Есть ли у кого-нибудь опыт использования Kerberos в качестве механизма аутентификации для управления сетью на базе Cisco IOS? это статья Кажется, это указывает на то, что это возможно, но мои знания Kerberos ограничены знаниями пользователя централизованно управляемых систем UNIX / Linux. Прежде чем я потратил часы, пытаясь разобраться в этом, я подумал, что попрошу совета здесь.
В частности, с учетом функционирующей инфраструктуры аутентификации Kerberos, можно ли настроить устройства Cisco для приема пересылаемых учетных данных Kerberos с компьютера * NIX или Windows, на котором я уже прошел аутентификацию и у меня есть действующий билет Kerberos? Было бы очень хорошо не вводить пароль каждый раз, когда я вхожу в систему на устройстве.
Если это возможно, некоторые дополнительные расширения:
Можно ли использовать Kerberos для аутентификации, но продолжать использовать группы TACACS + для авторизации?
При каких условиях устройство, настроенное для использования проверки подлинности Kerberos, будет использовать локально определенные пароли?
Какие последствия имеет использование Kerberos для выполнения RMA / замены оборудования? (например, при использовании SSH только в качестве средства управления, при замене устройства ключи SSH должны быть повторно сгенерированы вручную, а старые записи known_hosts на станциях управления должны быть удалены и т. д.)
При использовании аутентификации Kerberos будет ли у пользователя по-прежнему запрашиваться пароль при переходе из режима EXEC в привилегированный режим EXEC (включить)?
Давным-давно, да, я заставил его работать с некоторыми терминальными серверами Cisco, которые я настроил. Однако я больше не использую его по очень простым причинам, не последней из которых является то, что когда сеть пошла к черту, чем меньше движущихся частей мне нужно установить для входа в маршрутизатор, тем лучше.
Быстрые ответы по памяти:
Опять же, все это по памяти, как минимум несколько лет назад.