NimbostratusHi,everyone
Could you show me how to enable password auth without challenge response auth on BIG-IP.
In my network,some clients without implementing challenge response auth exist.
I don't fully understand the question. I assume you are talking about APM. You want some users to authenticate one way (locally stored password?) and others to authenticate a different way (challenge response) and you already have the challenge response part working?
In this case you will need to first get the username and then branch to the appropriate logon method based on that username (or whatever criteria it is to determine which auth method to use). So
[ gather information ] - [ empty box with two branches ] -- a logic [auth method a]
-- b logic [auth method b]
Regarding password authentication, you can use localdb to authenticate against a local username or password (https://support.f5.com/kb/en-us/products/big-ip_apm/manuals/product/apm-authentication-single-sign-on-11-6-0/13.html?sr=57214347) or of course you can also use AAA AD auth, ldap auth, radius auth, etc
森田様
お世話になっております。F5ネットワークスのジョサイアです。もしよろしければ日本語での対応もできますので、回答させていただきます。
まずは質問の内容を確認させていただきます。同じVIPで何かの条件によってユーザたちを2つに分けてそれぞれの認証を行う設定方法についての説明が必要とされますでしょう。それなら、まずVPE(Visual Policy Editor)でその条件のデータを取得し(例えばユーザ名)、そして「Empty Box」の「Branch Rule」でTCLを利用して2つに分けます(複雑の場合はiRuleも可能です)。そしたら、各セッションが今のご利用されている「challenge response」かもしくは、新しい「password auth」に導入されて、それぞれの対応ができます。なお、「password auth」については多分「local userdb」が適切だそうですが、ad, ldap, radiusなどもあります。「local userdb」はこちらで確認できます (https://support.f5.com/kb/en-us/products/big-ip_apm/manuals/product/apm-authentication-single-sign-on-11-6-0/13.html?sr=57214347)
それにこれを全部正しく実現するには、お客様の環境や事情にてかなり違いますので、こういう一般的な説明しか申し上げられません。大変申し訳ございませんが、私はこの掲示板を通してその細かい設定までなにも出来ませんので、コンサルティングにお願いしていただきますか、ある程度の自分自身の努力が必要になります。
といっても、具体的な問い合わせや不明点がありましたら、気軽に遠慮なく連絡してください。以上、よろしくお願い致します。
NimbostratusF5ネットワークスのジョサイア様 ご返信いただきありがとうございます。
他のネットワーク機器(Router,L2L3SW)はssh で接続する際にプレーンテキスト認証で機器へのログインをしています。 BIG-IPについてもプレーンテキスト認証で機器へのログインできるように設定を変更したいです。 設定方法を教えていただけますようお願いいたします。 SSHの送信元となるRemote Access Server がチャレンジレスポンス認証に対応をしていないため、 プレーンテキスト認証でのログインに変更したいと考えています。
ご回答のほどよろしくお願いいたします。
森田様 詳しいご説明をどうもありがとうございました。最初の回答があまりにも的外れで失礼いたしました。以下の手順でsshの設定が変えられます。
[root@bigip:Active] config tmsh
root@bigip(Active)(/Common)(tmos) edit sys sshd
-----
Adding the following configuration
modify sshd {
include "
ChallengeResponseAuthentication no
PasswordAuthentication yes"
}
-----
Save changes? (y/n/e) y
root@bigip(Active)(/Common)(tmos)
root@bigip(Active)(/Common)(tmos) save sys config
snip
root@bigip(Active)(/Common)(tmos) show running-config sys sshd
sys sshd {
include "
ChallengeResponseAuthentication no
PasswordAuthentication yes"
}
以上、よろしくお願い致します。
Nimbostratusジョサイア様
ご返信いただきありがとうございます。 頂いた内容を元に設定、検証いたします。
以上、よろしくお願いいたします。