web-dev-qa-db-ja.com

CiscoデバイスのパスワードなしのKerberos管理

Cisco IOSベースのネットワークを管理するための認証メカニズムとしてKerberosを使用した経験はありますか?これ 記事 は可能であることを示しているようですが、私のKerberosの知識は限られています集中管理されたUNIX/Linuxシステムのユーザーのそれに対して。これをラボするために何時間も費やす前に、ここでアドバイスを求めると思いました。

具体的には、Kerberos認証インフラストラクチャが機能している場合、認証済みで有効なKerberosチケットを持っている* NIXまたはWindowsマシンから転送されたKerberos資格情報を受け入れるようにシスコデバイスを構成することは可能ですか?デバイスにログインするたびにパスワードを入力する必要がないのは本当に素晴らしいことです。

これが可能な場合は、さらにいくつかの拡張機能があります。

  1. 認証にKerberosを使用することはできますが、認証に引き続きTACACS +グループを使用できますか?

  2. Kerberos認証を使用するように構成されたデバイスは、どのような条件下でローカルに定義されたパスワードにフォールバックしますか?

  3. Kerberosの使用は、RMA /ハードウェアの交換を実行する上でどのような影響がありますか? (たとえば、管理の手段としてのみSSHを使用する場合、デバイスを交換する場合は、SSHキーを手動で再生成し、管理ステーションの古いknown_hostsエントリを削除する必要があります)

  4. Kerberos認証を使用している場合でも、EXECモードから特権EXEC(イネーブル)モードに昇格するときに、ユーザーはパスワードの入力を求められますか?

ciscoauthenticationkerberostacacs+
2
Murali Suriar

ずっと前に、はい、私はそれを私がセットアップしたいくつかのシスコターミナルサーバーで動作させることができました。しかし、私は非常に単純な理由でそれを使用しなくなりました。特に、ネットワークが地獄に落ちたとき、ルーターにログインするために必要な可動部品が少ないほど良いということです。

記憶からの簡単な答え:

  1. はい。
  2. 明示的な順序または暗黙的な順序のいずれかがあったと思います。どこか。リモートパスワードよりもローカルパスワードが優先して機能していることを覚えているようです。
  3. Kerberosでは、ギアが交換された場合に変更するIOSギア(マシンのSRVTAB)にデータを配置し、Kerberosデータベースから古いキーを削除する必要があります。ただし、これはユーザー(telnet経由)には変更が表示されない変更です。
  4. メモリが提供された場合、イネーブルパスワードはKerberosに対応していませんでした。

繰り返しますが、これはすべて記憶からのものであり、少なくとも数年前のものです。

3
Michael Graff