用户认证方式和用户级别介绍
用户界面的认证方式
Console、MiniUSB、Telnet登录用户的认证方式直接由用户界面中配置的认证方式决定。用户界面的认证方式有以下三种:
- AAA认证:登录时需输入用户名和密码。设备根据配置的AAA用户名和密码验证用户输入的信息是否正确,如果正确,允许登录,否则拒绝登录。
- Password认证:也称密码认证,登录时需输入正确的认证密码。如果用户输入的密码与设备配置的认证密码相同,允许登录,否则拒绝登录。
None认证:也称不认证,登录时不需要输入任何认证信息,可直接登录设备。
如果配置认证方式为不认证,任何用户不需要输入用户名和密码就会认证成功。因此,为保护设备或网络安全,建议不要使用None认证方式。
无论何种验证方式,当用户登录设备失败时,系统会启动延时登录机制。首次登录失败后,延时5秒才可再次登录,后续登录失败次数每增加一次,延时时间增加5秒,即第2次登录失败延时10秒,第3次登录失败延时15秒。
SSH用户的认证方式
通过STelnet登录设备需配置用户界面支持的协议是SSH,必须设置用户界面认证方式为AAA认证。但SSH用户的认证方式由SSH支持的认证方式决定,SSH支持Password、RSA、DSA、ECC、Password-RSA、Password-DSA、Password-ECC和ALL,8种认证方式。
- Password认证:是一种基于“用户名+口令”的认证方式。通过AAA为每个SSH用户配置相应的密码,在通过SSH登录时,输入正确的用户名和密码就可以实现登录。
- RSA(Revest-Shamir-Adleman Algorithm)认证:是一种基于客户端私钥的认证方式。RSA是一种公开密钥加密体系,基于非对称加密算法。RSA密钥也是由公钥和私钥两部分组成,在配置时需要将客户端生成的RSA密钥中的公钥部分拷贝输入至服务器中,服务器用此公钥对数据进行加密。
- DSA(Digital Signature Algorithm)认证:是一种类似于RSA的认证方式,DSA认证采用数字签名算法进行加密。
- ECC(Elliptic Curve Cryptography)认证:是一种椭圆曲线算法,与RSA相比,在相同安全性能下密钥长度短、计算量小、处理速度快、存储空间小、带宽要求低。
- Password-RSA认证:SSH服务器对登录的用户同时进行密码认证和RSA认证,只有当两者同时满足情况下,才能认证通过。
- Password-DSA认证:SSH服务器对登录的用户同时进行密码认证和DSA认证,只有当两者同时满足情况下,才能认证通过。
- Password-ECC认证:SSH服务器对登录的用户同时进行密码认证和ECC认证,只有当两者同时满足情况下,才能认证通过。
- ALL认证:SSH服务器对登录的用户进行公钥认证或密码认证,只要满足其中任何一个,就能认证通过。
用户级别
系统支持对登录用户进行分级管理,用户所能访问命令的级别由用户的级别决定。用户级别由用户界面或AAA本地用户的认证方式决定,具体细节如表5-3所示。
登录设备方式 |
用户接入的认证方式 |
用户级别决定因素 |
配置命令 |
---|---|---|---|
通过Console口登录 通过MiniUSB口登录 通过Telnet登录 |
用户界面:AAA认证 |
AAA本地用户级别 |
local-user user-name privilege level level |
用户界面:Password认证 |
用户界面级别 |
user privilege level level |
|
用户界面:None认证 |
用户界面级别 |
user privilege level level |
|
通过STelnet登录 |
SSH用户的认证方式:Password认证 |
AAA本地用户级别 |
local-user user-name privilege level level |
SSH用户的认证方式:RSA认证、DSA认证、ECC认证 |
用户界面级别 |
user privilege level level |
|
SSH用户的认证方式:password-rsa认证、password-dsa认证和password-ecc认证 |
AAA本地用户级别 |
local-user user-name privilege level level |
|
SSH用户的认证方式:All认证 |
根据需要进行部署。 说明:
如果SSH用户认证方式为all认证,且存在一个同名AAA用户,那通过Password认证、RSA认证、DSA认证或者ECC认证接入时用户优先级可能不同,由登录时的实际认证情况决定。 |
- |
用户级别与命令级别的关系
用户级别 |
命令级别 |
级别名称 |
说明 |
---|---|---|---|
0 |
0 |
参观级 |
网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的命令(Telnet客户端)等。 |
1 |
0、1 |
监控级 |
用于系统维护,包括display等命令。 说明:
并不是所有display命令都是监控级,比如display current-configuration命令和display saved-configuration命令是3级管理级。 |
2 |
0、1、2 |
配置级 |
业务配置命令。 |
3~15 |
0、1、2、3 |
管理级 |
用于系统基本运行的命令,对业务提供支撑作用,包括文件系统、FTP、TFTP下载、用户管理命令、命令级别设置命令、用于业务故障诊断的debugging命令等。 |
默认情况下,3~15级用户具有相同的管理员权限,部分特殊命令行请参照命令行实现说明。