De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft hoe u een openbaar en privé SSH-sleutelpaar kunt gebruiken om de optie Wachtwoord zonder wachtwoord te configureren voor Cisco Nexus 9000-gebruikersaccounts die zijn gecertificeerd met verificatie-, autorisatie- en accounting (AAA) protocollen (zoals RADIUS en TACACS+).
De schaal van het Bash moet op het apparaat van Cisco Nexus worden geactiveerd. Raadpleeg het gedeelte "Toegang tot basis" van het Hoofdstuk in de Cisco Nexus 9000 Series NX-OS Programmakeuze voor de instructies om het veld Bash in te schakelen.
U moet deze procedure uitvoeren vanuit een gebruikersaccount dat de "netwerk-beheerder" rol behoudt.
U moet beschikken over een bestaand openbaar en privé SSH-toetsenbord om te importeren.
Opmerking: De procedure voor het genereren van een openbaar en particulier SSH-sleutelpaar is van het platform afhankelijk en valt buiten het toepassingsgebied van dit document.
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
Deze software werd gebruikt om op te treden als een SCP/SFTP-server:
De informatie in dit document is gemaakt van apparatuur in een specifieke labomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdrachten begrijpt.
Het hoofdstuk "SSH en telnet configureren" van de Cisco Nexus 9000 Series NX-OS security configuratiegids beschrijft hoe u de functie SSH Passive File Kopie kunt configureren voor gebruikersaccounts die worden gemaakt via NX-OS-configuratie op Cisco Nexus-apparaten. Deze optie stelt een lokale gebruikersaccount in staat om op SSH gebaseerde protocollen te gebruiken, zoals Secure Copy Protocol (SCP) en Secure FTP (SFTP), om bestanden van een externe server naar het Nexus-apparaat te kopiëren. Deze procedure werkt echter niet zoals verwacht voor gebruikersaccounts die via een AAA-protocol zijn geauthentiseerd, zoals RADIUS of TACACS+. Wanneer uitgevoerd op AAA-echt bevonden gebruikersrekeningen, zal het openbare en privé sleutelpaar van SSH niet blijven bestaan als het apparaat om wat voor reden dan ook opnieuw geladen is. Dit document toont een procedure aan die het mogelijk maakt om een publiek en privé zeer belangrijk paar van SSH in een AAA-geauthentiseerde gebruikersaccount te importeren zodat het belangrijkste paar bij herlading blijft.
Deze procedure gebruikt "foo" om de naam van een AAA-echt bevonden gebruikersaccount weer te geven. Wanneer u de instructies in deze procedure opvolgt, vervangt u "foo" door de eigenlijke naam van de AAA-echt gewaarmerkte gebruikersaccount die u voor gebruik wilt configureren met de optie SSH Wachtwoordloze File Copy.
N9K(config)# feature bash-shell
Opmerking: Deze actie is niet-verstorend.
N9K# run bash sudo su – root@N9K# cat /etc/passwd root:x:0:0:root:/root:/bin/bash bin:*:1:1:bin:/bin: daemon:*:2:2:daemon:/usr/sbin: sys:*:3:3:sys:/dev: ftp:*:15:14:ftp:/var/ftp:/isanboot/bin/nobash ftpuser:*:99:14:ftpuser:/var/ftp:/isanboot/bin/nobash sshd:x:15:6:sshd:/var/sshd:/isanboot/bin/nobash __eemuser:*:101:100:eemuser:/var/home/__eemuser:/isanboot/bin/nobash nobody:*:65534:65534:nobody:/home:/bin/false svc-nxapi:*:498:501::/var/home/svc-nxapi:/isan/bin/vsh_perm svc-isan:*:499:501::/var/home/svc-isan:/isan/bin/vsh_perm svc-nxsdk:*:500:501::/var/home/svc-nxsdk:/isan/bin/vsh_perm dockremap:x:999:498::/var/home/dockremap:/bin/false admin:x:2002:503::/var/home/admin:/isan/bin/vsh_perm foo:x:2004:504::/var/home/foo:/isan/bin/vsh_perm <<< root@N9K# userdel foo root@N9K# cat /etc/passwd root:x:0:0:root:/root:/bin/bash bin:*:1:1:bin:/bin: daemon:*:2:2:daemon:/usr/sbin: sys:*:3:3:sys:/dev: