Configurazione di Cisco con Kerberos

ciscoAnche Cisco supporta nel suo IOS la possibilità di autenticarsi con Kerberos 5. Questa modalità serve da un lato ad acquisire un TGT quando l’utente fa log-on al sistema IOS (ad esempio attraverso una linea seriale), ma soprattutto per permettere una sessione telnet utente senza digitare username e password. Di seguito un esempio di configurazione Kerberos con IOS:

aaa new-model
aaa authentication login default krb5-telnet krb5 enable
aaa authorization exec krb5-instance
kerberos local-realm AZIENDA.IT
kerberos srvtab entry host/router.azienda.it 0 891725446 4 1 8 012345678901234567
kerberos server AZIENDA.IT 192.168.0.10
kerberos instance map admin 15

Questa configurazione permette ad un utente con un client telnet kerberizzato di autenticarsi attraverso il TGT e, nel caso l’operazione fallisse, di collegarsi attraverso la password di enable. Il parametro “instance map”, congiuntamente alla linea “authorization exec”, permette agli utenti di classe admin di accedere all’IOS con privilegi di enable. Guardando la configurazione, è importante capire i numeri che seguono il principal host/router.azienda.it.: il primo è il principal type, il timestamp (in secondi da 1970), il key version number (4), il keytype (1 = des), key length (sempre 8 per des) e quindi la chiave.

Conclusione

A questo punto, è possibile collegarsi da Linux con il telnet, assicurandosi di eseguire il client telnet corretto: alcune distribuzioni differenziano il telnet standard da quello kerberizzato, ad esempio RedHat posiziona il telnet in /usr/kerberos/bin/telnet. Windows 2000 e MacOS X, invece, dispongono già delle estensioni Kerberos nei loro client telnet nativi.