有谁使用 Kerberos 作为管理基于 Cisco IOS 的网络的身份验证机制吗?文章似乎表明这是可能的,但我对 Kerberos 的了解仅限于集中管理的 UNIX/Linux 系统上的用户。在我花几个小时尝试进行实验之前,我想在这里寻求建议。
具体来说,给定一个正常运行的 Kerberos 身份验证基础结构,是否可以配置 Cisco 设备以接受来自 *NIX 或 Windows 计算机的转发 Kerberos 凭据,我已经在 *NIX 或 Windows 计算机上进行了身份验证并拥有有效的 Kerberos 票证?每次登录设备时都不必输入密码,这真是太好了。
如果可能的话,可以进行一些进一步的扩展:
是否可以使用 Kerberos 进行身份验证,但继续使用 TACACS+ 组进行授权?
在什么条件下,配置为使用 Kerberos 身份验证的设备会回退到本地定义的密码?
使用 Kerberos 对执行 RMA/硬件更换有何影响?(例如,如果仅使用 SSH 作为管理手段,如果更换了设备,则必须手动重新生成 SSH 密钥,并且必须删除管理站上旧的 known_hosts 条目等)
使用 Kerberos 身份验证时,从 EXEC 模式升级到特权 EXEC(启用)模式时是否仍会提示用户输入密码?
答案1
是的,很久以前,我确实让它与我设置的一些 Cisco 终端服务器配合使用。但是,出于非常简单的原因,我不再使用它了,其中最重要的原因是,当网络出现故障时,登录路由器所需的移动部件越少越好。
根据记忆快速回答:
- 是的。
- 我相信存在显式或隐式排序。在某个地方。我似乎记得本地密码优先于远程密码。
- Kerberos 要求您将数据放在 IOS 设备(机器的 SRVTAB)上,如果设备被替换,您将需要更改这些数据,并从 Kerberos 数据库中删除旧密钥。但是,用户(通过 telnet)看不到这一变化。
- 如果记忆不错的话,启用密码不支持 Kerberos。
再次重申,这全都是至少几年前的记忆。