Активирайте удостоверяването с публичен ключ за SSH на комутатори Cisco SG300

По- рано писах за това как можете да активирате SSH достъп до вашия Cisco комутатор,(how you can enable SSH access to your Cisco switch) като активирате настройката в GUI интерфейса. Това е чудесно, ако искате да получите достъп до CLI на превключвателя през криптирана връзка, но все пак разчита само на потребителско име и парола.

Ако използвате този превключвател в силно чувствителна мрежа, която трябва да бъде много сигурна, тогава може да помислите за активиране на удостоверяване с публичен ключ за вашата SSH връзка. Всъщност, за максимална сигурност, можете да активирате удостоверяване с потребителско име/парола и публичен ключ за достъп до вашия превключвател.

В тази статия ще ви покажа как да активирате удостоверяване с публичен ключ на комутатор SG300 Cisco(SG300 Cisco) и как да генерирате двойки публичен и частен ключ с помощта на puTTYGen. След това ще ви покажа как да влезете с новите ключове. Освен това ще ви покажа как да го конфигурирате, така че да можете да използвате само ключа за влизане или да принудите потребителя да въведе потребителско име/парола заедно с използването на частния ключ.

Забележка: Преди да започнете с този урок, уверете се, че вече сте активирали услугата SSH на превключвателя, която споменах в предишната си статия, свързана по-горе. (Note: Before you get started on this tutorial, make sure you have already enabled the SSH service on the switch, which I mentioned in my previous article linked above. )

Активирайте SSH удостоверяване на потребителя(SSH User Authentication) чрез публичен ключ(Public Key)

Като цяло процесът за получаване на удостоверяване с публичен ключ да работи за SSH е лесен. В моя пример ще ви покажа как да активирате функциите с помощта на уеб базирания GUI . Опитах се да използвам CLI интерфейса, за да активирам удостоверяване с публичен ключ, но той не приема формата за моя частен RSA ключ.

След като го направя, ще актуализирам тази публикация с CLI командите, които ще постигнат това, което ще направим чрез GUI за сега. Първо(First) щракнете върху Защита(Security) , след това SSH сървър( SSH Server) и накрая SSH удостоверяване на потребителя( SSH User Authentication) .

В десния прозорец продължете и поставете отметка в квадратчето Активиране до SSH удостоверяване на потребител чрез публичен ключ( Enable box next to SSH User Authentication by Public Key) . Щракнете върху бутона Приложи(Apply) , за да запазите промените. Все(Don) още не поставяйте отметка върху бутона Активиране(Enable) до Автоматично влизане(Automatic login) , тъй като ще обясня това по-долу.

Сега трябва да добавим SSH потребителско име. Преди да започнем да добавяме потребителя, първо трябва да генерираме публичен и частен ключ. В този пример ще използваме puTTYGen, която е програма, която идва с puTTY.

Генериране на частни и публични ключове

За да генерирате ключовете, продължете и първо отворете puTTYGen. Ще видите празен екран и наистина не трябва да променяте нито една от настройките от показаните по-долу настройки по подразбиране.

Щракнете върху бутона Генериране(Generate) и след това преместете мишката си около празната област, докато лентата за напредък премине през целия път.

След като ключовете са генерирани, трябва да въведете парола, която по същество е като парола за отключване на ключа.

Добра идея е да използвате дълга парола, за да защитите ключа от атаки с груба сила. След като въведете паролата два пъти, трябва да щракнете върху бутоните Save public key и Save private key . Уверете се, че тези файлове са запазени на сигурно място, за предпочитане в някакъв криптиран контейнер, който изисква парола за отваряне. Вижте публикацията ми за използването на VeraCrypt за създаване на криптиран том(VeraCrypt to create an encrypted volume) .

Добавяне на потребител и ключ

Сега да се върнем към екрана за  SSH удостоверяване на потребителя( SSH User Authentication) , на който бяхме по-рано. Тук можете да избирате от две различни опции. Първо, отидете на Администриране(Administration)Потребителски акаунти( User Accounts) , за да видите какви акаунти имате в момента за влизане.

