ADC

本地系统用户的基于 SSH 密钥的身份验证

要让用户安全地访问 NetScaler 设备,可以进行 SSH 服务器的公钥身份验证。基于 SSH 密钥的身份验证比基于用户名或密码的传统身份验证更受青睐,原因如下:

  • 提供比用户密码更好的加密强度。
  • 无需记住复杂的密码,并防止使用密码时可能发生的冲浪攻击。
  • 提供无密码登录,使自动化场景更加安全。

NetScaler 通过应用公钥和私钥概念支持基于 SSH 密钥的身份验证。可以为特定用户或所有本地用户启用 NetScaler 中基于 SSH 密钥的身份验证。

注意

该功能仅支持 NetScaler 本地用户,不支持外部用户。

本地系统用户的基于 SSH 密钥的身份验证

在 NetScaler 设备中,管理员可以设置基于 SSH 密钥的身份验证,以实现安全的系统访问。当用户使用私钥登录 NetScaler 时,系统使用设备上配置的公钥对用户进行身份验证。

使用 CLI 为 NetScaler 本地系统用户配置基于 SSH 密钥的身份验证

以下配置可帮助您为 NetScaler 本地系统用户配置基于密钥的身份验证。

  1. 使用管理员凭据登录 NetScaler 设备。
  2. 默认情况下,您的 sshd_config 文件访问这个路径:AuthorizedKeysFile /nsconfig/ssh/authorized_keys
  3. 将公钥附加到 authorized_keys 文件中:/nsconfig/ssh/authorized_keys。sshd_config 的文件路径是 /etc/sshd_config
  4. sshd_config 文件复制 /nsconfig 到,以确保即使在重新启动设备后更改仍然存在。
  5. 您可以使用以下命令重新启动 sshd 进程。
    kill -HUP `cat /var/run/sshd.pid`
<!--NeedCopy-->

注意

如果 authorized_keys 文件不可用,则必须先创建一个,然后附加公钥。确保该文件对authorized_keys具有以下权限

root@NetScaler# chmod 0644 authorized_keys

> shell
Copyright (c) 1992-2013 The FreeBSD Project.
Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994
The Regents of the University of California. All rights reserved.
root@ns# cd /nsconfig/ssh
root@ns# vi authorized_keys
### Add public keys in authorized_keys file
<!--NeedCopy-->

为本地系统用户提供基于用户特定的 SSH 密钥的身份验证

在 NetScaler 设备中,管理员现在可以设置基于用户特定的 SSH 密钥的身份验证,以实现安全的系统访问。管理员必须首先在 sshd_config 文件中配置 Authorizedkeysfile 选项,然后在 authorized_keys 文件中为系统用户添加公钥。

注意

如果用户无法使用 authorized_keys 文件,则管理员必须先创建一个,然后向其中添加公钥。

使用 CLI 配置基于用户的 SSH 密钥的身份验证

以下过程可帮助您为 NetScaler 本地系统用户配置基于用户特定的 SSH 密钥的身份验证。

  1. 使用管理员凭据登录 NetScaler 设备。
  2. 在 shell 提示符下,访问 sshd_config 文件并添加以下配置行:

    AuthorizedKeysFile ~/.ssh/authorized_keys

    注意

    ~ 是主目录,因不同的用户而异。它扩展到不同的主目录。

  3. 将目录更改为系统用户文件夹,并在 authorized_keys 文件中添加公钥。

    /var/pubkey/<username>/.ssh/authorized_keys

完成前面的步骤后,通过以下命令在设备上重新启动 sshd 进程:

    kill -HUP `cat /var/run/sshd.pid`

<!--NeedCopy-->

注意

如果授权ized_keys 文件不可用,则必须先创建一个文件,然后添加公钥。

> shell
Copyright (c) 1992-2013 The FreeBSD Project.
Copyright (c) 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994
The Regents of the University of California. All rights reserved.
root@ns# cd /var/pubkey/<username>/
root@ns# ls
.ssh
root@ns# cd .ssh
root@ns# vi authorized_keys
### Add public keys in authorized_keys file

<!--NeedCopy-->

另外,请阅读 Citrix 文章 CTX109011 ,了解对 NetScaler 设备的安全 SSH 访问的工作原理。

本地系统用户的基于 SSH 密钥的身份验证