Проверка подлинности смарт-карты на коммутаторе Cisco?

9

У нас есть сетевые устройства Cisco, настроенные для аутентификации сетевых администраторов с использованием их учетных записей домена через RADIUS, работающий на сервере Windows 2008R2 с ролью защиты сети. Это прекрасно работает для входа в коммутатор через SSH при настройке устройств.

Сейчас мы находимся на начальных этапах развертывания смарт-карт для входа в систему. Кто-нибудь знает способ входа в коммутатор Cisco с использованием смарт-карты вместо имени пользователя и пароля домена?

Мы используем SSH-клиент Putty. Рабочие станции - Windows 7. RADIUS работает на Windows 2008R2. У нас есть собственный центр сертификации в Windows 2008; сеть не подключена к интернету.

Мы предпочитаем не покупать дополнительные устройства для этой функции.

murisonc
источник
1
Используя Cisco VPN Client, вы можете поднять VPN-туннель с авторизацией через смарт-карту на ваше устройство и затем использовать Putty. Но это скорее альтернатива.
Александр Махов
Используя смарт-карту, вы имеете в виду RSA ID, который генерирует числа, а не физическую карту, которую вы должны вставить в слот?
Аарон
Не устройство RSA. Физическая смарт-карта, которую вы вставляете в считыватель и которая имеет сертификаты PKI.
Murisonc
Я не уверен, что вы имеете в виду, когда говорите, что не хотите покупать дополнительные устройства. Эти устройства чтения смарт-карт уже подключены к компьютерам? Итак, вы хотите вставить смарт-карту в компьютер и затем иметь возможность войти в маршрутизатор, не передавая никаких «ручных» учетных данных?
Аарон
1
Я определенно не эксперт по смарт-картам, но я не думаю, что то, что вы ищете, может быть сделано без специального кодирования. По сути, при использовании RADIUS (или TACACS) вся аутентификация выполняется сервером, и он просто отправляет «да» или «нет» маршрутизатору. Таким образом, вам нужно приложение на компьютере, чтобы инициировать этот запрос (поскольку это единственное место, которое знает, что такое смарт-карты), а затем пройти к маршрутизатору.
Аарон,

Ответы:

1

Настройте сетевые устройства Cisco так, чтобы они указывали на центр сертификации и включали аутентификацию с использованием PKI.

На стороне клиента вам нужно заменить pagent.exe в putty версией, которая будет принимать смарт-карту в качестве типа аутентификации, найденную здесь: Secure Shell с аутентификацией смарт-карты

Для получения дополнительной информации вы должны посмотреть: Руководство по настройке безопасности Cisco IOS

Даниэль В. Кромптон
источник
Добро пожаловать в сбой сервера! Как правило, нам нравятся ответы на сайте, чтобы они могли стоять сами по себе - Ссылки - это здорово, но если эта ссылка когда-либо разорвется, в ответе должно быть достаточно информации, чтобы она оставалась полезной. Пожалуйста, рассмотрите возможность редактирования своего ответа, чтобы включить больше деталей. Смотрите FAQ для получения дополнительной информации.
Slm
@sim Спасибо за примечание, к сожалению, чтобы описать, как настроить инфраструктуру PKI и настроить коммутаторы / маршрутизаторы, которые Cisco использует ~ 1500 страниц. Я не уверен, как это обобщить в этом ответе, если у вас есть какие-либо советы, я был бы очень признателен.
Даниэль В. Кромптон
Если в документе есть раздел, вы можете просто обратиться к ним. Что-нибудь, чтобы поддержать твой ответ. Ссылка только на ответы не приветствуется.
Slm
0

Вы можете использовать Cisco Secure Services Client. Это работает хорошо, но может быть очень сложно настроить. Вот спецификация cisco для продукта. Клиент работает со службами Cisco Secure ACS и Microsoft IAS RADUS.

Фергус
источник
1
Это приложение предназначено для аутентификации пользователя / устройства в сети с использованием 802.1x. Похоже, что он не поддерживает аутентификацию пользователя, входящего в сетевое устройство с использованием смарт-карты через SSH.
Murisonc