ตรวจสอบสิทธิ์ ssh ผ่านทาง Cisco ACS (TACACS +)


10

ฉันสามารถตั้งค่าเราเตอร์เพื่อรับรองความถูกต้องผ่านทางรหัสสาธารณะ ssh ด้วย:

ip ssh pubkey-chain
 username admin
  key-string
   <ssh-pub-key>
  exit
 exit

เป็นไปได้หรือไม่ที่จะทำสิ่งที่คล้ายกับ Cisco ACS เพื่อให้สามารถใช้พับลิกคีย์สาธารณะสำหรับ ssh ในอุปกรณ์ทั้งชุดที่กำหนดค่าไว้สำหรับ TACACS + แล้วหรือไม่


ไม่ตอบคำถามของคุณ?
Craig Constantine

1
ดีมันเป็น 'ดูเหมือนว่า' ไม่ 'อย่างแน่นอน' ไม่ได้ (เช่นการขาดหลักฐานเชิงบวกของฟังก์ชั่นนี้, vs หลักฐานเชิงบวกของการขาดฟังก์ชั่น) ดังนั้นฉันคิดว่าฉันจะทิ้งคำถามเปิดสองสามวันด้วย เงินรางวัลของคุณเพื่อดูว่ามีรายละเอียดเพิ่มเติมออกมาอีกหรือไม่
30614 glallen

ฉันไม่ใช้ tacacs และไม่มี ACS รุ่นใด ๆ ทำงานดังนั้นฉันจึงไม่สามารถพูดด้วยความมั่นใจ 100% "ดูเหมือนว่า" จะขึ้นอยู่กับการค้นคว้าคุณสมบัติของ ACS รุ่นต่าง ๆ และการขาดเอกสารสนับสนุนในเซิร์ฟเวอร์ tacacs อื่น ๆ
Ricky Beam

@ RickyBeam ฉันมีสำเนาของ ACS ทำงานอยู่ - แต่อย่างที่คุณพูดฉันไม่สามารถหาอะไรได้เลย - ดังนั้นคำตอบของคุณจึงถูกต้อง
2399 glallen

คำตอบ:


9

ดูเหมือนว่า "ไม่" ไม่มีอะไรเฉพาะเจาะจงใน TACACS + ในการขนส่งการแลกเปลี่ยนใบรับรองอย่างไรก็ตามปริมาณข้อมูล ASCII อาจเพียงพอ (RFC มีอายุกว่าทศวรรษ) คำถามที่แท้จริงคือถ้า ACS มีวิธีการจัดการกับมันหรือไม่? และนั่นก็ดูเหมือนจะเป็น "ไม่" การกล่าวถึงเพียงอย่างเดียวที่ฉันสามารถค้นหาเพื่อ PKI หรือการตรวจสอบความถูกต้องตามใบรับรองนั้นมีไว้สำหรับ EAP-TLS ซึ่งไม่ใช่สิ่งที่คุณต้องการ

ปรับปรุง

ฉันพบการอ้างอิงเดียวในเอกสาร IOS-XR :

หมายเหตุวิธีการรับรองความถูกต้องที่ต้องการจะเป็นไปตามที่ระบุไว้ใน SSH RFC การสนับสนุนการพิสูจน์ตัวตนแบบใช้ RSA นั้นใช้สำหรับการพิสูจน์ตัวตนแบบโลคัลเท่านั้นไม่ใช่สำหรับเซิร์ฟเวอร์ TACACS / RADIUS


นั่นเป็นความอัปยศ คุณสามารถจัดการโครงสร้างพื้นฐานเครือข่ายทั้งหมดด้วย user / pass แต่จะคิดว่าจะมีโครงสร้าง PKI ที่จะทำเช่นเดียวกัน ฉันพบfreeradius.1045715.n5.nabble.com/ซึ่งดูเหมือนว่าจะพูดเหมือนกัน: auth key auth key auth เป็นไปไม่ได้เลย (กับ RADIUS ด้วย) โครงการนี้openssh-lpkดูเหมือนจะเกี่ยวข้องกัน แต่ดูเหมือนว่าจะเป็น ssh จากส่วนกลางไปยังโฮสต์ไม่ใช่อุปกรณ์เช่นเราเตอร์ / สวิตช์
30614 glallen

มีหนึ่งคำตอบอย่างเป็นทางการจากแม่
Ricky Beam
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.