Authentifizieren mit dem Junos XML Protocol Server für Cleartext- oder SSL-Verbindungen
Eine Clientanwendung, die Cleartext oder SSL-Protokoll verwendet, muss sich mit dem Junos XML-Protokollserver authentifizieren. (Anwendungen, die SSH- oder Telnet-Protokoll verwenden, verwenden den integrierten Authentifizierungsmechanismus des Protokolls, bevor sie Initialisierungs-Tag-Elemente emittieren, wie unter Herstellen einer Verbindung mit dem Junos XML Protocol Server beschrieben.)
Siehe die folgenden Abschnitte:
Authentifizierungsanfrage stellen
Die Clientanwendung beginnt den Authentifizierungsprozess, indem sie ein <rpc> Tag ausgibt, das das <request-login> Element umschließt. In das <request-login> Element schließt es das <username> Element ein, um das Junos OS-Konto (Benutzername) anzugeben, unter dem die Verbindung herstellen soll. Das Konto muss bereits auf dem Junos XML-Protokollservergerät konfiguriert sein, wie unter Erfüllen der Voraussetzungen für den Aufbau einer Verbindung mit dem Junos XML Protocol Server beschrieben. Sie können festlegen, ob die Anwendung das Kontokennwort als Teil der ersten Tag-Sequenz bereitstellt.
Ab den Junos OS-Versionen 13.3R7, 14.1R6, 14.2R4, 15.1R2 und 16.1R1 müssen alle XML-Sonderzeichen im Benutzernamens- oder Kennwortelement einer <request-login> RPC-Anfrage escapet werden. Die folgenden fünf Symbole gelten als Sonderzeichen: größer als (>), kleiner als (<), einzelnes Anführungszeichen ('), Doppelzitat (") und Ampersand (&). Sowohl Entitätsreferenzen als auch Zeichenreferenzen sind akzeptable Escape-Sequenzformate. Zum Beispiel & und & sind gültige Darstellungen eines Ampersands.
Angabe des Kennworts mit dem Benutzernamen
Um das Kennwort zusammen mit dem Benutzernamen anzugeben, gibt die Anwendung die folgende Tag-Sequenz aus:
<rpc>
<request-login>
<username>username</username>
<challenge-response>password</challenge-response>
</request-login>
</rpc>
Diese Tag-Sequenz ist geeignet, wenn die Anwendung den Zugriff auf Routing-, Switching- oder Sicherheitsplattforminformationen automatisiert und nicht mit Benutzern interagiert oder das Kennwort von einem Benutzer erhält, bevor der Authentifizierungsprozess beginnt.
Bereitstellung nur des Benutzernamens
Um das Kennwort auszulassen und nur den Benutzernamen anzugeben, gibt die Anwendung die folgende Tag-Sequenz aus:
<rpc>
<request-login>
<username>username</username>
</request-login>
</rpc>
Diese Tag-Sequenz ist geeignet, wenn die Anwendung das Kennwort erst erhält, wenn der Authentifizierungsprozess bereits begonnen hat. In diesem Fall gibt der Junos XML-Protokollserver das <challenge> Tag innerhalb eines <rpc-reply> Elements zurück, um das Kennwort für den Benutzernamen anzufordern. Das Element schließt die Password: Zeichenfolge um, die die Clientanwendung als Aufforderung für einen Benutzer an den Bildschirm weiterleiten kann. Das echo="no" Attribut im öffnenden <challenge> Tag gibt an, dass die vom Benutzer eingegebene Kennwortzeichenfolge nicht auf dem Bildschirm angezeigt wird. Die Tag-Sequenz lautet wie folgt:
<rpc-reply xmlns:junos="URL">
<challenge echo="no">Password:</challenge>
</rpc-reply>
Die Clientanwendung ruft das Kennwort ab und gibt die folgende Tag-Sequenz aus, um es an den Junos XML-Protokollserver weiterzuleiten:
<rpc>
<request-login>
<username>username</username>
<challenge-response>password</challenge-response>
</request-login>
</rpc>
Interpretation der Authentifizierungsantwort
Nachdem der Benutzername und das Kennwort empfangen wurden, gibt der Junos XML-Protokollserver das <authentication-response> Element aus, um anzugeben, ob der Authentifizierungsversuch erfolgreich ist.
Serverreaktion bei erfolgreichem Authentifizierungsstatus
Wenn das Kennwort korrekt ist, ist der Authentifizierungsversuch erfolgreich und der Junos XML-Protokollserver gibt die folgende Tag-Sequenz aus:
<rpc-reply xmlns:junos="URL">
<authentication-response>
<status>success</status>
<message>username</message>
<login-name>remote-username</login-name>
</authentication-response>
</rpc-reply>
Das <message> Element enthält den Junos-Benutzernamen, unter dem die Verbindung hergestellt wird.
Das <login-name> Element enthält den Benutzernamen, den die Clientanwendung einem Authentifizierungsdienstprogramm wie RADIUS oder TACACS+ bereitgestellt hat. Dieses Element wird nur angezeigt, wenn sich der Benutzername von dem benutzernamen unterscheidet, der <message> im Element enthalten ist.
Die Junos XML-Protokollsitzung beginnt, wie unter Starten von Junos XML-Protokollsitzungen beschrieben.
Serverreaktion bei fehlgeschlagener Authentifizierung
Wenn das Kennwort nicht korrekt ist oder das <request-login> Element anderweitig fehlerhaft ist, schlägt der Authentifizierungsversuch fehl, und der Junos XML-Protokollserver gibt die folgende Tag-Sequenz aus:
<rpc-reply xmlns:junos="URL">
<authentication-response>
<status>fail</status>
<message>error-message</message>
</authentication-response>
</rpc-reply>
Die error-message Zeichenfolge im Element erklärt, <message> warum der Authentifizierungsversuch fehlgeschlagen ist. Der Junos XML-Protokollserver emittiert das <challenge> Tag bis zu zwei weitere Male, bevor er den Authentifizierungsversuch ablehnt und die Verbindung schließt.
<request-login> RPC-Anfrage escapet werden.