ssh配置

可以理解为专门创建的ssh用户。

ssh user命令用来创建SSH用户，并指定SSH用户的服务类型和认证方式。

undo ssh user命令用来删除SSH用户。

【命令】

ssh user username service-type { all | netconf | scp | sftp | stelnet } authentication-type { password | { any | password-publickey | publickey } [ assign { pki-domain domain-name | publickey keyname } ] }

undo ssh user username

【缺省情况】

不存在SSH用户。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

username：SSH用户名，为1～80个字符的字符串，区分大小写。用户名不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”，且不能为“a”、“al”、“all”。其中，“@”、“\”和“/”仅用于作为用户名的ISP域名分隔符，具体使用形式为：pureusername@domain、pureusername/domain、domain\pureusername。当创建SCP服务类型的用户时，用户名中请不要包含短横杠-，否则使用此用户名进行SCP登录会失败。

service-type：SSH用户的服务类型。包括：

·     all：包括scp、sftp、stelnet和netconf四种服务类型。

·     scp：服务类型为SCP（Secure Copy的简称）。

·     sftp：服务类型为SFTP（Secure FTP的简称）。

·     stelnet：服务类型为Stelnet（Secure Telnet的简称）。

·     netconf：服务类型为NETCONF。

authentication-type：SSH用户的认证方式。包括：

·     password：强制指定该用户的认证方式为password。该认证方式的加密机制简单，加密速度快，可结合AAA（Authentication, Authorization, Accounting，认证、授权、计费）实现对用户认证、授权和计费，但容易受到攻击。

·     any：不指定用户的认证方式，用户既可以采用password认证，也可以采用publickey认证。

·     password-publickey：指定客户端版本为SSH2的用户认证方式为必须同时进行password和publickey两种认证，安全性更高；客户端版本为SSH1的用户认证方式为只要进行其中一种认证即可。

·     publickey：强制指定该用户的认证方式为publickey。该认证方式的加密速度相对较慢，但认证强度高，不易受到暴力猜测密码等攻击方式的影响，而且具有较高的易用性。一次配置成功后，后续认证过程自动完成，不需要用户记忆和输入密码。

assign：指定用于验证客户端的参数。

·     pki-domain domain-name：指定验证客户端证书的PKI域。domain-name表示PKI域的名称，为1～31个字符的字符串，不区分大小写，不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“"”。服务器端使用保存在该PKI域中的CA证书对客户端证书进行合法性检查，无需提前保存客户端的公钥，能够灵活满足大数量客户端的认证需求。

·     publickey keyname：指定SSH客户端的公钥。keyname表示已经配置的客户端公钥名称，为1～64个字符的字符串，不区分大小写。服务器端使用提前保存在本地的用户公钥对用户进行合法性检查，如果客户端密钥文件改变，服务器端需要及时更新本地配置。

【使用指导】

SSH用户的配置与服务器端采用的认证方式有关，具体如下：

·     如果服务器采用了publickey认证，则必须在设备上创建相应的SSH用户，以及同名的本地用户（用于下发授权属性：工作目录、用户角色）。

·     如果服务器采用了password认证，则必须在设备上创建相应的本地用户（适用于本地认证），或在远程服务器（如RADIUS服务器，适用于远程认证）上创建相应的SSH用户。这种情况下，并不需要通过本配置创建相应的SSH用户，如果创建了SSH用户，则必须保证指定了正确的服务类型以及认证方式。

·     如果服务器采用了password-publickey或any认证，则必须在设备上创建相应的SSH用户，以及在设备上创建同名的本地用户（适用于本地认证）或者在远程认证服务器上创建同名的SSH用户（如RADIUS服务器，适用于远程认证）。

SCP或SFTP用户登录时使用的工作目录与用户使用的认证方式有关：

·     采用publickey或password-publickey认证方式的用户，使用的工作目录为对应的本地用户视图下通过authorization-attribute命令设置的工作目录。

·     只采用password认证方式的用户，使用的工作目录为通过AAA授权的工作目录。

SSH用户登录时拥有的用户角色与用户使用的认证方式有关：

·     采用publickey或password-publickey认证方式的用户，用户角色为对应的本地用户视图下通过authorization-attribute命令设置的用户角色。

