Vyatta_BasicSystem_rus[1]
.pdfГлава 3: Управление пользователем
Вэтой главе объясняется, как устанавливать аккаунт пользователя и аутентификацию пользователя.
Вэтой главе обсуждается следующие темы:
•Конфигурирование управления пользователем
•Просмотр аутентификационной информации
•Ошибка! Источник ссылки не найден.
Конфигурирование управления пользователем
Вэтом разделе представлены следующие темы:
•Обзор управления пользователем
•Создание пользовательских аккаунтов “Login”
•Конфигурирование работы с сервером RADIUS
Обзор управления пользователем
Система Vyatta поддерживает обе следующие возможности:
•Ролевое управление аккаунтами пользователя при посредстве использования локальной базы данных пользователя (“login” authentication)
•Аутентификация с использованием аутентификационного сервера RADIUS (Remote Authentication Dial In User Service).
Аутентификация при вхождении в систему
Система по умолчанию создает два пользовательских аккаунта: пользователь vyatta и пользователь user root. Пользовательский аккаунт vyatta может быть удален, на пользовательский аккаунт root защищен и не может быть удален.
По умолчанию для каждого из этих пользователей паролем является vyatta.
Если установлен сервер RADIUS, система аутентифицирует пользователей, используя пароль, сконфигурированный командой system login user <user> authentication (смотрите страницу 110).
ПРИМЕЧАНИЕ. Вы можете изменить информацию пользовательского аккаунта, используя команды операционной системы, но изменения продолжат свое существование после перезагрузки. Для постоянного изменения информацию пользовательского аккаунта используйте Vyatta CLI.
Конфигурационный узел login является обязательным узлом. Он создается автоматически, когда система стартует в первый раз, и содержит информацию, назначаемую по умолчанию. Если впоследствии удалить этот узел, система после рестарта восстановит этот узел с информацией по умолчанию.
101
Регистрационные пароли пользователя предоставляются в явном виде (в виде простого текста). После того, как конфигурация запущена (введена в действие), система шифрует пароли и хранит их в зашифрованном виде. Когда вы отображаете конфигурацию пользователя, отображается только зашифрованный вид пароля.
RADIUS Authentication
Серверы RADIUS используются только для аутентификации паролей пользователей. Использование аутентификации RADIUS не оказывает влияния на сконфигурированный уровень привилегий пользователя.
Секрет RADIUS определяется в явном виде (в виде простого текста). Секреты RADIUS хранятся в
системе в явном виде и используются как часть криптографической операции для безопасного переноса аутентифицирующей информации через сеть. Когда вы смотрите секреты RADIUS, они отображаются в явном виде.
Когда используется аутентификация RADIUS, можно ожидать некоторой задержки; ее величина будет зависеть от совокупного значения таймаутов, сконфигурированных на всех серверах RADIUS.
Если вы используете аутентификацию RADIUS, пользователи все же должны быть сконфигурированы в регистрационной базе данных системы Vyatta при посредстве команды system login user <user> authentication (смотрите страницу 110); в противном случае пользователи не будут иметь возможности обратиться к серверу RADIUS, поскольку он будет иметь доступа к системе Vyatta.
Порядок аутентификации
По умолчанию пользователи в первую очередь аутентифицируются при использовании локальной базы данных пользователя (“login” authentication). Если она терпит неудачу, система обращается к сконфигурированному серверу RADIUS. Если система находит сконфигурированный сервер RADIUS, она запрашивает сервер RADIUS, используя предоставленный секрет RADIUS. После подтверждения правильности запроса, сервер аутентифицирует пользователя, используя информацию из своей базы данных.
Серверы RADIUS запрашиваются в том порядке, в котором они были сконфигурированы: если время ожидания ответа на запрос истекло, запрашивается следующий по очереди сервер. Если запросы терпят неудачу, то система пытается аутентифицировать пользователя через локальную аутентификационную базу данных Vyatta. Если локальная аутентификация терпит неудачу, то попытка доступа к системе отвергается.
Свойственным для аутентификации является следующее поведение:
•Если для пользователя сконфигурирован только пароль P2 для регистрации в системе, то пользователь может использовать для регистрации P2.
