Otentikasi kunci ssh melalui Cisco ACS (TACACS +)

10

Saya dapat mengatur router untuk mengotentikasi melalui kunci publik ssh dengan:

ip ssh pubkey-chain
 username admin
  key-string
   <ssh-pub-key>
  exit
 exit

Apakah mungkin untuk melakukan sesuatu yang mirip dengan Cisco ACS, untuk memungkinkan kunci publik dapat dipercaya untuk ssh di seluruh rangkaian perangkat yang sudah dikonfigurasi untuk TACACS +?

ssh tacacs Glallen
sumber
apakah itu menjawab pertanyaan Anda?
Craig Constantine
1
baik, itu adalah 'sepertinya' tidak 'benar-benar' tidak, (yaitu kurangnya bukti positif dari fungsi ini, vs bukti positif dari kurangnya fungsi) jadi saya pikir saya akan membiarkan pertanyaan terbuka beberapa hari dengan karunia Anda untuk melihat apakah ada detail lagi yang keluar.
Glallen
Saya tidak menggunakan tacacs dan tidak memiliki versi ACS berjalan, jadi saya tidak bisa mengatakan dengan kepercayaan 100%. "Sepertinya" didasarkan pada penelitian fitur berbagai versi ACS, dan kurangnya dukungan yang terdokumentasi dalam server tacac lainnya.
Ricky Beam
@ RickyBeam Saya punya salinan ACS berjalan - tetapi, seperti yang Anda katakan, saya tidak dapat menemukan apa pun juga - jadi jawaban Anda benar.
Glallen

Jawaban:

9

Sepertinya, "Tidak". Tidak ada yang spesifik dalam TACACS + untuk mengangkut pertukaran sertifikat, namun muatan data ASCII dapat mencukupi. (RFC berumur satu dekade). Pertanyaan sebenarnya adalah apakah ACS memiliki metode untuk menanganinya? Dan itu juga tampaknya "tidak". Satu-satunya penyebutan yang dapat saya temukan untuk PKI atau otentikasi berbasis sertifikat adalah untuk EAP-TLS, yang bukan yang Anda inginkan.

Memperbarui

Saya menemukan referensi tunggal dalam dokumen IOS-XR :

Catatan Metode otentikasi yang disukai akan seperti yang dinyatakan dalam SSH RFC. Dukungan otentikasi berbasis RSA hanya untuk otentikasi lokal, dan bukan untuk server TACACS / RADIUS.

Ricky Beam
sumber
Itu memalukan. Anda dapat mengelola seluruh infrastruktur jaringan dengan pengguna / pass, tetapi orang akan berpikir akan ada struktur PKI untuk melakukan hal yang sama. Saya menemukan freeradius.1045715.n5.nabble.com/... yang tampaknya mengatakan hal yang sama: auth kunci ssh terpusat hanya tidak mungkin (dengan RADIUS juga). Proyek ini openssh-lpk tampaknya terkait, tetapi sepertinya itu untuk ssh terpusat untuk host, bukan perangkat seperti router / switch.
Glallen
Ada satu jawaban resmi dari induk itu.
Ricky Beam