Junos Spaceでのデバイス認証の概要
Junos Spaceネットワーク管理プラットフォームでは、認証情報(ユーザー名とパスワード)、(公開鍵暗号原理を使用)キー、またはデバイスのSSHフィンガープリントを使用してデバイスを認証できます。認証モードは、管理対象デバイスに必要なセキュリティのレベルに基づいて選択できます。認証モードは、[デバイス管理] ページの [認証ステータス] 列に表示されます。認証モードを変更することもできます。
以下のセクションでは、Junos Space プラットフォームの認証モードについて説明します。
クレデンシャルベースのデバイス認証
Junos Space のセットアップで資格情報ベースの認証を構成するには、管理者権限を持つデバイスのログイン資格情報がデバイスで構成されていることを確認する必要があります。デバイスが到達可能で、認証情報が認証されると、これらの認証情報はJunos Space Platformのデータベースに保存されます。Junos Space プラットフォームは、これらの資格情報を使用してデバイスに接続します。Junos Spaceのセットアップでキーベースの認証を設定している場合、デバイスにアクセスするにはユーザー名のみを入力する必要があります。
キーベースのデバイス認証
Junos Spaceネットワーク管理プラットフォームリリース16.1R1以降、Junos Space Platformは、4096ビットのRivest-Shamir-Adleman(RSA)アルゴリズム、デジタル署名標準(DSS)、楕円曲線デジタル署名アルゴリズム(ECDSA)の公開鍵暗号原則をサポートし、鍵ベースの認証を通じてJunos OSを実行しているデバイスを認証します。Junos Space プラットフォームは、2048 ビットの RSA アルゴリズムを引き続きサポートします。デバイスの認証情報をJunos Space Platformのデータベースに保存する必要がないため、キーベースの認証の方が認証情報ベースの認証よりも安全です。
RSA は、数学的に関連する 2 つのキーを使用する非対称キーまたは公開キー アルゴリズムです。Junos Space プラットフォームには、公開鍵と秘密鍵のペアのデフォルト セットが含まれています。公開キーは管理対象デバイスにアップロードできます。秘密鍵は暗号化され、Junos Space プラットフォームがインストールされているシステムに保存されます。セキュリティを強化するために、パスフレーズを使用して独自の公開キーと秘密キーのペアを生成することをお勧めします。パスフレーズは、Junos Space サーバー上の秘密鍵を保護します。長いパスフレーズの作成は、短いパスフレーズよりもブルートフォース攻撃で解読するのが難しい場合があります。パスフレーズは、攻撃者がJunos Space設定を制御して、管理対象ネットワークデバイスにログインしようとするのを防ぐのに役立ちます。新しいキーのペアを生成すると、そのキーは、Junos Space キーベース認証を使用するすべてのアクティブなデバイス(接続ステータスが Up のデバイス)に自動的にアップロードされます。
Junos Spaceネットワーク管理プラットフォームリリース16.1R1以降では、Junos Spaceプラットフォームからデバイスにキーをアップロードする必要なく、カスタムプライベートキーをJunos Spaceサーバーにアップロードしてデバイスを認証することもできます。カスタム鍵ベースの認証方法では、パスフレーズ付きの秘密鍵をJunos Spaceサーバーにアップロードします。デバイスは、デバイス上の既存の公開キーのセット、Junos Space サーバーにアップロードされたプライベートキー、および適切な公開キーアルゴリズム(RSA、ECDSA、DSS)を使用して認証されます。この認証方法は、デバイスの検出中および後でデバイス管理中にデバイスを認証するために使用できます。
キーが変更されると、デバイスは到達不能になり、認証ステータスはキーの競合に変わります。キーの競合の解決ワークフローを使用して、これらのデバイスに新しいキーをアップロードするプロセスを手動でトリガーできます。デバイスを認証するには、Junos Space プラットフォームから生成された新しいキーをアップロードするか、カスタム キーを使用するかを選択できます。Junos Spaceのキーベースまたはカスタムキーベースの認証が失敗した場合、認証情報ベースの認証が自動的にトリガーされます。
キーベースまたはカスタムキーベースの認証を有効にすると、それ以降のデバイスとの通信はすべて、パスワードなしでJunos Spaceキーベースまたはカスタムキーベースの認証を介して行われます。また、管理対象デバイスの認証モードを、認証情報ベースからキーベースまたはカスタムキーベースに変更することもできます。詳細については、 デバイスの認証モードの変更を参照してください。
Junos Space プラットフォームでキーベースの認証を使用するには、以下のことを確認する必要があります。
認証キーは、[管理] ワークスペースで生成されます。キーの生成とデバイスへのアップロードの詳細については、「 認証キーの生成とデバイスへのアップロード」を参照してください。ジョブの結果は、キーがデバイスに正常にアップロードされたかどうかを示します。マルチノード セットアップでは、認証キーは既存のすべてのクラスター ノードで使用できます。認証キーは、セットアップに追加される後続のノードでも使用可能になります。
デバイスの管理者認証情報と、Junos Space Applianceに接続してキーをデバイスにアップロードするユーザーの名前が表示されます。
SSHフィンガープリントベースのデバイス認証
