• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

ssh用户命令

2022-03-30提问
  • 0关注
  • 1收藏,1575浏览
粉丝:0人 关注:7人

问题描述:

请教一下,这条命令的意思

[rt2]ssh user nanjing service-type all authentication-type any

组网及组网描述:


2 个回答
知了小白
粉丝: 关注:

ssh用户服务类型身份验证类型任何

暂无评论

粉丝:29人 关注:9人

创建ssh的用户,用户名是nanjing,服务类型是all(包括netconf、scp、sftp、stelnet),认证类型是any(用户可以采用keyboard-interactive认证、password认证或publickey认证中任意一种)。


1.1.20  ssh user

ssh user命令用来创建SSH用户,并指定SSH用户的服务类型和认证方式。

undo ssh user命令用来删除SSH用户。

【命令】

(非FIPS模式)

ssh user username service-type { all | netconf | scp | sftp | stelnet } authentication-type { keyboard-interactive | password | { any | password-publickey | publickey } [ assign { pki-domain domain-name | publickey keyname&<1-6> } ] }

undo ssh user username

(FIPS模式)

ssh user username service-type { all | netconf | scp | sftp | stelnet } authentication-type { keyboard-interactive | password | password-publickey [ assign { pki-domain domain-name | publickey keyname&<1-6> } ] }

undo ssh user username

【缺省情况】

不存在SSH用户。

【视图】

系统视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

username:SSH用户名,为1~80个字符的字符串,区分大小写。用户名不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能为“a”、“al”、“all”。其中,“@”、“\”和“/”仅用于作为用户名的ISP域名分隔符,具体使用形式为:pureusername@domain、pureusername/domain、domain\pureusername。当创建SCP服务类型的用户时,用户名中请不要包含短横杠-,否则使用此用户名进行SCP登录会失败。

service-type:SSH用户的服务类型。包括:

·     all:包括scp、sftp、stelnet和netconf四种服务类型。

·     scp:服务类型为SCP(Secure Copy的简称)。

·     sftp:服务类型为SFTP(Secure FTP的简称)。

·     stelnet:服务类型为Stelnet(Secure Telnet的简称)。

·     netconf:服务类型为NETCONF。

authentication-type:SSH用户的认证方式。包括:

·     keyboard-interactive:强制用户使用交互式认证。该认证方式与password认证方式类似,相较于password认证,该认证方式提供了可变的交互信息。在远程认证服务器要求用户进行交互认证时,客户端终端上可以显示出远程认证服务器所提供的认证交互信息。在远程认证服务器不要求用户进行交互认证时,该认证处理流程和password认证相同。

·     password:强制指定该用户的认证方式为password。该认证方式的加密机制简单,加密速度快,可结合AAA(Authentication, Authorization, Accounting,认证、授权、计费)实现对用户认证、授权和计费,但容易受到攻击。

·     any:不指定用户的认证方式,用户可以采用keyboard-interactive认证、password认证或publickey认证中任意一种。

·     password-publickey:指定客户端版本为SSH2的用户认证方式为必须同时进行password和publickey两种认证,安全性更高;客户端版本为SSH1的用户认证方式为只要进行其中一种认证即可。

·     publickey:强制指定该用户的认证方式为publickey。该认证方式的加密速度相对较慢,但认证强度高,不易受到暴力猜测密码等攻击方式的影响,而且具有较高的易用性。一次配置成功后,后续认证过程自动完成,不需要用户记忆和输入密码。

assign:指定用于验证客户端的参数。

·     pki-domain domain-name:指定验证客户端证书的PKI域。domain-name表示PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。服务器端使用保存在该PKI域中的CA证书对客户端证书进行合法性检查,无需提前保存客户端的公钥,能够灵活满足大数量客户端的认证需求。

·     publickey keyname&<1-6>:指定SSH客户端的公钥,可以指定多个SSH客户端的公钥。keyname表示已经配置的客户端公钥名称,为1~64个字符的字符串,区分大小写。&<1-6>表示前面的参数最多可以输入6次。服务器端使用提前保存在本地的用户公钥对用户进行合法性检查,如果客户端密钥文件改变,服务器端需要及时更新本地配置。如果指定了多个用户公钥,则在验证SSH用户身份时,按照配置顺序使用指定的公钥依次对其进行验证,只要用户通过任意一个公钥验证即可。

【使用指导】

SSH用户的配置与服务器端采用的认证方式有关,具体如下:

·     如果服务器采用了publickey认证,则必须在设备上创建相应的SSH用户,以及同名的本地用户(用于下发授权属性:工作目录、用户角色)。

·     如果服务器采用了password认证,则必须在设备上创建相应的本地用户(适用于本地认证),或在远程服务器(如RADIUS服务器,适用于远程认证)上创建相应的SSH用户。这种情况下,并不需要通过本配置创建相应的SSH用户,如果创建了SSH用户,则必须保证指定了正确的服务类型以及认证方式。

·     如果服务器采用了keyboard-interactive、password-publickey或any认证,则必须在设备上创建相应的SSH用户,以及在设备上创建同名的本地用户(适用于本地认证)或者在远程认证服务器上创建同名的SSH用户(如RADIUS服务器,适用于远程认证)。

SCP或SFTP用户登录时使用的工作目录与用户使用的认证方式有关:

·     采用publickey或password-publickey认证方式的用户,使用的工作目录为对应的本地用户视图下通过authorization-attribute命令设置的工作目录。

·     采用keyboard-interactive或password认证方式的用户,使用的工作目录为通过AAA授权的工作目录。

SSH用户登录时拥有的用户角色与用户使用的认证方式有关:

·     采用publickey或password-publickey认证方式的用户,用户角色为对应的本地用户视图下通过authorization-attribute命令设置的用户角色。

·     采用keyboard-interactive或password认证方式的用户,用户角色为通过AAA授权的用户角色。

使用该命令为用户指定公钥或PKI域时,以最后一次指定的公钥或PKI域为准。若不指定pki-domain和publickey,则表示该用户采用证书认证方式登录,服务器使用其所属的PKI域来验证客户端的证书。

对SSH用户配置的修改,不会影响已经登录的SSH用户,仅对新登录的用户生效。

【举例】

# 创建SSH用户user1,配置user1的服务类型为SFTP,认证方式为password-publickey,并指定客户端公钥为key1。

<Sysname> system-view

[Sysname] ssh user user1 service-type sftp authentication-type password-publickey assign publickey key1

# 创建设备管理类本地用户user1,配置用户密码为明文123456TESTplat&!,服务类型为SSH,授权工作目录为flash:,授权用户角色为network-admin。

[Sysname] local-user user1 class manage

[Sysname-luser-manage-user1] password simple 123456TESTplat&!

[Sysname-luser-manage-user1] service-type ssh

[Sysname-luser-manage-user1] authorization-attribute work-directory flash: user-role network-admin

【相关命令】

·     authorization-attribute(安全命令参考/AAA)

·     display ssh user-information

·     local-user(安全命令参考/AAA)

·     pki domain(安全命令参考/PKI)

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明