Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Satisfaça os pré-requisitos para estabelecer uma conexão com o servidor de protocolo Junos XML

Para permitir que um aplicativo cliente estabeleça uma conexão com o servidor de protocolo Junos XML, você deve satisfazer os requisitos aplicáveis a todos os protocolos de acesso, bem como ao seu protocolo de acesso específico, conforme discutido nas seguintes seções:

Pré-requisitos para todos os protocolos de acesso

Um aplicativo cliente deve ser capaz de fazer login em cada dispositivo no qual estabelece uma conexão com o servidor de protocolo Junos XML. As instruções a seguir explicam como criar uma conta de login junos para o aplicativo. Como alternativa, você pode pular esta seção e habilitar a autenticação por RADIUS ou TACACS+. Para obter mais informações sobre como criar contas de usuário e permitir a autenticação, consulte o Guia do usuário de acesso e autenticação do Junos OS para dispositivos de roteamento .

Para determinar se existe uma conta de login em um dispositivo que executa o Junos OS, entre no modo de configuração CLI no dispositivo e emita os seguintes comandos:

Se a conta apropriada não existir, execute as seguintes etapas:

  1. Inclua a user declaração no nível de [edit system login] hierarquia e especifique um nome de usuário. Inclua também a class declaração no nível de [edit system login user username] hierarquia e especifique uma classe de login que tenha as permissões necessárias para que todas as ações sejam realizadas pelo aplicativo. Opcionalmente, inclua as declarações e uid as full-name declarações.
  2. Crie uma senha baseada em texto para a conta, incluindo a declaração ou encrypted-password a plain-text-password declaração no nível hierárquico[edit system login user account-name authentication].
    Nota:

    Uma senha baseada em texto não é estritamente necessária se a conta for usada para acessar o servidor de protocolo Junos XML por meio de SSH com pares chave públicos/privados para autenticação, mas recomendamos que você crie um de qualquer maneira. O par-chave por si só é suficiente se a conta for usada apenas para acesso SSH, mas uma senha é necessária se a conta também for usada para qualquer outro tipo de acesso (para login no console, por exemplo). A senha também é usada — o servidor SSH solicita isso — se a autenticação baseada em chave estiver configurada, mas falhar. Para obter informações sobre a criação de um par de chaves público/privado, consulte pré-requisitos para conexões SSH.

    Para inserir uma senha como texto, emita o seguinte comando. Você é solicitado para obter a senha, que é criptografada antes de ser armazenada.

    Para armazenar uma senha criada e hashed anteriormente usando o Message Digest 5 (MD5) ou o Secure Hash Algorithm 1 (SHA-1), emita o seguinte comando:

  3. Emite o commit comando.
  4. Repita as etapas anteriores em cada dispositivo onde o aplicativo cliente estabelece sessões de protocolo Junos XML.
  5. Habilite o aplicativo do cliente para acessar a senha e fornecê-la quando o servidor de protocolo Junos XML solicitar. Existem vários métodos possíveis, incluindo o seguinte:

    • Código do aplicativo para solicitar ao usuário uma senha na inicialização e armazenar a senha temporariamente de forma segura .

    • Armazene a senha em forma criptografada em um local seguro de disco local ou banco de dados seguro e código do aplicativo para acessá-la.

Pré-requisitos para conexões de texto claro

Um aplicativo do cliente que usa o protocolo Junos XML de acesso claro específico ao protocolo envia texto não criptografado diretamente por uma conexão TCP sem usar nenhum protocolo adicional (como SSH, SSL ou Telnet).

Nota:

Os dispositivos que executam o software Junos-FIPS não aceitam conexões de texto claro com protocolo Junos XML. Recomendamos que você não use o protocolo de texto claro em um ambiente de critérios comuns. Para obter mais informações, consulte o Guia de configuração segura para critérios comuns e Junos-FIPS.

