Junos Space でのデバイス認証の概要

認証情報ベースのデバイス認証

Junos Space 設定で認証情報ベースの認証を構成するには、管理者権限を持つデバイス ログイン認証情報がデバイスで構成されていることを確認する必要があります。デバイスに到達可能で認証情報が認証されている場合、これらの認証情報はJunos Spaceプラットフォームデータベースに保存されます。Junos Spaceプラットフォームは、これらの認証情報を使用してデバイスに接続します。Junos Space 設定でキーベース認証を構成している場合は、デバイスにアクセスするためにユーザー名のみを入力する必要があります。

キーベースのデバイス認証

Junos Space ネットワーク管理プラットフォーム リリース 16.1R1 以降、Junos Space プラットフォームは、4096 ビットの Rivest-Shamir-Adleman(RSA)アルゴリズム、DSS(Digital Signature Standard)、Elliptic Curve Digital Signature Algorithm(ECDSA)公開キー暗号化原則をサポートし、キーベースの認証によって Junos OS を実行するデバイスを認証します。Junos Spaceプラットフォームは、2048ビットRSAアルゴリズムを引き続きサポートしています。キーベースの認証は、デバイスの資格情報をJunos Spaceプラットフォームデータベースに保存する必要がないため、認証情報ベースの認証よりも安全です。

RSAは、数学的に関連する2つのキーを使用する非対称キーまたは公開キーアルゴリズムです。Junos Spaceプラットフォームには、デフォルトのパブリックキーとプライベートキーのペアのセットが含まれています。パブリックキーは管理対象デバイスにアップロードできます。秘密鍵は暗号化され、Junos Spaceプラットフォームがインストールされているシステムに保存されます。セキュリティを強化するために、秘密鍵のペアを秘密鍵の秘密鍵の秘密鍵を秘密鍵で使用して作成することをお勧めします。秘密鍵は秘密鍵を秘密鍵で保護します。秘密鍵の秘密鍵を長く作成することは、秘密鍵を短くするよりも総当たり攻撃によって壊れるのが難しい場合があります。秘密鍵を使用することで、攻撃者が Junos Space の設定を制御したり、管理対象ネットワーク デバイスにログインしたりするのを防ぐことができます。新しいキーのペアを生成すると、Junos Space鍵ベース認証を使用するすべてのアクティブなデバイス(つまり、接続ステータスが「アップ」のデバイス)にキーが自動的にアップロードされます。

Junos Spaceネットワーク管理プラットフォームリリース16.1R1以降では、Junos Spaceプラットフォームからデバイスにキーをアップロードすることなく、Junos Spaceサーバーにカスタムプライベートキーをアップロードし、デバイスを認証することもできます。カスタム鍵ベースの認証方法では、秘密鍵を秘密鍵と秘密鍵を秘密鍵の秘密鍵を Junos Space サーバーに秘密鍵を秘密鍵でアップロードします。デバイスは、デバイス上の既存のパブリックキーセット、Junos Spaceサーバーにアップロードされたプライベートキー、適切なパブリックキーアルゴリズム(RSA、ECDSA、またはDSS)を使用して認証されます。この認証方法は、デバイス検出時およびデバイス管理時のデバイス認証に使用できます。

キーが変更された場合、デバイスは到達不能になり、認証ステータスはキーの競合に変わります。[キー競合の解決] ワークフローを使用して、これらのデバイスに新しいキーをアップロードするプロセスを手動でトリガーできます。デバイスを認証するには、Junos Spaceプラットフォームから生成された新しいキーをアップロードするか、カスタムキーを使用するか選択できます。Junos Space の鍵ベース認証またはカスタム鍵ベース認証に障害が発生した場合、認証情報ベースの認証が自動的にトリガーされます。

キーベース認証またはカスタム鍵ベース認証が有効になった後は、パスワードを使用せずに、Junos Space 鍵ベースまたはカスタム鍵ベースの認証を介して、デバイスとの通信が進みます。また、認証モードを認証情報ベースから、管理対象デバイスのキーベースまたはカスタムキーベースに変更することもできます。詳細については、「 デバイスでの認証モードの変更」を参照してください。

