Рецоммендед, 2024

Избор Уредника

Омогућите проверу аутентичности јавног кључа за ССХ на Цисцо СГ300 преклопницима

Раније сам писао о томе како можете омогућити ССХ приступ вашем Цисцо прекидачу тако што ћете омогућити подешавање у ГУИ интерфејсу. Ово је одлично ако желите да приступите ЦЛИ преклопнику преко шифроване везе, али се и даље ослања само на корисничко име и лозинку.

Ако користите овај прекидач у веома осетљивој мрежи која треба да буде веома безбедна, можда ћете желети да размислите о омогућавању аутентификације јавног кључа за вашу ССХ везу. Заправо, за максималну сигурност можете омогућити корисничко име / лозинку и аутентификацију јавног кључа за приступ вашем прекидачу.

У овом чланку, показат ћу вам како омогућити провјеру аутентичности јавног кључа на СГ300 Цисцо прекидачу и како генерирати парове јавних и приватних кључева помоћу пуТТИГен. Онда ћу вам показати како да се пријавите користећи нове кључеве. Поред тога, показаћу вам како да га конфигуришете тако да можете да користите само кључ да бисте се пријавили или приморали корисника да унесе корисничко име / лозинку заједно са приватним кључем.

Напомена : Пре него што почнете са овим упутством, уверите се да сте већ омогућили ССХ услугу на прекидачу, коју сам поменуо у претходном чланку повезаном горе.

Омогућите ССХ проверу аутентичности корисника помоћу јавног кључа

Све у свему, процес за добијање аутентификације јавног кључа за ССХ је једноставан. У мом примјеру, показат ћу вам како омогућити значајке помоћу ГУИ-а на вебу. Покушао сам да користим ЦЛИ интерфејс да бих омогућио аутентификацију јавног кључа, али не би прихватио формат мог приватног РСА кључа.

Када то урадим, ажурираћу овај пост са ЦЛИ командама које ће за сада постићи оно што ћемо урадити кроз ГУИ. Прво кликните на Сецурити, затим ССХ Сервер и на крају ССХ Усер Аутхентицатион .

У десном окну означите поље Омогући поред ССХ аутентификације корисника помоћу јавног кључа . Кликните на дугме Примени да бисте сачували промене. Не означавајте дугме „ Омогући“ поред „ Аутоматска пријава“, јер ћу то даље објаснити.

Сада морамо додати ССХ корисничко име. Пре него што додамо корисника, прво морамо да генеришемо јавни и приватни кључ. У овом примеру, користићемо пуТТИГен, програм који долази са пуТТИ.

Генеришите приватне и јавне кључеве

Да бисте генерисали кључеве, прво отворите пуТТИГен. Видећете празан екран и заиста не би требало да мењате ниједну поставку из ниже приказаних подразумеваних вредности.

Кликните на дугме Генерирај, а затим померите миша око празног подручја док трака напретка не пређе до краја.

Када су кључеви генерисани, потребно је да унесете лозинку, која је у основи као лозинка за откључавање кључа.

Добра је идеја користити дугачку лозинку за заштиту кључа од бруталних напада. Када двапут упишете лозинку, кликните на дугме Сачувај јавни кључ и Сачувај приватни кључ . Уверите се да су ове датотеке сачуване на безбедној локацији, по могућности у неком шифрованом контејнеру који захтева да се отвори лозинка. Погледајте мој пост о коришћењу ВераЦрипт да бисте креирали шифровану запремину.

Додај корисника и кључ

Сада се вратимо на екран ССХ за аутентификацију корисника на којем смо били раније. Овде можете изабрати између две различите опције. Прво идите на Администрација - Кориснички налози да бисте видели које рачуне тренутно имате за пријављивање.

Као што видите, имам један рачун који се зове акисхоре за приступ мом прекидачу. Тренутно могу да користим овај налог за приступ веб-базираном ГУИ-ју и ЦЛИ-ју. Повратак на ССХ страницу за проверу аутентичности корисника, корисник који треба да дода у ССХ табелу за проверу аутентичности корисника (помоћу јавног кључа) може бити исти као и онај који имате под Администрација - кориснички налози или различити.

Ако изаберете исто корисничко име, онда можете да потврдите дугме „ Омогући“ у оквиру „ Аутоматска пријава“ и када се пријавите на прекидач, једноставно ћете морати да унесете корисничко име и лозинку за приватни кључ и да ћете бити пријављени .

Ако одлучите да изаберете друго корисничко име овде, добићете промпт где морате да унесете корисничко име и лозинку ССХ приватног кључа, а затим ћете морати да унесете ваше уобичајено корисничко име и лозинку (на листи Админ - Усер Аццоунтс) . Ако желите додатну сигурност, употријебите друго корисничко име, иначе га само назовите истим као и ваше тренутно.

Кликните на дугме Адд (Додај) и приказаће се прозор Адд ССХ Усер (Додај ССХ корисника) .

Уверите се да је тип кључа постављен на РСА, а затим идите напријед и отворите јавну ССХ кључну датотеку коју сте раније сачували помоћу програма као што је Нотепад. Копирајте цијели садржај и залијепите га у прозор јавног кључа . Кликните на Аппли (Примени), а затим на Цлосе (Затвори) ако добијете поруку о успеху на врху.

Пријава помоћу приватног кључа

Сада све што треба да урадимо је да се пријавимо користећи наш приватни кључ и лозинку. У овом тренутку, када покушате да се пријавите, морат ћете двапут унијети вјеродајнице за пријаву: једном за приватни кључ и једном за нормалан кориснички рачун. Када омогућимо аутоматску пријаву, мораћете да унесете корисничко име и лозинку за приватни кључ и да ћете бити у.

Отворите пуТТИ и унесите ИП адресу вашег прекидача у поље Хост Наме као и обично. Међутим, овај пут ћемо морати да учитамо и приватни кључ у пуТТИ. Да бисте то урадили, проширите везу, а затим проширите ССХ, а затим кликните на дугме Аутх .

Кликните на дугме Бровсе (претражи) испод датотеке Привате кеи (приватни кључ) за потврду идентитета и одаберите датотеку приватног кључа коју сте раније сачували. Сада кликните на дугме Отвори да бисте се повезали.

Први промпт ће бити пријављен као и то би требало да буде корисничко име које сте додали под ССХ корисницима. Ако сте користили исто корисничко име као ваш главни кориснички налог, онда то неће бити важно.

У мом случају, користио сам акишоре за оба корисничка налога, али сам користио различите лозинке за приватни кључ и за мој главни кориснички рачун. Ако хоћете, можете направити и исте лозинке, али нема смисла да то радите, поготово ако омогућите аутоматску пријаву.

Сада, ако не желите да дуплирате пријаву да бисте ушли у прекидач, означите поље Омогући поред Аутоматска пријава на страници ССХ аутентификације корисника .

Када је ово омогућено, сада ћете само морати да откуцате акредитиве за ССХ корисника и да ћете бити пријављени.

Мало је компликовано, али има смисла када се поиграте. Као што сам раније поменуо, такође ћу написати ЦЛИ команде када добијем приватни кључ у одговарајућем формату. Пратећи упутства овде, приступ вашем прекидачу преко ССХ би сада требало да буде много безбеднији. Ако наиђете на проблеме или имате питања, поставите их у коментарима. Уживати!

Top