Para permitir que os aplicativos do cliente usem o protocolo de texto claro para se conectar ao servidor de protocolo Junos XML, execute as seguintes etapas:

  1. Verifique se o aplicativo pode acessar o software TCP. Na maioria dos sistemas operacionais, o TCP é acessível na distribuição padrão. Faça isso em cada computador onde o aplicativo é executado.
  2. Satisfaça os pré-requisitos discutidos em pré-requisitos para todos os protocolos de acesso.
  3. Configure o dispositivo que executa o Junos OS para aceitar conexões de texto claro de aplicativos de clientes na porta 3221, incluindo a xnm-clear-text declaração no [edit system services] nível hierárquica.

    Por padrão, o servidor de protocolo Junos XML oferece suporte a até 75 sessões simultâneas de texto claro e 150 tentativas de conexão por minuto. Opcionalmente, você pode incluir tanto a connection-limit declaração para limitar o número de sessões simultâneas quanto a rate-limit declaração para limitar o número de tentativas de conexão. Ambas as declarações aceitam um valor de 1 a 250.

    Para obter mais informações sobre a xnm-clear-text declaração, consulte Configuração de texto claro ou serviço SSL para aplicativos de cliente de protocolo Junos XML.

  4. Confirmar a configuração.
  5. Repita a Etapa 2 até a Etapa 4 em cada dispositivo onde o aplicativo cliente estabelece sessões de protocolo Junos XML.

Pré-requisitos para conexões SSH

Para permitir que um aplicativo cliente use o protocolo SSH para se conectar ao servidor de protocolo Junos XML, execute as seguintes etapas:

  1. Habilite o aplicativo para acessar o software SSH.

    Obtenha o software SSH e instale-o no computador onde o aplicativo funciona. Para obter e instalar o software SSH, consulte http://www.ssh.com e http://www.openssh.com.

  2. Satisfaça os pré-requisitos discutidos em pré-requisitos para todos os protocolos de acesso.
  3. (Opcional) Se você quiser usar a autenticação de SSH baseada em chave para o aplicativo, crie um par de chaves público/privado e associe-o com a conta de login do Junos OS que você criou em pré-requisitos para todos os protocolos de acesso. Execute as seguintes etapas:

    1. Trabalhando no computador onde o aplicativo do cliente é executado, emita o ssh-keygen comando em um shell de comando padrão (não no Junos OS CLI). Ao fornecer os argumentos apropriados, você codifica a chave pública com RSA (com suporte das versões SSH 1 e 2) ou o Algoritmo de Assinatura Digital (DSA), suportado pela versão 2 do SSH. Para obter mais informações, veja a página do homem fornecida pelo seu fornecedor de SSH para o ssh-keygen comando. O Junos OS usa a versão 2 do SSH por padrão, mas também oferece suporte à versão 1.

    2. Habilite o aplicativo para acessar as chaves públicas e privadas. Um método é executar o ssh-agent programa no computador onde o aplicativo é executado.

    3. No dispositivo que executa o Junos OS que precisa aceitar conexões SSH de aplicativos de cliente de protocolo Junos XML, associe a chave pública com a conta de login do Junos, incluindo a load-key-file declaração no nível de [edit system login user account-name authentication] hierarquia. Primeiro, passar para esse nível de hierarquia.

      Emita o comando a seguir para copiar o conteúdo do arquivo especificado no dispositivo que executa o Junos OS:

      URL é o caminho para o arquivo que contém uma ou mais chaves públicas. O ssh-keygen comando por padrão armazena cada chave pública em um arquivo no subdiretório .ssh do diretório de casa do usuário; o nome do arquivo depende da codificação (DSA ou RSA) e versão SSH. Para obter informações sobre como especificar URLs, consulte o Guia do usuário da CLI.

      Alternativamente, você pode incluir uma ou ambas e ssh-rsa declarações ssh-dsa no nível de [edit system login user account-name authentication] hierarquia. No entanto, recomendamos usar a load-key-file declaração porque ela elimina a necessidade de digitar ou cortar e colar a chave pública na linha de comando. Para obter mais informações sobre as declarações e ssh-rsa informaçõesssh-dsa, consulte o Guia de usuário de acesso e autenticação do Junos OS para dispositivos de roteamento.

