Беспарольное управление Kerberos для устройств Cisco

У кого-нибудь есть опыт использования Kerberos в качестве механизма аутентификации для управления сетью на базе Cisco IOS? Эта статья, кажется, указывает на то, что это возможно, но мои знания Kerberos ограничены знаниями пользователя в системах UNIX/Linux с централизованным управлением. Прежде чем я потратил часы, пытаясь разобраться в этом, я подумал, что попрошу совета здесь

В частности, с учетом работающей инфраструктуры аутентификации Kerberos, можно ли настроить устройства Cisco для приема переадресованных учетных данных Kerberos с компьютера *NIX или Windows, на котором я уже прошел аутентификацию и имею действительный билет Kerberos? Было бы неплохо не вводить пароль каждый раз, когда я захожу на устройство.

Если это возможно, некоторые дополнительные расширения:

  1. Можно ли использовать Kerberos для аутентификации, но продолжать использовать группы TACACS+ для авторизации?

  2. При каких условиях устройство, настроенное на использование аутентификации Kerberos, будет использовать локально определенные пароли?

  3. Какие последствия имеет использование Kerberos для выполнения RMA / замены оборудования? (например, если использовать SSH только в качестве средства управления, если устройство заменено, ключи SSH должны быть восстановлены вручную, а старые записи known_hosts на станциях управления должны быть удалены, и т. д.)

  4. При использовании аутентификации Kerberos, пользователю все еще будет предложено ввести пароль при переходе из режима EXEC в привилегированный режим EXEC (включение)?

Источник

1 ответ

Решение

Давным-давно, да, я работал с некоторыми терминальными серверами Cisco, которые я настроил. Тем не менее, я больше не использую его по очень простым причинам, и не в последнюю очередь из-за того, что, когда сеть ушла в ад, чем меньше движущихся частей мне нужно, чтобы войти в маршрутизатор, тем лучше.

Быстрые ответы по памяти:

  1. Да.
  2. Я считаю, что был либо явный порядок, либо неявный. Где-то. Кажется, я помню локальные пароли, работающие предпочтительнее, чем удаленные.
  3. Kerberos требует, чтобы вы поместили данные на устройство IOS (SRVTAB машины), которое вы захотите изменить при замене устройства, и удалите старый ключ из базы данных Kerberos. Однако это изменение, которое пользователи (через telnet) не увидят.
  4. Если память служила, пароль включения не был способен Kerberos.

Еще раз, это все из памяти, по крайней мере, несколько лет.

Источник
Другие вопросы по тегам