Cisco
Cisco 設備的無密碼 Kerberos 管理
有沒有人有使用 Kerberos 作為身份驗證機制來管理基於 Cisco IOS 的網路的經驗?這篇文章似乎表明這是可能的,但我的 Kerberos 知識僅限於集中管理的 UNIX/Linux 系統上的使用者。在我花費數小時嘗試進行實驗之前,我想我會在這裡尋求建議。
具體來說,如果 Kerberos 身份驗證基礎設施正常執行,是否可以將 Cisco 設備配置為接受來自 *NIX 或 Windows 機器的轉發 Kerberos 憑據,在這些機器上我已經進行了身份驗證並擁有有效的 Kerberos 票證?不必在每次登錄設備時都輸入密碼真是太好了。
如果這是可能的,一些進一步的擴展:
- 是否可以使用 Kerberos 進行身份驗證,但繼續使用 TACACS+ 組進行授權?
- 在什麼情況下,配置為使用 Kerberos 身份驗證的設備會回退到本地定義的密碼?
- 使用 Kerberos 對執行 RMA/硬體更換有什麼影響?(例如,如果僅將 SSH 用作管理手段,如果更換了設備,則必須手動重新生成 SSH 密鑰,並且必須刪除管理站上舊的 known_hosts 條目等)
- 使用 Kerberos 身份驗證時,從 EXEC 模式提升到特權 EXEC(啟用)模式時,是否仍會提示使用者輸入密碼?
很久以前,是的,我確實讓它與我設置的一些思科終端伺服器一起工作。但是,我不再使用它的原因很簡單,其中最重要的一點是,當網路陷入困境時,登錄路由器所需的移動元件越少越好。
記憶中的快速答案:
- 是的。
- 我相信有一個明確的排序或隱含的排序。某處。我似乎記得本地密碼優先於遠端密碼。
- Kerberos 要求您將數據放在 IOS 齒輪(機器的 SRVTAB)上,如果齒輪被換出,您將要更改這些數據,並從您的 Kerberos 數據庫中刪除舊密鑰。但是,這是使用者(通過 telnet)不會看到更改的更改。
- 如果有記憶,則啟用密碼不支持 Kerberos。
再一次,這一切都來自記憶,至少有好幾年了。