XML プロトコルサーバーへの接続を確立するための前提条件Junos満たす

クライアントアプリケーションで Junos XML プロトコルサーバーへの接続を確立するには、次のセクションで説明する通り、すべてのアクセスプロトコルと特定のアクセスプロトコルに適用される要件を満たす必要があります。

すべてのアクセスプロトコルの前提条件

クライアントアプリケーションは、デバイスが XML プロトコルサーバーとの接続を確立している各デバイスJunosする必要があります。次の手順では、アプリケーションのログインアカウントをJunosする方法を説明します。または、このセクションをスキップして、TACACS+ または TACACS+ 経由でRADIUSを有効にできます。ユーザーアカウントの作成と認証の有効化の詳細については、「ルーティングデバイスの Junos OS ユーザーアクセスおよび認証ユーザーガイド」を参照してください。

Junos OS を実行しているデバイスにログインアカウントが存在するかどうかを確認するには、デバイスで CLI 設定モードを入力し、以下のコマンドを発行します。

該当するアカウントが存在しない場合は、次の手順に従います。

階層レベルに user ステートメントを含 [edit system login] め、ユーザー名を指定します。階層レベルに class ステートメント [edit system login user username] を含め、アプリケーションが実行するすべてのアクションに必要な権限を持つログインクラスを指定します。必要に応じて、および full-name ステートメント uid を含める。
階層レベルにまたはステートメントを含plain-text-passwordencrypted-passwordめて、アカウントのテキストベースパスワードを[edit system login user account-name authentication]作成します。
メモ：
アカウントが認証用にパブリック/プライベートキーペアでSSHを介してJunos XMLプロトコルサーバーにアクセスする場合、テキストベースのパスワードは厳密に必要ですが、いずれにしても作成することをお勧めします。キーペアだけでは十分ですが、アカウントが SSH アクセス専用に使用されている場合はパスワードが必要になります。ただし、そのアカウントが他のタイプのアクセスにも使用される場合はパスワードが必要です(コンソールでのログイン用など)。鍵ベース認証が設定されているが失敗した場合は、SSHサーバーからパスワードも使用されます。パブリック/プライベートキーペアの作成について、詳しくは SSH 接続の前提条件を参照してください。

パスワードをテキストとして入力するには、次のコマンドを発行します。保存する前に暗号化されたパスワードを入力するよう求められます。
Message Digest 5(MD5)またはセキュアハッシュアルゴリズム 1(SHA-1)を使用して作成し、ハッシュしたパスワードを保存するには、次のコマンドを発行します。

コマンドを実行 commit します。

クライアントアプリケーションが XML プロトコルセッションの要求を確立する各デバイスで、Junos手順を繰り返します。
クライアントアプリケーションがパスワードにアクセスし、ユーザーが XML プロトコルサーバーに要求Junos要求した場合に、パスワードを入力します。考えられる方法には、以下のような方法があります。
- 起動時にユーザーにパスワードを入力するよう求め、一時的に安全な方法でパスワードを保存するようにアプリケーションをコード化します。
- パスワードは暗号化された形式でセキュアなローカルディスクの場所または保護されたデータベースに保存し、アクセスするアプリケーションをコード化します。

クリアテキスト接続の前提条件

Junos XML プロトコル固有のクリアテキストアクセスプロトコルを使用するクライアントアプリケーションは、追加のプロトコル(SSH、SSL、Telnet など)を使用することなく、暗号化されていないテキストを TCP 接続から直接送信します。

メモ：

Junos-FIPS ソフトウェアを実行しているデバイスは、XML プロトコルJunosテキスト接続を許可しません。Common Criteria 環境では、クリアテキストプロトコルを使用することをお勧めします。詳細については、「 Common Criteria 」および「Junos-FIPS」を参照してください。

