Otentikasi kartu pintar ke switch Cisco?

9

Kami memiliki perangkat jaringan Cisco kami yang dikonfigurasi untuk mengotentikasi administrator jaringan menggunakan akun domain mereka melalui RADIUS yang berjalan pada server Windows 2008R2 dengan peran perlindungan jaringan. Ini berfungsi baik untuk masuk ke sakelar melalui SSH saat mengkonfigurasi perangkat.

Kami sekarang berada pada tahap awal penerapan kartu pintar untuk login. Adakah yang tahu cara login ke switch Cisco menggunakan kartu pintar alih-alih nama pengguna domain dan kata sandi?

Klien SSH yang kami gunakan adalah Putty. Workstation adalah Windows 7. RADIUS berjalan pada Windows 2008R2. Kami menjalankan otoritas sertifikat kami sendiri pada Windows 2008; jaringan tidak terhubung ke Internet.

Kami lebih suka tidak harus membeli perangkat eksklusif tambahan untuk fungsi ini.

murisonc
sumber
1
Menggunakan Cisco VPN Client, Anda dapat meningkatkan terowongan VPN dengan otorisasi melalui kartu pintar ke perangkat Anda dan kemudian menggunakan Putty. Tapi itu lebih merupakan alternatif.
Aleksandr Makhov
Dengan menggunakan kartu pintar, maksud Anda seperti ID RSA yang menghasilkan angka, dan bukan kartu fisik yang harus Anda masukkan ke dalam slot?
Aaron
Bukan perangkat RSA. Kartu pintar fisik yang Anda masukkan ke pembaca dan memiliki sertifikat PKI.
murisonc
Saya tidak yakin apa yang Anda maksud ketika Anda mengatakan tidak ingin membeli perangkat tambahan. Apakah pembaca kartu pintar ini sudah terpasang ke komputer? Jadi, Anda ingin memasukkan kartu pintar ke komputer dan kemudian dapat masuk ke router tanpa melewati kredensial "manual" lagi?
Aaron
1
Saya jelas bukan ahli tentang kartu pintar, tetapi saya tidak berpikir apa yang Anda cari dapat dilakukan tanpa pengkodean khusus. Pada dasarnya, menggunakan RADIUS (atau TACACS) semua otentikasi dilakukan oleh server, dan itu hanya mengirimkan 'ya' atau 'tidak' ke router. Jadi, Anda memerlukan aplikasi di komputer untuk memulai permintaan itu (karena itulah satu-satunya tempat yang tahu apa itu smartcard) dan kemudian diteruskan ke router.
Aaron

Jawaban:

1

Konfigurasikan perangkat jaringan Cisco untuk menunjuk ke Otoritas Sertifikat Anda dan mengaktifkan otentikasi menggunakan PKI.

Di sisi klien Anda perlu mengganti pagent.exe putty dengan versi yang akan menerima smartcard sebagai tipe otentikasi, ditemukan di sini: Secure Shell dengan Smart Card Authentication

Untuk informasi lebih lanjut, Anda harus melihat: Panduan Konfigurasi Keamanan Cisco IOS

Daniël W. Crompton
sumber
Selamat Datang di Kesalahan Server! Secara umum kami menyukai jawaban di situs untuk dapat berdiri sendiri - Tautan bagus, tetapi jika tautan itu putus, jawabannya harus memiliki informasi yang cukup untuk tetap membantu. Silakan pertimbangkan untuk mengedit jawaban Anda untuk memasukkan lebih detail. Lihat FAQ untuk info lebih lanjut.
slm
@sim Terima kasih atas catatannya, sayangnya untuk menggambarkan cara mengatur infrastruktur PKI dan mengkonfigurasi sakelar / router yang digunakan Cisco ~ 1500 halaman. Saya tidak yakin bagaimana menyingkatnya menjadi jawaban ini, jika Anda memiliki tips saya akan sangat berterima kasih.
Daniël W. Crompton
Jika ada bagian dalam dokumen Anda bisa merujuknya. Apa pun untuk mendukung jawaban Anda. Tautan hanya jawaban yang tidak disarankan.
slm
0

Anda dapat menggunakan Klien Layanan Aman Cisco. Ini berfungsi dengan baik tetapi bisa sangat sulit untuk diatur. Ini adalah lembar data cisco untuk produk tersebut. Klien bekerja dengan layanan Cisco Secure ACS dan Microsoft IAS RADUS.

Fergus
sumber
1
Aplikasi ini tampaknya untuk otentikasi pengguna / perangkat ke jaringan menggunakan 802.1x. Tampaknya tidak mendukung otentikasi pengguna yang masuk ke perangkat jaringan menggunakan kartu pintar melalui SSH.
murisonc