Аутентифікувати ключ ssh через Cisco ACS (TACACS +)


10

Я можу встановити маршрутизатор для автентифікації через відкритий ключ ssh за допомогою:

ip ssh pubkey-chain
 username admin
  key-string
   <ssh-pub-key>
  exit
 exit

Чи можливо зробити щось подібне з Cisco ACS, щоб дозволити відкритому ключу довіряти ssh на цілому наборі пристроїв, які вже налаштовані для TACACS +?


це відповідає на ваше запитання?
Крейг Костянтин

1
ну, це було "схоже на" не "абсолютно" ні "(тобто відсутність позитивних доказів цієї функції проти позитивних доказів відсутності функції), тому я подумав, що залишу питання відкритим на пару днів з ваша щедрість, щоб побачити, чи з’явилися більше деталей.
glallen

Я не використовую tacacs і не працює жодна версія ACS, тому не можу сказати зі 100% впевненістю. "Схоже на" заснований на дослідженні особливостей різних версій ACS та відсутності документально підтвердженої підтримки в будь-якому іншому сервері tacacs.
Рікі Бім

@RickyBeam У мене запущена копія ACS - але, як ви сказали, я нічого не зміг знайти - тому ваша відповідь правильна.
glallen

Відповіді:


9

Це схоже на "Ні". Там же нічого конкретного в TACACS + для транспортування обміну сертифіката, проте корисне навантаження даних ASCII може бути досить. (RFC вже десятиліття) Справжнє питання полягає в тому, чи має ACS якийсь метод для цього? І це також видається "ні". Єдина згадка, яку я можу знайти для PKI або сертифікації на основі сертифікатів, - це EAP-TLS, що не є тим, що потрібно.

Оновлення

Я знайшов єдину посилання в документах IOS-XR :

Примітка . Кращим способом аутентифікації буде такий, як зазначено в SSH RFC. Підтримка аутентифікації на основі RSA призначена лише для локальної аутентифікації, а не для серверів TACACS / RADIUS.


Це ганьба. Ви можете керувати цілою мережевою інфраструктурою з користувачем / проходом, але можна подумати, що PKI може зробити те ж саме. Я знайшов freeradius.1045715.n5.nabble.com/…, який, здається, говорить те саме: централізований auth ключ ssh просто неможливий (і для RADIUS). Цей проект openssh-lpk здається пов'язаним, але він виглядає як його для централізованого ssh для хостів, а не таких пристроїв, як маршрутизатори / комутатори.
glallen

Є одна офіційна відповідь від материнства.
Рікі Бім
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.