好消息,超酷的在线虚拟网络实验室上线了!点击开始实验

为获得更好的浏览效果,建议您使用 Firefox 或者 Chrome 浏览器



 

7.1.4  第三方客户端publickey认证配置举例

组网需求

Router作为服务器端通过千兆以太口和作为客户端的PC相连,Hostpublickey方式登录到设备。

图1  publickey认证方式组网图

配置思路

l              在客户端生成密钥对,并将公钥通过FTP上传到设备

l              在服务器端生成RSADSA密钥对,并启动SSH服务器

l              配置允许SSH登录

l              将客户端公钥导入

l              5.配置用户使用publickey认证并邦定导入的公钥

 

配置步骤

 

设备Router的配置

1、配置步骤

# 生成RSA及DSA密钥对,并启动SSH服务器。

<Router> system-view

[Router] public-key local create rsa

[Router] public-key local create dsa

[Router] ssh server enable

 

# 配置接口GigabitEthernet3/1/1的IP地址,客户端将通过该地址连接SSH服务器。

[Router] interface GigabitEthernet 3/1/1

[Router-GigabitEthernet3/1/1] ip address 192.168.1.40 255.255.255.0

[Router-GigabitEthernet3/1/1] quit

 

# 设置用户接口上认证模式为AAA认证。

[Router] user-interface vty 0 4

[Router-ui-vty0-4] authentication-mode scheme

 

# 设置Router上远程用户登录协议为SSH。

[Router-ui-vty0-4] protocol inbound ssh

 

# 设置用户能访问的命令级别为3。

[Router-ui-vty0-4] user privilege level 3

[Router-ui-vty0-4] quit

 

&  说明:

这时需要先在SSH客户端使用SSH客户端软件生成RSA密钥对,将生成的RSA公钥保存到指定文件中,并将此公钥文件通过FTP/TFTP方式上传到服务器端,文件名为key.pub。相关配置请参见客户端的配置。

 

# 从文件key.pub中导入远端的公钥。

[Router] public-key peer Router001 import sshkey key.pub

 

# 设置SSH用户client002的认证方式为publickey,并指定公钥为Router001。

[Router] ssh user client002 service-type stelnet authentication-type publickey assign publickey Router001

 

2、配置文件

#

 public-key peer Router001

  public-key-code begin

   30819D300D06092A864886F70D010101050003818B003081870281810098BCB14DDF081C92

   67D489C15967AB4A1605884833979F735E77C59AAB11343EB7614FF2AD74BACA3A20C2411F

   2099E0E12BCF6E38C8C15E717C5FCF6287DBA41743DD904500A58D20C3D3D200746FB3D427

   448259222450C572827D373A8F2D6DFA8BC14DDD7C32E88876B67DD610EBAFBBEA8F61ADF5

   D6A73BE0E07A6CCBC7020125

  public-key-code end

 peer-public-key end

#        

interface GigabitEthernet3/1/1

 port link-mode route

 ip address 192.168.1.40 255.255.255.0

#

ssh server enable

 ssh user client002 service-type stelnet authentication-type publickey assign pu

blickey Router001

#

user-interface vty 0 4

 authentication-mode scheme

 protocol inbound ssh

#  

 

 

    

主机Host的配置

1、配置步骤

# 生成RSA密钥对。

运行PuTTYGen.exe,在参数栏中选择“SSH-2 RSA”,点击<Generate>,产生客户端密钥对。

 

 

在产生密钥对的过程中需不停的移动鼠标,鼠标移动仅限于下图蓝色框中除绿色标记进程条外的地方,否则进程条的显示会不动,密钥对将停止产生,见下图

 

 

密钥对产生后,点击<Save public key>,输入存储公钥的文件名key.pub,点击保存。

 

 

点击<Save private key>存储私钥,弹出警告框,提醒是否保存没做任何保护措施的私钥,点击<Yes>,输入私钥文件名为private,点击保存。

 

 

&  说明:

客户端生成密钥对后,需要将保存的公钥文件通过FTP/TFTP方式上传到服务器,并完成服务器的配置后,才可继续客户端的配置。

 

# 指定私钥文件,并建立与SSH服务器的连接。

打开PuTTY.exe程序,出现下图所示的客户端配置界面。在“Host Nameor IP address)”文本框中输入SSH服务器的IP地址为192.168.1.40

 

 

单击“SSH”下面的“Auth”(认证),出现下图的界面。单击<Browse…>按钮,弹出文件选择窗口。选择与配置到服务器端的公钥对应的私钥文件private

 

 

11 ,单击<Open>按钮。按提示输入用户名client002,即可进入Router的配置界面。

 

验证结果

可通过以下方式验证上述配置:

 

通过display users查看用户登录成功

The user application information of the user interface(s):

  Idx UI      Delay    Type Userlevel

+ 0   CON 0   00:00:00      3

  2   VTY 0   00:00:13 SSH  3

 

Following are more details.

VTY 0   :

        User name: client002

        Location: 192.168.1.56

 +    : Current operation user.

 F    : Current operation user work in async mode.  

 

 

 

 

 

 

 

X Close
X Close