クライアントアプリケーションで clear-text プロトコルを使用して XML プロトコルサーバーへの Junosを接続するには、次の手順に従います。

アプリケーションが TCP ソフトウェアにアクセス可能な状態を確認します。ほとんどのオペレーティングシステムで、TCP は標準ディストリビューションでアクセスできます。これは、アプリケーションが実行されている各コンピューターで実行します。
すべてのアクセスプロトコルの前提条件に説明されている前提条件を満たします。
階層レベルでステートメントを含Junos OS、ポート 3221 xnm-clear-text [edit system services] 上のクライアントアプリケーションからのクリアテキスト接続を受け入れるデバイスを設定します。
デフォルトでは、Junos XML プロトコルサーバーは、同時にクリアテキストセッションを最大 75 回、1 分間に 150 回の接続試行をサポートします。必要に応じて、ステートメントのいずれかconnection-limitrate-limitまたは両方を含め、同時セッション数を制限し、ステートメントを使用して接続の試行回数を制限することもできます。どちらのステートメントも1~250の値を受け入れる。
ステートメントの詳細については xnm-clear-text 、「 XML プロトコルクライアントアプリケーションをサポートするためのクリアテキストまたは SSL サービスのJunosを参照してください。
設定をコミットします。
クライアントアプリケーションが XML プロトコルセッションを確立する各デバイスで、ステップ 2~Junosを繰り返します。

SSH 接続の前提条件

クライアントアプリケーションで SSH プロトコルを使用してリモート XML プロトコルサーバーに接続Junosするには、次の手順に従います。

アプリケーションが SSH ソフトウェアにアクセス可能にする。

SSH ソフトウェアを入手し、アプリケーションが実行されているコンピューターにインストールします。SSHソフトウェアの取得とインストールについて、詳しくはソフトウェアの http://www.ssh.com および http://www.openssh.com 。
すべてのアクセスプロトコルの前提条件に説明されている前提条件を満たします。
(オプション)アプリケーションで鍵ベースの SSH 認証を使用する場合は、パブリック/プライベートキーペアを作成し、すべてのアクセスプロトコルの前提条件で作成した Junos OS ログインアカウントと関連付ける必要があります。次の手順に従います。
1. クライアントアプリケーションが実行されているコンピューターで作業し、標準的 ssh-keygen なコマンドシェル(クライアントクライアントシェルJunos OS CLI。適切な引数を指定すると、パブリックキーを RSA(SSH バージョン 1 および 2 でサポート)または SSH バージョン 2 でサポートされるデジタル署名アルゴリズム(DSA)でエンコードします。詳細については、 SSHベンダーが提供するコマンドの man ページを参照 ssh-keygen してください。デフォルトJunos OS SSHバージョン2を使用しますが、バージョン1もサポートしています。
2. アプリケーションがパブリックキーとプライベートキーにアクセス可能になります。1 つの方法は、アプリケーション ssh-agent が実行されているコンピューターでプログラムを実行する方法です。
3. Junos OS を実行しているデバイスで、Junos XML プロトコルクライアントアプリケーションからの SSH 接続を受け入れる必要がある場合は、階層レベルでステートメントを含めて、パブリックキーを Junos load-key-file [edit system login user account-name authentication] ログインアカウントに関連付ける必要があります。まず、その階層レベルに移動します。
  次のコマンドを実行して、指定されたファイルの内容を、指定されたファイルで実行されているデバイスにJunos OS。
  URL は、1 つ以上のパブリックキーを含むファイルへのパスです。デフォルト ssh-keygen でコマンドを実行すると、ユーザーホームディレクトリの .ssh 権限を持つファイルに各公開キーが保存されます。ファイル名は、エンコーディング(DSAまたはRSA)とSSHバージョンによって異なります。URLの指定について、詳しくはユーザーガイドCLI 参照してください。
  