  4. Configure o dispositivo que executa o Junos OS para aceitar conexões SSH, incluindo a ssh declaração no nível de [edit system services] hierarquia. Essa declaração permite o acesso SSH para todos os usuários e aplicativos, não apenas para aplicativos de cliente de protocolo Junos XML.
  5. Confirmar a configuração.
  6. Repita a Etapa 1 em cada computador onde o aplicativo é executado e passo 2 a passo 5 em cada dispositivo ao qual o aplicativo se conecta.

Pré-requisitos para conexões SSH de saída

O recurso SSH de saída permite o início de uma sessão de SSH entre dispositivos que executam o Junos OS e servidores de gerenciamento de rede e sistema onde as conexões TCP/IP iniciadas pelo cliente são bloqueadas (por exemplo, quando o dispositivo está atrás de um firewall). Para configurar o SSH de saída, você adiciona uma declaração de outbound-ssh configuração ao dispositivo. Uma vez configurado e comprometido, o dispositivo que executa o Junos OS começará a iniciar sessões de SSH de saída com os clientes de gerenciamento configurados. Assim que a sessão de SSH de saída for inicializada e a conexão for estabelecida, o servidor de gerenciamento inicia a sequência de SSH como o cliente e o dispositivo que executa o Junos OS, atuando como servidor, autentica o cliente.

A configuração do SSH de saída envolve:

  • Configurando o dispositivo que executa o Junos OS para SSH de saída

  • Configurando o servidor de gerenciamento para SSH de saída.

Para configurar o dispositivo para SSH de saída:

  1. Satisfaça os pré-requisitos discutidos em pré-requisitos para todos os protocolos de acesso.
  2. No nível de [edit system services ssh] hierarquia, definir o protocolo SSH para v2.
  3. Gere/obtenha um par de chaves público/privado para o dispositivo que executa o Junos OS. Esse par chave será usado para criptografar os dados transferidos pela conexão SSH. Para obter mais informações sobre a geração de pares-chave, consulte o Guia de usuário de acesso e autenticação do Junos OS para dispositivos de roteamento.
  4. Se a chave pública for instalada manualmente no sistema de gerenciamento de aplicativos, transfira a chave pública para o servidor NSM.
  5. Adicione a declaração a seguir outbound-ssh no nível de [edit system services] hierarquia:

    As opções são as seguintes:

    • address—(Necessário) nome de host ou endereço IPv4 ou IPv6 do servidor de gerenciamento. Você pode listar vários clientes adicionando o endereço IP ou nome de host de cada cliente, juntamente com os seguintes parâmetros de conexão.

      • port port-number— Porta SSH de saída para o cliente. O padrão é a porta 22.

      • retry number– Quantidade de vezes que o dispositivo tenta estabelecer uma conexão SSH de saída. O padrão é de três tentativas.

      • timeout seconds— Quantidade de tempo, em segundos, que o dispositivo que executa o Junos OS tenta estabelecer uma conexão SSH de saída. O padrão é de 15 segundos.

    • client client-id—(Necessário) identifica a outbound-ssh estrofe de configuração no dispositivo. Cada outbound-ssh estrofe representa uma única conexão SSH de saída. Este atributo não é enviado ao cliente.

    • device-id device-id—(Necessário) identifica o dispositivo que executa o Junos OS para o cliente durante a sequência de iniciação.

    • keep-alive—(Opcional) Especifique que o dispositivo envie mensagens keepalive para o servidor de gerenciamento. Para configurar a mensagem keepalive, você deve definir os atributos e retry os timeout atributos.

      • retry number— Número de mensagens keepalive que o dispositivo envia sem receber uma resposta do servidor de gerenciamento antes que a conexão SSH atual seja terminada. O padrão é de três tentativas.

