¿Autenticación de tarjeta inteligente a un conmutador Cisco?

9

Tenemos nuestros dispositivos de red Cisco configurados para autenticar a los administradores de red utilizando sus cuentas de dominio a través de RADIUS que se ejecutan en un servidor Windows 2008R2 con la función de protección de red. Esto funciona muy bien para iniciar sesión en el conmutador a través de SSH al configurar los dispositivos.

Ahora estamos en las primeras etapas de implementación de tarjetas inteligentes para inicios de sesión. ¿Alguien sabe de una manera de iniciar sesión en un conmutador Cisco utilizando una tarjeta inteligente en lugar de un nombre de usuario y contraseña de dominio?

El cliente SSH que estamos usando es Putty. Las estaciones de trabajo son Windows 7. RADIUS se ejecuta en Windows 2008R2. Estamos ejecutando nuestra propia autoridad de certificación en Windows 2008; La red no está conectada a Internet.

Preferimos no tener que comprar dispositivos propietarios adicionales para esta funcionalidad.

murisonc
fuente
1
Con Cisco VPN Client, puede elevar el túnel VPN con la autorización a través de una tarjeta inteligente a su dispositivo y luego usar Putty. Pero es más bien una alternativa.
Aleksandr Makhov
Al usar una tarjeta inteligente, ¿te refieres a una identificación RSA que genera números y no a una tarjeta física que tienes que insertar en una ranura?
Aaron
No es el dispositivo RSA. Una tarjeta inteligente física que inserta en un lector y tiene certificados PKI.
murisonc
No estoy seguro de lo que quieres decir cuando dices que no quieres comprar dispositivos adicionales. ¿Estos lectores de tarjetas inteligentes ya están conectados a las computadoras? Entonces, ¿desea colocar la tarjeta inteligente en una computadora y luego poder iniciar sesión en un enrutador sin pasar más credenciales "manuales"?
Aaron
1
Definitivamente no soy un experto en tarjetas inteligentes, pero no creo que lo que estás buscando se pueda hacer sin una codificación personalizada. Básicamente, usando RADIUS (o TACACS) toda la autenticación es realizada por el servidor, y solo envía un 'sí' o 'no' al enrutador. Por lo tanto, necesitaría una aplicación en la computadora para iniciar esa solicitud (ya que ese es el único lugar que sabe qué son las tarjetas inteligentes) y luego pasar al enrutador.
Aaron

Respuestas:

1

Configure los dispositivos de red de Cisco para que apunten a su Autoridad de certificación y habilite la autenticación mediante PKI.

En el lado del cliente, debe reemplazar putnt's pagent.exe con una versión que acepte tarjetas inteligentes como tipo de autenticación, que se encuentra aquí: Secure Shell con autenticación de tarjeta inteligente

Para obtener más información, consulte: Guía de configuración de seguridad de Cisco IOS

Daniël W. Crompton
fuente
¡Bienvenido a Server Fault! En general, nos gustan las respuestas en el sitio para poder sostenerse por sí mismas. Los enlaces son geniales, pero si ese enlace alguna vez se rompe, la respuesta debería tener suficiente información para seguir siendo útil. Considere editar su respuesta para incluir más detalles. Consulte las preguntas frecuentes para obtener más información.
slm
@sim Gracias por la nota, lamentablemente describir cómo configurar la infraestructura PKI y configurar los conmutadores / enrutadores que Cisco utiliza ~ 1500 páginas. No estoy seguro de cómo condensar eso en esta respuesta, si tiene algún consejo, estaría muy agradecido.
Daniël W. Crompton
Si hay una sección en el documento, puede consultarlos. Cualquier cosa para reforzar su respuesta. Enlace solo se desaconsejan las respuestas.
slm
0

Puede usar Cisco Secure Services Client. Funciona bien pero puede ser muy difícil de configurar. Aquí está la hoja de datos de Cisco para el producto. El cliente trabaja con los servicios Cisco Secure ACS y Microsoft IAS RADUS.

Fergus
fuente
1
Esta aplicación parece ser para autenticación del usuario / dispositivo a la red utilizando 802.1x. No parece admitir la autenticación del usuario que inicia sesión en el dispositivo de red utilizando una tarjeta inteligente a través de SSH.
murisonc