  または、とステートメントの 1 つまたは ssh-dsa 両方を階層 ssh-rsa レベルに [edit system login user account-name authentication] 含めすることもできます。ただし、ステートメント load-key-file の使用をお勧めします。コマンドラインでパブリックキーを入力またはカットアンドペーストする必要がないのでです。およびステートメントの詳細 ssh-dsa については、ルーティング ssh-rsa デバイスの Junos OS ユーザーアクセスおよび認証ユーザーガイドを参照してください。
階層レベルにステートメントを含Junos OS SSH 接続を受け入れるデバイスをssh[edit system services]設定します。このステートメントでは、XMLプロトコルクライアントアプリケーションを使用するJunosユーザーとアプリケーションへのSSHアクセスが可能です。
設定をコミットします。
アプリケーションが実行されている各コンピューターでステップ 1 を、アプリケーションが接続する各デバイスでステップ 2 からステップ 5 までを繰り返します。

アウトバウンドSSH接続の前提条件

アウトバウンドSSH機能により、Junos OSを実行しているデバイスと、クライアントが開始したTCP/IP接続がブロックされるネットワークおよびシステム管理サーバー(デバイスがファイアウォールの背後にある場合など)間のSSHセッションの開始が可能です。アウトバウンドSSHを設定するには、設定ステートメント outbound-ssh をデバイスに追加します。設定とコミットが完了すると、設定された管理クライアントでJunos OS実行するデバイスが、アウトバウンドSSHセッションを開始します。アウトバウンドSSHセッションが開始され、接続が確立されると、管理サーバーはクライアントとしてSSHシーケンスを開始し、Junos OSを実行するデバイスとしてサーバーとして動作し、クライアントを認証します。

アウトバウンドSSHの設定には、以下の必要があります。

アウトバウンドSSH用に実行Junos OSの設定
アウトバウンドSSH用に管理サーバーを設定する。

アウトバウンドSSH用にデバイスを設定するには、次の手順に示します。

すべてのアクセスプロトコルの前提条件に説明されている前提条件を満たします。
階層レベル[edit system services ssh]で、SSH プロトコルを v2 に設定します。
パブリックキーとプライベートキーのペアを生成/取得して、パブリックキーとプライベートキーのペアJunos OS。このキーペアは、SSH接続を通して転送されるデータを暗号化するために使用されます。鍵ペアの生成について、詳しくはルーティングデバイスの「Junos OS ユーザーアクセスおよび認証ユーザーガイド」を参照してください。
パブリックキーをアプリケーション管理システムに手動でインストールする場合は、公開キーを NSM サーバーに転送します。
階層レベルで outbound-ssh 次のステートメントを [edit system services] 追加します。
オプションは次のとおりです。
- address—(必須) 管理サーバーのホスト名または IPv4 または IPv6 アドレス。各クライアントのIPアドレスまたはホスト名と、次の接続パラメータを追加することで、複数のクライアントを一覧表示できます。
  - port port-number—クライアントのアウトバウンドSSHポート。デフォルトはポート22です。
  - retry number– デバイスがアウトバウンドSSH接続を確立しようとする回数。デフォルトは3回の試用です
  - timeout seconds—実行されているデバイスがアウトバウンド SSH 接続をJunos OS試みる時間(秒)。デフォルトは15秒です。
- client client-id—(必須) デバイスの設定 outbound-ssh スタンザを識別します。各 outbound-ssh スタンザは、単一のアウトバウンドSSH接続を表します。この属性はクライアントに送信されません。
- device-id device-id—(必須) 開始シーケンス中に、Junos OSをクライアントに送信するデバイスを識別します。
- keep-alive—(オプション)デバイスがキープアティブメッセージを管理サーバーに送信指定します。キープアリストメッセージを設定するには、およびとの両方の属性 timeout を設定する必要 retry があります。
  - retry number—現在の SSH 接続が終了する前に、管理サーバーから応答を受信せずにデバイスが送信するキープアリストメッセージの数。デフォルトは3回の試用です
  - timeout seconds—サーバーがキープアリスト信号を送信するまでのデータ待機時間(秒)を示します。デフォルトは15秒です。
- reconnect-strategy (in-order | sticky)—(オプション)切断されたアウトバウンド SSH 接続を再確立するためにルーターまたはスイッチが使用する方法を指定します。2 つの方法があります。
  - in-order—管理サーバーのアドレスリストに基づいて、ルーターまたはスイッチが最初にアウトバウンド SSH セッションを確立しようと指定します。ルーターまたはスイッチは、リスト上の最初のサーバーとのセッションを確立しようとする。この接続が使用可能ではない場合、ルーターまたはスイッチは、接続が確立されるまでリストの下で次のサーバーとのセッションを確立します。
  - sticky—ルーターまたはスイッチが最後に接続した管理サーバーに最初に再接続しようと指定します。接続が使用できない場合は、接続が行されるまで、リストにある次のクライアントとの接続を確立します。
  クライアントに再接続すると、Junos OS retry timeout を実行しているデバイスは、設定管理サーバーリストに表示されている各クライアントの値に基づいて、クライアントに再接続を試みます。
- secret password—(オプション)仮想ネットワークで実行されているデバイスのパブリック SSH ホスト Junos OS。ステートメントに追加した outbound-ssh 場合、アウトバウンドSSHサービスの初期化中に、ルーターまたはスイッチが公開キーを管理サーバーに渡します。これは、ルーターまたはスイッチの公開鍵の現在のコピーを維持するために推奨される方法です。
- services—(必須) セッションで使用可能なサービスを指定します。現在、利用可能なサービスは NETCONF のみです。
設定をコミットします。