      • timeout seconds— Quantidade de tempo, em segundos, que o servidor espera por dados antes de enviar um sinal keepalive. O padrão é de 15 segundos.

    • reconnect-strategy (in-order | sticky)—(Opcional) Especifique o método que o roteador ou switch usa para restabelecer uma conexão SSH de saída desconectada. Dois métodos estão disponíveis:

      • in-order— Especifique que o roteador ou switch primeira tentativa de estabelecer uma sessão de SSH de saída com base na lista de endereços do servidor de gerenciamento. O roteador ou switch tenta estabelecer uma sessão com o primeiro servidor da lista. Se essa conexão não estiver disponível, o roteador ou switch tenta estabelecer uma sessão com o próximo servidor, e assim por diante na lista até que uma conexão seja estabelecida.

      • sticky— Especifique que o roteador ou switch primeiro tenta se reconectar ao servidor de gerenciamento ao qual foi conectado pela última vez. Se a conexão não estiver disponível, ela tenta estabelecer uma conexão com o próximo cliente da lista e assim por diante até que uma conexão seja feita.

      Ao se reconectar a um cliente, o dispositivo que executa o Junos OS tenta se reconectar ao cliente com base nos valores e timeout valores retry de cada um dos clientes listados na lista de servidores de gerenciamento de configuração.

    • secret password—(Opcional) A chave de host SSH pública do dispositivo que executa o Junos OS. Se adicionado à outbound-ssh declaração, durante a inicialização do serviço SSH de saída, o roteador ou switch passa sua chave pública para o servidor de gerenciamento. Este é o método recomendado para manter uma cópia atual da chave pública do roteador ou do switch.

    • services—(Necessário) Especifica os serviços disponíveis para a sessão. Atualmente, o NETCONF é o único serviço disponível.

  6. Confirmar a configuração.

Para configurar o servidor de gerenciamento de configuração:

  1. Satisfaça os pré-requisitos discutidos em pré-requisitos para todos os protocolos de acesso.

  2. Habilite o aplicativo para acessar o software SSH.

    Obtenha o software SSH e instale-o no computador onde o aplicativo funciona. Para obter e instalar o software SSH, consulte http://www.ssh.com e http://www.openssh.com.

  3. (Opcional) Instale manualmente a chave pública do dispositivo para uso com a conexão SSH.

  4. Configure o sistema do cliente para receber e processar solicitações de transmissão de inicialização. As solicitações de intialização usam a seguinte sintaxe:

    • Se o atributo secreto estiver configurado, o dispositivo que executa o Junos OS enviará sua chave SSH pública junto com a sequência de intialização (método recomendado). Quando a chave é recebida, o cliente precisa determinar o que fazer com a chave pública do dispositivo. Recomendamos que você substitua qualquer chave SSH pública atual para o dispositivo pela nova chave. Isso garante que o cliente sempre tenha a chave atual disponível para autenticação.

    • Se o atributo secreto não estiver configurado, o dispositivo não enviará sua chave SSH pública junto com a sequência de inicialização. Você precisa instalar manualmente a chave SSH pública atual para o dispositivo.

Pré-requisitos para conexões SSL

Para permitir que um aplicativo cliente use o protocolo SSL para se conectar ao servidor de protocolo Junos XML, execute as seguintes etapas:

  1. Habilite o aplicativo para acessar o software SSL.

    Obtenha o software SSL e instale-o no computador onde o aplicativo funciona. Para obter e instalar o software SSL, consulte http://www.openssl.org.

  2. Satisfaça os pré-requisitos discutidos em pré-requisitos para todos os protocolos de acesso.
  3. Use um dos dois métodos a seguir para obter um certificado de autenticação no formato de e-mail aprimorado para privacidade (PEM):

    • Solicite um certificado de uma autoridade de certificado; essas agências normalmente cobram uma taxa.

