Аутентифицируйте ключ ssh через Cisco ACS (TACACS +)

10

Я могу настроить маршрутизатор для аутентификации через открытый ключ ssh:

ip ssh pubkey-chain
 username admin
  key-string
   <ssh-pub-key>
  exit
 exit

Можно ли сделать что-то похожее с Cisco ACS, чтобы позволить общему ключу доверять ssh на всем наборе устройств, которые уже настроены для TACACS +?

ssh tacacs glallen
источник
это отвечает на ваш вопрос?
Крейг Константин
1
ну, это было «похоже», а не «абсолютно» (т.е. отсутствие положительного доказательства этой функции против положительного свидетельства отсутствия функции), поэтому я решил оставить вопрос открытым пару дней с Ваша награда, чтобы увидеть, если какие-либо подробности вышли.
выпал
Я не использую tacacs и у меня не работает ни одна версия ACS, поэтому я не могу сказать со 100% уверенностью. «Похоже» основано на исследовании возможностей различных версий ACS и отсутствии документированной поддержки на любом другом сервере tacacs.
Рикки Бим
@RickyBeam У меня запущена копия ACS - но, как вы сказали, я тоже ничего не смог найти - поэтому ваш ответ верен.
выпал

Ответы:

9

Похоже, "Нет". В TACACS + нет ничего особенного для передачи обмена сертификатами, однако полезной нагрузки данных ASCII может быть достаточно. (RFC уже десять лет) Реальный вопрос в том, есть ли у ACS какой-либо метод для его решения? И это также, кажется, "нет". Единственное упоминание, которое я могу найти для PKI или проверки подлинности на основе сертификатов, относится к EAP-TLS, а это не то, что вам нужно.

Обновить

Я нашел единственную ссылку в документах IOS-XR :

Примечание . Предпочтительный метод проверки подлинности будет таким, как указано в SSH RFC. Поддержка аутентификации на основе RSA предназначена только для локальной аутентификации, а не для серверов TACACS / RADIUS.

Рики Бим
источник
Это позор. Вы можете управлять всей сетевой инфраструктурой с помощью user / pass, но можно подумать, что для этого потребуется структура PKI. Я нашел freeradius.1045715.n5.nabble.com/…, который, кажется, говорит то же самое: централизованная аутентификация с помощью ssh-ключа просто невозможна (с RADIUS также). Этот проект openssh-lpk кажется связанным, но похоже, что он предназначен для централизованного ssh для хостов, а не для таких устройств, как маршрутизаторы / коммутаторы.
выпал
Есть один официальный ответ от корабля.
Рикки Бим