Autentique a chave ssh através do Cisco ACS (TACACS +)

10

Eu posso configurar um roteador para autenticação através de uma chave pública ssh com:

ip ssh pubkey-chain
 username admin
  key-string
   <ssh-pub-key>
  exit
 exit

É possível fazer algo semelhante ao Cisco ACS, para permitir que uma chave pública seja confiável para ssh em todo um conjunto de dispositivos que já estão configurados para o TACACS +?

ssh tacacs sombrio
fonte
Isso responde à sua pergunta?
Craig Constantine
11
bem, era um 'parece que' não 'absolutamente' não, (ou seja, falta de evidência positiva dessa função, versus evidência positiva da falta de função), então eu pensei que deixaria a pergunta aberta alguns dias com sua recompensa para ver se surgiram mais detalhes.
glallen
Não uso tacacs e não tenho nenhuma versão do ACS em execução, portanto não posso dizer com 100% de confiança. O "parece" baseia-se na pesquisa de recursos das várias versões do ACS e na falta de suporte documentado em qualquer outro servidor tacacs.
Ricky feixe
@ RickyBeam Eu tenho uma cópia do ACS em execução - mas, como você disse, também não encontrei nada -, então sua resposta está correta.
glallen

Respostas:

9

Parece "Não". Não há nada específico no TACACS + para transportar uma troca de certificados, no entanto, uma carga útil de dados ASCII pode ser suficiente. (a RFC tem uma década) A verdadeira questão é se o ACS tem algum método para lidar com isso? E isso também parece ser "não". A única menção que posso encontrar à autenticação baseada em certificado ou PKI é para o EAP-TLS, que não é o que você deseja.

Atualizar

Encontrei uma única referência nos documentos IOS-XR :

Nota O método preferido de autenticação seria o indicado no SSH RFC. O suporte à autenticação baseada em RSA é apenas para autenticação local e não para servidores TACACS / RADIUS.

Ricky Beam
fonte
Isso é uma vergonha. Você pode gerenciar toda uma infraestrutura de rede com user / pass, mas alguém poderia pensar que haveria uma estrutura de PKI para fazer o mesmo. Encontrei freeradius.1045715.n5.nabble.com/… que parece dizer o mesmo: a autenticação centralizada da chave ssh simplesmente não é possível (com o RADIUS). Este projeto openssh-lpk parece relacionado, mas parece ser para ssh centralizado para hosts, não para dispositivos como roteadores / switches.
glallen
uma resposta oficial da nave-mãe.
Ricky feixe