Sommario:
Video: Linux Tutorial for Beginners: Introduction to Linux Operating System 2024
Esistono due modi per configurare gli account utente in Junos: manualmente su ciascun dispositivo o utilizzando un server di autenticazione. Se si dispone di un numero ridotto di dispositivi e non si modifica spesso, l'impostazione di singoli account su ciascun dispositivo è un modo semplice per fornire l'accesso agli amministratori di rete.
Per reti più grandi, tuttavia, l'utilizzo di un server di autenticazione centralizzato è molto più semplice perché è possibile memorizzare tutte le informazioni sull'account in un'unica posizione e aggiornarle una sola volta quando si verificano cambiamenti.
Configurazione utente locale
Mostreremo prima il metodo di configurazione dell'utente locale. Quando si crea un account su un dispositivo per un singolo utente, si assegna un nome di accesso, una password e privilegi e si forniscono informazioni sull'utente. Questo processo è molto simile a quello che hai fatto per la configurazione iniziale del dispositivo. Ecco un esempio che imposta un account super-utente per un utente chiamato Mike:
[modifica login sistema] utente @ junos-dispositivo # set utente mike classe super-utente [modifica login sistema] utente @ junos-dispositivo # set utente mike nome completo "Mike Bushong" [modifica login di sistema] utente @ junos-device # set utente mike autenticazione plain-text-password Nuova password: ******** Ridigita nuova password: ********
Il primo comando definisce un account per l'utente Mike e gli assegna i privilegi di super utente (mostrati in precedenza nella Tabella 6-3), che gli consentono di eseguire tutte le operazioni sul router. Il secondo comando definisce il suo nome completo. E il terzo comando crea una password per Mike. Anche se il comando dice che è una password di testo semplice (ASCII), il software del sistema operativo Junos crittografa la password, come si può vedere quando si visualizza la configurazione:
[modifica login sistema] utente @ junos-dispositivo # mostra utente mike {uid 2001; super utente di classe; autenticazione {password crittografata "$ 1 $ BmFLXWlx $ sYKMY7XrTRHv40AD3 / Z7U1"; ## SECRET-DATA}}
Il sistema ha assegnato l'uid come modo sintetico per tenere traccia delle informazioni dell'utente.
Configurazione utente del server di autenticazione
Le organizzazioni più grandi generalmente centralizzano il processo di autenticazione, configurando i server RADIUS (Remote User Registration Service) nella rete. Tutte le informazioni sull'account sono memorizzate sul server. Quando un utente tenta di accedere al router, il router interroga il server RADIUS per convalidare l'utente.
Ecco come si imposta l'autenticazione centralizzata:
-
Entra in modalità configurazione e configura l'indirizzo IP e la password (che RADIUS chiama un "segreto") del server RADIUS:
[modifica sistema] utente @ junos-dispositivo # set radius-server 192.168. 10. 1 segreto 123456 [modifica sistema] utente @ junos-dispositivo # mostra radius-server {192. 168. 10. 1 segreto "$ 9 $ ZQUk. FTz6Ct5TcyevLX"; ## SECRET-DATA}Si noti che la password è crittografata.
-
Rendi RADIUS il metodo di autenticazione principale:
[modifica sistema] utente @ junos-dispositivo # imposta autenticazione-ordine [radius password]
Con questa configurazione, quando un utente prova ad accedere al router, il Il software del sistema operativo Junos tenta innanzitutto di autenticare l'utente sul database RADIUS. Se questo passaggio ha esito positivo, l'utente può accedere. Se non riesce, il software controlla gli account configurati sul router. Se l'utente ha un account locale e le credenziali corrispondono, l'utente può accedere. In caso contrario, l'accesso è negato.
L'utilizzo di un server RADIUS per l'autenticazione consente anche di configurare un singolo account per un gruppo di utenti. Invece di creare molti account individuali per persone che hanno le stesse responsabilità lavorative, puoi creare un account condiviso per l'intero gruppo. Sul router, crea l'account di gruppo come segue:
[modifica login sistema] utente @ junos-dispositivo # imposta utente architetti classe superutente [modifica accesso sistema] utente @ junos-dispositivo # imposta utente architetti nome completo " Team di progettazione della rete "
Il passaggio successivo consiste nel mappare l'utente sul server RADIUS sul nome dell'account del gruppo che ha appena assegnato all'utente sul router. Il modo in cui si esegue questo passaggio dipende dal software RADIUS che si sta utilizzando sul server.
