Authentifizieren Sie den SSH-Schlüssel über Cisco ACS (TACACS +).

10

Ich kann einen Router so einstellen, dass er sich über einen öffentlichen ssh-Schlüssel authentifiziert.

ip ssh pubkey-chain
 username admin
  key-string
   <ssh-pub-key>
  exit
 exit

Ist es möglich, mit Cisco ACS etwas Ähnliches zu tun, damit ein öffentlicher Schlüssel für ssh auf einer ganzen Reihe von Geräten vertrauenswürdig ist, die bereits für TACACS + konfiguriert sind?

ssh tacacs glallen
quelle
Beantwortet das deine Frage?
Craig Constantine
1
Nun, es war ein "sieht aus wie" nicht "absolut" nicht (dh das Fehlen positiver Beweise für diese Funktion im Vergleich zu positiven Beweisen für den Mangel an Funktionen), also dachte ich mir, ich würde die Frage ein paar Tage offen lassen Ihr Kopfgeld, um zu sehen, ob weitere Details bekannt wurden.
glallen
Ich verwende keine Tacacs und habe keine Version von ACS, daher kann ich nicht mit 100% iger Sicherheit sagen. Das "Aussehen wie" basiert auf der Untersuchung der Funktionen der verschiedenen Versionen von ACS und dem Mangel an dokumentierter Unterstützung auf jedem anderen Tacacs-Server.
Ricky Beam
@ RickyBeam Ich habe eine Kopie von ACS ausgeführt - aber wie Sie sagten, konnte ich auch nichts finden - Ihre Antwort ist also richtig.
glallen

Antworten:

9

Es sieht aus wie "Nein". Es gibt nichts Konkretes in TACACS + ein Zertifikat Austausch zu transportieren, jedoch eine ASCII - Datennutzlast könnte ausreichen. (Der RFC ist ein Jahrzehnt alt.) Die eigentliche Frage ist, ob ACS eine Methode hat, um damit umzugehen. Und das scheint auch "nein" zu sein. Die einzige Erwähnung, die ich für die PKI- oder zertifikatbasierte Authentifizierung finden kann, ist für EAP-TLS, was nicht das ist, was Sie wollen.

Aktualisieren

Ich habe eine einzige Referenz in IOS-XR-Dokumenten gefunden :

Hinweis Die bevorzugte Authentifizierungsmethode ist die im SSH-RFC angegebene. Die RSA-basierte Authentifizierungsunterstützung gilt nur für die lokale Authentifizierung und nicht für TACACS / RADIUS-Server.

Ricky Beam
quelle
Das ist eine Schande. Sie können eine gesamte Netzwerkinfrastruktur mit Benutzer / Pass verwalten, aber man würde denken, dass es eine PKI-Struktur gibt, um dasselbe zu tun. Ich habe freeradius.1045715.n5.nabble.com/… gefunden, was dasselbe zu sagen scheint: Eine zentralisierte SSH-Schlüsselauthentifizierung ist einfach nicht möglich (auch mit RADIUS). Dieses Projekt openssh-lpk scheint verwandt zu sein, aber es sieht so aus, als ob es für zentralisierte ssh-Hosts und nicht für Geräte wie Router / Switches gilt.
glallen
Es gibt eine offizielle Antwort vom Mutterschiff.
Ricky Beam