Hướng Dẫn Cấu Hình Kerberos Trên Router Cisco

KERBEROS TRÊN ROUTER CISCO LÀ GÌ?

Kerberos trên Router Cisco là một giao thức xác thực mạng khóa bí mật, được phát triển tại Viện Công nghệ Massachusetts (MIT), sử dụng thuật toán mã hóa Tiêu chuẩn mã hóa dữ liệu (DES) để mã hóa và xác thực. Kerberos được thiết kế để xác thực các yêu cầu về tài nguyên mạng. Kerberos, giống như các hệ thống khóa bí mật khác, dựa trên khái niệm về bên thứ ba đáng tin cậy thực hiện xác minh an toàn người dùng và dịch vụ. Trong giao thức Kerberos, bên thứ ba đáng tin cậy này được gọi là trung tâm phân phối khóa (KDC).

Công dụng chính của Kerberos là để xác minh rằng người dùng và các dịch vụ mạng mà họ sử dụng thực sự là ai và họ tuyên bố là gì. Để thực hiện điều này, một máy chủ Kerberos đáng tin cậy sẽ phát hành vé cho người dùng. Những vé này, có tuổi thọ hạn chế, được lưu trữ trong bộ đệm thông tin xác thực của người dùng và có thể được sử dụng thay cho cơ chế xác thực tên người dùng và mật khẩu tiêu chuẩn.

Sơ đồ chứng chỉ Kerberos thể hiện một khái niệm gọi là “đăng nhập một lần”. Quá trình này yêu cầu xác thực người dùng một lần, sau đó cho phép xác thực an toàn (không mã hóa mật khẩu khác) bất cứ nơi nào thông tin xác thực của người dùng đó được chấp nhận.

Phần mềm Cisco IOS XE bao gồm hỗ trợ Kerberos 5, cho phép các tổ chức đã triển khai Kerberos 5 sử dụng cùng một cơ sở dữ liệu xác thực Kerberos trên các bộ định tuyến Cisco mà họ đang sử dụng trên các máy chủ mạng khác (chẳng hạn như máy chủ UNIX và PC).

Các dịch vụ mạng sau đây được hỗ trợ bởi khả năng xác thực Kerberos trong phần mềm Cisco IOS XE:

  • Telnet
  • rlogin
  • rsh
  • rcp

CẤU HÌNH KERBEROS TRÊN ROUTER CISCO

Hướng Dẫn Cấu Hình Kerberos Trên Router Cisco
Hướng Dẫn Cấu Hình Kerberos Trên Router Cisco

Để các máy chủ và KDC trong Kerberos của bạn giao tiếp và xác thực lẫn nhau, bạn phải xác định chúng với nhau. Để thực hiện việc này, bạn thêm các mục nhập cho máy chủ vào cơ sở dữ liệu Kerberos trên KDC và thêm các tệp SRVTAB do KDC tạo vào tất cả các máy chủ trong vương quốc Kerberos. Bạn cũng tạo các mục nhập cho người dùng trong cơ sở dữ liệu KDC.

Phần này mô tả cách thiết lập hệ thống máy chủ-máy khách được Kerberos xác thực. Phần này giả định rằng bạn đã cài đặt các chương trình quản trị Kerberos trên một máy chủ UNIX, được gọi là KDC, đã khởi tạo cơ sở dữ liệu và chọn một tên vùng và mật khẩu Kerberos.

Cấu Hình KDC Bằng Các Lệnh Kerberos

Sau khi bạn thiết lập máy chủ để hoạt động như KDC trong Kerberos của mình, bạn phải tạo các mục nhập vào cơ sở dữ liệu KDC cho tất cả các nguyên tắc chính trong Kerberos. Principals có thể là dịch vụ mạng trên Router và máy chủ Cisco hoặc họ có thể là người dùng.

