Korzystanie z autoryzacji opartej na hasłach samo w sobie nie jest złe, jednak w przypadku posiadania wielu urządzeń może być bardzo nie wygodne (konieczność pamiętania różnych haseł do różnych urządzeń).
W przełącznikach HP ProCurve / Aruba istnieje możliwość autoryzacji za pomocą kluczy SSH.
Generowanie kluczy SSH w systemie Linux
Aby wygenerować nową parę kluczy SSH (prywatny [tajny] oraz publiczny [jawny]) należy użyć polecenia ssh-keygen.
Domyślnie klucze zostaną wygenerowane do następujących ścieżek:
– klucz prywatny do (~/.ssh/id_rsa)
– klucz publiczny do (~/.ssh/id_rsa.pub)
Podczas tworzenia kluczy warto podać hasło zabezpieczające (Enter passphrase)
ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/kowalsio/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/kowalsio/.ssh/id_rsa
Your public key has been saved in /home/kowalsio/.ssh/id_rsa.pub
The key fingerprint is:
SHA256:F33TsDzq2GM+OI/3QBeE+YJQXufdtyyAi4NTW0slxc0 kowalsio@kkdeb
The key's randomart image is:
+---[RSA 3072]----+
| o+o+o+ |
| ..++oE =.|
| . =oo..O =|
| o = +.ooo+o|
| o +So. oo.o |
| . .. = .. |
| ..* |
| o+oo |
| .+oo. |
+----[SHA256]-----
Konfiguracja autoryzacji na przełącznikach ProCurve / Aruba
Do konfiguracji na przełączniku niezbędny będzie klucz publiczny (id_rsa.pub). Poniżej zawartość przykładowego klucza publicznego.
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQCpZKkYI5v0aXJCg19fWAzd2zq3Y0R4nLxRjQeFrbLDBnZMpFJX4WmwIr+kZgtrKc8X6Ce4wErsOivKIv3mZt7i6tQWu72vcg5xBdlRBE8DnJ/OixRPcCa62fdiH+ZUnzGQ2in9lWiUJ7QBs9mzMnc59n12KO4NzNzwpIe3M1RwAAAuyvt/VtptBidiEHUXX3Q9f9numNPyu/M+7+lVwdAQfLGAB1BMsLxN8khTw9hd4730kNV7Q9/2ek3DixbykZ91wuCxbPQKLIIut23w8MX74IJWcqEIT0ZSEJKA3qEfGLasVgAcGrZJd6yeHipMatTWigUHengSBa1aYge4idaUo/CZb2mzRFeXwuz3okjHPaGssBzAFa0bzG0BVcT9XDgkqaO89Tyr1apnzfoH7Qvk3o8YIDa38O7Hx3+BRyHUT+CxxlVNszGGAVzQppObdOQaMVJzNA288Ub0+EgzWNHGzBr30QuD6RQP0qFwcGw0LmfBzryAcBjQPR/uhXJLZfs= kowalsio@kkdeb
Po zalogowaniu na przełącznik należy w trybie konfiguracji (configure) wydać następujące polecenia:
ip ssh public-key manager 'ssh-rsa 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 kowalsio@kkdeb'
W przykładzie następuje dodanie klucza SSH dla konta manager, istnieje również możliwość skonfigurowania kluczy dla innych użytkowników.
Podglądu kluczy można dokonać za pomocą polecenia show ip client-public-key
show ip client-public-key
Configuration and Settings - Client Public Keys
Manager keys:
Key Index : 0
Username : none
Type of Key : kowalsio@kkdeb ssh-rsa
Key String : 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
Po skonfigurowaniu klucza publicznego użytkownika na przełączniku należy włączyć opcję logowania za pomocą kluczy SSH.
aaa authentication ssh login public-key
Od tego momentu zalogowania za pomocą klucza SSH powinno być możliwe.
Usuwanie klucza SSH
Aby usunąć klucze użytkownika manager należy wydać polecenia
clear crypto client-public-key manager
Innym sposobem usuwania, konkretnych kluczy jest użycie numeru klucza (index) wyświetlanego przez polecenie show ip client-public-key
clear crypto public-key 0
Dodaj komentarz