Cisco 設備的無密碼 Kerberos 管理

有沒有人有使用 Kerberos 作為身份驗證機制來管理基於 Cisco IOS 的網路的經驗？這篇文章似乎表明這是可能的，但我的 Kerberos 知識僅限於集中管理的 UNIX/Linux 系統上的使用者。在我花費數小時嘗試進行實驗之前，我想我會在這裡尋求建議。

具體來說，如果 Kerberos 身份驗證基礎設施正常執行，是否可以將 Cisco 設備配置為接受來自 *NIX 或 Windows 機器的轉發 Kerberos 憑據，在這些機器上我已經進行了身份驗證並擁有有效的 Kerberos 票證？不必在每次登錄設備時都輸入密碼真是太好了。

如果這是可能的，一些進一步的擴展：

1. 是否可以使用 Kerberos 進行身份驗證，但繼續使用 TACACS+ 組進行授權？
2. 在什麼情況下，配置為使用 Kerberos 身份驗證的設備會回退到本地定義的密碼？
3. 使用 Kerberos 對執行 RMA/硬體更換有什麼影響？（例如，如果僅將 SSH 用作管理手段，如果更換了設備，則必須手動重新生成 SSH 密鑰，並且必須刪除管理站上舊的 known_hosts 條目等）
4. 使用 Kerberos 身份驗證時，從 EXEC 模式提升到特權 EXEC（啟用）模式時，是否仍會提示使用者輸入密碼？

很久以前，是的，我確實讓它與我設置的一些思科終端伺服器一起工作。但是，我不再使用它的原因很簡單，其中最重要的一點是，當網路陷入困境時，登錄路由器所需的移動元件越少越好。

記憶中的快速答案：

1. 是的。
2. 我相信有一個明確的排序或隱含的排序。某處。我似乎記得本地密碼優先於遠端密碼。
3. Kerberos 要求您將數據放在 IOS 齒輪（機器的 SRVTAB）上，如果齒輪被換出，您將要更改這些數據，並從您的 Kerberos 數據庫中刪除舊密鑰。但是，這是使用者（通過 telnet）不會看到更改的更改。
4. 如果有記憶，則啟用密碼不支持 Kerberos。

再一次，這一切都來自記憶，至少有好幾年了。

引用自：https://serverfault.com/questions/91241