Để sử dụng các lệnh Kerberos để thêm dịch vụ vào cơ sở dữ liệu KDC (và để sửa đổi thông tin cơ sở dữ liệu hiện có), hãy hoàn thành các tác vụ trong các phần sau:

Thêm User Vào Cơ Sở Dữ Liệu KDC

Để thêm user vào KDC và tạo các phiên bản đặc quyền của những người dùng đó, hãy sử dụng lệnh để trở thành root trên máy chủ chạy KDC và sử dụng chương trình kdb5_edit để sử dụng các lệnh sau trong chế độ EXEC đặc quyền:

  Lệnh hoặc Hành động Mục đích
Bước 1 Router# ankusername@REALM Sử dụng lệnh ank (add new key) để thêm người dùng vào KDC. Lệnh này nhắc nhập mật khẩu mà người dùng phải nhập để xác thực với bộ định tuyến.

 

Bước 2 Router# ankusername/instance@REALM Sử dụng lệnh ank để thêm một phiên bản đặc quyền của người dùng.

Tạo SRVTAB Trên KDC

Tất cả thiết bị Router Cisco mà bạn muốn xác thực để sử dụng giao thức Kerberos phải có SRVTAB. Để tạo các mục nhập SRVTAB trên Router Cisco, hãy sử dụng các lệnh sau ở chế độ EXEC đặc quyền:

Lệnh Mục đích
Router# ark SERVICE/HOSTNAME@REALM Sử dụng lệnh ark (add random key) để thêm network service được máy chủ hoặc bộ định tuyến hỗ trợ vào KDC.

Trích Xuất SRVTAB

SRVTAB chứa mật khẩu hoặc khóa được tạo ngẫu nhiên cho nguyên tắc dịch vụ mà bạn đã nhập vào cơ sở dữ liệu KDC. Các khóa chính của dịch vụ phải được chia sẻ với máy chủ đang chạy dịch vụ đó. Để thực hiện việc này, bạn phải lưu các mục nhập SRVTAB vào một tệp, sau đó sao chép tệp vào bộ định tuyến Cisco và tất cả các máy chủ trong vương quốc Kerberos. Lưu các mục nhập SRVTAB vào một tệp được gọi là extracting SRVTABs. Để trích xuất SRVTAB, hãy sử dụng lệnh sau trong chế độ EXEC đặc quyền:

Lệnh Mục đích
Router# xst

 router-name host

Sử dụng lệnh kdb5_edit xst để ghi mục nhập SRVTAB vào một tệp.

CẤU HÌNH ROUTER CISCO ĐỂ SỬ DỤNG GIAO THỨC KERBEROS

Xác Định Kerberos Realm

Để một thiết bị Router Cisco xác thực người dùng được xác định trong cơ sở dữ liệu Kerberos, nó phải biết tên máy chủ hoặc địa chỉ IP của máy chủ đang chạy KDC, tên của Kerberos realm và, tùy chọn, có thể ánh xạ tên máy chủ hoặc Hệ thống tên miền (DNS) vào Kerberos realm.

Để cấu hình Router Cisco để xác thực với một KDC được chỉ định trong một Kerberos realm, hãy sử dụng các lệnh sau trong chế độ cấu hình chung. Lưu ý tên miền DNS phải bắt đầu bằng dấu chấm (.):

  Lệnh hoặc Hành động Mục đích
Bước 1 Router(config)# kerberos local-realmkerberos-realm Xác định lĩnh vực mặc định cho Router Cisco

 

Bước 2 Router(config)# kerberos serverkerberos-realm {hostname | ip-address } [port-number ] Chỉ định thiết bị Router Cisco nào mà KDC sẽ sử dụng trong một Kerberos realm, và tùy chọn số cổng mà KDC đang giám sát. (Mặc định là 88.)

 

Bước 3 Router(config)# kerberos realm {dns-domain | host } kerberos-realm (Tùy chọn) Ánh xạ tên máy chủ hoặc DNS domain tới vùng Kerberos realm.

