Autentica chiave ssh tramite Cisco ACS (TACACS +)

10

Posso impostare un router per l'autenticazione tramite una chiave pubblica ssh con:

ip ssh pubkey-chain
 username admin
  key-string
   <ssh-pub-key>
  exit
 exit

È possibile fare qualcosa di simile con Cisco ACS per consentire a una chiave pubblica di essere attendibile per ssh su un intero set di dispositivi già configurati per TACACS +?

ssh  tacacs 
glallen
fonte
Questo risponde alla tua domanda?
Craig Constantine,
1
beh, era un 'sembra che' non 'assolutamente' no (cioè mancanza di prove positive di questa funzione, vs prove positive della mancanza di funzioni) quindi ho pensato che avrei lasciato la domanda aperta un paio di giorni con la tua generosità per vedere se sono emersi ulteriori dettagli.
glallen,
Non uso tacacs e non ho alcuna versione di ACS in esecuzione, quindi non posso dirlo con la massima sicurezza. Il "sembra" si basa sulla ricerca di funzionalità delle varie versioni di ACS e sulla mancanza di supporto documentato in qualsiasi altro server tacacs.
Ricky Beam,
@RickyBeam Ho una copia di ACS in esecuzione - ma, come hai detto, non sono riuscito a trovare nulla - quindi la tua risposta è corretta.
glallen,

Risposte:

9

Sembra "No". Non c'è nulla di specifico in TACACS + per trasportare uno scambio di certificati, tuttavia potrebbe essere sufficiente un payload di dati ASCII . (la RFC ha un decennio) La vera domanda è se ACS ha qualche metodo per gestirla? E questo sembra anche essere "no". L'unica menzione che posso trovare su PKI o sull'autenticazione basata su certificato è per EAP-TLS, che non è quello che desideri.

Aggiornare

Ho trovato un unico riferimento nei documenti IOS-XR :

Nota Il metodo di autenticazione preferito sarebbe quello indicato nella RFC SSH. Il supporto per l'autenticazione basata su RSA è solo per l'autenticazione locale e non per i server TACACS / RADIUS.

Ricky Beam
fonte
È un peccato. È possibile gestire un'intera infrastruttura di rete con utente / pass, ma si potrebbe pensare che ci sarebbe una struttura PKI per fare lo stesso. Ho trovato freeradius.1045715.n5.nabble.com/… che sembra dire la stessa cosa: l'autenticazione centralizzata della chiave ssh non è possibile (con RADIUS). Questo progetto openssh-lpk sembra correlato, ma sembra che sia per ssh centralizzato agli host, non dispositivi come router / switch.
glallen,
C'è una risposta ufficiale da parte della nave madre.
Ricky Beam,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.