроса RADIUS. Если этот параметр не задан, то входящие соединения с сервером RADIUS будут использовать ближайший адрес интерфейса, указывающий на сервер, что приводит к ошибкам в сетях OSPF, например, при отказе канала связи и использовании резервного маршрута.
Подсказка
Если вы хотите, чтобы пользователи-администраторы проходили аутентификацию через RADIUS, необходимо отправить атрибут Cisco-AV-Pair shell:priv-lvl=15. Без этого атрибута вы получите только обычных, непривилегированных пользователей системы.
Настройка баннера входа в систему¶
Вы можете установить баннер с сообщением после или перед входом в систему для отображения определенной информации для данной системы.
- • set system login banner pre-login <message>¶
Устанавливает сообщение
<message>, которое будет показано при подключении по SSH и перед входом пользователя в систему.
- • set system login banner post-login <message>¶
Устанавливает сообщение
<message>, которое будет показано после входа пользователя в систему.
Примечание
Чтобы создать новую строку в сообщении для входа в систему, необходимо экранировать символ новой строки с помощью \\\n.