中間者攻撃やJunos Space Platformとデバイス間のプロキシSSH接続を回避するために、Junos Space PlatformはデバイスのSSHフィンガープリントをJunos Space Platformデータベースに保存し、その後のデバイスとの接続時にフィンガープリントを検証することができます。フィンガープリントは、コロンで区切られた 16 個の 16 進オクテットのシーケンスです。例:c1:b1:30:29:d7:b8:de:6c:97:77:10:d7:46:41:63:83。デバイスの検出時にジュニパーネットワークスのデバイスのフィンガープリントを指定し、デバイスが Junos Space Platform に初めて接続するときにフィンガープリントを検証できます。デバイス検出ワークフローでは、最大 1024 台のデバイスのフィンガープリントを同時に指定できます。フィンガープリントを指定しない場合、Junos Space プラットフォームは、デバイスに初めて接続するときにフィンガープリントの詳細を取得します。詳細については、 管理対象デバイスの表示を参照してください。
Junos Space Platformは、デバイスとのアクティブなオープン接続中のSSHフィンガープリント変更を認識しません。SSHフィンガープリントの変更は、デバイスがJunos Space Platformに再接続した場合にのみ認識されます。[デバイス管理] ページの [認証ステータス] 列には、競合または未検証の認証ステータスが表示されます。
Junos Space Platformデータベースに保存されているSSHフィンガープリントとデバイス上のSSHフィンガープリントの競合は、Junos Spaceのユーザーインターフェイスから手動で解決できます。または、Junos Space プラットフォームがフィンガープリントの変更を自動的に更新できるようにすることもできます。Junos Space プラットフォームで SSH フィンガープリントを自動的に更新するには、[管理] ワークスペースの [アプリケーション設定の変更] ページで [指紋の競合を手動で解決する] チェック ボックスをオフにします。このチェックボックスをオンにすると、デバイスのフィンガープリントが変更された場合、[認証ステータス(Authenticated Status)] 列に [フィンガープリントの競合(Fingerprint Conflict)] と表示されます。指紋の競合を手動で解決する必要があります。詳細については、 デバイスからのSSHフィンガープリントの確認を参照してください。
キーベースおよびフィンガープリントベースの認証モードは、ww Junos OSデバイスではサポートされていません。
ディザスタリカバリのアービターデバイスでは、パスワードベースの認証を使用する必要があります。
Junos Space プラットフォームでは、次のタスクを実行したときに、デバイス上のフィンガープリントがデータベース内のフィンガープリントと一致するかどうかを検証します。
-
デバイス上でのスクリプトのステージング
-
デバイス上でのデバイス イメージのステージング
-
デバイスへのデバイス イメージの展開
-
交換用デバイスのアクティブ化
-
デバイスでのスクリプトの実行
-
SSH を使用したデバイスへの接続
デバイスのフィンガープリントが Junos Space Platform データベースに保存されているフィンガープリントと一致しない場合、デバイスへの接続は切断されます。接続ステータスは Down と表示され、認証ステータスは [デバイス管理] ページに [指紋の競合] と表示されます。
Junos Space SSHでサポートされているアルゴリズム
表1 は、Junos Space SSHでサポートされているアルゴリズムを一覧にしています。
アルゴリズムの種類 |
FIPS デバイス |
非 FIPS デバイス |
---|---|---|
鍵交換アルゴリズム |
ECDH-SHA2-NISTP256、ECDH-SHA2-NISTP384、Diffie-Hellman-Group14-SHA1 |
ECDH-SHA2-NISTP256、ECDH-SHA2-NISTP384、diffie-hellman-group14-sha1、diffie-hellman-group1-sha1 |
ホスト鍵アルゴリズム |
ECDSA-SHA2-NISTP256、ECDSA-SHA2-NISTP384 |
ECDSA-SHA2-NISTP256、ECDSA-SHA2-NISTP384、SSH-RSA、SSH-DSS |
暗号化アルゴリズム(クライアントからサーバー) |
AES128-CTR、AES192-CTR、AES256-CTR、AES128-CBC、AES192-CBC、AES256-CBC |
AES128-CTR、AES192-CTR、AES256-CTR、AES128-CBC、AES192-CBC、AES256-CBC、3DES-CTR、ブローフィッシュCBC、3DES-CBC |
暗号化アルゴリズム(サーバからクライアント) |
AES128-CTR、AES192-CTR、AES256-CTR、AES128-CBC、AES192-CBC、AES256-CBC |
AES128-CTR、AES192-CTR、AES256-CTR、AES128-CBC、AES192-CBC、AES256-CBC、3DES-CTR、ブローフィッシュCBC、3DES-CBC |
MACアルゴリズム |
hmac-sha1-96, hmac-sha2-256, hmac-sha256@ssh.com |
hmac-sha1-96、hmac-sha2-256、hmac-sha256@ssh.com、hmac-sha1、hmac-md5、hmac-md5-96、hmac-sha256 |
圧縮アルゴリズム |
zlib@openssh.com |
zlib@openssh.com、なし、zlib |
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。