身份验证和访问控制
-
强化 Junos OS 演化版(ACX7100、ACX7509、ACX7024、PTX10001-36MR、PTX10003、PTX10004、PTX10008、 PTX10016、QFX5130、QFX5700、QFX5220 和 QFX5230-64CD)— 从 Junos OS 演化版 22.4R1 版开始,您可以配置系统主密码并请求对加密密钥进行解密,从而强化预共享密钥和 RADIUS 密码等共享密钥。
设置主密码可以使设备对密码进行加密,因此只有知道主密码的设备才能对加密密码进行解密。支持以下 CLI 命令:
-
request system decrypt password
-
set system master-password
[请参阅 主密码进行配置加密。]
-
-
VRF 支持 TCP 密钥链 (ACX7100、 ACX7509、ACX7024、PTX10004、PTX10008、PTX10016、QFX5130-32CD 和 QFX5700)— 从 Junos OS 演化版 22.4R1 开始,我们支持虚拟路由和转发 (VRF) 用于具有基于钥匙链的身份验证的 TCP 连接。VRF 使您能够隔离遍历网络的流量,而无需使用多个设备对网络进行分段。
[请参阅 身份验证密钥链。]
-
OpenSSH 证书支持(PTX10008、PTX10016)— 从 Junos OS 演化版 22.4R1 开始,您可以为用户和主机配置基于 SSH 证书的身份验证。借助此功能,您可以为用户设置对具有无密码登录功能的设备的 SSH 访问,并能够在无需验证密钥指纹的情况下信任主机。
您可以使用以下新的 CLI 配置语句配置 SSH 基于证书的身份验证:
-
[system services ssh trusted-user-ca-key-file filename]
—在 /etc/ssh/sshd_config 中配置文件TrustedUserCAKey
,其中包含 SSH 证书的公钥。 -
[system services ssh host-certificate-file filename]
—在 /etc/ssh/sshd_config 中配置文件HostCertificate
,其中包含已签名的主机证书。 -
[system services ssh authorized-principals-file filename]
-配置AuthorizedPrincipalsFile
/var/等,其中包含一个名称列表,其中一个名称必须出现在证书中,才能接受用于身份验证。 -
[system services ssh authorized-principals-command program-path]
- 指定要用于生成在中的允许证书主体AuthorizedPrincipalsFile
列表的程序。
[请参阅 配置 SSH 服务以远程访问路由器或交换机。]
-