Sao Chép Tệp SRVTAB

Để người dùng từ xa có thể xác thực với Router Cisco bằng thông tin đăng nhập Kerberos, bộ định tuyến phải chia sẻ khóa bí mật với KDC. Để thực hiện việc này, bạn phải cung cấp cho bộ định tuyến Cisco một bản sao của SRVTAB mà bạn đã giải nén trên KDC.

Phương pháp an toàn nhất để sao chép các tệp SRVTAB vào máy chủ trong Kerberos realm của bạn là sao chép chúng vào phương tiện vật lý và lần lượt đi đến từng máy chủ và sao chép thủ công các tệp vào hệ thống. Để sao chép các tệp SRVTAB vào bộ định tuyến không có ổ đĩa vật lý, bạn phải chuyển chúng qua mạng bằng TFTP.

Để sao chép từ xa các tệp SRVTAB vào Router Cisco từ KDC, hãy sử dụng lệnh sau trong chế độ cấu hình chung:

Lệnh Mục đích
Router(config)# kerberos srvtab remote {hostname

 | ip-address

} {filename

}

Truy xuất tệp SRVTAB từ KDC.

Khi bạn sao chép tệp SRVTAB từ bộ định tuyến Cisco sang KDC, lệnh kerberos srvtab remote sẽ phân tích cú pháp thông tin trong tệp này và lưu trữ nó trong cấu hình đang chạy của bộ định tuyến ở định dạng kerberos srvtab entry. Để đảm bảo rằng SRVTAB khả dụng (không cần lấy từ KDC) khi bạn khởi động lại bộ định tuyến, hãy sử dụng lệnh write memory để ghi cấu hình đang chạy của bạn (chứa tệp SRVTAB được phân tích cú pháp) vào NVRAM.

Chỉ Định Xác Thực Kerberos

Bây giờ bạn đã cấu hình Kerberos trên bộ định tuyến Cisco của mình. Điều này giúp Router Cisco có thể xác thực bằng Kerberos. Bước tiếp theo là yêu cầu nó làm như vậy. Vì xác thực Kerberos được hỗ trợ thông qua AAA, bạn cần nhập lệnh aaa authentication, chỉ định Kerberos làm phương thức xác thực. Để biết thêm thông tin, hãy tham khảo chương “Configuring Authentication”

Kích Hoạt Chuyển Tiếp Thông Tin Xác Thực

Với Kerberos được định cấu hình cho đến nay, người dùng được xác thực với bộ định tuyến Kerberized có TGT và có thể sử dụng nó để xác thực với máy chủ lưu trữ trên mạng. Tuy nhiên, nếu người dùng cố gắng liệt kê thông tin đăng nhập sau khi xác thực với máy chủ, kết quả sẽ không hiển thị thông tin xác thực Kerberos.

Bạn có thể tùy ý định cấu hình bộ định tuyến để chuyển tiếp TGT của người dùng cùng với họ khi họ xác thực từ Router Cisco đến các máy chủ từ xa được Kerberized trên mạng khi sử dụng Kerberized Telnet, rcp, rsh và rlogin (với các cờ thích hợp).

Để buộc tất cả các máy khách chuyển tiếp thông tin xác thực của người dùng khi họ kết nối với các máy chủ khác trong vương quốc Kerberos, hãy sử dụng lệnh sau trong chế độ cấu hình chung:

Lệnh Mục đích
Router(config)# kerberos credentials forward Buộc tất cả khách hàng chuyển tiếp thông tin đăng nhập của người dùng sau khi xác thực Kerberos thành công.

Khi bật chuyển tiếp thông tin xác thực, TGT của người dùng sẽ tự động được chuyển tiếp đến máy chủ tiếp theo mà họ xác thực. Bằng cách này, người dùng có thể kết nối với nhiều máy chủ trong Kerberos realm mà không cần chạy chương trình KINIT mỗi lần để nhận TGT mới.

