Smartcard-Authentifizierung bei einem Cisco-Switch?

Wir haben unsere Cisco-Netzwerkgeräte so konfiguriert, dass Netzwerkadministratoren mithilfe ihrer Domänenkonten über RADIUS authentifiziert werden, das auf einem Windows 2008R2-Server mit der Netzwerkschutzrolle ausgeführt wird. Dies funktioniert hervorragend, um sich bei der Konfiguration der Geräte über SSH beim Switch anzumelden.

Wir befinden uns jetzt in der Anfangsphase der Bereitstellung von Smartcards für Anmeldungen. Kennt jemand eine Möglichkeit, sich mit einer Smartcard anstelle eines Domain-Benutzernamens und -Kennworts bei einem Cisco-Switch anzumelden?

Der von uns verwendete SSH-Client ist Putty. Workstations sind Windows 7. RADIUS wird unter Windows 2008R2 ausgeführt. Wir führen unsere eigene Zertifizierungsstelle unter Windows 2008 aus. Netzwerk ist nicht mit dem Internet verbunden.

Wir möchten für diese Funktionalität keine zusätzlichen proprietären Geräte erwerben müssen.

— murisonc
quelle

Mit dem Cisco VPN-Client können Sie den VPN-Tunnel mit der Autorisierung über eine Smartcard auf Ihr Gerät übertragen und dann den Putty verwenden. Aber es ist eher eine Alternative.

— Aleksandr Makhov

Meinen Sie mit einer Smartcard eine RSA-ID, die Zahlen generiert, und keine physische Karte, die Sie in einen Steckplatz einlegen müssen?

— Aaron

Nicht das RSA-Gerät. Eine physische Smartcard, die Sie in ein Lesegerät einlegen und über PKI-Zertifikate verfügen.

— Murisonc

Ich bin mir nicht sicher, was Sie meinen, wenn Sie sagen, dass Sie keine zusätzlichen Geräte kaufen möchten. Sind diese Chipkartenleser bereits an die Computer angeschlossen? Sie möchten also die Smartcard in einen Computer einlegen und sich dann bei einem Router anmelden können, ohne weitere "manuelle" Anmeldeinformationen zu übergeben?

— Aaron

Ich bin definitiv kein Experte für Smartcards, aber ich glaube nicht, dass das, wonach Sie suchen, ohne benutzerdefinierte Codierung möglich ist. Grundsätzlich wird bei Verwendung von RADIUS (oder TACACS) die gesamte Authentifizierung vom Server durchgeführt, und es wird lediglich ein "Ja" oder "Nein" an den Router gesendet. Sie benötigen also eine App auf dem Computer, um diese Anforderung zu initiieren (da dies der einzige Ort ist, der weiß, was Smartcards sind) und dann an den Router weiterzuleiten.

— Aaron

Antworten:

Konfigurieren Sie die Cisco-Netzwerkgeräte so, dass sie auf Ihre Zertifizierungsstelle verweisen und die Authentifizierung mithilfe von PKI aktivieren.

Auf der Clientseite müssen Sie die pagent.exe von putty durch eine Version ersetzen, die Smartcard als Authentifizierungstyp akzeptiert. Diese finden Sie hier: Sichere Shell mit Smartcard- Authentifizierung

Weitere Informationen finden Sie unter: Cisco IOS Security Configuration Guide

— Daniël W. Crompton
quelle

Willkommen bei Server Fault! Im Allgemeinen möchten wir, dass Antworten auf der Website für sich alleine stehen - Links sind großartig, aber wenn dieser Link jemals unterbrochen wird, sollte die Antwort genügend Informationen enthalten, um dennoch hilfreich zu sein. Bitte bearbeiten Sie Ihre Antwort, um weitere Details zu erhalten. Weitere Informationen finden Sie in den FAQ .

— Slm

@sim Vielen Dank für den Hinweis, der leider beschreibt, wie die PKI-Infrastruktur eingerichtet und die Switches / Router konfiguriert werden. Cisco verwendet ~ 1500 Seiten. Ich bin mir nicht sicher, wie ich das in dieser Antwort zusammenfassen soll. Wenn Sie Tipps haben, wäre ich Ihnen sehr dankbar.

— Daniël W. Crompton

Wenn das Dokument einen Abschnitt enthält, können Sie einfach darauf verweisen. Alles, um Ihre Antwort zu unterstützen. Von Antworten nur auf Links wird abgeraten.

— Slm

Sie können den Cisco Secure Services Client verwenden. Es funktioniert gut, kann aber sehr schwierig einzurichten sein. Hier ist das Datenblatt von Cisco für das Produkt. Der Client arbeitet sowohl mit Cisco Secure ACS- als auch mit Microsoft IAS RADUS-Diensten.

— Fergus
quelle

Diese Anwendung scheint zur Authentifizierung des Benutzers / Geräts beim Netzwerk mit 802.1x zu dienen. Es scheint nicht die Authentifizierung des Benutzers zu unterstützen, der sich mit einer Smartcard über SSH beim Netzwerkgerät anmeldet.

— Murisonc