Authentification par carte à puce sur un commutateur Cisco?

Nos périphériques réseau Cisco sont configurés pour authentifier les administrateurs réseau à l'aide de leurs comptes de domaine via RADIUS s'exécutant sur un serveur Windows 2008R2 avec le rôle de protection réseau. Cela fonctionne très bien pour se connecter au commutateur via SSH lors de la configuration des appareils.

Nous en sommes maintenant aux premières étapes du déploiement des cartes à puce pour les connexions. Quelqu'un connaît-il un moyen de se connecter à un commutateur Cisco à l'aide d'une carte à puce au lieu d'un nom d'utilisateur et d'un mot de passe de domaine?

Le client SSH que nous utilisons est Putty. Les stations de travail sont Windows 7. RADIUS fonctionne sur Windows 2008R2. Nous exécutons notre propre autorité de certification sur Windows 2008; le réseau n'est pas connecté à Internet.

Nous préférons ne pas avoir à acheter des appareils propriétaires supplémentaires pour cette fonctionnalité.

— murisonc
source

En utilisant Cisco VPN Client, vous pouvez augmenter le tunnel VPN avec l'autorisation via une carte à puce sur votre appareil, puis utiliser le mastic. Mais c'est plutôt une alternative.

— Aleksandr Makhov

En utilisant une carte à puce, voulez-vous dire comme un ID RSA qui génère des numéros, et non une carte physique que vous devez insérer dans un emplacement?

— Aaron

Pas le périphérique RSA. Une carte à puce physique que vous insérez dans un lecteur et qui possède des certificats PKI.

— murisonc

Je ne sais pas ce que vous voulez dire lorsque vous dites que vous ne voulez pas acheter d'autres appareils. Ces lecteurs de cartes à puce sont-ils déjà connectés aux ordinateurs? Donc, vous voulez mettre la carte à puce dans un ordinateur et ensuite pouvoir vous connecter à un routeur sans passer plus d'informations d'identification "manuelles"?

— Aaron

Je ne suis certainement pas un expert des cartes à puce, mais je ne pense pas que ce que vous recherchez puisse se faire sans codage personnalisé. Fondamentalement, en utilisant RADIUS (ou TACACS), toute l'authentification est effectuée par le serveur, et il envoie simplement un «oui» ou «non» au routeur. Vous auriez donc besoin d'une application sur l'ordinateur pour lancer cette demande (car c'est le seul endroit qui sait ce que sont les cartes à puce), puis passer au routeur.

— Aaron

Réponses:

Configurez les périphériques réseau Cisco pour pointer vers votre autorité de certification et activer l'authentification à l'aide de PKI.

Côté client, vous devez remplacer pagent.exe de putty par une version qui accepte la carte à puce comme type d'authentification, que vous trouverez ici: Secure Shell avec authentification par carte à puce

Pour plus d'informations, vous devriez consulter: Guide de configuration de la sécurité Cisco IOS

— Daniël W. Crompton
source

Bienvenue dans Server Fault! Généralement, nous aimons les réponses sur le site pour pouvoir se débrouiller seules - Les liens sont excellents, mais si ce lien se casse, la réponse devrait avoir suffisamment d'informations pour être utile. Veuillez envisager de modifier votre réponse pour inclure plus de détails. Voir la FAQ pour plus d'informations.

— slm

@sim Merci pour la note, malheureusement pour décrire comment installer l'infrastructure PKI et configurer les commutateurs / routeurs que Cisco utilise ~ 1500 pages. Je ne sais pas comment condenser cela dans cette réponse, si vous avez des conseils, je vous en serais très reconnaissant.

— Daniël W. Crompton

S'il y a une section dans le document, vous pouvez simplement vous y référer. Tout pour renforcer votre réponse. Les réponses avec lien uniquement sont déconseillées.

— slm

Vous pouvez utiliser le client Cisco Secure Services. Cela fonctionne bien mais peut être très difficile à configurer. Voici la fiche technique de Cisco pour le produit. Le client fonctionne avec les services Cisco Secure ACS et Microsoft IAS RADUS.

— Fergus
source

Cette application semble être destinée à l'authentification de l'utilisateur / périphérique auprès du réseau à l'aide de 802.1x. Il ne semble pas prendre en charge l'authentification de la connexion de l'utilisateur au périphérique réseau à l'aide d'une carte à puce via SSH.

— murisonc