Autenticazione con smart card su uno switch Cisco?

9

Abbiamo i nostri dispositivi di rete Cisco configurati per autenticare gli amministratori di rete utilizzando i loro account di dominio tramite RADIUS in esecuzione su un server Windows 2008R2 con il ruolo di protezione della rete. Funziona perfettamente per l'accesso allo switch tramite SSH durante la configurazione dei dispositivi.

Ora siamo nelle fasi iniziali della distribuzione di smart card per gli accessi. Qualcuno sa come accedere a uno switch Cisco utilizzando una smart card anziché un nome utente e una password di dominio?

Il client SSH che stiamo utilizzando è Putty. Le stazioni di lavoro sono Windows 7. RADIUS è in esecuzione su Windows 2008R2. Stiamo eseguendo la nostra autorità di certificazione su Windows 2008; la rete non è connessa a Internet.

Preferiamo non dover acquistare ulteriori dispositivi proprietari per questa funzionalità.

cisco  radius  smartcard  pki 
murisonc
fonte
1
Utilizzando Cisco VPN Client, è possibile aumentare il tunnel VPN con l'autorizzazione tramite una smart card sul dispositivo e quindi utilizzare Putty. Ma è piuttosto un'alternativa.
Aleksandr Makhov,
Usando una smart card, intendi come un ID RSA che genera numeri e non una scheda fisica che devi inserire in uno slot?
Aaron,
Non il dispositivo RSA. Una smart card fisica inserita in un lettore e dotata di certificati PKI.
Murisonc,
Non sono sicuro di cosa intendi quando dici di non voler acquistare altri dispositivi. Questi lettori di smart card sono già collegati ai computer? Quindi, vuoi mettere la smart card in un computer e quindi essere in grado di accedere a un router senza passare più credenziali "manuali"?
Aaron,
1
Non sono sicuramente un esperto di smart card, ma non credo che ciò che stai cercando possa essere fatto senza codifica personalizzata. Fondamentalmente, usando RADIUS (o TACACS) tutta l'autenticazione viene fatta dal server e invia semplicemente un 'si' o 'no' al router. Quindi avresti bisogno di un'app sul computer per avviare quella richiesta (dato che è l'unico posto che sa cosa sono le smart card) e quindi passare al router.
Aaron,

Risposte:

1

Configurare i dispositivi di rete Cisco in modo che puntino all'autorità di certificazione e abilitare l'autenticazione tramite PKI.

Sul lato client è necessario sostituire pagent.exe di putty con una versione che accetti la smartcard come tipo di autenticazione, disponibile qui: Secure Shell con autenticazione smart card

Per ulteriori informazioni, consultare: Guida alla configurazione della sicurezza Cisco IOS

Daniël W. Crompton
fonte
Benvenuti in Server Fault! In genere ci piace che le risposte sul sito siano in grado di resistere da sole - I collegamenti sono fantastici, ma se quel collegamento si rompe la risposta dovrebbe avere abbastanza informazioni per essere ancora utile. Si prega di considerare la modifica della risposta per includere ulteriori dettagli. Vedi le FAQ per maggiori informazioni.
slm
@sim Grazie per la nota, purtroppo per descrivere come impostare l'infrastruttura PKI e configurare gli switch / router che Cisco utilizza ~ 1500 pagine. Non sono sicuro di come condensarlo in questa risposta, se hai qualche suggerimento ti sarei molto grato.
Daniël W. Crompton,
Se nel documento è presente una sezione, puoi semplicemente fare riferimento a loro. Qualsiasi cosa per rafforzare la tua risposta. Link solo le risposte sono scoraggiate.
slm
0

È possibile utilizzare il client Cisco Secure Services. Funziona bene ma può essere molto difficile da configurare. Ecco la scheda tecnica di Cisco per il prodotto. Il client funziona con i servizi Cisco Secure ACS e Microsoft IAS RADUS.

Fergus
fonte
1
Questa applicazione sembra essere per l'autenticazione dell'utente / dispositivo nella rete usando 802.1x. Non sembra supportare l'autenticazione dell'utente che accede al dispositivo di rete utilizzando una smart card su SSH.
Murisonc,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.