Xác thực thẻ thông minh cho thiết bị chuyển mạch của Cisco?

9

Chúng tôi có các thiết bị mạng Cisco được cấu hình để xác thực quản trị viên mạng bằng tài khoản miền của họ thông qua RADIUS chạy trên máy chủ Windows 2008R2 với vai trò bảo vệ mạng. Điều này hoạt động rất tốt để đăng nhập vào chuyển đổi thông qua SSH khi định cấu hình thiết bị.

Chúng tôi hiện đang trong giai đoạn bắt đầu triển khai thẻ thông minh để đăng nhập. Có ai biết cách đăng nhập vào thiết bị chuyển mạch của Cisco bằng thẻ thông minh thay vì tên người dùng và mật khẩu tên miền không?

Máy khách SSH chúng tôi đang sử dụng là Putty. Máy trạm là Windows 7. RADIUS đang chạy trên Windows 2008R2. Chúng tôi đang chạy thẩm quyền chứng chỉ của riêng mình trên Windows 2008; mạng không được kết nối với Internet.

Chúng tôi không muốn phải mua thêm các thiết bị độc quyền cho chức năng này.

cisco  radius  smartcard  pki 
kẻ giết người
nguồn
1
Sử dụng Cisco VPN Client, bạn có thể nâng cao đường hầm VPN với ủy quyền thông qua thẻ thông minh cho thiết bị của mình và sau đó sử dụng Putty. Nhưng nó là một thay thế.
Alexanderr Makhov
Bằng cách sử dụng thẻ thông minh, bạn có nghĩa là giống như ID RSA tạo số chứ không phải thẻ vật lý bạn phải chèn vào khe?
Aaron
Không phải thiết bị RSA. Thẻ thông minh vật lý mà bạn chèn vào đầu đọc và có chứng chỉ PKI.
murisonc
Tôi không chắc ý của bạn là gì khi bạn nói rằng bạn không muốn mua thêm thiết bị. Những đầu đọc thẻ thông minh này đã được gắn vào máy tính chưa? Vì vậy, bạn muốn đặt thẻ thông minh vào máy tính và sau đó có thể đăng nhập vào bộ định tuyến mà không cần thông qua bất kỳ thông tin "thủ công" nào nữa?
Aaron
1
Tôi chắc chắn không phải là một chuyên gia về thẻ thông minh, nhưng tôi không nghĩ những gì bạn đang tìm kiếm có thể được thực hiện mà không cần mã hóa tùy chỉnh. Về cơ bản, sử dụng RADIUS (hoặc TACACS), tất cả xác thực được thực hiện bởi máy chủ và nó chỉ gửi 'có' hoặc 'không' cho bộ định tuyến. Vì vậy, bạn cần một ứng dụng trên máy tính để thực hiện yêu cầu đó (vì đó là nơi duy nhất biết thẻ thông minh là gì) và sau đó chuyển qua bộ định tuyến.
Aaron

Câu trả lời:

1

Định cấu hình các thiết bị mạng của Cisco để trỏ đến Tổ chức phát hành chứng chỉ của bạn và cho phép xác thực bằng PKI.

Về phía khách hàng, bạn cần thay thế pagent.exe của putty bằng một phiên bản sẽ chấp nhận thẻ thông minh làm loại xác thực, được tìm thấy ở đây: Secure Shell với Xác thực thẻ thông minh

Để biết thêm thông tin, bạn nên xem tại: Hướng dẫn cấu hình bảo mật của Cisco IOS

Daniël W. Crompton
nguồn
Chào mừng bạn đến với Lỗi Máy chủ! Nói chung, chúng tôi thích câu trả lời trên trang web để có thể tự đứng vững - Liên kết rất tuyệt, nhưng nếu liên kết đó bị hỏng, câu trả lời sẽ có đủ thông tin để vẫn hữu ích. Vui lòng xem xét chỉnh sửa câu trả lời của bạn để bao gồm chi tiết hơn. Xem FAQ để biết thêm.
slm
@sim Cảm ơn bạn đã lưu ý, thật đáng buồn khi mô tả cách thiết lập cơ sở hạ tầng PKI và định cấu hình các công tắc / bộ định tuyến mà Cisco sử dụng ~ 1500 trang. Tôi không chắc về cách cô đọng câu trả lời này, nếu bạn có bất cứ lời khuyên nào tôi sẽ rất biết ơn.
Daniël W. Crompton
Nếu có một phần trong tài liệu bạn chỉ có thể tham khảo chúng. Bất cứ điều gì để củng cố câu trả lời của bạn. Liên kết chỉ trả lời được khuyến khích.
slm
0

Bạn có thể sử dụng Máy khách Dịch vụ Bảo mật của Cisco. Nó hoạt động tốt nhưng có thể rất khó để thiết lập. Đây là bảng dữ liệu của cisco cho sản phẩm. Máy khách hoạt động với cả dịch vụ Cisco Secure ACS và Microsoft IAS RADUS.

Fergus
nguồn
1
Ứng dụng này dường như là để xác thực người dùng / thiết bị với mạng bằng cách sử dụng 802.1x. Dường như không hỗ trợ xác thực người dùng đăng nhập vào thiết bị mạng bằng thẻ thông minh qua SSH.
murisonc
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.