通过Cisco ACS(TACACS +)验证SSH密钥

10

我可以使用以下命令将路由器设置为通过ssh公钥进行身份验证:

ip ssh pubkey-chain
 username admin
  key-string
   <ssh-pub-key>
  exit
 exit

是否可以与Cisco ACS进行类似的操作,以使公钥能够在已经为TACACS +配置的整套设备中被ssh信任?

ssh  tacacs 
glallen
source
这是否回答你的问题?
克雷格·康斯坦丁
1
好吧,这是一个“看起来”,而不是“绝对”不(例如,缺少该功能的肯定证据,而缺少功能的肯定证据),所以我想我将问题悬而未决您的悬赏,看看是否还有更多细节。
glallen 2014年
我不使用tacacs,也没有运行任何版本的ACS,所以我不能百分百地说。“外观”是基于各种版本ACS的研究功能,以及其他任何tacacs服务器中缺乏文档支持的。
Ricky Beam 2014年
@RickyBeam我正在运行ACS的副本-但是,正如您所说,我也找不到任何东西-因此您的答案是正确的。
glallen 2014年

Answers:

9

看起来像“不”。TACACS +中没有特定的内容来传输证书交换,但是ASCII数据有效载荷足够了。(RFC已有十年历史了)真正的问题是ACS是否有任何方法可以处理它?而且这似乎也是“否”。我只能找到针对PKI或基于证书的身份验证的提及是针对EAP-TLS的,这不是您想要的。

更新资料

我在IOS-XR文档中找到了一个参考:

注意首选的身份验证方法如SSH RFC中所述。基于RSA的身份验证支持仅用于本地身份验证,不适用于TACACS / RADIUS服务器。

瑞奇光束
source
真可惜 您可以使用用户/通道来管理整个网络基础结构,但有人会认为会有一种PKI结构可以做到这一点。我找到了freeradius.1045715.n5.nabble.com/…这似乎是一样的:集中式SSH密钥身份验证是不可能的(也可以使用RADIUS)。这个项目opensh-lpk似乎是相关的,但是看起来它是用于主机而不是路由器/交换机等设备的集中式ssh。
glallen 2014年
母舰有一个官方的答案。
Ricky Beam
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.