请教一下,这条命令的意思
[rt2]ssh user nanjing service-type all authentication-type any
(0)
ssh user命令用来创建SSH用户,并指定SSH用户的服务类型和认证方式。
undo ssh user命令用来删除SSH用户。
【命令】
(非FIPS模式)
ssh user username service-type { all | netconf | scp | sftp | stelnet } authentication-type { keyboard-interactive | password | { any | password-publickey | publickey } [ assign { pki-domain domain-name | publickey keyname&<1-6> } ] }
undo ssh user username
(FIPS模式)
ssh user username service-type { all | netconf | scp | sftp | stelnet } authentication-type { keyboard-interactive | password | password-publickey [ assign { pki-domain domain-name | publickey keyname&<1-6> } ] }
undo ssh user username
【缺省情况】
不存在SSH用户。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
username:SSH用户名,为1~80个字符的字符串,区分大小写。用户名不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能为“a”、“al”、“all”。其中,“@”、“\”和“/”仅用于作为用户名的ISP域名分隔符,具体使用形式为:pureusername@domain、pureusername/domain、domain\pureusername。当创建SCP服务类型的用户时,用户名中请不要包含短横杠-,否则使用此用户名进行SCP登录会失败。
service-type:SSH用户的服务类型。包括:
· all:包括scp、sftp、stelnet和netconf四种服务类型。
· scp:服务类型为SCP(Secure Copy的简称)。
· sftp:服务类型为SFTP(Secure FTP的简称)。
· stelnet:服务类型为Stelnet(Secure Telnet的简称)。
· netconf:服务类型为NETCONF。
authentication-type:SSH用户的认证方式。包括:
· keyboard-interactive:强制用户使用交互式认证。该认证方式与password认证方式类似,相较于password认证,该认证方式提供了可变的交互信息。在远程认证服务器要求用户进行交互认证时,客户端终端上可以显示出远程认证服务器所提供的认证交互信息。在远程认证服务器不要求用户进行交互认证时,该认证处理流程和password认证相同。
· password:强制指定该用户的认证方式为password。该认证方式的加密机制简单,加密速度快,可结合AAA(Authentication, Authorization, Accounting,认证、授权、计费)实现对用户认证、授权和计费,但容易受到攻击。
· any:不指定用户的认证方式,用户可以采用keyboard-interactive认证、password认证或publickey认证中任意一种。
· password-publickey:指定客户端版本为SSH2的用户认证方式为必须同时进行password和publickey两种认证,安全性更高;客户端版本为SSH1的用户认证方式为只要进行其中一种认证即可。
· publickey:强制指定该用户的认证方式为publickey。该认证方式的加密速度相对较慢,但认证强度高,不易受到暴力猜测密码等攻击方式的影响,而且具有较高的易用性。一次配置成功后,后续认证过程自动完成,不需要用户记忆和输入密码。
assign:指定用于验证客户端的参数。
· pki-domain domain-name:指定验证客户端证书的PKI域。domain-name表示PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。服务器端使用保存在该PKI域中的CA证书对客户端证书进行合法性检查,无需提前保存客户端的公钥,能够灵活满足大数量客户端的认证需求。
· publickey keyname&<1-6>:指定SSH客户端的公钥,可以指定多个SSH客户端的公钥。keyname表示已经配置的客户端公钥名称,为1~64个字符的字符串,区分大小写。&<1-6>表示前面的参数最多可以输入6次。服务器端使用提前保存在本地的用户公钥对用户进行合法性检查,如果客户端密钥文件改变,服务器端需要及时更新本地配置。如果指定了多个用户公钥,则在验证SSH用户身份时,按照配置顺序使用指定的公钥依次对其进行验证,只要用户通过任意一个公钥验证即可。
【使用指导】
SSH用户的配置与服务器端采用的认证方式有关,具体如下:
· 如果服务器采用了publickey认证,则必须在设备上创建相应的SSH用户,以及同名的本地用户(用于下发授权属性:工作目录、用户角色)。
· 如果服务器采用了password认证,则必须在设备上创建相应的本地用户(适用于本地认证),或在远程服务器(如RADIUS服务器,适用于远程认证)上创建相应的SSH用户。这种情况下,并不需要通过本配置创建相应的SSH用户,如果创建了SSH用户,则必须保证指定了正确的服务类型以及认证方式。
· 如果服务器采用了keyboard-interactive、password-publickey或any认证,则必须在设备上创建相应的SSH用户,以及在设备上创建同名的本地用户(适用于本地认证)或者在远程认证服务器上创建同名的SSH用户(如RADIUS服务器,适用于远程认证)。
SCP或SFTP用户登录时使用的工作目录与用户使用的认证方式有关:
· 采用publickey或password-publickey认证方式的用户,使用的工作目录为对应的本地用户视图下通过authorization-attribute命令设置的工作目录。
· 采用keyboard-interactive或password认证方式的用户,使用的工作目录为通过AAA授权的工作目录。
SSH用户登录时拥有的用户角色与用户使用的认证方式有关:
· 采用publickey或password-publickey认证方式的用户,用户角色为对应的本地用户视图下通过authorization-attribute命令设置的用户角色。
· 采用keyboard-interactive或password认证方式的用户,用户角色为通过AAA授权的用户角色。
使用该命令为用户指定公钥或PKI域时,以最后一次指定的公钥或PKI域为准。若不指定pki-domain和publickey,则表示该用户采用证书认证方式登录,服务器使用其所属的PKI域来验证客户端的证书。
对SSH用户配置的修改,不会影响已经登录的SSH用户,仅对新登录的用户生效。
【举例】
# 创建SSH用户user1,配置user1的服务类型为SFTP,认证方式为password-publickey,并指定客户端公钥为key1。
<Sysname> system-view
[Sysname] ssh user user1 service-type sftp authentication-type password-publickey assign publickey key1
# 创建设备管理类本地用户user1,配置用户密码为明文123456TESTplat&!,服务类型为SSH,授权工作目录为flash:,授权用户角色为network-admin。
[Sysname] local-user user1 class manage
[Sysname-luser-manage-user1] password simple 123456TESTplat&!
[Sysname-luser-manage-user1] service-type ssh
[Sysname-luser-manage-user1] authorization-attribute work-directory flash: user-role network-admin
【相关命令】
· authorization-attribute(安全命令参考/AAA)
· display ssh user-information
· local-user(安全命令参考/AAA)
· pki domain(安全命令参考/PKI)
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论