Mở Phiên Telnet Với Router Cisco

Để sử dụng Kerberos nhằm xác thực người dùng mở phiên Telnet tới Router Cisco từ bên trong mạng, hãy sử dụng lệnh sau trong chế độ cấu hình chung:

Lệnh Mục đích
Router(config)# aaa authentication login {default | list-name

} krb5_telnet

Đặt xác thực đăng nhập để sử dụng giao thức xác thực Kerberos 5 Telnet khi sử dụng Telnet để kết nối với bộ định tuyến.

Mặc dù các phiên Telnet tới Router Cisco đã được xác thực, nhưng người dùng vẫn phải nhập mật khẩu văn bản rõ ràng nếu muốn vào chế độ kích hoạt. Lệnh kerberos instance map , được thảo luận trong phần sau, cho phép họ xác thực với bộ định tuyến ở mức đặc quyền được xác định trước.

Thiết Lập Phiên Telnet Kerberized Được Mã Hóa

Một cách khác để người dùng mở phiên Telnet an toàn là sử dụng Encrypted Kerberized Telnet. Với Telnet Kerberized được mã hóa, người dùng được xác thực bằng thông tin đăng nhập Kerberos của họ trước khi phiên Telnet được thiết lập. Phiên Telnet được mã hóa bằng mã hóa Tiêu chuẩn mã hóa dữ liệu 56-bit (DES) với Phản hồi mật mã 64-bit (CFB). Vì dữ liệu được gửi hoặc nhận được mã hóa, không phải văn bản rõ ràng, tính toàn vẹn của bộ định tuyến Cisco đã quay số hoặc máy chủ truy cập có thể được kiểm soát dễ dàng hơn.

Để thiết lập phiên Kerberized Telnet được mã hóa từ Router Cisco đến máy chủ từ xa, hãy sử dụng một trong các lệnh sau trong chế độ lệnh EXEC:

Lệnh Mục đích
Router(config)# connect host

 [port

] /encrypt kerberos

or

Router(config)# telnet host

 [port

] /encrypt kerberos

Thiết lập phiên Telnet được mã hóa

Khi người dùng mở phiên Telnet từ Router Cisco đến máy chủ từ xa, bộ định tuyến và máy chủ từ xa sẽ thương lượng để xác thực người dùng bằng thông tin đăng nhập Kerberos. Nếu xác thực này thành công, Router Cisco và máy chủ từ xa sẽ thương lượng xem có sử dụng mã hóa hay không. Nếu thương lượng này thành công, cả lưu lượng truy cập vào và ra đều được mã hóa bằng mã hóa DES 56-bit với CFB 64-bit.

Khi người dùng quay số từ máy chủ từ xa đến Router Cisco được định cấu hình để xác thực Kerberos, máy chủ và bộ định tuyến sẽ cố gắng thương lượng xem có sử dụng mã hóa cho phiên Telnet hay không. Nếu thương lượng này thành công, bộ định tuyến sẽ mã hóa tất cả dữ liệu gửi đi trong phiên Telnet.

Nếu mã hóa không được đàm phán thành công, phiên sẽ bị chấm dứt và người dùng sẽ nhận được thông báo cho biết rằng phiên Telnet được mã hóa không được thiết lập thành công.

Kích Hoạt Xác Thực Kerberos Bắt Buộc

Là một lớp bảo mật bổ sung, bạn có thể tùy ý định cấu hình Router Cisco để sau khi người dùng từ xa xác thực với nó, những người dùng này chỉ có thể xác thực với các dịch vụ khác trên mạng bằng Kerberized Telnet, rlogin, rsh và rcp. Nếu bạn không bắt buộc xác thực Kerberos và xác thực Kerberos không thành công, ứng dụng sẽ cố gắng xác thực người dùng bằng phương pháp xác thực mặc định cho dịch vụ mạng đó; ví dụ: Telnet và rlogin nhắc nhập mật khẩu và rsh cố gắng xác thực bằng tệp rhost cục bộ.

Để bắt buộc xác thực Kerberos, hãy sử dụng lệnh sau trong chế độ cấu hình chung:

Lệnh Mục đích
Router(config)# kerberos clients mandatory Đặt Telnet, rlogin, rsh và rcp thành không thành công nếu chúng không thể thương lượng giao thức Kerberos với máy chủ từ xa.

