Dříve jsem psal o tom, jak můžete povolit přístup SSH k přepínači Cisco povolením nastavení v rozhraní GUI. To je skvělé, pokud chcete přistupovat k přepínači CLI přes šifrované připojení, ale stále se spoléhá pouze na uživatelské jméno a heslo.
Používáte-li tento přepínač ve vysoce citlivé síti, která musí být velmi bezpečná, můžete zvážit povolení ověřování veřejného klíče pro připojení SSH. Pro maximální bezpečnost můžete pro přístup k přepínači povolit ověřování uživatelského jména / hesla a ověřování veřejného klíče.
V tomto článku vám ukážeme, jak povolit ověřování veřejných klíčů na přepínači SG300 Cisco a jak generovat páry veřejných a soukromých klíčů pomocí puTTYGen. Pak vám ukážu, jak se přihlásit pomocí nových klíčů. Kromě toho vám ukážu, jak jej konfigurovat tak, že můžete buď použít pouze klíč k přihlášení, nebo přinutit uživatele, aby zadal uživatelské jméno / heslo spolu s použitím soukromého klíče.
Poznámka : Než začnete s tímto návodem, ujistěte se, že jste na přepínači již povolili službu SSH, kterou jsem zmínil v předchozím článku.
Povolit ověření uživatele SSH pomocí veřejného klíče
Celkově lze říci, že proces získávání veřejných klíčů pro práci s SSH je jednoduchý. V mém příkladu vám ukážeme, jak tyto funkce povolit pomocí webového grafického uživatelského rozhraní. Snažil jsem se použít rozhraní CLI, abych umožnil ověřování veřejných klíčů, ale nepřijal by formát pro můj soukromý klíč RSA.
Až budu pracovat, zaktualizuji tento příspěvek příkazy CLI, které splní to, co uděláme prostřednictvím GUI. Nejprve klikněte na Zabezpečení, poté na SSH Server a nakonec na SSH User Authentication .
V pravém podokně pokračujte a zaškrtněte políčko Povolit vedle možnosti Ověřování uživatele SSH pomocí veřejného klíče . Změny uložíte kliknutím na tlačítko Použít . Nezaškrtávejte tlačítko Povolit vedle položky Automatické přihlašování, přestože to vysvětlím dále.
Nyní musíme přidat uživatelské jméno SSH. Než začneme přidávat uživatele, musíme nejprve vygenerovat veřejný a soukromý klíč. V tomto příkladu budeme používat puTTYGen, což je program, který přichází s puTTY.
Generování soukromých a veřejných klíčů
Chcete-li vygenerovat klíče, pokračujte nejprve a otevřete puTTYGen. Zobrazí se prázdná obrazovka a opravdu byste neměli měnit některá nastavení z níže uvedených výchozích hodnot.
Klikněte na tlačítko Generovat a pak pohybujte myší kolem prázdné oblasti, dokud se indikátor průběhu nepřekročí.
Jakmile jsou klíče vygenerovány, musíte zadat heslo, které je v podstatě jako heslo pro odemknutí klíče.
Je dobré použít dlouhou passphrase k ochraně klíče před útoky brutální síly. Jakmile dvakrát zadáte heslo, měli byste kliknout na tlačítko Uložit veřejný klíč a Uložit tlačítka soukromého klíče . Ujistěte se, že tyto soubory jsou uloženy na bezpečném místě, nejlépe v šifrovaném kontejneru nějakého druhu, který vyžaduje otevření hesla. Podívejte se na můj příspěvek na používání VeraCrypt k vytvoření šifrovaného svazku.
Přidat uživatele a klíč
Nyní zpět na obrazovku ověřování uživatelů SSH jsme byli dříve. Zde si můžete vybrat ze dvou různých možností. Nejprve přejděte do části Správa - Uživatelské účty a zjistěte, které účty máte pro přihlášení k dispozici.
Jak vidíte, mám jeden účet s názvem akishore pro přístup k mému přepínači. V současné době mohu použít tento účet pro přístup k webovému GUI a CLI. Zpět na stránku Ověření uživatele SSH může uživatel, kterého chcete přidat do tabulky ověřování uživatelů SSH (podle veřejného klíče), být stejný jako uživatel, který máte v části Správa - Uživatelské účty nebo jiný.
Pokud zvolíte stejné uživatelské jméno, můžete zaškrtnout tlačítko Povolit pod položkou Automatické přihlášení a když se přihlásíte do přepínače, stačí zadat uživatelské jméno a heslo pro soukromý klíč a budete přihlášeni .
Pokud se rozhodnete zvolit jiné uživatelské jméno, zobrazí se výzva k zadání uživatelského jména a hesla soukromého klíče SSH a poté budete muset zadat své běžné uživatelské jméno a heslo (uvedené v části Správce - Uživatelské účty). . Chcete-li zvýšit zabezpečení, použijte jiné uživatelské jméno, jinak jej pojmenujte stejně jako vaše aktuální.
Klikněte na tlačítko Přidat a zobrazí se okno Přidat uživatele SSH .
Ujistěte se, že typ klíče je nastaven na RSA a pak pokračujte a otevřete svůj veřejný soubor klíčů SSH, který jste uložili dříve pomocí programu, jako je například Poznámkový blok. Zkopírujte celý obsah a vložte jej do okna Veřejný klíč . Klepněte na tlačítko použít a potom klepněte na tlačítko Zavřít, pokud se zobrazí zpráva Úspěch nahoře.
Přihlášení pomocí privátního klíče
Nyní stačí, když se přihlásíte pomocí našeho privátního klíče a hesla. Při pokusu o přihlášení budete muset dvakrát zadat přihlašovací údaje: jednou pro soukromý klíč a jednou pro normální uživatelský účet. Jakmile povolíme automatické přihlášení, stačí zadat uživatelské jméno a heslo pro soukromý klíč a budete v něm.
Otevřete puTTY a do pole Název hostitele zadejte jako obvykle adresu IP svého přepínače. Tentokrát však budeme muset nahrát soukromý klíč do puTTY také. Chcete-li to provést, rozbalte položku Připojení, poté rozbalte položku SSH a klepněte na tlačítko Auth .
Klikněte na tlačítko Procházet v souboru Soukromý klíč pro ověření a vyberte soubor soukromého klíče, který jste uložili mimo puTTY dříve. Nyní se klepnutím na tlačítko Otevřít připojte.
První výzva bude login as a to by mělo být uživatelské jméno, které jste přidali pod uživateli SSH. Pokud jste použili stejné uživatelské jméno jako váš hlavní uživatelský účet, pak na tom nezáleží.
V mém případě jsem použil akishore pro oba uživatelské účty, ale pro soukromý klíč a pro můj hlavní uživatelský účet jsem použil různá hesla. Pokud chcete, můžete heslo také nastavit stejně, ale nemá smysl to dělat, zejména pokud povolíte automatické přihlášení.
Pokud si nepřejete, abyste se museli přepnout do dvojitého přihlášení, zaškrtněte políčko Povolit vedle položky Automatické přihlášení na stránce Ověření uživatele SSH .
Pokud je toto povoleno, budete nyní muset zadat pověření pro uživatele SSH a budete přihlášeni.
Je to trochu komplikované, ale má smysl, když si s ním budete hrát. Stejně jako jsem se zmínil dříve, budu také psát příkazy CLI, jakmile dostanu soukromý klíč ve správném formátu. Postupujte podle pokynů zde, přístup k přepínači přes SSH by měl být nyní mnohem bezpečnější. Pokud narazíte na problémy nebo máte nějaké dotazy, uveďte v komentářích. Užívat si!
