Перейти к содержанию

Настройка управления пользователями

Обзор управления пользователями#

Системой Numa Edge поддерживается следующее:

  • Аутентификация при входе в систему
  • Доступ по SSH с помощью общих открытых ключей

Аутентификация при входе в систему#

По умолчанию система создает одну учетную запись пользователя с именем admin и паролем admin. По соображениям безопасности пароль в дальнейшем настоятельно рекомендуется сменить. Система проверяет подлинность пользователей по паролю, настроенному с помощью команды system login user <пользователь> authentication.

Для управления учетными записями пользователей следует использовать команды системы конфигурирования во избежание возможных проблем.

Узел конфигурации login является обязательным узлом. Он создается автоматически и заполняется сведениями по умолчанию при первом запуске системы. Если этот узел впоследствии удаляется, система воссоздает его при перезапуске с заполнением по умолчанию.

Пароли пользователей для входа вводятся открытым текстом. После фиксации настройки система шифрует их и сохраняет внутри себя зашифрованные версии. При отображении настройки пользователя отображается только зашифрованная версия пароля.

Примечание

В Numa Edge используются следующие ограничения для попыток перебора пароля:

  • ограничение до 5 попыток неправильного ввода пароля для указанного пользователя;
  • после каждой из первых пяти ошибок происходит задержка на 3 секунды;
  • после 5 неуспешных попыток авторизации учетная запись блокируется на 5 минут;
  • каждая последующая попытка авторизации для заблокированного пользователя, вне зависимости от правильности ввода пароля, обнуляет таймер блокировки.

Доступ по SSH с помощью общих открытых ключей#

Удаленный доступ к операционной системе Numa Edge, как правило, устанавливается через SSH. SSH позволяет обеспечить защищенный сеанс, однако при использовании SSH существует одна потенциальная проблема, которая заключается в том, что если для проверки подлинности используется пароль, то его возможно подобрать. В качестве альтернативы аутентификации по паролю, не подверженной этому риску, для проверки подлинности по SSH пользователи используют общие открытые ключи.

При использовании этого метода удалённой системой создается пара из закрытого и открытого ключей (обычно с помощью команды Linux ssh-keygen). Файл открытого ключа (как правило, с расширением .pub) загружается в настройку входа в систему пользователя, который сможет получить доступ к системе, используя его с помощью команды loadkey. Кроме того, в настройке системы Numa Edge должна быть отключена аутентификация по SSH с использованием пароля. Таким образом, пользователи SSH могут быть аутентифицированы с использованием паролей или общих открытых ключей, но не того и другого одновременно.

Создание учетных записей пользователей для входа в систему#

В этом разделе представлен пример настройки учетной записи пользователя, проходящего проверку подлинности с использованием локальной пользовательской базы данных. Образец настройки приведен на рисунке.

учетная запись пользователей для входа в систему

Учетная запись пользователей для входа в систему

В этом примере выполняется создание пользовательской учетной записи для John Smith. John имеет пользовательский идентификатор john и будет использовать пароль Mypassword12345$. Следует обратить внимание, что после фиксации настройки при ее выводе будет отображаться только зашифрованная версия пароля.

Примечание

Задаваемый пароль должен соответствовать требованиям безопасности: быть длиной не менее 10 символов, содержать по крайней мере одну букву в верхнем регистре, содержать по крайней мере одну цифру.

Для создания учетной записи пользователя, предназначенной для входа в систему, выполните следующие действие в режиме настройки:

Пример – Создание учетной записи пользователя для входа в систему#
  1. Создание узла конфигурации user, указание идентификатора пользователя и его полного имени: 
    1
2
    [edit]
admin@Edge1# set system login user john full-name "John Smith"
  2. Указание пароля пользователя открытым текстом: 
    1
2
    [edit]
admin@Edge1# set system login user john authentication plaintext-password Mypassword12345$
  3. Фиксация изменения. После фиксации пароля он может быть отображен только в зашифрованной форме как значение атрибута encrypted-password: 
    1
2
    [edit]
admin@Edge1# commit
  4. Отображение содержимого узла конфигурации system login:
     1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
    admin@Edge1# show system login
user admin {
authentication {
encrypted-password 
1
1EyOd.0dr$j74/m/yLATcXqeiI5zKPR0
plaintext-password ""
}
level admin
}
user john {
authentication {
encrypted-password 
1
1lU4LWpp9$qJFg8uNfXrZbNzQrUtDXc.
plaintext-password ""
}
full-name "John Smith"
}
[edit]
admin@Edge1#

Настройка для доступа по SSH с помощью общих открытых ключей#

В данном разделе приведен пример настройки доступа по SSH с помощью общих открытых ключей, как показано ниже.

Учетная запись пользователей для входа в систему

Доступ по SSH с использованием общих открытых ключей

В примере выполняется настройка системы Numa Edge для доступа по SSH с использованием общих открытых ключей для аутентификации; аутентификация по паролю при этом отключается (хотя отключение аутентификации по паролю не является предварительным условием для использования общих открытых ключей для аутентификации). В данном случае пользователь John Smith (username = john) уже существует в системе. Кроме того, открытый ключ (xxx.pub) уже создан (при помощи команды Linux ssh-keygen) и находится в каталоге, владельцем которого является пользователь j2 на узле xyz.abc.com.

Для настройки доступа по SSH с использованием общих открытых ключей нужно выполнить следующие действия в режиме настройки:

Пример – Настройка доступа по SSH с использованием общих открытых ключей#
Пример#
  1. Загрузка общего открытого ключа (xxx.pub) с системы, где он находится, и связывание его с пользователем john. В данном случае ключ расположен на машине xyz.abc.com в каталоге, владельцем которого является пользователь j2: 
    1
2
3
4
5
    [edit]
admin@Edge1# loadkey john scp://j2@xyz.abc.com/home/j2/.ssh/xxx.pub
j2@xyz.abc.com's password:
xxx.pub
Done
  2. Отключение аутентификации по паролям для SSH в системе. Следует обратить внимание, что это действие не является строго необходимым, но желательно, если пользователи должны использовать только проверку подлинности по общему открытому ключу: 
    1
2
    [edit]
admin@Edge1# set service ssh disable-password-authentication true
  3. Фиксация изменения: 
    1
2
    [edit]
admin@Edge1# commit
  4. Отображение изменения: 
    1
2
3
    [edit]
admin@Edge1# show service ssh
disable-password-authentication true
  5. Сохранение настройки для сохранения состояния изменений после перезагрузки: 
    1
2
3
4
    [edit]
admin@Edge1# save
Saving configuration to '/etc/config/config.boot'...
Done
  6. Отображение изменения: 
     1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
    admin@Edge1# show system login user admin {
authentication {
encrypted-password $1$EyOd.0dr$j74/m/yLATcXqeiI5zKPR0
plaintext-password ""
}
level admin
}
user john {
authentication {
encrypted-password $1$uHMDtq.u$.o48yjWAcxOgMBZYoOYZk1
plaintext-password ""
public-keys j2@xyz.abc.com {
key AAAAB3NzaC1yc2EAAAADAQABAAABAQDDpoShD8lCrlO9hBP+gumcPV+BMquOrBwkDlvJ/UMcOKJ0NjLZK59FZ+SUsMg+xTPJRCqJYUDEPa07qS4gz1xDKIGsU5TP2CIXjcdfFp
type ssh-rsa
}
}
full-name "John Smith"
}