Activer l'authentification de la clé publique pour SSH sur les commutateurs Cisco SG300

Auparavant, j'ai écrit sur la façon dont vous pouvez permettre à SSH l'accès à votre commutateur Cisco en activant le paramètre dans l'interface GUI. C'est génial si vous souhaitez accéder à votre CLI Switch sur une connexion cryptée, mais elle s'appuie toujours sur un nom d'utilisateur et un mot de passe.

Si vous utilisez ce commutateur dans un réseau très sensible qui doit être très sécurisé, vous voudrez peut-être envisager d'activer l'authentification de la clé publique pour votre connexion SSH. En fait, pour une sécurité maximale, vous pouvez activer un nom d'utilisateur / mot de passe et une authentification de clé publique pour accéder à votre commutateur.

Dans cet article, je vais vous montrer comment activer l'authentification publique des clés sur un commutateur Cisco SG300 et comment générer les paires de clés publiques et privées à l'aide de Puttygen. Je vais ensuite vous montrer comment vous connecter en utilisant les nouvelles clés. De plus, je vais vous montrer comment le configurer afin que vous puissiez utiliser uniquement la clé pour vous connecter ou forcer l'utilisateur à saisir un nom d'utilisateur / mot de passe ainsi que l'utilisation de la clé privée.

Note: Avant de commencer ce tutoriel, assurez-vous que vous avez déjà activé le service SSH sur le commutateur, que j'ai mentionné dans mon article précédent lié ci-dessus. 

Activer l'authentification des utilisateurs SSH par la clé publique

Dans l'ensemble, le processus pour faire fonctionner l'authentification des clés publics pour SSH est simple. Dans mon exemple, je vais vous montrer comment activer les fonctionnalités à l'aide de l'interface graphique basée sur le Web. J'ai essayé d'utiliser l'interface CLI pour permettre l'authentification de la clé publique, mais elle n'accepterait pas le format pour ma clé RSA privée.

Une fois que je fonctionnerai, je mettrai à jour ce post avec les commandes CLI qui accompliront ce que nous ferons via l'interface graphique pour l'instant. Tout d'abord, cliquez sur Sécurité, alors Serveur SSH et enfin Authentification de l'utilisateur SSH.

Clique sur le Générer bouton, puis déplacez votre souris autour de la zone vide jusqu'à ce que la barre de progrès passe tout le long.

Une fois les touches générées, vous devez saisir une phrase secrète, qui est essentiellement comme un mot de passe pour déverrouiller la clé.

C'est une bonne idée d'utiliser une longue phrase de passe pour protéger la clé des attaques brutales. Une fois que vous avez tapé deux fois dans la phrase secrète, vous devez cliquer sur le Sauver la clé publique et Sauver la clé privée boutons. Assurez-vous que ces fichiers sont enregistrés dans un emplacement sécurisé, de préférence dans un conteneur crypté d'une certaine sorte qui nécessite un mot de passe pour ouvrir. Consultez mon article sur l'utilisation de Veracrypt pour créer un volume crypté.

Ajouter l'utilisateur et la clé

Maintenant de retour au Authentification de l'utilisateur SSH Écran sur lequel nous étions plus tôt. Voici où vous pouvez choisir parmi deux options différentes. Tout d'abord, allez à Administration - Comptes utilisateur Pour voir quels comptes vous avez actuellement pour vous connecter.

Comme vous pouvez le voir, j'ai un compte appelé Akishore pour accéder à mon commutateur. Actuellement, je peux utiliser ce compte pour accéder à l'interface graphique basée sur le Web et à la CLI. De retour sur le Authentification de l'utilisateur SSH page, l'utilisateur que vous devez ajouter au Tableau d'authentification utilisateur SSH (par clé publique) peut être le même que ce que vous avez sous Administration - Comptes d'utilisateurs ou différent.

Si vous choisissez le même nom d'utilisateur, vous pouvez vérifier le Activer bouton sous Connexion automatique Et lorsque vous allez vous connecter au commutateur, vous devrez simplement taper le nom d'utilisateur et le mot de passe pour la clé privée et vous serez connecté.

Si vous décidez de choisir un nom d'utilisateur différent ici, vous obtiendrez une invite où vous devez saisir le nom d'utilisateur et le mot de passe de la clé privée SSH, et vous devrez ensuite saisir votre nom d'utilisateur et votre mot de passe normaux (répertoriés sous les comptes d'administration)). Si vous voulez la sécurité supplémentaire, utilisez un nom d'utilisateur différent, sinon il suffit de le nommer de la même manière que votre actuel.

Cliquez sur le bouton Ajouter et vous obtiendrez le Ajouter un utilisateur SSH fenêtre apparaît.

Assurez-vous que le Type de clé est défini sur RSA, puis allez-y et ouvrez votre fichier de clé SSH public que vous avez enregistré plus tôt en utilisant un programme comme le bloc-notes. Copiez l'intégralité du contenu et collez-le dans le Clé publique fenêtre. Cliquez sur Appliquer puis cliquez Fermer Si vous obtenez un Succès Message en haut.

Connexion à l'aide de la clé privée

Maintenant, tout ce que nous avons à faire est de nous connecter en utilisant notre clé privée et notre mot de passe. À ce stade, lorsque vous essayez de vous connecter, vous devrez saisir deux fois les informations de connexion: une fois pour la clé privée et une fois pour le compte utilisateur normal. Une fois que nous aurons permis une connexion automatique, vous devrez simplement saisir le nom d'utilisateur et le mot de passe pour la clé privée et vous serez dans.

Ouvrez le mastic et entrez dans l'adresse IP de votre commutateur dans le Nom d'hôte boîte comme d'habitude. Cependant, cette fois, nous devons également charger la clé privée en mastic. Pour ce faire, développer Connexion, Ensuite à l'élargissement Ssh puis cliquez sur Authentification.

Clique sur le Parcourir bouton sous Fichier de clé privée pour l'authentification et sélectionnez le fichier de clé privée que vous avez enregistré à partir de Putty plus tôt. Maintenant cliquez sur le Ouvrir bouton pour se connecter.

La première invite sera Se connecter en tant que Et cela devrait être le nom d'utilisateur que vous avez ajouté sous les utilisateurs de SSH. Si vous avez utilisé le même nom d'utilisateur que votre principal compte d'utilisateur, alors cela n'aura pas d'importance.

Dans mon cas, j'ai utilisé Akishore pour les deux comptes d'utilisateurs, mais j'ai utilisé différents mots de passe pour la clé privée et pour mon compte utilisateur principal. Si vous le souhaitez, vous pouvez aussi faire les mots de passe de la même manière, mais il est inutile de le faire, surtout si vous activez la connexion automatique.

Maintenant, si vous ne voulez pas avoir à vous connecter pour entrer dans l'interrupteur, vérifiez le Activer boîte à côté de Connexion automatique sur le Authentification de l'utilisateur SSH page.

Lorsque cela sera activé, vous n'aurez plus à saisir les informations d'identification de l'utilisateur SSH et vous serez connecté.

C'est un peu compliqué, mais a du sens une fois que vous jouez avec. Comme je l'ai mentionné plus tôt, j'écrirai également les commandes CLI une fois que je pourrai obtenir la clé privée dans le format approprié. Suivant les instructions ici, accéder à votre commutateur via SSH devrait être beaucoup plus sécurisé maintenant. Si vous rencontrez des problèmes ou avez des questions, postez dans les commentaires. Apprécier!