Autenticar la clave ssh a través de Cisco ACS (TACACS +)

10

Puedo configurar un enrutador para autenticar a través de una clave pública ssh con:

ip ssh pubkey-chain
 username admin
  key-string
   <ssh-pub-key>
  exit
 exit

¿Es posible hacer algo similar con Cisco ACS, para permitir que una clave pública sea confiable para ssh en un conjunto completo de dispositivos que ya están configurados para TACACS +?

ssh tacacs Glallen
fuente
¿Eso responde tu pregunta?
Craig Constantine
1
bueno, era un 'parece' no 'absolutamente' no lo hace (es decir, falta de evidencia positiva de esta función, versus evidencia positiva de la falta de función), así que pensé que dejaría la pregunta abierta un par de días con su recompensa para ver si salieron más detalles.
glallen
No uso tacacs y no tengo ninguna versión de ACS ejecutándose, así que no puedo decir con 100% de confianza. El "aspecto" se basa en la búsqueda de características de las diversas versiones de ACS y la falta de soporte documentado en cualquier otro servidor de tacacs.
Ricky Beam
@RickyBeam Tengo una copia de ACS ejecutándose, pero, como dijiste, tampoco pude encontrar nada, así que tu respuesta es correcta.
glallen

Respuestas:

9

Parece que "No". No hay nada específico en TACACS + para transportar un intercambio de certificados, sin embargo, una carga de datos ASCII podría ser suficiente. (el RFC tiene una década) La verdadera pregunta es si ACS tiene algún método para manejarlo. Y eso también parece ser "no". La única mención que puedo encontrar para PKI o autenticación basada en certificados es para EAP-TLS, que no es lo que desea.

Actualizar

Encontré una sola referencia en los documentos IOS-XR :

Nota El método preferido de autenticación sería el indicado en el SSH RFC. El soporte de autenticación basado en RSA es solo para autenticación local, y no para servidores TACACS / RADIUS.

Ricky Beam
fuente
Es una pena. Puede administrar una infraestructura de red completa con usuario / pase, pero uno pensaría que habría una estructura PKI para hacer lo mismo. Encontré freeradius.1045715.n5.nabble.com/… que parece decir lo mismo: la autenticación de clave ssh centralizada simplemente no es posible (con RADIUS tampoco). Este proyecto openssh-lpk parece estar relacionado, pero parece que es para ssh centralizado para hosts, no para dispositivos como enrutadores / conmutadores.
glallen
Hay una respuesta oficial de la nave nodriza.
Ricky Beam