我可以使用以下命令将路由器设置为通过ssh公钥进行身份验证:

ip ssh pubkey-chain
 username admin
  key-string
   <ssh-pub-key>
  exit
 exit


是否可以与Cisco ACS进行类似的操作,以使公钥成为在已经为TACACS +配置的整套设备上受SSH信任吗?

评论

可以回答您的问题吗?

好吧,这是一个“看起来”,而不是“绝对”不,(即缺少该功能的肯定证据,而缺少功能的肯定证据),所以我想我可以将问题悬而未决您的悬赏,看看是否还有更多细节。

我不使用tacacs,也没有运行任何版本的ACS,所以我不能百分百地说。 “外观”是基于各种版本ACS的研究功能,以及其他任何tacacs服务器中缺乏文档支持的信息。

@RickyBeam我正在运行ACS的副本-但是,正如您所说,我也找不到任何内容-因此您的答案是正确的。

#1 楼

看起来像“不”。 TACACS +中没有特定的内容来传输证书交换,但是ASCII数据有效载荷就足够了。 (RFC已有十年历史了)真正的问题是ACS是否有任何方法可以处理它?而且这似乎也是“否”。我只能找到针对PKI或基于证书的身份验证的提及是针对EAP-TLS的,这不是您想要的。

更新

我在IOS- XR文档:


注意首选的身份验证方法如SSH RFC中所述。基于RSA的身份验证支持仅用于本地身份验证,不适用于TACACS / RADIUS服务器。


评论


真可惜您可以使用用户/通道来管理整个网络基础结构,但有人会认为会有一个PKI结构可以做到这一点。我找到了freeradius.1045715.n5.nabble.com/…这似乎是一样的:集中式SSH密钥身份验证是不可能的(也可以使用RADIUS)。这个项目opensh-lpk似乎是相关的,但是看起来它是用于主机而不是路由器/交换机等设备的集中式ssh。

– glllen
14年6月13日在12:14

母舰有一个官方的答案。

–瑞奇
2014年6月19日下午6:37