ssh服务配置求解

ssh user命令用来创建SSH用户，并指定SSH用户的服务类型和认证方式。

undo ssh user命令用来删除SSH用户。

【命令】

ssh user username service-type { all | scp | sftp | stelnet } authentication-type { password | { any | password-publickey | publickey } assign { pki-domain domain-name | publickey keyname } }

undo ssh user username

【缺省情况】

不存在任何SSH用户。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

username：SSH用户名，为1～80个字符的字符串，区分大小写。若用户名中携带ISP域名，则其形式为pureusername@domain，其中，pureusername为1～55个字符的字符串，domain为1～24个字符的字符串。

service-type：SSH用户的服务类型。包括：

·     all：包括scp、sftp和stelnet三种服务类型。

·     scp：服务类型为SCP（Secure Copy的简称）。

·     sftp：服务类型为SFTP（Secure FTP的简称）。

·     stelnet：服务类型为Stelnet（Secure Telnet的简称）。

authentication-type：SSH用户的认证方式。包括：

·     password：强制指定该用户的认证方式为password。该认证方式的加密机制简单，加密速度快，可结合AAA（Authentication, Authorization, Accounting，认证、授权、计费）实现对用户认证、授权和计费，但容易受到攻击。

·     any：不指定用户的认证方式，用户既可以采用password认证，也可以采用publickey认证。

·     password-publickey：指定客户端版本为SSH2的用户认证方式为必须同时进行password和publickey两种认证，安全性更高；客户端版本为SSH1的用户认证方式为只要进行其中一种认证即可。

·     publickey：强制指定该用户的认证方式为publickey。该认证方式的加密速度相对较慢，但认证强度高，不易受到暴力猜测密码等攻击方式的影响，而且具有较高的易用性。一次配置成功后，后续认证过程自动完成，不需要用户记忆和输入密码。

assign：指定用于验证客户端的参数。

·     pki-domain domain-name：指定验证客户端证书的PKI域。pkiname表示PKI域的名称，为1～15个字符的字符串，不区分大小写。服务器端使用保存在该PKI域中的CA证书对客户端证书进行合法性检查，无需提前保存客户端的公钥，能够灵活满足大数量客户端的认证需求。

·     publickey keyname：为SSH客户端的公钥。keyname表示已经配置的客户端公钥名称，为1～64个字符的字符串，不区分大小写。服务器端使用提前保存在本地的用户公钥对用户进行合法性检查，如果客户端密钥文件改变，服务器端需要及时更新本地配置。

【使用指导】

如果服务器采用publickey方式认证客户端，则必须通过本配置在设备上创建相应的SSH用户，并需要创建同名的本地用户，用于对SSH用户进行本地授权，包括授权用户角色、工作目录；如果服务器采用password方式认证客户端，则必须将SSH用户的账号信息配置在设备（适用于本地认证）或者远程认证服务器（如RADIUS服务器，适用于远程认证）上，而并不要求通过本配置创建相应的SSH用户。

使用该命令为用户指定公钥或PKI域时，以最后一次指定的公钥或PKI域为准。

新配置的认证方式和用户公钥或PKI域，不会影响已经登录的SSH用户，仅对新登录的用户生效。

SCP或SFTP用户登录时使用的工作目录与用户使用的认证方式有关：

·     采用publickey或password-publickey认证方式的用户，使用的工作目录为对应的本地用户视图下通过authorization-attribute命令设置的工作目录。

·     只采用password认证方式的用户，使用的工作目录为通过AAA授权的工作目录。

SFTP和Stelnet用户登录时拥有的用户角色与用户使用的认证方式有关：

·     采用publickey或password-publickey认证方式的用户，用户角色为对应的本地用户视图下通过authorization-attribute命令设置的用户角色。

·     采用password认证方式的用户，用户角色为通过AAA授权的用户角色。

【举例】

# 创建SSH用户user1，配置user1的服务类型为SFTP，认证方式为password-publickey，并指定客户端公钥为key1。

<Sysname> system-view

[Sysname] ssh user user1 service-type sftp authentication-type password-publickey assign publickey key1

# 创建设备管理类本地用户user1，配置用户密码为明文123456TESTplat&!， 服务类型为SSH，授权工作目录为flash:，授权用户角色为network-admin。

[Sysname] local-user user1 class manage

[Sysname-luser-manage-user1] password simple 123456TESTplat&!

[Sysname-luser-manage-user1] service-type ssh

[Sysname-luser-manage-user1] authorization-attribute work-directory flash: user-role network-admin