ftp:*:15:14:ftp:/var/ftp:/isanboot/bin/nobash ftpuser:*:99:14:ftpuser:/var/ftp:/isanboot/bin/nobash sshd:x:15:6:sshd:/var/sshd:/isanboot/bin/nobash __eemuser:*:101:100:eemuser:/var/home/__eemuser:/isanboot/bin/nobash nobody:*:65534:65534:nobody:/home:/bin/false svc-nxapi:*:498:501::/var/home/svc-nxapi:/isan/bin/vsh_perm svc-isan:*:499:501::/var/home/svc-isan:/isan/bin/vsh_perm svc-nxsdk:*:500:501::/var/home/svc-nxsdk:/isan/bin/vsh_perm dockremap:x:999:498::/var/home/dockremap:/bin/false admin:x:2002:503::/var/home/admin:/isan/bin/vsh_perm
Opmerking: Binnen Bash wordt de gebruikersaccount voor "foo" alleen aangemaakt als de gebruikersaccount voor "foo" op afstand is aangemeld bij het Nexus-apparaat sinds het apparaat voor het laatst is herstart. Als de gebruikersaccount "foo" zich onlangs niet bij het apparaat heeft aangemeld, is de account mogelijk niet aanwezig in de uitvoer van de opdrachten die in deze stap zijn gebruikt. Als de gebruikersaccount "foo" niet aanwezig is in de uitvoer van de opdrachten, gaat u naar Stap 3.
root@N9K# cat /etc/passwd root:x:0:0:root:/root:/bin/bash bin:*:1:1:bin:/bin: daemon:*:2:2:daemon:/usr/sbin: sys:*:3:3:sys:/dev: ftp:*:15:14:ftp:/var/ftp:/isanboot/bin/nobash ftpuser:*:99:14:ftpuser:/var/ftp:/isanboot/bin/nobash sshd:x:15:6:sshd:/var/sshd:/isanboot/bin/nobash __eemuser:*:101:100:eemuser:/var/home/__eemuser:/isanboot/bin/nobash nobody:*:65534:65534:nobody:/home:/bin/false svc-nxapi:*:498:501::/var/home/svc-nxapi:/isan/bin/vsh_perm svc-isan:*:499:501::/var/home/svc-isan:/isan/bin/vsh_perm svc-nxsdk:*:500:501::/var/home/svc-nxsdk:/isan/bin/vsh_perm dockremap:x:999:498::/var/home/dockremap:/bin/false admin:x:2002:503::/var/home/admin:/isan/bin/vsh_perm root@N9K# useradd foo root@N9K# cat /etc/passwd root:x:0:0:root:/root:/bin/bash bin:*:1:1:bin:/bin: daemon:*:2:2:daemon:/usr/sbin: sys:*:3:3:sys:/dev: ftp:*:15:14:ftp:/var/ftp:/isanboot/bin/nobash ftpuser:*:99:14:ftpuser:/var/ftp:/isanboot/bin/nobash sshd:x:15:6:sshd:/var/sshd:/isanboot/bin/nobash __eemuser:*:101:100:eemuser:/var/home/__eemuser:/isanboot/bin/nobash nobody:*:65534:65534:nobody:/home:/bin/false svc-nxapi:*:498:501::/var/home/svc-nxapi:/isan/bin/vsh_perm svc-isan:*:499:501::/var/home/svc-isan:/isan/bin/vsh_perm svc-nxsdk:*:500:501::/var/home/svc-nxsdk:/isan/bin/vsh_perm dockremap:x:999:498::/var/home/dockremap:/bin/false admin:x:2002:503::/var/home/admin:/isan/bin/vsh_perm foo:x:2004:504::/var/home/foo:/isan/bin/vsh_perm <<<
Opmerking: Met deze actie kan de gebruikersaccount "foo" bestanden naar de flitser schrijven, die vereist is om op SSH gebaseerde protocollen (zoals SCP en SFTP) te kunnen gebruiken om een bestandskopie uit te voeren.
root@N9K# usermod -a -G network-admin foo
root@N9K# exit N9K# show run | i foo username foo password 5 ! role network-admin username foo keypair generate rsa username foo passphrase lifetime 99999 warntime 7
Voorzichtig: Als u de gebruikersaccount "foo" niet aan de groep "netwerk-admin" hebt toegevoegd zoals in Stap 4 is gericht, dan zal de actieve configuratie van NX-OS nog steeds laten zien dat de gebruikersaccount "foo" de rol "netwerk-admin" erft. De foo-gebruikersaccount is echter geen lid van de "netwerk-admin"-groep vanuit een Linux-perspectief, en kan geen bestanden naar de flitser van het Nexus-apparaat schrijven. Om dit probleem te voorkomen, zorg er dan voor dat u de foo-gebruikersaccount aan de groep "netwerk-beheerder" toevoegt zoals bedoeld in Stap 4 en bevestig dat de foo-gebruikersaccount is toegevoegd aan de groep "netwerk-beheerder" binnen het veld Bash.
