Auparavant, j'avais expliqué comment vous pouvez activer l'accès SSH à votre commutateur Cisco en activant le paramètre dans l'interface graphique. C'est très bien si vous voulez accéder à votre CLI de commutateur via une connexion chiffrée, mais cela ne dépend que d'un nom d'utilisateur et d'un mot de passe.
Si vous utilisez ce commutateur dans un réseau hautement sensible qui doit être très sécurisé, vous pouvez envisager d'activer l'authentification par clé publique pour votre connexion SSH. En fait, pour une sécurité maximale, vous pouvez activer une authentification nom d'utilisateur / mot de passe et clé publique pour accéder à votre commutateur.
Dans cet article, je vais vous montrer comment activer l'authentification par clé publique sur un commutateur Cisco SG300 et comment générer les paires de clés publique et privée à l'aide de puTTYGen. Je vous montrerai ensuite comment vous connecter en utilisant les nouvelles clés. De plus, je vais vous montrer comment le configurer pour que vous puissiez utiliser la clé uniquement pour vous connecter ou obliger l'utilisateur à saisir un nom d'utilisateur / mot de passe en même temps que la clé privée.
RemarqueRemarque: Avant de commencer ce didacticiel, assurez-vous que vous avez déjà activé le service SSH sur le commutateur, ce que j'ai déjà mentionné dans mon précédent article, ci-dessus.
Activer l'authentification d'utilisateur SSH par clé publique
Dans l’ensemble, le processus permettant à l’authentification de clé publique de fonctionner pour SSH est simple. Dans mon exemple, je vais vous montrer comment activer les fonctionnalités à l'aide de l'interface graphique Web. J'ai essayé d'utiliser l'interface CLI pour activer l'authentification par clé publique, mais le format de ma clé RSA privée n'a pas été accepté.
Une fois que cela fonctionne, je mettrai à jour ce message avec les commandes CLI qui accompliront ce que nous ferons via l'interface graphique pour le moment. D'abord, cliquez sur Sécurité, puis Serveur SSH et enfin Authentification utilisateur SSH.
Dans le volet de droite, allez-y et vérifiez la Activer la case en regard de Authentification utilisateur SSH par clé publique. Clique le Appliquer bouton pour enregistrer les modifications. Ne pas vérifier le Activer bouton à côté de Connexion automatique pour l'instant, comme je l'expliquerai plus loin.
Nous devons maintenant ajouter un nom d'utilisateur SSH. Avant d'ajouter l'utilisateur, nous devons d'abord générer une clé publique et une clé privée. Dans cet exemple, nous utiliserons puTTYGen, un programme fourni avec puTTY.
Générer des clés privées et publiques
Pour générer les clés, ouvrez d'abord puTTYGen. Vous verrez un écran vide et vous ne devriez vraiment pas avoir à modifier les paramètres par défaut indiqués ci-dessous.
Clique sur le produire puis déplacez votre souris autour de la zone vide jusqu'à ce que la barre de progression soit visible.
Une fois les clés générées, vous devez entrer une phrase secrète, qui s'apparente en principe à un mot de passe pour déverrouiller la clé.
C'est une bonne idée d'utiliser une phrase secrète longue pour protéger la clé des attaques par force brute. Une fois que vous avez tapé la phrase secrète deux fois, vous devez cliquer sur le bouton Enregistrer la clé publique et Enregistrer la clé privée boutons. Assurez-vous que ces fichiers sont enregistrés dans un emplacement sécurisé, de préférence dans un conteneur crypté nécessitant l’ouverture d’un mot de passe. Consultez mon post sur l'utilisation de VeraCrypt pour créer un volume chiffré.
Ajouter un utilisateur et une clé
Revenons maintenant à la Authentification utilisateur SSH écran nous étions plus tôt. Voici où vous pouvez choisir parmi deux options différentes. Tout d'abord, allez à Administration - Comptes utilisateur pour voir quels comptes vous avez actuellement pour vous connecter.
