智能卡身份验证到Cisco交换机?

9

我们已将Cisco网络设备配置为通过运行在具有网络保护角色的Windows 2008R2服务器上的RADIUS,使用其域帐户通过网络管理员对网络管理员进行身份验证。在配置设备时,这非常适合通过SSH登录到交换机。

我们现在处于部署智能卡进行登录的开始阶段。有谁知道使用智能卡而不是域用户名和密码登录Cisco交换机的方法?

我们正在使用的SSH客户端是Putty。工作站是Windows7。RADIUS在Windows 2008R2上运行。我们正在Windows 2008上运行我们自己的证书颁发机构;网络未连接到Internet。

我们希望不必为此功能购买其他专有设备。

cisco  radius  smartcard  pki 
Murisonc
source
1
使用Cisco VPN Client,您可以通过智能卡将具有授权的VPN隧道提升到设备,然后使用Putty。但这是另一种选择。
Aleksandr Makhov 2011年
使用智能卡,您的意思是像生成数字的RSA ID一样,而不是您必须插入插槽中的物理卡吗?
亚伦
不是RSA设备。您插入读卡器并具有PKI证书的物理智能卡。
murisonc 2011年
我不确定您说不想购买其他设备时的意思。这些智能卡读取器是否已连接到计算机?因此,您想将智能卡放入计算机中,然后能够在不传递任何“手动”凭据的情况下登录路由器吗?
亚伦
1
我绝对不是智能卡方面的专家,但是我认为没有自定义编码就无法完成您要查找的内容。基本上,使用RADIUS(或TACACS),所有身份验证均由服务器完成,并且仅向路由器发送“是”或“否”。因此,您需要在计算机上使用一个应用程序来发起该请求(因为这是唯一知道什么是智能卡的地方),然后再传递到路由器。
亚伦

Answers:

1

配置Cisco网络设备以指向您的证书颁发机构,并使用PKI启用身份验证。

在客户端,您需要用将智能卡作为身份验证类型的版本替换putty的pagent.exe,可在以下位置找到:带智能卡身份验证的安全Shell

有关更多信息,请查看:Cisco IOS安全配置指南

丹尼尔·W·克朗普顿
source
欢迎来到服务器故障!通常,我们希望网站上的答案能够独立存在-链接很棒,但是,如果该链接中断,则答案应该具有足够的信息,仍然会有所帮助。请考虑编辑您的答案以包括更多详细信息。有关更多信息,请参见FAQ
slm 2013年
@sim感谢您的来信,可悲地描述了如何设置PKI基础结构以及如何配置Cisco使用的1500页交换机/路由器。我不确定如何将其浓缩到此答案中,如果您有任何提示,我将非常感谢。
丹尼尔W.康普顿
如果文档中有一节,您可以参考它们。任何可以增强您答案的方法。不鼓励仅链接的答案。
slm
0

您可以使用思科安全服务客户端。它运作良好,但可能很难设置。这是思科产品的数据表。该客户端可与Cisco Secure ACS和Microsoft IAS RADUS服务一起使用。

弗格斯
source
1
该应用程序似乎是用于使用802.1x向网络中的用户/设备进行身份验证。它似乎不支持使用通过SSH的智能卡对登录网络设备的用户进行身份验证。
murisonc 2011年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.