Cisco 스위치에 대한 스마트 카드 인증?

Cisco 네트워크 장치는 네트워크 보호 역할을 가진 Windows 2008R2 서버에서 실행되는 RADIUS를 통해 도메인 계정을 사용하여 네트워크 관리자를 인증하도록 구성되어 있습니다. 이것은 장치를 구성 할 때 SSH를 통해 스위치에 로그인하는 데 효과적입니다.

이제 로그인을 위해 스마트 카드를 배포하는 초기 단계에 있습니다. 누구나 도메인 사용자 이름과 비밀번호 대신 스마트 카드를 사용하여 Cisco 스위치에 로그인하는 방법을 알고 있습니까?

우리가 사용하는 SSH 클라이언트는 Putty입니다. 워크 스테이션은 Windows 7입니다. RADIUS는 Windows 2008R2에서 실행됩니다. 우리는 Windows 2008에서 자체 인증 기관을 운영하고 있습니다. 네트워크가 인터넷에 연결되어 있지 않습니다.

이 기능을 위해 추가 전용 장치를 구입할 필요가 없습니다.

— Murisonc
소스

Cisco VPN Client를 사용하면 스마트 카드를 통해 장치에 대한 인증을 통해 VPN 터널을 올린 다음 Putty를 사용할 수 있습니다. 그러나 오히려 대안입니다.

— Aleksandr Makhov

스마트 카드를 사용한다는 것은 슬롯에 삽입해야하는 실제 카드가 아니라 숫자를 생성하는 RSA ID와 같은 의미입니까?

— Aaron

RSA 장치가 아닙니다. 리더에 삽입하고 PKI 인증서가있는 실제 스마트 카드.

— murisonc

추가 기기를 구매하고 싶지 않다고 말했을 때 무슨 의미인지 잘 모르겠습니다. 이 스마트 카드 리더기가 이미 컴퓨터에 연결되어 있습니까? 따라서 스마트 카드를 컴퓨터에 넣고 "수동"자격 증명을 더 이상 전달하지 않고 라우터에 로그인 할 수 있습니까?

— Aaron

나는 분명히 스마트 카드 전문가는 아니지만 사용자 정의 코딩없이 원하는 것을 할 수 있다고 생각하지 않습니다. 기본적으로 RADIUS (또는 TACACS)를 사용하면 모든 인증이 서버에서 수행되며 라우터에 '예'또는 '아니오'만 보냅니다. 따라서 스마트 카드가 무엇인지 아는 유일한 장소이므로 요청을 시작한 다음 라우터로 전달하기 위해 컴퓨터에 앱이 필요합니다.

— Aaron

답변:

인증 기관을 가리키고 PKI를 사용하여 인증을 사용하도록 Cisco 네트워크 장치를 구성하십시오.

당신이 인증 유형으로 스마트 카드에 수락하는 버전으로 퍼티의 pagent.exe를 교체 할 필요가 클라이언트 측에서 여기에서 찾을 : 스마트 카드 인증을 사용하여 보안 셸

자세한 내용은 Cisco IOS 보안 구성 안내서를 참조하십시오.

— Daniël W. Crompton
소스

서버 결함에 오신 것을 환영합니다! 일반적으로 우리는 사이트에서 스스로 답변을 얻을 수있는 답변을 좋아합니다. 자세한 내용을 포함하려면 답변을 수정하십시오. 자세한 내용은 FAQ 를 참조하십시오.

— slm

@sim PKI 인프라를 설정하고 Cisco에서 사용하는 스위치 / 라우터를 구성하는 방법에 대해 슬프게도 감사합니다. ~ 1500 페이지. 나는이 답변에 그것을 응축시키는 방법에 대해 확신하지 못합니다. 팁이 있다면 매우 감사하겠습니다.

— Daniël W. Crompton

문서에 섹션이 있으면 참조 할 수 있습니다. 답을 강화할 수있는 모든 것. 링크 만 답변하지 않는 것이 좋습니다.

— slm

Cisco Secure Services Client를 사용할 수 있습니다. 잘 작동하지만 설정하기가 매우 어려울 수 있습니다. 다음은 제품에 대한 cisco의 데이터 시트입니다. 클라이언트는 Cisco Secure ACS 및 Microsoft IAS RADUS 서비스와 함께 작동합니다.

— 퍼거스
소스

이 응용 프로그램은 802.1x를 사용하여 사용자 / 장치를 네트워크에 인증하기위한 것으로 보입니다. SSH를 통한 스마트 카드를 사용하여 네트워크 장치에 로그인하는 사용자 인증을 지원하지 않는 것 같습니다.

— murisonc