Bật Ánh Xạ Phiên Bản Kerberos

Lệnh kerberos instance map cho phép bạn ánh xạ các phiên bản đó tới các mức đặc quyền của Cisco IOS XE để người dùng có thể mở các phiên Telnet an toàn tới Router Cisco ở mức đặc quyền được xác định trước, không cần phải nhập mật khẩu văn bản rõ ràng để vào chế độ kích hoạt.

Để ánh xạ một phiên bản Kerberos tới cấp đặc quyền của Cisco IOS XE, hãy sử dụng lệnh sau trong chế độ cấu hình chung:

Lệnh Mục đích
Router(config)# kerberos instance map instance

 privilege-level

Ánh xạ phiên bản Kerberos tới cấp đặc quyền của Cisco IOS XE.

Các lệnh của Cisco IOS XE có thể được đặt thành các mức đặc quyền khác nhau bằng cách sử dụng lệnh mức đặc quyền .

Sau khi bạn ánh xạ phiên bản Kerberos sang cấp đặc quyền của Cisco IOS XE, bạn phải định cấu hình bộ định tuyến Cisco để kiểm tra phiên bản Kerberos mỗi khi người dùng đăng nhập. Để chạy ủy quyền nhằm xác định xem người dùng có được phép chạy trình bao EXEC dựa trên bản đồ Kerberos, hãy sử dụng lệnh aaa authorization với từ khóa krb5-instance

Giám Sát Và Duy Trì Kerberos

Để hiển thị hoặc xóa thông tin đăng nhập của người dùng hiện tại, hãy sử dụng các lệnh sau trong chế độ EXEC:

  Lệnh hoặc Hành động Mục đích
Bước 1 Router# show kerberos creds  Liệt kê thông tin xác thực trong bộ đệm thông tin đăng nhập của người dùng hiện tại.

 

Bước 2 Router# clear kerberos creds  Hủy tất cả thông tin đăng nhập trong bộ đệm thông tin đăng nhập của người dùng hiện tại, bao gồm cả những thông tin được chuyển tiếp.

ĐỊA CHỈ PHÂN PHỐI ROUTER CISCO CHÍNH HÃNG GIÁ TỐT NHẤT

ANBINHNET ™ là nhà phân phối Cisco chính hãng, uy tín hàng đầu tại Việt Nam. Đến với chúng tôi, quý khách hàng sẽ nhận được những thông tin chính xác về nguồn gốc xuất xứ, giấy tờ, chứng chỉ, với mức giá Discount theo quy định của Cisco, đặc biệt hơn là hàng luôn sẵn kho số lượng lớn để đáp ứng nhu cầu của khách hàng.

ANBINHNET ™ có văn phòng giao dịch tại 2 thành phố lớn nhất là Hà Nội và Hồ Chí Minh (Sài Gòn), giúp mang lại sự thuận tiện cho khách hàng có nhu cầu mua thiết bị Router Cisco Chính Hãng có thể đến trực tiếp văn phòng của chúng tôi, cũng như rút ngắn thời gian giao hàng các sản phẩm Cisco Router Giá Tốt đến với khách hàng.

Để Nhận Thông Tin Hỗ Trợ Báo Giá Dự Án, Đặt Hàng, Giao Hàng, Bảo Hành, Khuyến Mại, Hỗ Trợ Kỹ Thuật của các sản phẩm Router CiscoHãy Chát Ngay với chúng tôi ở khung bên dưới hoặc gọi điện tới số hotline hỗ trợ 24/7 của ANBINHNET ™. Hoặc quý khách có thể liên hệ tới văn phòng của chúng tôi tại theo thông tin sau:

Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Hà Nội

Địa Chỉ Phân Phối Router Cisco Chính Hãng Giá Tốt Tại Sài Gòn

Bài viết liên quan

Nhập Email để nhận ngay báo giá sản phẩm

    • Kết Nối Với Chúng Tôi