Autenticação de cartão inteligente para um switch Cisco?

Temos nossos dispositivos de rede Cisco configurados para autenticar administradores de rede usando suas contas de domínio via RADIUS em execução em um servidor Windows 2008R2 com a função de proteção de rede. Isso funciona muito bem para fazer login no comutador via SSH ao configurar os dispositivos.

Agora estamos nos estágios iniciais da implantação de cartões inteligentes para logins. Alguém sabe como acessar um switch Cisco usando um cartão inteligente em vez de um nome de usuário e senha de domínio?

O cliente SSH que estamos usando é Putty. As estações de trabalho são o Windows 7. O RADIUS está sendo executado no Windows 2008R2. Estamos executando nossa própria autoridade de certificação no Windows 2008; a rede não está conectada à Internet.

Preferimos não precisar comprar dispositivos proprietários adicionais para essa funcionalidade.

— murisonc
fonte

Usando o Cisco VPN Client, você pode aumentar o túnel da VPN com a autorização através de um cartão inteligente para o seu dispositivo e, em seguida, usar o Putty. Mas é uma alternativa.

— Aleksandr Makhov

Ao usar um cartão inteligente, você quer dizer um ID RSA que gera números, e não um cartão físico que você precisa inserir em um slot?

— Aaron

Não é o dispositivo RSA. Um cartão inteligente físico que você insere em um leitor e possui certificados PKI.

— murisonc

Não sei ao certo o que você quer dizer quando diz que não deseja comprar dispositivos adicionais. Esses leitores de cartão inteligente já estão conectados aos computadores? Então, você deseja colocar o cartão inteligente em um computador e conseguir fazer login em um roteador sem passar mais credenciais "manuais"?

— Aaron

Definitivamente, não sou especialista em cartões inteligentes, mas acho que o que você está procurando pode ser feito sem codificação personalizada. Basicamente, usando o RADIUS (ou TACACS), toda a autenticação é feita pelo servidor e apenas envia um 'sim' ou 'não' ao roteador. Portanto, você precisa de um aplicativo no computador para iniciar essa solicitação (já que é o único lugar que sabe o que são cartões inteligentes) e depois passar para o roteador.

— Aaron

Respostas:

Configure os dispositivos de rede da Cisco para apontar para sua Autoridade de certificação e habilitar a autenticação usando PKI.

No lado do cliente, é necessário substituir o pagent.exe do putty por uma versão que aceite cartão inteligente como tipo de autenticação, encontrada aqui: Shell Seguro com Autenticação por Cartão Inteligente

Para obter mais informações, consulte: Guia de configuração de segurança do Cisco IOS

— Daniël W. Crompton
fonte

Bem-vindo à falha do servidor! Geralmente, gostamos de respostas no site para poder se manter por conta própria - os links são ótimos, mas se esse link quebrar, a resposta deve ter informações suficientes para continuar sendo útil. Considere editar sua resposta para incluir mais detalhes. Veja o FAQ para mais informações.

— Slm

@sim Obrigado pela observação, infelizmente para descrever como configurar a infraestrutura da PKI e configurar os switches / roteadores que a Cisco usa ~ 1500 páginas. Não tenho certeza de como condensar isso nesta resposta, se você tiver alguma dica, ficaria muito grato.

— 27613 Daniela W. Crompton

Se houver uma seção no documento, você pode apenas se referir a eles. Qualquer coisa para reforçar sua resposta. As respostas apenas para links não são recomendadas.

— Slm

Você pode usar o Cisco Secure Services Client. Funciona bem, mas pode ser muito difícil de configurar. Aqui está a folha de dados da cisco para o produto. O cliente trabalha com os serviços Cisco Secure ACS e Microsoft IAS RADUS.

— Fergus
fonte

Este aplicativo parece ser para autenticação do usuário / dispositivo na rede usando 802.1x. Parece não oferecer suporte à autenticação do logon do usuário no dispositivo de rede usando um cartão inteligente por SSH.

— 25711 murisonc