我的任务是为我们的 NOC 提出一个解决方案,以便在我们的路由器上实施 MFA\安全访问。这样做有一些注意事项,因为 TACACS\RADIUS 仅在 MGMT 接口上受支持,还有其他限制(如果 TACACS\RADIUS 不稳定,我不想冒被锁定在路由器之外的风险)
话虽如此,我认为更好的方法是使用一个记录所有命令的跳转箱。用户将通过 SSH 连接到跳转箱,并通过 RADIUS 或其他支持 MFA 的方式使用其 AD 凭据进行身份验证。
这里的警告是:
- 当您通过 SSH 连接到相关路由器时,所有命令\响应都应以某种方式记录下来并发送到某个地方,通过 RADIUS 记帐或其他方式。这可能是由跳转箱发送这些,也许有一种“特殊”版本的 SSH 可以做到这一点。
- 它们应该以运行命令的用户身份登录。