Předtím jsem napsal o jak můžete povolit přístup SSH k přepínači Cisco povolením nastavení v rozhraní GUI. To je skvělé, pokud chcete přistupovat k přepínači CLI přes šifrované připojení, ale stále se spoléhá pouze na uživatelské jméno a heslo.
Pokud používáte tento přepínač ve vysoce citlivé síti, která musí být velmi zabezpečení, pak byste chtěli zvážit možnost ověřování veřejných klíčů pro připojení SSH. Ve skutečnosti pro maximální bezpečnost můžete povolit uživatelské jméno / heslo a ověřování veřejným klíčem pro přístup k vašemu přepínači.
V tomto článku vám ukážeme, jak povolit ověřování veřejných klíčů na přepínači Cisco SG300 a jak generovat páry veřejných a soukromých klíčů pomocí puTTYGen. Poté vám ukážeme, jak se přihlásit pomocí nových klíčů. Kromě toho vám ukážeme, jak jej nakonfigurovat, takže můžete buď použít pouze klíč pro přihlášení, nebo přinutit uživatele k zadání uživatelského jména / hesla spolu s použitím soukromého klíče.
Poznámka: Než začnete v této příručce, ujistěte se, že jste již povolili službu SSH na přepínači, o kterém jsem se zmínil v předchozím článku uvedeném výše.
Povolit autentizaci uživatele SSH pomocí veřejného klíče
Celkově je proces získávání autentizace s veřejným klíčem pro práci s SSH přímočarým. Ve svém příkladu vám ukážeme, jak povolit funkce pomocí grafického uživatelského rozhraní na webu. Snažil jsem se používat rozhraní CLI k aktivaci autentizace s veřejným klíčem, ale nepřijímala by formát pro můj soukromý klíč RSA.
Jakmile se mi to podaří, aktualizuji tento příspěvek pomocí příkazů CLI, dosáhne toho, co pro GUI nyní uděláme. Nejprve klikněte na Zabezpečení, potom na SSH servera nakonec na SSH ověřování uživatelů.
V pravém podokně pokračujte a zaškrtněte políčko Povolit vedle SSH ověřování uživatelem veřejným klíčem. Klepnutím na tlačítko Použítuložte změny. Nezapomínejte na tlačítko Povolitvedle položky Automatické přihlášenía ještě to vysvětlím.
Nyní musíme přidat SSH uživatelské jméno. Než začneme přidávat uživatele, musíme nejprve vytvořit veřejný a soukromý klíč. V tomto příkladu budeme používat puTTYGen, což je program, který je dodáván s puTTY.
Generovat soukromé a veřejné klávesy
Chcete-li vygenerovat klíče, pokračujte a nejprve otevřete puTTYGen . Zobrazí se prázdná obrazovka a ve skutečnosti byste neměli muset měnit žádné nastavení z výchozích hodnot uvedených níže.
Klikněte na klikněte na tlačítko Vytvořita přesuňte kurzor myši kolem prázdné oblasti, dokud se panel neobsazuje.
Jakmile byly klíče vygenerovány, je třeba zadat přístupovou frázi, která je v podstatě jako heslo pro odemknutí klíče.
dobrý nápad použít dlouhou přístupovou frázi k ochraně klíčů před útoky hrubé síly. Jakmile dvakrát zadáte přístupovou frázi, měli byste klepnout na tlačítka Uložit veřejné klíčea Uložit soukromé klíče. Ujistěte se, že tyto soubory jsou uloženy na zabezpečeném místě, nejlépe v šifrovaném kontejneru nějakého druhu, který vyžaduje otevření hesla. Podívejte se na svůj příspěvek pomocí VeraCrypt vytvořit šifrovaný svazek.
Přidat uživatele & amp; Klíč
Nyní jsme se vrátili na obrazovku Ověření uživatele SSH. Zde si můžete vybrat ze dvou různých možností. Nejprve přejděte na Správa- Uživatelské účtya zjistěte, které účty máte v současné době k přihlášení.
