Cisco ACS (TACACS +) ile ssh anahtarının kimliğini doğrulama


10

Bir ssh ortak anahtarı ile kimlik doğrulaması için bir yönlendirici ayarlayabilirsiniz:

ip ssh pubkey-chain
 username admin
  key-string
   <ssh-pub-key>
  exit
 exit

TACACS + için zaten yapılandırılmış olan tüm cihaz setinde ssh için ortak bir anahtara güvenilebilmesini sağlamak için Cisco ACS ile benzer bir şey yapmak mümkün mü?


senin sorunun cevabı bu mu?
Craig Constantine

1
iyi, 'kesinlikle' değil 'gibi görünmüyordu (yani bu işlevin olumlu kanıtı eksikliği, işlev eksikliğinin olumlu kanıtı vs) bu yüzden soruyu birkaç gün açık bırakacağımı düşündüm daha fazla ayrıntı çıkıp çıkmadığını görmek için ödülünüz.
glallen

Tacacs kullanmıyorum ve ACS'nin çalışan herhangi bir sürümü yok, bu yüzden% 100 güvenle söyleyemem. "Görünüşe göre" ACS'nin çeşitli sürümlerinin özelliklerini araştırmaya ve diğer tacacs sunucularında belgelenmiş desteğin bulunmamasına dayanır.
Ricky Beam

@RickyBeam ACS'nin bir kopyasını çalıştırıyorum - ama dediğin gibi, ben de hiçbir şey bulamadım - bu yüzden cevabın doğru.
glallen

Yanıtlar:


9

"Hayır" gibi görünüyor. TACACS + 'da bir sertifika değişimini taşımak için özel bir şey yoktur, ancak ASCII veri yükü yeterli olabilir . (RFC on yaşındadır) Asıl soru, ACS'nin bunu ele almak için herhangi bir yöntemi olup olmadığıdır. Ve bu da "hayır" gibi görünüyor. PKI veya sertifika tabanlı kimlik doğrulamasında bulabileceğim tek söz, istediğiniz şey olmayan EAP-TLS içindir.

Güncelleme

IOS-XR belgelerinde tek bir başvuru buldum :

Not Tercih edilen kimlik doğrulama yöntemi, SSH RFC'de belirtildiği gibi olacaktır. RSA tabanlı kimlik doğrulama desteği TACACS / RADIUS sunucuları için değil, yalnızca yerel kimlik doğrulama içindir.


Bu utanç verici. Tüm bir ağ altyapısını kullanıcı / geçiş ile yönetebilirsiniz, ancak aynı şeyi yapacak bir PKI yapısı olacağını düşünebilirsiniz. Aynı söyleyen freeradius.1045715.n5.nabble.com/… buldum : merkezi ssh anahtar yetkisi mümkün değil (RADIUS ile). Bu proje openssh-lpk ilgili gibi görünüyor, ancak ana bilgisayarlar için merkezi ssh için görünüyor, yönlendiriciler / anahtarlar gibi cihazlar değil.
glallen

Orada bir ana gemi resmi cevap.
Ricky Beam
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.