設定管理サーバーを設定するには、以下の方法に関します。

すべてのアクセスプロトコルの前提条件に説明されている前提条件を満たします。
アプリケーションが SSH ソフトウェアにアクセス可能にする。

SSH ソフトウェアを入手し、アプリケーションが実行されているコンピューターにインストールします。SSHソフトウェアの取得とインストールについて、詳しくはソフトウェアの http://www.ssh.com および http://www.openssh.com 。
(オプション)SSH接続で使用するために、デバイスの公開キーを手動でインストールします。
ブロードキャストリクエストを受信して処理するクライアントシステムを設定します。インティアル化リクエストでは、次の構文を使用します。
- secret 属性が設定されている場合、Junos OS を実行しているデバイスは、パブリック SSH キーとインティアル化シーケンスを送信します(推奨の方法)。鍵を受け取った後、クライアントはデバイスのパブリックキーに対する処理を決定する必要があります。デバイスの現在のパブリックSSHキーを新しいキーに置き換することをお勧めします。これにより、クライアントは常に認証可能な現在のキーを使用できます。
- secret属性が設定されていない場合、デバイスは初期化シーケンスとともにパブリックSSHキーを送信しない。デバイスの現在のパブリックSSHキーを手動でインストールする必要があります。

SSL 接続の前提条件

クライアントアプリケーションで SSL プロトコルを使用して XML プロトコルサーバーへの接続をJunosするには、次の手順に従います。

アプリケーションの SSL ソフトウェアへのアクセスを可能にする。

SSL ソフトウェアを入手し、アプリケーションが実行されているコンピューターにインストールします。SSLソフトウェアの取得とインストールの詳細については、を参照 http://www.openssl.org。
すべてのアクセスプロトコルの前提条件に説明されている前提条件を満たします。
以下の2つの方法のいずれかを使用して、プライバシー強化メール(PEM)形式で認証証明書を取得します。
- 認定書をリクエスト認証機関。これらの機関は通常、有料となります。
- クライアントアプリケーションが実行されているコンピューターでopenssl作業し、標準的なコマンドシェル(Junos OS CLI)で次のコマンドを発行します。コマンドは、自己署名証明書と暗号化されていない 1024 ビットの RSA certificate-file プライベートキーを生成し、作業ディレクトリ内の .pem というファイルに登録します。コマンドは、読み取りが可能な場合のみ、2 行に表示されます。
階層レベルのステートメントと階層レベルJunos OS local [edit security certificates] load-key-file ステートメントを含めて、証明書を実行しているデバイスにインポート [edit security certificates local certificate-name] します。
certificate-nameは、証明書を一意に識別するために選択した名前です(junos-xml-protocol-ssl-client-hostnamehostnameなど、クライアントアプリケーションが実行されているコンピューター)。