Jak vidíte, mám pro přístup k mému přepínači jeden účet s názvem akishore. V současné době můžu tento účet používat k přístupu k grafickému rozhraní a rozhraní CLI na webu. Zpět na stránku Ověření uživatele SSH, uživatel, který potřebujete přidat do tabulky ověřování uživatelů SSH (podle veřejného klíče), může být buď stejný jako uživatel, silné>Správa - uživatelské účtynebo jiné.
Pokud zvolíte stejné uživatelské jméno, můžete zaškrtnutím tlačítka Povolitstrong>a když přihlásíte do přepínače, stačí zadat uživatelské jméno a heslo pro soukromý klíč a budete přihlášeni.
Pokud se rozhodnete zvolit jiné uživatelské jméno zde dostanete výzvu, kde musíte zadat uživatelské jméno a heslo soukromého klíče SSH a pak budete muset zadat své běžné uživatelské jméno a heslo (uvedené v části Admin - Uživatelské účty). Chcete-li další zabezpečení, použijte jiné uživatelské jméno, jinak jej pojmenujte stejně jako vaše stávající.
Klepněte na tlačítko Přidat a dostanete Přidat uživatele SSH
Ujistěte se, že Typ klíčeje nastaven na RSA a poté pokračujte a otevřete veřejnou Soubor klíče SSH, který jste dříve uložili pomocí programu jako je Poznámkový blok. Zkopírujte celý obsah a vložte jej do okna veřejný klíč. Klikněte na Použíta klikněte na Zavřít, pokud se nahoře zobrazí zpráva Úspěch.
h2>
Nyní musíme přihlásit pomocí našeho soukromého klíče a hesla. V tomto okamžiku se při pokusu o přihlášení musíte zadat přihlašovací údaje dvakrát: jednou pro soukromý klíč a jednou pro běžný uživatelský účet. Jakmile povolíme automatické přihlášení, stačí zadat uživatelské jméno a heslo pro soukromý klíč.
Otevřete soubor puTTY a zadejte adresu IP vašeho přepínače ve složce Jméno hostitelejako obvykle. Tentokrát však budeme muset načíst i soukromý klíč do souboru puTTY. Chcete-li to provést, rozbalte položku Připojenía rozbalte položku SSHa poté klikněte na Auth.
s>Klikněte na tlačítko Procházetv části Soubor soukromého klíče pro ověřenía vyberte soubor soukromého klíče, který jste dříve uložili mimo jazyk puTTY. Nyní klikněte na tlačítko Otevřítpro připojení.
První výzva bude přihlásit jakoa to by mělo být uživatelské jméno, které jste přidali uživatelům SSH. Používáte-li stejné uživatelské jméno jako hlavní uživatelský účet, nezáleží na tom.
V mém případě jsem použil akishore pro oba uživatelské účty, ale použil jsem různé hesla pro soukromý klíč a pro můj hlavní uživatelský účet. Pokud se vám líbí, můžete udělat hesla stejně, ale nemá smysl to opravdu dělat, zvláště pokud povolíte automatické přihlášení.
Nyní, pokud nechcete, abyste se museli zdvojnásobit přihlašováním, do přepínače zaškrtněte políčko Povolitvedle Automatické přihlášenína stránce Ověření uživatelů SSH.
10Pokud je tato funkce povolena, stačí zadat pověření uživatele SSH a budete přihlášeni.
Je to trochu komplikované, ale má smysl, jakmile si s ním zahrajete. Jak jsem již zmínil, budu také psát příkazy CLI, jakmile obdržím soukromý klíč ve správném formátu. Podle pokynů zde by přístup k vašemu přepínači přes SSH měl být mnohem bezpečnější. Pokud narazíte na problémy nebo máte otázky, zadejte do komentářů. Užijte si!