·     采用password认证方式的用户，用户角色为通过AAA授权的用户角色。

使用该命令为用户指定公钥或PKI域时，以最后一次指定的公钥或PKI域为准。若不指定pki-domain和publickey，则表示该用户采用证书认证方式登录，服务器使用其所属的PKI域来验证客户端的证书。

对SSH用户配置的修改，不会影响已经登录的SSH用户，仅对新登录的用户生效。

【举例】

# 创建SSH用户user1，配置user1的服务类型为SFTP，认证方式为password-publickey，并指定客户端公钥为key1。

<Sysname> system-view

[Sysname] ssh user user1 service-type sftp authentication-type password-publickey assign publickey key1

# 创建设备管理类本地用户user1，配置用户密码为明文123456TESTplat&!，服务类型为SSH，授权工作目录为flash:，授权用户角色为network-admin。

[Sysname] local-user user1 class manage

[Sysname-luser-manage-user1] password simple 123456TESTplat&!

[Sysname-luser-manage-user1] service-type ssh

[Sysname-luser-manage-user1] authorization-attribute work-directory flash: user-role network-admin

这个命令可以不配置 不影响

您好，可以参考如下SSH配置链接：

https://www.h3c.com/cn/d_202001/1267623_30005_0.htm#_Toc29921832  

ssh user命令用来创建SSH用户，并指定SSH用户的服务类型和认证方式。

undo ssh user命令用来删除SSH用户。

【命令】

ssh user username service-type { all | netconf | scp | sftp | stelnet } authentication-type { password | { any | password-publickey | publickey } [ assign { pki-domain domain-name | publickey keyname } ] }

undo ssh user username

【缺省情况】

不存在SSH用户。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

username：SSH用户名，为1～80个字符的字符串，区分大小写。用户名不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”，且不能为“a”、“al”、“all”。其中，“@”、“\”和“/”仅用于作为用户名的ISP域名分隔符，具体使用形式为：pureusername@domain、pureusername/domain、domain\pureusername。当创建SCP服务类型的用户时，用户名中请不要包含短横杠-，否则使用此用户名进行SCP登录会失败。

service-type：SSH用户的服务类型。包括：

·     all：包括scp、sftp、stelnet和netconf四种服务类型。

·     scp：服务类型为SCP（Secure Copy的简称）。

·     sftp：服务类型为SFTP（Secure FTP的简称）。

·     stelnet：服务类型为Stelnet（Secure Telnet的简称）。

·     netconf：服务类型为NETCONF。

authentication-type：SSH用户的认证方式。包括：

·     password：强制指定该用户的认证方式为password。该认证方式的加密机制简单，加密速度快，可结合AAA（Authentication, Authorization, Accounting，认证、授权、计费）实现对用户认证、授权和计费，但容易受到攻击。

·     any：不指定用户的认证方式，用户既可以采用password认证，也可以采用publickey认证。

·     password-publickey：指定客户端版本为SSH2的用户认证方式为必须同时进行password和publickey两种认证，安全性更高；客户端版本为SSH1的用户认证方式为只要进行其中一种认证即可。

·     publickey：强制指定该用户的认证方式为publickey。该认证方式的加密速度相对较慢，但认证强度高，不易受到暴力猜测密码等攻击方式的影响，而且具有较高的易用性。一次配置成功后，后续认证过程自动完成，不需要用户记忆和输入密码。

assign：指定用于验证客户端的参数。

·     pki-domain domain-name：指定验证客户端证书的PKI域。domain-name表示PKI域的名称，为1～31个字符的字符串，不区分大小写，不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“"”。服务器端使用保存在该PKI域中的CA证书对客户端证书进行合法性检查，无需提前保存客户端的公钥，能够灵活满足大数量客户端的认证需求。

·     publickey keyname：指定SSH客户端的公钥。keyname表示已经配置的客户端公钥名称，为1～64个字符的字符串，不区分大小写。服务器端使用提前保存在本地的用户公钥对用户进行合法性检查，如果客户端密钥文件改变，服务器端需要及时更新本地配置。