Opmerking: Hoewel de bovenstaande configuratie aanwezig is in NX-OS, is deze gebruikersaccount geen lokale gebruikersaccount. U kunt niet in deze gebruikersaccount loggen als lokale gebruikersaccount, zelfs niet als het apparaat is losgekoppeld van een AAA-server (RADIUS/TACACS+).
Opmerking: Deze stap gaat ervan uit dat het openbare en particuliere SSH-sleutelpaar al bestaat. De procedure voor het genereren van een openbaar en particulier SSH-sleutelpaar is van het platform afhankelijk en valt buiten het toepassingsgebied van dit document.
Opmerking: In dit voorbeeld heeft de SSH public key een bestandsnaam van "foo.pub" en de SSH private key heeft een bestandsnaam van "foo". De externe locatie is een SFTP-server op 192.0.2.10 die bereikbaar is via het Management Virtual Routing and Forwarding (VRF).
N9K# copy sftp://foo@192.0.2.10/home/foo/foo* bootflash: vrf management
The authenticity of host '192.0.2.10 (192.0.2.10)' can't be established.
ECDSA key fingerprint is SHA256:TwkQiylhtFDFPPwqh3U2Oq9ugrDuTQ50bB3boV5DkXM.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '192.0.2.10' (ECDSA) to the list of known hosts.
foo@192.0.2.10's password:
sftp> progress
Progress meter enabled
sftp> get /home/foo/foo* /bootflash
/home/foo/foo
100% 1766 1.7KB/s 00:00
/home/foo/foo.pub
100% 415 0.4KB/s 00:00
sftp> exit
Copy complete, now saving to disk (please wait)...
Copy complete.
N9K# dir bootflash: | i foo
1766 Sep 23 23:30:02 2019 foo
415 Sep 23 23:30:02 2019 foo.pub
N9K# configure N9K(config)# username foo keypair import bootflash:foo rsa force N9K(config)# exit
Volg deze procedure om de optie SSH-bestandskopie voor AAA-gewaarmerkte gebruikersrekeningen te controleren.
N9K# show username foo keypair
**************************************
rsa Keys generated:Thu Sep 5 01:50:43 2019
ssh-rsa
AAAAB3NzaC1yc2EAAAADAQABAAABAQDn+7nOJN8aF0i2NHSnmChHi+lujltuxf6MHtSfiKQWYCz7N13of0U4quIDGODLZEXzic+N655me3MsnxzvyUwXz2XNQtjqdbmPVfWnmoXiSmWQ82qfDADtnWBEX8krVhypS5ny4+lG6m0S+yMtNuAvppBgLpT4weSUUFWnU7DcxOzlebe9ku/0Y4JARhOZlR0bAVC0qknsd/4+2ngmcXjKqMBtNPuVESAaddFS5enED0RJRveqY/mte/h6NUQfuzGk2COk4hh4LCslRtEsxB1+QhCasN7u7o+MJR3nV9pfKwj3qwjWt2iL5gRukj/c6UdMZ4d0+QLEofttBMp/y2NV
bitcount:2048
fingerprint:
MD5:9b:d8:7e:dd:32:9c:ae:32:07:b6:9b:64:34:ef:9a:af**************************************
could not retrieve dsa key information
**************************************
could not retrieve ecdsa key information
**************************************
Opmerking: Dit voorbeeld gebruikt een SFTP-server die op 192.0.2.10 in het beheer VRF toegankelijk is, met de openbare sleutel van de "foo"-gebruikersaccount toegevoegd als geautoriseerde sleutel. Deze SFTP-server heeft een "text.txt"-bestand dat op het absolute pad /home/foo/test.txt aanwezig is.
