ADC

本地系统用户的基于 SSH 密钥的身份验证

要获得 Citrix ADC 设备的安全用户访问权限,您可以对 SSH 服务器进行公钥身份验证。基于 SSH 密钥的身份验证优先于基于传统用户名或密码的身份验证,原因如下:

  • 提供比用户密码更好的加密强度。
  • 消除了记住复杂密码的需要,并防止在使用密码时可能发生的肩上冲浪攻击。
  • 提供无密码登录,以提高自动化场景的安全性。

Citrix ADC 通过应用公钥和私钥概念支持基于 SSH 密钥的身份验证。Citrix ADC 中可以为特定用户或所有本地用户启用基于 SSH 密钥的身份验证。

注意

仅 Citrix ADC 本地用户支持该功能,外部用户不支持该功能。

本地系统用户的基于 SSH 密钥的身份验证

在 Citrix ADC 设备中,管理员可以为安全的系统访问设置基于 SSH 密钥的身份验证。当用户使用私钥登录 Citrix ADC 时,系统将使用设备上配置的公钥对用户进行身份验证。

使用 CLI 为 Citrix ADC 本地系统用户配置基于 SSH 密钥的身份验证

以下配置可帮助您为 Citrix ADC 本地系统用户配置基于密钥的身份验证。

  1. 使用管理员凭据登录到 Citrix ADC 设备。
  2. 默认情况下,您的 sshd_config 文件会访问此路径:AuthorizedKeysFile /nsconfig/ssh/authorized_keys
  3. 将公钥附加到授权的密钥文件:/nsconfig/ssh/authorized_keyssshd_config 的文件路径为 /etc/sshd_config
  4. sshd_config 文件复制到 /nsconfig 中以确保即使在重新启动设备之后,更改仍然保留。
  5. 您可以使用以下命令重新启动 sshd 进程。
    kill -HUP `cat /var/run/sshd.pid`
<!--NeedCopy-->

注意

如果授权ized_keys 文件不可用,则必须先创建一个文件,然后附加公钥。确保该文件对授ized_keys 具有以下权限

root@Citrix ADC# chmod 0644 authorized_keys

> shell
Copyright (c) 1992-2013 The FreeBSD Project.
Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994
The Regents of the University of California. All rights reserved.
root@ns# cd /nsconfig/ssh
root@ns# vi authorized_keys
### Add public keys in authorized_keys file
<!--NeedCopy-->

为本地系统用户提供基于用户的 SSH 密钥身份验证

在 Citrix ADC 设备中,管理员现在可以为安全的系统访问设置基于用户的 SSH 密钥的身份验证。管理员必须首先在 sshd_config 文件中配置 Authorizedkeysfile 选项,然后在 authorized_keys 文件中为系统用户添加公钥。

注意

如果 authorized_keys 文件不可用于用户,则管理员必须先创建一个文件,然后将公钥添加到该文件中。

使用 CLI 配置用户特定于 SSH 密钥的身份验证

以下过程可帮助您为 Citrix ADC 本地系统用户配置基于用户的 SSH 密钥的身份验证。

  1. 使用管理员凭据登录到 Citrix ADC 设备。
  2. 在 shell 提示符下,访问 sshd_config 文件并添加以下配置行:

    AuthorizedKeysFile ~/.ssh/authorized_keys

    注意

    ~ 是主目录,因不同的用户而异。它扩展到不同的主目录。

  3. 将目录更改为系统用户文件夹,并在 authorized_keys 文件中添加公钥。

    /var/pubkey/<username>/.ssh/authorized_keys

完成前面的步骤后,请使用以下命令在设备上重新启动 sshd 过程:

    kill -HUP `cat /var/run/sshd.pid`

<!--NeedCopy-->

注意

如果授权ized_keys 文件不可用,则必须先创建一个文件,然后添加公钥。

> shell
Copyright (c) 1992-2013 The FreeBSD Project.
Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994
The Regents of the University of California. All rights reserved.
root@ns# cd /var/pubkey/<username>/
root@ns# ls
.ssh
root@ns# cd .ssh
root@ns# vi authorized_keys
### Add public keys in authorized_keys file

<!--NeedCopy-->

另外,请阅读 Citrix 文章 CTX109011 ,了解对 Citrix ADC 设备的安全 SSH 访问的工作原理。

本地系统用户的基于 SSH 密钥的身份验证