Comme vous pouvez le constater, j’ai un compte appelé akishore pour accéder à mon commutateur. Actuellement, je peux utiliser ce compte pour accéder à l'interface graphique Web et à la CLI. Retour sur le Authentification utilisateur SSH page, l'utilisateur que vous devez ajouter à la Table d'authentification utilisateur SSH (par clé publique) peut être soit le même que ce que vous avez sous Administration - Comptes d'utilisateurs ou différent.
Si vous choisissez le même nom d'utilisateur, vous pouvez alors vérifier la Activer bouton sous Connexion automatique et lorsque vous vous connectez au commutateur, vous devrez simplement taper le nom d'utilisateur et le mot de passe pour la clé privée et vous serez connecté.
Si vous décidez de choisir un nom d'utilisateur différent ici, vous obtiendrez une invite vous demandant de saisir le nom d'utilisateur et le mot de passe de la clé privée SSH. Vous devrez ensuite saisir votre nom d'utilisateur et votre mot de passe habituels (répertoriés sous Admin - Comptes d'utilisateurs). . Si vous voulez plus de sécurité, utilisez un nom d'utilisateur différent, sinon nommez-le de la même manière que votre nom actuel.
Cliquez sur le bouton Ajouter et vous obtiendrez le Ajouter un utilisateur SSH fenêtre apparaît.
Assurez-vous que le Type de clé est défini sur RSA, puis ouvrez votre fichier de clé SSH publique que vous avez enregistré précédemment à l'aide d'un programme tel que Notepad. Copiez tout le contenu et collez-le dans le Clé publique la fenêtre. Cliquez sur Appliquer puis cliquez sur Fermer si vous obtenez un Succès message en haut.
Connexion à l'aide d'une clé privée
Il ne nous reste plus qu'à nous connecter à l'aide de notre clé privée et de notre mot de passe. À ce stade, lorsque vous essayez de vous connecter, vous devez entrer les informations d'identification de connexion deux fois: une fois pour la clé privée et une fois pour le compte d'utilisateur normal. Une fois la connexion automatique activée, il vous suffira de saisir le nom d'utilisateur et le mot de passe de la clé privée.
Ouvrez le puTTY et entrez l’adresse IP de votre commutateur dans le Nom d'hôte boite comme d'habitude. Cependant, cette fois, nous devrons également charger la clé privée dans puTTY. Pour ce faire, développez Lien, puis développez SSH puis cliquez sur Auth.
Clique sur le Feuilleter bouton sous Fichier de clé privée pour l'authentification et sélectionnez le fichier de clé privée que vous avez précédemment enregistré dans puTTY. Maintenant, cliquez sur le Ouvrir bouton pour se connecter.
La première invite sera Se connecter en tant que et cela devrait être le nom d'utilisateur que vous avez ajouté sous Utilisateurs SSH. Si vous avez utilisé le même nom d'utilisateur que votre compte d'utilisateur principal, cela n'aura pas d'importance.
Dans mon cas, j’ai utilisé akishore pour les deux comptes d’utilisateur, mais j’ai utilisé des mots de passe différents pour la clé privée et pour mon compte d’utilisateur principal. Si vous le souhaitez, vous pouvez également utiliser les mêmes mots de passe, mais il est inutile de le faire, en particulier si vous activez la connexion automatique.
Maintenant, si vous ne voulez pas avoir à double connexion pour entrer dans le commutateur, vérifiez la Activer case à côté de Connexion automatique sur le Authentification utilisateur SSH page.
Lorsque cela est activé, il vous suffit maintenant de saisir les informations d'identification de l'utilisateur SSH et vous serez connecté.
C'est un peu compliqué, mais cela a du sens une fois que vous jouez avec. Comme je l'ai mentionné précédemment, j'écrirai également les commandes CLI une fois que je pourrai obtenir la clé privée au format approprié. En suivant les instructions ici, accéder à votre commutateur via SSH devrait être beaucoup plus sécurisé maintenant. Si vous rencontrez des problèmes ou avez des questions, postez les commentaires. Prendre plaisir!