認証とアクセス コントロール

OpenSSH証明書サポート(PTX10008およびPTX10016)—Junos OS Evolvedリリース23.4R1以降、ユーザーはパスワードレスログインでデバイスへのSSHアクセスを設定できます。また、キーのフィンガープリントを検証せずにホストを信頼することもできます。

SSH証明書ベースの認証を設定するには、次の新しいCLI設定ステートメントを使用します。

• system services ssh trusted-user-ca-key-file filename- SSH証明書の公開キーを含む TrustedUserCAKey ファイルを /etc/ssh/sshd_configで設定します。

• system services ssh host-certificate-file filename- 署名されたホスト証明書を含む /etc/ssh/sshd_config で HostCertificate ファイルを設定します。

• system services ssh authorized-principals-file filename—/var/etc にある AuthorizedPrincipals ファイルを設定します。このファイルには名前のリストが含まれており、認証で承認されるには、そのうちの 1 つが証明書に含まれている必要があります。

• system services ssh authorized-principals-command program-path- AuthorizedPrincipals ファイルにある、許可される証明書プリンシパルのリストの生成に使用するプログラムを指定します。

[ SSH証明書ベースの認証の概要を参照してください。

SSHホストキーアルゴリズムの更新(ACX7100-32C、ACX7100-48L、PTX10001-36MR、PTX10003、PTX10004、PTX10008、PTX10016)—Junos OS Evolvedリリース23.4R1以降、hostkey-algorithmSSH設定オプションがhostkey-algorithm-listに置き換えられ、ecdsa-sha2-nistp384およびecdsa-sha2-nistp521ホストキーアルゴリズムがサポートされるようになりました。

hostkey-algorithm-list設定オプションは、[edit system services ssh]階層レベルにあります。

[ ホストキーアルゴリズムを参照してください。

SCP/SSH(ACX7100-32C、ACX7100-48L、PTX10001-36MR、PTX10003、PTX10004、PTX10008、PTX10016)のバックグラウンドファイル転送—Junos OS Evolvedリリース23.4R1以降、SCP/SSH経由でバックグラウンドでファイルを転送できます。バックグラウンド ファイル転送を構成するには、[edit system archival configuration] 階層レベルでarchive-sites構成ステートメントを含めます。

[アーカイブ サイトへの設定のバックアップを参照してください。

完全一致設定(ACX7024、ACX7100-32C、ACX7100-48L、ACX7348、ACX7509、PTX10001-36MR、PTX10003、PTX10004、PTX10008、PTX10016)によるデバイスアクセス権限の制御

—Junos OS Evolvedリリース23.4R1以降、 allow-configuration-exact-match および deny-configuration-exact-match 設定オプションで完全な階層文字列を許可または拒否することで、ログインクラスのアクセス権限を設定できます。完全一致構成では、任意の階層の set、 delete、 activate、 deactivate の各オペレーターに個別の権限を設定できます。

allow-configuration-exact-matchおよびdeny-configuration-exact-match設定オプションは、完全な階層文字列だけでなく、ワイルドカード文字と正規表現もサポートしています。

[ ログイン クラスの完全一致アクセス権限についてを参照してください。