•Если для пользователя сконфигурирован как пароль P1 для регистрации через сервер RADIUS, так и локальный пароль P2, то пользователь может использовать для регистрации либо P1, либо P2.
Создание пользовательских аккаунтов “Login”
В этом разделе представлен образец конфигурации для пользовательского аккаунта, который будет признаваться законным с использованием локальной базы данных пользователя. Используемая образцовая конфигурация представлена на Рисунке 3-1.
102
Рисунок 3-1 Пользовательский аккаунт “Login”
Этот раздел содержит следующий пример:
•Пример 3-1 Создание пользовательского аккаунта “login”
Пример 3-1 создает пользовательский аккаунт для пользователя с полным именем John Smith. Пользователь John имеет идентификатор (user ID) со значением john и будет использовать пароль, имеющий в явном виде значение mypassword. Заметим, что как только конфигурация запущена, только зашифрованная версия пароля отображается, когда показывается конфигурация.
ПРИМЕЧАНИЕ. Информация пользователя может быть изменена через оболочку UNIX (в предположении, что вы имеете достаточные полномочия). Однако любые изменения пользовательских аккаунтов или аутентификации маршрутизатора Vyatta через оболочку UNIX будет переписаны следующий раз, когда вы через интерфейс CLI маршрутизатора Vyatta запустите конфигурацию.
Чтобы создать пользовательский аккаунт для регистрации в системе, выполните следующие шаги в конфигурационном режиме:
Пример 3-1 Создание пользовательского аккаунта “login”
Шаг |
Команда |
Создать конфигурационный |
vyatta@R1# set system login user john full-name “John |
узел пользователя, определить |
Smith” |
идентификатор пользователя и |
[edit] |
задать полное имя |
|
пользователя. |
|
Определить пароль |
vyatta@R1# set system login user john authentication |
пользователя в явном виде (в |
plaintext-password mypassword |
виде простого текста) |
[edit] |
Запустить изменения. После |
vyatta@R1# commit |
того, как пароль будет |
[edit] |
запущен, он может быть |
|
отображен только в |
|
зашифрованном виде, как |
|
значение атрибута encrypted- |
|
password. |
|
Конфигурирование работы с сервером RADIUS
В этом разделе представлен образец конфигурации для пользовательского аккаунта, законность которого будет проверяться с использованием аутентификационного сервера RADIUS. Используемый образец конфигурации показан на Рисунке 3-2.
103
Рисунок 3-2 RADIUS User Account
Этот раздел содержит следующий пример:
•Пример 3-2 Конфигурирование сервера RADIUS
Пример 3-2 определяет для аутентификации сервер RADIUS, имеющий адрес 10.10.30.23. Система будет получать доступ к серверу RADIUS, используя секрет vyatta. В данном примере портом, который будет использоваться для трафика RADIUS, остается порт 1812, назначаемый по умолчанию и являющийся хорошо известным портом для RADIUS. Таймаут, после которого будет запрашиваться следующий сервер RADIUS, оставляется равным 2 секундам (это значение по умолчанию).
Чтобы определить сервер RADIUS, выполните следующие шаги в конфигурационном режиме:
Пример 3-2 Конфигурирование сервера RADIUS
Шаг |
Команда |
Задать местоположение |
vyatta@R1# set system login radius-server 10.10.30.23 |
сервера и секрет, который |
secret vyatta |
будет использоваться для |
[edit] |
доступа к серверу. |
|
Запустить изменения. После |
vyatta@R1# commit |
того, как секрет будет запущен, |
[edit] |
он может быть отображен |
|
только в зашифрованном виде. |
|
Просмотр аутентификационной информации
Вы всегда можете увидеть информацию в конфигурационном узле, используя команду show в конфигурационном режиме. В данном случае вы можете увидеть конфигурацию аутентификации при посредстве использования команды show system login или команды show system radius-server, как показано в Примере 3-3.
