Gerenciamento Kerberos sem senha de dispositivos Cisco

2

Alguém tem alguma experiência em usar o Kerberos como um mecanismo de autenticação para gerenciar uma rede baseada no Cisco IOS? Este artigo parece indicar que é possível, mas meu O conhecimento do Kerberos é limitado ao de um usuário em sistemas UNIX / Linux gerenciados centralmente. Antes de passar horas tentando fazer isso, pensei em pedir conselhos aqui.

Especificamente, dada uma infra-estrutura de autenticação Kerberos em funcionamento, é possível configurar dispositivos Cisco para aceitar credenciais Kerberos encaminhadas de uma máquina * NIX ou Windows onde eu já tenha autenticado e tenha um tíquete Kerberos válido? Seria muito bom não ter que digitar minha senha toda vez que eu fizer login em um dispositivo.

Se isso for possível, algumas outras extensões:

  1. É possível usar o Kerberos para autenticação, mas continuar a usar grupos TACACS + para autorização?

  2. Em que condições um dispositivo configurado para usar a autenticação Kerberos recorre a senhas definidas localmente?

  3. Quais são as implicações do uso do Kerberos na execução de RMAs / substituições de hardware? (por exemplo, se estiver usando o SSH apenas como um meio de gerenciamento, se um dispositivo for substituído, as chaves SSH deverão ser regeneradas manualmente e as entradas antigas do known_hosts nas estações de gerenciamento deverão ser removidas, etc.)

  4. Ao usar a autenticação Kerberos, um usuário ainda será solicitado a fornecer uma senha ao elevar do modo EXEC para o modo EXEC (ativar) privilegiado?

por Murali Suriar 05.12.2009 / 01:13

1 resposta

3

Há muito tempo atrás, sim, consegui que funcionasse com alguns servidores de terminal da Cisco que configurei. No entanto, eu não uso mais por razões muito simples, não menos do que é, quando a rede foi para o inferno, o menor número de partes móveis que eu preciso ter, a fim de entrar em um roteador, melhor. >

As respostas rápidas da memória:

  1. Sim.
  2. Eu acredito que houve um pedido explícito ou implícito. Algum lugar. Parece que lembro de senhas locais que trabalham de preferência para as remotas.
  3. O Kerberos exige que você insira dados no equipamento IOS (o SRVTAB do equipamento) que você deseja alterar se o equipamento for desativado e remova a chave antiga do banco de dados Kerberos. No entanto, esta é uma mudança que os usuários (via telnet) não verão uma mudança.
  4. Se a memória fosse atendida, a senha de ativação não era compatível com Kerberos.

Mais uma vez, tudo isso é de memória, com vários anos de idade, pelo menos.

    
por 06.12.2009 / 04:36