URL-or-path は、ペアの証明書と openssl プライベートキーを含むファイルを指定します(ステップ 3 でコマンドが発行された場合は certificate-name、.pem ファイル )。クライアントコンピューター上の場所の URL またはローカルディスク上のパス名を指定します(証明書ファイルをデバイスのローカルディスクにコピーする別の方法をすでに使用している場合)。URL とパス名の指定の詳細については、「 url 」を参照CLI ください。

メモ：
このCLIでは、ファイル内のプライベートキー URL-or-path が暗号化されていないと期待します。鍵が暗号化されている場合、鍵にCLIに関連付けられた大画面の情報を入力するよう求め、暗号化解除して、暗号化されていないバージョンを保存します。

コマンド set-load-key-file URL-or-path は、証明書ファイルの内容を設定にコピーします。設定を表示すると、プライベートキー CLI証明書を構成する文字の文字列が表示され、次のようにマークされます SECRET-DATA。キーワード load-key-file は設定に記録されません。
階層レベルでステートメントをJunos OSして、ポート 3220 xnm-ssl [edit system services] 上の Junos XML プロトコルクライアントアプリケーションからの SSL 接続を受け入れるデバイスを設定します。
certificate-name は、ステップ 4 の証明書に割り当てた一意の名前です。

デフォルトでは、Junos XML プロトコルサーバーは同時 SSL セッション数 75 回、1 分間に 150 回の接続試行をサポートします。必要に応じて、ステートメントのいずれかまたはconnection-limitrate-limit両方を含め、同時セッション数を制限し、接続の試行を制限できます。どちらのステートメントも1~250の値を受け入れる。
ステートメントの詳細については xnm-ssl 、ルーティングデバイスの「 Junos OS ユーザーアクセスおよび認証ユーザーガイド」を参照してください。
設定をコミットします。
クライアントアプリケーションが実行されている各コンピューターでステップ 1 を、クライアントアプリケーションが接続する各デバイスでステップ 2 ~ステップ 6 を繰り返します。

Telnet 接続の前提条件

クライアントアプリケーションが Telnet プロトコルを使用して XML プロトコルサーバーへのアクセスをJunos、このセクションで説明する手順を実行します。

Junos-FIPS ソフトウェアを実行しているデバイスは、Telnet 接続を受け入れることはできません。Common Criteria 環境では、Telnet プロトコルを使用することをお勧めします。詳細については、「 Common Criteria 」および「Junos-FIPS」を参照してください。

アプリケーションが Telnet ソフトウェアにアクセス可能か検証します。ほとんどのオペレーティングシステムでは、Telnet は標準ディストリビューションでアクセスできます。
すべてのアクセスプロトコルの前提条件に説明されている前提条件を満たします。
階層レベルにステートメントを含Junos OS Telnet 接続を受け入れる設定を telnet 実行するデバイス [edit system services] を設定します。このステートメントを使用すると、XML プロトコルクライアントアプリケーションを使用するJunosユーザーとアプリケーションへの Telnet アクセスが可能です。
アプリケーションが実行されている各コンピューターでステップ 1 を、アプリケーションが接続する各デバイスでステップ 2 とステップ 3 を繰り返します。

このページの

XML プロトコル サーバーへの接続を確立するための前提条件Junos満たす

すべてのアクセス プロトコルの前提条件