    • Trabalhando no computador onde o aplicativo do cliente é executado, emita o seguinte openssl comando em um shell de comando padrão (não no Junos OS CLI). O comando gera um certificado auto-assinado e uma chave privada RSA de 1024 bits não criptografada, e as escreve no arquivo chamado certificate-file.pem no diretório de trabalho. O comando aparece aqui em duas linhas apenas para legibilidade.

  4. Importe o certificado para o dispositivo que executa o Junos OS, incluindo a local declaração no nível de [edit security certificates] hierarquia e a load-key-file declaração no nível hierárquicos [edit security certificates local certificate-name] .

    certificate-name é um nome que você escolhe para identificar o certificado de forma exclusiva (por exemplo, junos-xml-protocol-ssl-client-hostname, onde é o computador onde hostname o aplicativo do cliente funciona).

    URL-or-path especifica o arquivo que contém o certificado pareado e a chave privada (se você emitiu o openssl comando na Etapa 3, o certificate-namearquivo .pem ). Especifique a URL até sua localização no computador cliente ou um nome de caminho no disco local (se você já tiver usado outro método para copiar o arquivo de certificado no disco local do dispositivo). Para obter mais informações sobre como especificar URLs e nomes de caminho, consulte o Guia do usuário da CLI.

    Nota:

    A CLI espera que a chave privada do URL-or-path arquivo não seja criptografada. Se a chave for criptografada, a CLI solicita a senha associada a ela, a descriptografa e armazena a versão não criptografada.

    O set-load-key-file URL-or-path comando copia o conteúdo do arquivo do certificado na configuração. Quando você vê a configuração, a CLI exibe a seqüência de caracteres que constituem a chave e o certificado privados, marcando-os como SECRET-DATA. A load-key-file palavra-chave não é registrada na configuração.
  5. Configure o dispositivo que executa o Junos OS para aceitar conexões SSL a partir de aplicativos clientes de protocolo Junos XML na porta 3220, incluindo a xnm-ssl declaração no [edit system services] nível de hierarquia.

    certificate-name é o nome exclusivo que você atribuiu ao certificado na Etapa 4.

    Por padrão, o servidor de protocolo Junos XML oferece suporte a até 75 sessões simultâneas de SSL e 150 tentativas de conexão por minuto. Opcionalmente, você pode incluir a connection-limit declaração para limitar o número de sessões simultâneas e a rate-limit declaração para limitar as tentativas de conexão. Ambas as declarações aceitam um valor de 1 a 250.

    Para obter mais informações sobre a xnm-ssl declaração, consulte o Guia do usuário de acesso e autenticação do Junos OS para dispositivos de roteamento.

  6. Confirmar a configuração.
  7. Repita a Etapa 1 em cada computador onde o aplicativo cliente é executado e passo 2 a passo 6 em cada dispositivo ao qual o aplicativo cliente se conecta.

Pré-requisitos para conexões Telnet

Para permitir que um aplicativo cliente use o protocolo Telnet para acessar o servidor de protocolo Junos XML, execute as etapas descritas nesta seção.

Os dispositivos que executam o software Junos-FIPS não aceitam conexões Telnet. Recomendamos que você não use o protocolo Telnet em um ambiente de critérios comuns. Para obter mais informações, consulte o Guia de configuração segura para critérios comuns e Junos-FIPS.

  1. Verifique se o aplicativo pode acessar o software Telnet. Na maioria dos sistemas operacionais, a Telnet é acessível na distribuição padrão.
  2. Satisfaça os pré-requisitos discutidos em pré-requisitos para todos os protocolos de acesso.
  3. Configure o dispositivo que executa o Junos OS para aceitar conexões Telnet, incluindo a telnet declaração no nível de [edit system services] hierarquia. Essa declaração permite o acesso à Telnet para todos os usuários e aplicativos, não apenas para aplicativos de cliente de protocolo Junos XML.
  4. Repita a Etapa 1 em cada computador onde o aplicativo é executado, e a Etapa 2 e a Etapa 3 em cada dispositivo ao qual o aplicativo se conecta.

Documentação relacionada