有没有人有任何使用Kerberos作为pipe理基于Cisco IOS的networking的身份validation机制的经验? 本文似乎表明这是可能的,但是我的Kerberos知识仅限于集中pipe理的UNIX / Linux系统上的用户。 在我花几个小时来试验这个之前,我想我会在这里征求意见。
特别是,如果Kerberos身份validation基础架构正常运行,是否可以将思科设备configuration为接受来自* NIX或Windows计算机的转发的Kerberos证书,而我已经通过身份validation并拥有有效的Kerberos证书? 每次login设备时都不必input密码。
如果这是可能的,一些进一步的扩展:
是否可以使用Kerberos进行身份validation,但要继续使用TACACS +组进行授权?
configuration为使用Kerberos身份validation的设备在什么情况下会回退到本地定义的密码?
使用Kerberos对执行RMA /硬件replace有什么影响? (例如,如果仅将SSH用作pipe理手段,如果更换设备,则必须手动重新生成SSH密钥,并且必须删除pipe理站上的旧的known_hosts条目等)
使用Kerberos身份validation时,从EXEC模式升级到特权EXEC(启用)模式时是否还会提示用户input密码?
很久以前,是的,我确实让它与我设置的一些思科terminal服务器一起工作。 然而,我不再使用它是因为很简单的原因,尤其是在networking恶化的情况下,为了login路由器而需要移动的部件越less越好。
记忆的快速回答:
再一次,这是从记忆中,至less几岁。