Cisco ACS(TACACS +)を介したSSHキーの認証

10

ssh公開鍵を介して認証するようにルーターを設定できます:

ip ssh pubkey-chain
 username admin
  key-string
   <ssh-pub-key>
  exit
 exit

Cisco ACSで同様のことを実行して、すでにTACACS +用に構成されているデバイスのセット全体でsshに対して公開鍵を信頼できるようにすることは可能ですか?

ssh  tacacs 
ガレン
ソース
それはあなたの質問に答えますか?
クレイグコンスタンティン
1
まあ、それは「絶対に」ではない「ように見える」(つまり、この機能の肯定的な証拠の欠如と、機能の欠如の肯定的な証拠の欠如)だったので、詳細が出ていないか確認するための賞金。
glallen 2014年
私はtacacsを使用しておらず、実行中のACSのバージョンもないため、100%信頼できるとは言えません。「次のように見える」は、ACSのさまざまなバージョンの機能の調査と、他のtacacsサーバーでサポートが文書化されていないことに基づいています。
リッキービーム2014年
@RickyBeam ACSのコピーを実行しています-しかし、あなたの言ったように、何も見つかりませんでした。そのため、あなたの答えは正しいです。
glallen 2014年

回答:

9

「いいえ」のようです。証明書の交換を輸送するTACACS +で何も特定があります、しかし、ASCIIデータペイロードができただけで十分。(RFCは10年前のものです)本当の問題は、ACSがそれを処理する方法があるかどうかです。そして、それも「いいえ」のようです。PKIまたは証明書ベースの認証で私が見つけられる唯一の言及はEAP-TLSに関するものであり、これはあなたが望むものではありません。

更新

IOS-XRドキュメントで単一の参照を見つけました:

推奨される認証方法は、SSH RFCに記載されているとおりです。RSAベースの認証サポートはローカル認証専用であり、TACACS / RADIUSサーバー用ではありません。

リッキービーム
ソース
残念です。ユーザー/パスを使用してネットワークインフラストラクチャ全体を管理できますが、同じことを行うPKI構造があると考える人もいます。私はfreeradius.1045715.n5.nabble.com/…を見つけましたこれは同じことを言っているようです:集中化されたsshキー認証は(RADIUSでも)不可能です。このプロジェクトopenssh-lpkは関連しているようですが、ルーター/スイッチなどのデバイスではなく、ホストへの一元化されたsshのようです。
glallen 2014年
母船からの公式な回答が1つあります。
リッキービーム
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.