Както можете да видите, имам един акаунт, наречен akishore за достъп до моя превключвател. В момента(Currently) мога да използвам този акаунт за достъп до уеб базирания GUI и CLI . Обратно(Back) на страницата за удостоверяване на SSH потребителя(SSH User Authentication) , потребителят, който трябва да добавите към таблицата за удостоверяване на потребители на SSH (чрез публичен ключ),(SSH User Authentication Table (by Public Key))  може да бъде същият като този, който имате под Администриране – Потребителски акаунти,(Administration – User Accounts) или различен.

Ако изберете същото потребителско име, тогава можете да отметнете бутона Активиране(Enable) под Автоматично влизане(Automatic Login) и когато влезете в превключвателя, просто ще трябва да въведете потребителското име и паролата за частния ключ и ще влезете в системата .

Ако решите да изберете друго потребителско име тук, тогава ще получите подкана, където трябва да въведете потребителско име и парола на частния ключ за SSH и след това ще трябва да въведете нормалното си потребителско име и парола (изброени в Администратор – Потребителски акаунти(Admin – User Accounts) ) . Ако искате допълнителна сигурност, използвайте различно потребителско име, в противен случай просто го наречете по същия начин като текущото си.

Щракнете върху(Click) бутона Добавяне(Add) и ще получите изскачащ прозорец Добавяне на SSH потребител .(Add SSH User)

Уверете се, че Типът на ключа(Key Type) е зададен на RSA и след това продължете и отворете своя публичен SSH ключов файл, който сте запазили по-рано с помощта на програма като Notepad . Копирайте цялото съдържание и го поставете в прозореца с публичен ключ(Public Key) . Щракнете върху Приложи(Apply) и след това върху Затвори(Close) , ако получите съобщение за успех(Success) в горната част.

Влезте с личен ключ

Сега всичко, което трябва да направим, е да влезем с нашия личен ключ и парола. В този момент, когато се опитате да влезете, ще трябва да въведете идентификационни данни за вход два пъти: веднъж за частния ключ и веднъж за обикновен потребителски акаунт. След като активираме автоматичното влизане, просто ще трябва да въведете потребителското име и паролата за частния ключ и ще влезете.

Отворете puTTY и въведете IP адреса на вашия превключвател в полето Host Name , както обикновено. Този път обаче ще трябва да заредим и частния ключ в puTTY. За да направите това, разгънете Connection , след това разгънете SSH и след това щракнете върху Auth .

Щракнете върху бутона Преглед(Browse) под Файл с частен ключ за удостоверяване(Private key file for authentication) и изберете файла с частен ключ, който сте запазили извън puTTY по-рано. Сега щракнете върху бутона Отвори(Open) , за да се свържете.

Първата подкана ще бъде вход като(login as) и това трябва да бъде потребителското име, което сте добавили под SSH потребители. Ако сте използвали същото потребителско име като основния си потребителски акаунт, няма да има значение.

В моя случай използвах akishore и за двата потребителски акаунта, но използвах различни пароли за частния ключ и за основния си потребителски акаунт. Ако желаете, можете да направите и паролите същите, но няма смисъл наистина да го правите, особено ако активирате автоматично влизане.

Сега, ако не искате да се налага да влизате двойно, за да влезете в превключвателя, поставете отметка в квадратчето Активиране(Enable) до Автоматично влизане( Automatic login) на страницата за удостоверяване на потребителя на SSH(SSH User Authentication) .

Когато това е активирано, сега просто ще трябва да въведете идентификационните данни за SSH потребителя и ще влезете в системата.

Малко е сложно, но има смисъл, след като се заиграете с него. Както споменах по-рано, ще напиша и CLI командите, след като успея да получа частния ключ в правилния формат. Следвайки инструкциите тук, достъпът до вашия превключвател чрез SSH би трябвало да бъде много по-сигурен сега. Ако срещнете проблеми или имате въпроси, пишете в коментарите. Наслади се!



About the author

Аз съм компютърен програмист и съм от над 15 години. Уменията ми са в разработването и поддържането на софтуерни приложения, както и в предоставянето на техническа поддръжка за тези приложения. Също така съм преподавал компютърно програмиране на гимназисти и в момента съм професионален инструктор.



Related posts