[admin@server ~]$ cat .ssh/authorized_keys
ssh-rsa
AAAAB3NzaC1yc2EAAAADAQABAAABAQDn+7nOJN8aF0i2NHSnmChHi+lujltuxf6MHtSfiKQWYCz7N13of0U4quIDGODLZEXzic+N655me3MsnxzvyUwXz2XNQtjqdbmPVfWnmoXiSmWQ82qfDADtnWBEX8krVhypS5ny4+lG6m0S+yMtNuAvppBgLpT4weSUUFWnU7DcxOzlebe9ku/0Y4JARhOZlR0bAVC0qknsd/4+2ngmcXjKqMBtNPuVESAaddFS5enED0RJRveqY/mte/h6NUQfuzGk2COk4hh4LCslRtEsxB1+QhCasN7u7o+MJR3nV9pfKwj3qwjWt2iL5gRukj/c6UdMZ4d0+QLEofttBMp/y2NV
[admin@server ~]$ hostname -I
192.0.2.10
[admin@server ~]$ pwd
/home/foo
[admin@server ~]$ ls | grep test.txt
test.txt
N9K# show users
NAME LINE TIME IDLE PID COMMENT
foo pts/0 Sep 19 23:18 . 4863 (192.0.2.100) session=ssh *
N9K# copy sftp://foo@192.0.2.10/home/foo/test.txt bootflash: vrf management
Outbound-ReKey for 192.0.2.10:22
Inbound-ReKey for 192.0.2.10:22
sftp> progress
Progress meter enabled
sftp> get /home/foo/test.txt /bootflash/test.txt
/home/foo/test.txt
100% 15 6.8KB/s 00:00
sftp> exit
Copy complete, now saving to disk (please wait)...
Copy complete.
Bewaar desgewenst de configuratie van het Nexus-apparaat en herladen van het apparaat. Controleer, nadat het Nexus-apparaat weer online komt, of het SSH-sleutelpaar gekoppeld blijft aan de foo-gebruikersaccount.
N9K# show username foo keypair
**************************************
rsa Keys generated:Thu Sep 5 01:50:43 2019
ssh-rsa
AAAAB3NzaC1yc2EAAAADAQABAAABAQDn+7nOJN8aF0i2NHSnmChHi+lujltuxf6MHtSfiKQWYCz7N13of0U4quIDGODLZEXzic+N655me3MsnxzvyUwXz2XNQtjqdbmPVfWnmoXiSmWQ82qfDADtnWBEX8krVhypS5ny4+lG6m0S+yMtNuAvppBgLpT4weSUUFWnU7DcxOzlebe9ku/0Y4JARhOZlR0bAVC0qknsd/4+2ngmcXjKqMBtNPuVESAaddFS5enED0RJRveqY/mte/h6NUQfuzGk2COk4hh4LCslRtEsxB1+QhCasN7u7o+MJR3nV9pfKwj3qwjWt2iL5gRukj/c6UdMZ4d0+QLEofttBMp/y2NV
bitcount:2048
fingerprint:
MD5:9b:d8:7e:dd:32:9c:ae:32:07:b6:9b:64:34:ef:9a:af**************************************
could not retrieve dsa key information
**************************************
could not retrieve ecdsa key information
**************************************
N9K# reload
This command will reboot the system. (y/n)? [n] y
N9K# show username foo keypair
**************************************
rsa Keys generated:Thu Sep 5 01:50:43 2019
ssh-rsa
AAAAB3NzaC1yc2EAAAADAQABAAABAQDn+7nOJN8aF0i2NHSnmChHi+lujltuxf6MHtSfiKQWYCz7N13of0U4quIDGODLZEXzic+N655me3MsnxzvyUwXz2XNQtjqdbmPVfWnmoXiSmWQ82qfDADtnWBEX8krVhypS5ny4+lG6m0S+yMtNuAvppBgLpT4weSUUFWnU7DcxOzlebe9ku/0Y4JARhOZlR0bAVC0qknsd/4+2ngmcXjKqMBtNPuVESAaddFS5enED0RJRveqY/mte/h6NUQfuzGk2COk4hh4LCslRtEsxB1+QhCasN7u7o+MJR3nV9pfKwj3qwjWt2iL5gRukj/c6UdMZ4d0+QLEofttBMp/y2NV
bitcount:2048
fingerprint:
MD5:9b:d8:7e:dd:32:9c:ae:32:07:b6:9b:64:34:ef:9a:af**************************************
could not retrieve dsa key information
**************************************
could not retrieve ecdsa key information
**************************************
Er is momenteel geen specifieke troubleshooting-informatie beschikbaar voor deze configuratie.