Ciscoスイッチへのスマートカード認証？

ネットワーク保護の役割を持つWindows 2008R2サーバーで実行されているRADIUS経由でドメインアカウントを使用してネットワーク管理者を認証するように設定されたシスコのネットワークデバイスがあります。これは、デバイスの設定時にSSH経由でスイッチにログインするのに最適です。

現在、ログイン用のスマートカードの展開の初期段階にあります。ドメインのユーザー名とパスワードの代わりにスマートカードを使用してCiscoスイッチにログインする方法を知っている人はいますか？

使用しているSSHクライアントはPuttyです。ワークステーションはWindows 7です。RADIUSはWindows 2008R2で実行されています。Windows 2008で独自の認証局を実行しています。ネットワークがインターネットに接続されていません。

この機能のために追加の専用デバイスを購入する必要はありません。

— Murisonc
ソース

Cisco VPN Clientを使用すると、スマートカードを介してデバイスに許可を与えてVPNトンネルを確立し、パテを使用できます。しかし、それはむしろ代替手段です。

— Aleksandr Makhov

スマートカードを使用するということは、スロットに挿入する必要がある物理的なカードではなく、番号を生成するRSA IDのようなものですか？

— アーロン

RSAデバイスではありません。リーダーに挿入し、PKI証明書を持つ物理的なスマートカード。

— murisonc

追加のデバイスを購入したくないと言ったときに、どういう意味かわかりません。これらのスマートカードリーダーは既にコンピューターに接続されていますか？では、スマートカードをコンピュータに挿入して、「手動」の資格情報を渡さなくてもルーターにログインできるようにしたいですか。

— アーロン

私は間違いなくスマートカードの専門家ではありませんが、カスタムコーディングがなければ、探していることができるとは思いません。基本的に、RADIUS（またはTACACS）を使用すると、すべての認証はサーバーによって行われ、ルーターに「はい」または「いいえ」を送信するだけです。そのため、その要求を開始し（スマートカードが何であるかを知っている唯一の場所であるため）、コンピューターにアプリが必要であり、その後、ルーターにパススルーします。

— アーロン

回答:

認証局を指すようにCiscoネットワークデバイスを設定し、PKIを使用した認証を有効にします。

クライアント側では、puttyのpagent.exeを、スマートカードを認証タイプとして受け入れるバージョンに置き換える必要があります。これは、スマートカード認証を使用したSecure Shellです。

詳細については、Cisco IOSセキュリティ設定ガイドを参照してください。

— ダニエル・W・クロンプトン
ソース

サーバー障害へようこそ！一般的に、サイトの回答はそれ自体で立つことができます-リンクは素晴らしいですが、そのリンクが壊れた場合でも、回答は役立つのに十分な情報が必要です。詳細を含めるには、回答を編集することを検討してください。詳細については、FAQを参照してください。

— slm 2013

@simメモをありがとうございます。残念ながら、PKIインフラストラクチャをセットアップし、シスコが使用するスイッチ/ルーターを構成する方法については、約1500ページです。それをこの答えにどのように凝縮するかはわかりませんが、何かヒントがあれば、私は非常に感謝します。

— ダニエルW.クロンプトン2013

ドキュメントにセクションがある場合は、それらを参照するだけでかまいません。あなたの答えを強化するためのもの。リンクのみの回答はお勧めしません。

— slm 2013

Cisco Secure Services Clientを使用できます。うまく機能しますが、セットアップが非常に困難な場合があります。これは、製品のシスコのデータシートです。クライアントは、Cisco Secure ACSとMicrosoft IAS RADUSサービスの両方で動作します。

— ファーガス
ソース

このアプリケーションは、802.1xを使用するネットワークに対するユーザー/デバイスの認証用のようです。SSH経由でスマートカードを使用してネットワークデバイスにログインするユーザーの認証をサポートしていないようです。

— murisonc '25