Чтобы увидеть конфигурацию аутентификации, выполните следующие шаги в конфигурационном режиме:
Пример 3-3 Просмотр конфигурационных узлов “system login” и “system radius-server”
Шаг |
Команда |
Показать содержимое |
vyatta@R1# show system login |
конфигурационного узла |
user root { |
system login. |
authentication { |
|
encrypted-password |
|
$1$A.EPAdNj$/2bTvc433VZ.VV5YWAbd1 |
|
} |
|
} |
104
user vyatta { authentication {
encrypted-password $1$$ZbzUPUD24iyfRwCKIT16q0
}
}
user john { authentication
|
encrypted-password $1$$Ht7gBYnxI1xCdO/JOnodh. |
|
plaintext-password "" |
|
} |
|
full-name "John Smith" |
|
} |
Показать содержимое |
vyatta@R1# show system radius-server |
конфигурационного узла |
radius-server 10.10.30.23 { |
system radius-server. |
port 1812 |
|
secret vyatta |
|
timeout 2 |
|
} |
105
Команды управления пользователем
В этом параграфе описываются следующие команды.
Конфигурационные команды
system login |
Создает конфигурационный узел для управления пользователем |
|
и аутентификации. |
system login radius-server <address> |
Определяет сервер RADIUS для аутентификации пользователя. |
system login user <user> |
Создает аккаунт пользователя. |
system login user <user> authentication |
Устанавливает для пользователя пароль аутентификации. |
system login user <user> full-name |
Позволяет вам задать полное имя пользователя. |
<name> |
|
system login user <user> level <level> |
Определяет для пользователя уровень привилегий и доступа к |
|
системе. |
Операционные команды |
|
show users |
Показывает, какие пользователи в настоящее время |
|
зарегистрированы на системе. |
106
system login
Создает конфигурационный узел для управления пользователем и аутентификации.
Синтаксис
set system login delete system login show system login
Режим команды
Конфигурационный режим.
Конфигурационная формулировка
system { login {}
}
Параметры
Нет.
По умолчанию
Нет.
Указания по применению
Используйте эту команду, чтобы управлять пользовательскими аккаунтами и аутентификацией. Конфигурационный узел login является обязательным узлом. Он создается автоматически, когда система стартует в первый раз, и содержит информацию, назначаемую по умолчанию. Если впоследствии удалить этот узел, система после рестарта восстановит этот узел с информацией по умолчанию. Используйте форму set этой команды, чтобы создать конфигурационный узел login. Используйте форму delete этой команды, чтобы восстановить назначаемую по умолчанию информацию пользователя и аутентификационную информацию. Используйте форму show этой команды, чтобы увидеть конфигурацию пользователя и аутентификации.
107
system login radius-server <address>
Определяет сервер RADIUS для аутентификации пользователя.
Синтаксис
set system login radius-server address [port port | secret secret | timeout timeout] delete system login radius-server address [port | secret| timeout]
show system login radius-server address [port | secret| timeout]
Режим команды
Конфигурационный режим.
Конфигурационная формулировка
system { login {
radius-server ipv4 {
|
|
port 1–65534 |
|
|
secret text |
|
|
timeout 1–4294967296 |
} |
} |
|
|
||
} |
|
|
Параметры |
|
|
|
address |
Обязательный. Многократный узел. IP-адрес удаленного сервера |
|
|
аутентификации, выполняющего протокол RADIUS. Этот сервер |
|
|
может использоваться для аутентификации множества |
|
|
пользователей. Вы можете определить много RADIUS, создавая |
|
|
многократные конфигурационные узлы radius-server. |
|
port |
Необязательный. Порт, который будет использоваться для трафика |
|
|
RADIUS. По умолчанию это 1812. |
|
secret |
Обязательный. Пароль для сервера RADIUS. Он должен быть таким |
|
|
же, как тот, который записан на сервере RADIUS. |
|
|
Поддерживаемыми символами являются буквенно-цифровые, знак |
|
|
пробела и специальные знаки. Строки, содержащие пробелы, |
|
|
должны заключаться в двойные кавычки. |
|
timeout |
Необязательный. Интервал, выраженный в секундах, по истечении |
|
|
которого, если сервер RADIUS не отвечает, должен запрашиваться |
|
|
следующий сконфигурированный сервер RADIUS. Значением по |
|
|
умолчанию является 2. |
По умолчанию
Нет.
