Autoryzacja kluczem SSH na przełącznikach HP ProCurve / Aruba

Avatar photo
hpe procurve aruba networks

Korzystanie z autoryzacji opartej na hasłach samo w sobie nie jest złe, jednak w przypadku posiadania wielu urządzeń może być bardzo nie wygodne (konieczność pamiętania różnych haseł do różnych urządzeń).

W przełącznikach HP ProCurve / Aruba istnieje możliwość autoryzacji za pomocą kluczy SSH.

Generowanie kluczy SSH w systemie Linux

Aby wygenerować nową parę kluczy SSH (prywatny [tajny] oraz publiczny [jawny]) należy użyć polecenia ssh-keygen.

Domyślnie klucze zostaną wygenerowane do następujących ścieżek:
– klucz prywatny do (~/.ssh/id_rsa)
– klucz publiczny do (~/.ssh/id_rsa.pub)

Podczas tworzenia kluczy warto podać hasło zabezpieczające (Enter passphrase)

ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/kowalsio/.ssh/id_rsa):
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /home/kowalsio/.ssh/id_rsa
Your public key has been saved in /home/kowalsio/.ssh/id_rsa.pub
The key fingerprint is:
SHA256:F33TsDzq2GM+OI/3QBeE+YJQXufdtyyAi4NTW0slxc0 kowalsio@kkdeb
The key's randomart image is:
+---[RSA 3072]----+
|         o+o+o+  |
|        ..++oE =.|
|       . =oo..O =|
|      o = +.ooo+o|
|     o +So. oo.o |
|      . .. = ..  |
|          ..*    |
|          o+oo   |
|          .+oo.  |
+----[SHA256]-----

Konfiguracja autoryzacji na przełącznikach ProCurve / Aruba

Do konfiguracji na przełączniku niezbędny będzie klucz publiczny (id_rsa.pub). Poniżej zawartość przykładowego klucza publicznego.

ssh-rsa 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 kowalsio@kkdeb

Po zalogowaniu na przełącznik należy w trybie konfiguracji (configure) wydać następujące polecenia:

ip ssh public-key manager 'ssh-rsa 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 kowalsio@kkdeb'

W przykładzie następuje dodanie klucza SSH dla konta manager, istnieje również możliwość skonfigurowania kluczy dla innych użytkowników.

Podglądu kluczy można dokonać za pomocą polecenia show ip client-public-key

show ip client-public-key

 Configuration and Settings - Client Public Keys

 Manager keys:

 Key Index   : 0
 Username    : none
 Type of Key : kowalsio@kkdeb ssh-rsa
 Key String  : AAAAB3NzaC1yc2EAAAADAQABAAABgQCpZKkYI5v0aXJCg19fWAzd2zq3Y0R4nLxRjQeFrbLDBnZMpFJX4WmwIr+kZgtrKc8X6Ce4wErsOivKIv3mZt7i6tQWu72vcg5xBdlRBE8DnJ/OixRPcCa62fdiH+ZUnzGQ2in9lWiUJ7QBs9mzMnc59n12KO4NzNzwpIe3M1RwAAAuyvt/VtptBidiEHUXX3Q9f9numNPyu/M+7+lVwdAQfLGAB1BMsLxN8khTw9hd4730kNV7Q9/2ek3DixbykZ91wuCxbPQKLIIut23w8MX74IJWcqEIT0ZSEJKA3qEfGLasVgAcGrZJd6yeHipMatTWigUHengSBa1aYge4idaUo/CZb2mzRFeXwuz3okjHPaGssBzAFa0bzG0BVcT9XDgkqaO89Tyr1apnzfoH7Qvk3o8YIDa38O7Hx3+BRyHUT+CxxlVNszGGAVzQppObdOQaMVJzNA288Ub0+EgzWNHGzBr30QuD6RQP0qFwcGw0LmfBzryAcBjQPR/uhXJLZfs=

Po skonfigurowaniu klucza publicznego użytkownika na przełączniku należy włączyć opcję logowania za pomocą kluczy SSH.

aaa authentication ssh login public-key

Od tego momentu zalogowania za pomocą klucza SSH powinno być możliwe.

Usuwanie klucza SSH

Aby usunąć klucze użytkownika manager należy wydać polecenia

clear crypto client-public-key manager

Innym sposobem usuwania, konkretnych kluczy jest użycie numeru klucza (index) wyświetlanego przez polecenie show ip client-public-key

clear crypto public-key 0

Warto przeczytać

Dodaj komentarz