Uwierzytelnij klucz SSH przez Cisco ACS (TACACS +)

10

Mogę ustawić router na uwierzytelnianie za pomocą klucza publicznego ssh za pomocą:

ip ssh pubkey-chain
 username admin
  key-string
   <ssh-pub-key>
  exit
 exit

Czy można zrobić coś podobnego z Cisco ACS, aby umożliwić zaufanie kluczowi publicznemu dla ssh na całym zestawie urządzeń, które są już skonfigurowane dla TACACS +?

ssh tacacs glallen
źródło
czy to jest odpowiedź na Twoje pytanie?
Craig Constantine
1
no cóż, było to „wygląda na to, że nie” absolutnie nie (tj. brak pozytywnych dowodów tej funkcji w porównaniu z pozytywnymi dowodami braku funkcji), więc pomyślałem, że zostawię pytanie otwarte na kilka dni z Twoja nagroda za sprawdzenie, czy pojawią się jakieś szczegóły.
glallen
Nie używam tacaców i nie mam żadnej wersji ACS, więc nie mogę powiedzieć ze 100% pewnością. „Wygląda jak” opiera się na badaniu funkcji różnych wersji ACS oraz braku udokumentowanej obsługi na jakimkolwiek innym serwerze Tacacs.
Ricky Beam
@RickyBeam Mam uruchomioną kopię ACS - ale, jak powiedziałeś, ja też nic nie znalazłem - więc twoja odpowiedź jest prawidłowa.
glallen

Odpowiedzi:

9

Wygląda na „nie”. W TACACS + nie ma nic konkretnego do transportu wymiany certyfikatów, jednak ładunek danych ASCII może wystarczyć. (RFC ma już dekadę). Prawdziwe pytanie brzmi, czy ACS ma jakąkolwiek metodę, aby sobie z tym poradzić? I wydaje się to również „nie”. Jedyną wzmianką, którą mogę znaleźć w przypadku uwierzytelniania PKI lub uwierzytelniania opartego na certyfikatach, jest EAP-TLS, co nie jest tym, czego chcesz.

Aktualizacja

Znalazłem pojedyncze odniesienie w dokumentach IOS-XR :

Uwaga Preferowaną metodą uwierzytelniania jest metoda podana w RFC SSH. Obsługa uwierzytelniania opartego na RSA służy wyłącznie do uwierzytelniania lokalnego, a nie do serwerów TACACS / RADIUS.

Ricky Beam
źródło
Jaka szkoda. Możesz zarządzać całą infrastrukturą sieciową za pomocą user / pass, ale można by pomyśleć, że istniałaby struktura PKI, która by to robiła. Znalazłem freeradius.1045715.n5.nabble.com/..., co wydaje się mówić to samo: scentralizowane uwierzytelnianie za pomocą klucza ssh po prostu nie jest możliwe (w przypadku RADIUS). Ten projekt openssh-lpk wydaje się powiązany, ale wygląda na to, że służy do scentralizowanego ssh do hostów, a nie urządzeń takich jak routery / przełączniki.
glallen
Jest jedna oficjalna odpowiedź od statku-matki.
Ricky Beam,