Указания по применению
Используйте эту команду, чтобы определить сервер RADIUS (Remote Authentication Dial In User Service) и задать информацию, необходимую для регистрации на нем. Секрет RADIUS определяется в виде простого текста. Секреты RADIUS хранятся в
системе в виде простого текста и используются как часть криптографической операции для безопасного переноса аутентифицирующей информации через сеть. Когда вы смотрите секреты RADIUS, они отображаются в виде простого текста. Используйте форму set этой команды, чтобы определить сервер RADIUS. Используйте форму delete этой команды, чтобы удалить сервер RADIUS. Используйте форму show этой команды, чтобы увидеть конфигурацию сервера
RADIUS.
108
system login user <user>
Создает аккаунт пользователя.
Синтаксис
set system login user user delete system login user user show system login user user
Режим команды
Конфигурационный режим.
Конфигурационная формулировка
system { login {
} |
user text {} |
|
|
||
} |
|
|
Параметры |
|
|
|
user |
Обязательный. Многократный узел. Уникальный идентификатор |
|
|
(ID) пользователя, содержащий до 32 символов, включая буквенно- |
|
|
цифровые и дефисы. Вы можете определить много |
|
|
пользовательских аккаунтов, создавая многократные |
|
|
конфигурационные узлы user. |
По умолчанию
Нет.
Указания по применению
Используйте эту команду, чтобы определить пользователя, который будет аутентифицироваться с использованием внутреннего механизма системы: “login” authentication.
Система в первую очередь пытается аутентифицировать пользователей, используя локальную базу данных пользователя (“login” authentication). Если она терпит неудачу, система переходит к аутентификации с помощью сервера RADIUS. Система при запуске автоматически создает два пользовательских аккаунта:
•Пользователь root. Пользователь root является пользователем с
административным уровнем привилегий плюс полным видением системы (командное завершение и помощь CLI показывают все команды и файлы, как системы Vyatta, так и операционной системы).
•Пользователь vyatta. Пользователь vyatta является пользователем с административным уровнем привилегий, но ограниченным видением системы (командное завершение и помощь CLI показывают специфичные
команды Vyatta).
Заметим, что хотя информация пользовательского аккаунта и информация
аутентификации могут быть изменены с использованием команд операционной системы, система перепишет эти изменения в следующий раз, когда вы запустите (введете в действие) конфигурацию в оболочке Vyatta. Для постоянного изменения информации пользователя и аутентификации используйте команды Vyatta CLI. Используйте форму set этой команды, чтобы создать конфигурационный узел user. Используйте форму delete этой команды, чтобы удалить конфигурационный узел user. Заметим, что вы можете удалить пользовательский аккаунт vyatta, но не можете удалить пользовательский аккаунт root.
Используйте форму show этой команды, чтобы увидеть конфигурацию user.
109
system login user <user> authentication
Устанавливает для пользователя пароль аутентификации.
Синтаксис
set system login user user authentication {encrypted-password epwd | plaintextpassword ppwd}
delete system login user user authentication [encrypted-password | plaintextpassword]
show system login user user authentication [encrypted-password | plaintext-password]
Режим команды
Конфигурационный режим.
Конфигурационная формулировка
system { login {
user text { authentication {
encrypted-password text plaintext-password text
|
|
} |
} |
} |
|
|
||
} |
|
|
Параметры |
|
|
|
user |
Обязательный. Уникальный идентификатор (ID) пользователя, |
|
|
содержащий до 32 символов, включая буквенно-цифровые и |
|
|
дефисы. |
|
epwd |
Зашифрованный пароль. Это значение генерируется системой и не |
|
|
может быть изменено. |
|
ppwd |
Пароль пользователя, определенный в явном виде (в виде простого |
|
|
текста). |
По умолчанию
Нет.
Указания по применению
Используйте эту команду, чтобы установить пароль для аутентификации пользователя. Пароли устанавливаются с использованием команды plaintextpassword, и автоматически шифруются системой с использованием шифрования Message Digest 5 (MD5). Зашифрованная версия пароля хранится внутри системы и используется ей. При отображении показывается только зашифрованное значение. В конфигурации plaintext-password появляется как двойные кавычки. Чтобы отключить пользовательский аккаунт без его удаления, просто установить для encrypted-password значение “*”.
Используйте форму set этой команды, чтобы установить пароль пользователя. Используйте форму delete этой команды, чтобы удалить пароль пользователя. Используйте форму show этой команды, чтобы увидеть конфигурацию пароля пользователя.
110