Authentifiez la clé ssh via Cisco ACS (TACACS +)

10

Je peux configurer un routeur pour s'authentifier via une clé publique ssh avec:

ip ssh pubkey-chain
 username admin
  key-string
   <ssh-pub-key>
  exit
 exit

Est-il possible de faire quelque chose de similaire avec Cisco ACS, pour permettre à une clé publique d'être approuvée pour ssh sur un ensemble complet de périphériques déjà configurés pour TACACS +?

ssh tacacs glallen
la source
Est-ce que ça répond à votre question?
Craig Constantine
1
eh bien, c'était un "on dirait" pas "absolument" ne le fait pas (c.-à-d. manque de preuves positives de cette fonction, vs preuves positives du manque de fonction) alors j'ai pensé que je laisserais la question ouverte quelques jours avec votre prime pour voir si plus de détails sont sortis.
glallen
Je n'utilise pas de tacacs et je n'ai aucune version d'ACS en cours d'exécution, donc je ne peux pas le dire avec 100% de confiance. Le "ressemble" est basé sur la recherche de fonctionnalités des différentes versions d'ACS, et le manque de support documenté dans tout autre serveur tacacs.
Ricky Beam
@RickyBeam J'ai une copie d'ACS en cours d'exécution - mais, comme vous l'avez dit, je n'ai rien trouvé non plus - donc votre réponse est correcte.
glallen

Réponses:

9

Cela ressemble à "Non". Il n'y a rien de spécifique dans TACACS + pour transporter un échange de certificats, mais une charge utile de données ASCII pourrait suffire. (le RFC a une décennie) La vraie question est de savoir si ACS a une méthode pour le gérer? Et cela semble également être «non». La seule mention que je peux trouver pour l'authentification basée sur PKI ou certificat est pour EAP-TLS, ce qui n'est pas ce que vous voulez.

Mise à jour

J'ai trouvé une seule référence dans les documents IOS-XR :

Remarque La méthode d'authentification préférée serait celle indiquée dans le RFC SSH. La prise en charge de l'authentification basée sur RSA est uniquement destinée à l'authentification locale et non aux serveurs TACACS / RADIUS.

Ricky Beam
la source
C'est une honte. Vous pouvez gérer une infrastructure réseau entière avec user / pass, mais on pourrait penser qu'il y aurait une structure PKI pour faire de même. J'ai trouvé freeradius.1045715.n5.nabble.com/… qui semble dire la même chose: l'authentification par clé ssh centralisée n'est tout simplement pas possible (avec RADIUS non plus). Ce projet openssh-lpk semble lié, mais il ressemble à son pour ssh centralisé aux hôtes, pas aux périphériques tels que les routeurs / commutateurs.
glallen
Il y a une réponse officielle du vaisseau-mère.
Ricky Beam