Xác thực khóa ssh qua Cisco ACS (TACACS +)

10

Tôi có thể đặt bộ định tuyến để xác thực thông qua khóa công khai ssh với:

ip ssh pubkey-chain
 username admin
  key-string
   <ssh-pub-key>
  exit
 exit

Có thể làm điều gì đó tương tự với Cisco ACS, để cho phép khóa công khai được tin cậy cho ssh trên toàn bộ bộ thiết bị đã được định cấu hình cho TACACS + không?

ssh  tacacs 
glallen
nguồn
Điều đó có trả lời câu hỏi của bạn không?
Craig Constantine
1
tốt, đó là một 'trông giống như' không 'hoàn toàn' không, (nghĩa là thiếu bằng chứng tích cực về chức năng này, so với bằng chứng tích cực về việc thiếu chức năng) vì vậy tôi nghĩ rằng tôi sẽ để lại câu hỏi mở vài ngày với tiền thưởng của bạn để xem nếu có thêm chi tiết đi ra.
glallen
Tôi không sử dụng tacac và không có phiên bản ACS nào đang chạy, vì vậy tôi không thể nói với độ tin cậy 100%. "Trông giống như" dựa trên các tính năng nghiên cứu của các phiên bản ACS khác nhau và thiếu hỗ trợ tài liệu trong bất kỳ máy chủ tacacs nào khác.
Ricky Beam
@RickyBeam Tôi đã có một bản sao ACS đang chạy - nhưng, như bạn đã nói, tôi cũng không thể tìm thấy bất cứ điều gì - vì vậy câu trả lời của bạn là chính xác.
glallen

Câu trả lời:

9

Có vẻ như, "Không". Không có gì cụ thể trong TACACS + để vận chuyển trao đổi chứng chỉ, tuy nhiên tải trọng dữ liệu ASCII có thể đủ. (RFC là một thập kỷ cũ) Câu hỏi thực sự là liệu ACS có phương pháp nào để xử lý nó không? Và điều đó cũng có vẻ là "không". Sự đề cập duy nhất tôi có thể tìm thấy đối với PKI hoặc xác thực dựa trên chứng chỉ là dành cho EAP-TLS, đây không phải là điều bạn muốn.

Cập nhật

Tôi tìm thấy một tài liệu tham khảo duy nhất trong các tài liệu IOS-XR :

Lưu ý Phương thức xác thực ưa thích sẽ được nêu trong SSH RFC. Hỗ trợ xác thực dựa trên RSA chỉ dành cho xác thực cục bộ và không dành cho máy chủ TACACS / RADIUS.

Chùm ngây
nguồn
Thật là sự xấu hổ. Bạn có thể quản lý toàn bộ cơ sở hạ tầng mạng với người dùng / pass, nhưng người ta sẽ nghĩ rằng sẽ có cấu trúc PKI để làm điều tương tự. Tôi đã tìm thấy freeradius.1045715.n5.nabble.com/ , dường như cũng nói như vậy: khóa ssh tập trung auth chỉ là không thể (với RADIUS). Dự án này openssh-lpk có vẻ liên quan, nhưng có vẻ như nó dành cho ssh tập trung đến máy chủ, không phải các thiết bị như bộ định tuyến / chuyển mạch.
glallen
một câu trả lời chính thức từ việc làm mẹ.
Ricky Beam
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.