Junos Space プラットフォームで鍵ベース認証を使用するには、以下を確認する必要があります。

• 認証キーは、管理ワークスペースで生成されます。デバイスへのキーの生成とアップロードの詳細については、「 デバイスへの認証キーの 生成とアップロード」を参照してください。ジョブの結果は、キーがデバイスに正常にアップロードされたかどうかを示します。マルチノードのセットアップでは、認証キーが既存のすべてのクラスター ノードで使用可能になります。認証キーは、設定に追加された後続のノードでも使用できます。

• デバイスの管理者認証情報と、デバイスにキーをアップロードするためにJunos Space Applianceに接続するユーザー名を使用できます。

SSHフィンガープリントベースのデバイス認証

Junos Spaceプラットフォームは、中間者攻撃やJunos Spaceプラットフォームとデバイス間のプロキシSSH接続を回避するために、デバイスのSSHフィンガープリントをJunos Spaceプラットフォームデータベースに保存し、デバイスとの後続の接続時にフィンガープリントを検証できます。フィンガープリントは、コロンで区切られた 16 個の 16 進オクテットのシーケンスです。例えば、c1:b1:30:29:d7:b8:de:6c:97:77:10:d7:46:41:63:83。デバイスの検出時にジュニパーネットワークスデバイスのフィンガープリントを指定し、デバイスが初めてJunos Spaceプラットフォームに接続する際にフィンガープリントを検証できます。デバイス検出ワークフローでは、同時に最大 1024 台のデバイスのフィンガープリントを指定できます。フィンガープリントを指定しない場合、Junos Space Platform は、デバイスに初めて接続するときにフィンガープリントの詳細を取得します。詳細については、「 管理対象デバイスの表示」を参照してください。

Junos Spaceプラットフォームは、デバイスとのアクティブでオープンな接続中にデバイス上のSSHフィンガープリントの変更を認識しません。SSHフィンガープリントの変更は、デバイスがJunos Spaceプラットフォームに再接続した場合にのみ認識されます。[デバイス管理] ページの [認証ステータス] 列に、競合または検証されていない認証ステータスが表示されます。

Junos Spaceプラットフォームデータベースに保存されているSSHフィンガープリントとデバイス上のSSHフィンガープリントとの競合は、Junos Spaceユーザーインターフェイスから手動で解決できます。または、Junos Spaceプラットフォームでフィンガープリントの変更を自動的に更新することもできます。Junos Space プラットフォームが SSH フィンガープリントを自動的に更新できるようにするには、[管理] ワークスペースの [アプリケーション設定の変更] ページの [手動でフィンガープリントの競合を解決する] チェック ボックスを無効にします。このチェック ボックスをオンにすると、[認証ステータス] 列にデバイスのフィンガープリントが変更された場合のフィンガープリントの競合が表示されます。フィンガープリントの競合を手動で解決する必要があります。詳細については、 デバイスからSSHフィンガープリントを認識するを参照してください。

Junos Space Platform では、以下のタスクを実行するときに、デバイス上のフィンガープリントがデータベース内のフィンガープリントと一致することを検証します。

• デバイス上のスクリプトのステージング

• デバイス上のデバイス イメージのステージング

• デバイス上にデバイス イメージを展開する

• 交換デバイスのアクティブ化

• デバイスでのスクリプトの実行

• SSH を使用したデバイスへの接続

デバイス上のフィンガープリントが、Junos Space プラットフォーム データベースに格納されているフィンガープリントと一致しない場合、デバイスへの接続は切断されます。接続ステータスは Down と表示され、認証ステータスはデバイス管理ページにフィンガープリント競合として表示されます。

Junos Space SSH でサポートされているアルゴリズム

表 1 は、Junos Space SSH でサポートされているアルゴリズムの一覧です。