تكوين مصادقة المفتاح الخاص باستخدام ISE

المقدمة

يوضح هذا المستند كيفية إنشاء مفتاح طبقة آمن خاص (SSH) لمصادقة CLI على Identity Secure Engine (ISE).

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• المستودع في ISE.
• مصادقة الشهادة.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• ISE 3.3 Patch 3
• نظام التشغيل Windows 10
• ماك أو إس إكس
• عميل SSH PuTTY

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

التكوين

إنشاء المفاتيح الخاصة والعامة في Windows

انقر على رمز البحث الموجود في شريط المهام:

· اكتب cmd في شريط البحث
· في نتائج البحث، انقر بزر الماوس الأيمن فوق موجه الأوامر وحدد تشغيل كمسؤول. وهذا يضمن أن لديك الأذونات اللازمة لتنفيذ الأوامر

· تنفيذ الأمر التالي:

ssh-keygen

• هذا يطالبك بإدخال مفتاح التشفير مرتين. الرجاء حفظه، لأن هذا من أجل مصادقته مقابل ISE ككلمة مرور جديدة. بعد ذلك، ينتج عن هذا إنشاء ملفين، المفاتيح الخاصة (id_rsa) والمفاتيح العامة (id_rsa.pub)، بعد ذلك. احفظ الملفات في دليل واحد. على سبيل المثال، تم إستخدام القيمة الافتراضية

• التحقق من مكان تخزين الملفات

قم بنقل المفتاح العام (id_rsa.pub) في مجلد مستودع الملفات الذي تم تكوينه على ISE.

قم بإنشاء مفاتيح خاصة وعامة من خلال MacOS

انقر على Finder الرمز الموجود في محطة الإرساء
· انتقل إلى Applications folder
· ضمن Applications folderمجلد أدوات المساعدة وتحديد مكانه وفتحه
· في قائمة أدوات المساعدة، ابحث Terminal
· انقر نقرا مزدوجا Terminal لفتحه
· في Terminal النافذة، اكتب ssh-keygen -t rsa" واضغط مفتاح الإدخال Enter لتنفيذه
· اكتب مفتاح التشفير مرتين و save it
· الانتقال إلى موقع الملفات
قم بنقل المفتاح العام (id_rsa.pub) في مجلد مستودع الملفات الذي تم تكوينه على ISE.

تكوين الشهادة لتسجيل الدخول في ISE

تأكيد ما إذا كان الملف العام ضمن المستودع باستخدام الأمر التالي:

show repository 

• استورد المفتاح العام مبرد (id_rsa.pub) باستخدام الأمر في الامتياز أسلوب:

crypto key import  repository 

• دخلت إلى شامل تشكيل أسلوب واستعملت الأمر:

service sshd PubkeyAuthentication

الرجاء إستخدام الأمر للتحقق من عدم حدوث أية أخطاء أثناء إستيراد المفتاح العام. ومن المقترح متابعة هذا الإجراء عبر منفذ وحدة التحكم لتجنب فقدان الوصول إلى ISE.

التحقق من الصحة

تسجيل الدخول إلى Windows

حاول الوصول إلى ISE عن طريق cmd إستخدام الأمر:

ssh -i  @
EXAMPLE: 
ssh -i id_rsa admin@192.168.57.13

أستخدم مفتاح التشفير الذي تم تكوينه في الخطوة إنشاء المفاتيح الخاصة والعامة في Windows للمصادقة.

تسجيل الدخول في MacOS

دخلت هذا أمر في انتهائية:

ssh -i  @
EXAMPLE: 
ssh -i id_rsa admin@192.168.57.13 

 أو

ssh -i ~/.ssh/  @
EXAMPLE:
ssh -i ~/.ssh/id_rsa admin@192.168.57.13

أستخدم مفتاح التشفير الذي تم تكوينه في الخطوة إنشاء المفاتيح الخاصة والعامة من خلال MacOS للمصادقة.

تسجيل الدخول في PuTTY

فتح PuTTy key generator  (البحث بواسطة PuTtyGen في شريط البحث عن بدء التشغيل)، انقر فوق تحميل، وحدد جميع الملفات، وافتح المفتاح الخاص الذي تم إنشاؤه من cmd (في Windows) أو terminal (في MacOS):

• اكتب مفتاح التشفير المستخدم مسبقا في CMD أو الوحدة الطرفية

تحويل هذا الملف إلى إصدار PuTTY متوافق من خلال تنفيذ الخطوات التالية:

• انقر فوق مفتاح > معلمات لحفظ الملفات الأساسية 

• PPK file version : اختار 2
• Key derivation function: إختيار Argon2id

ملاحظة: بالنسبة لباقي المعلمات، أستخدم القيم الافتراضية.

• انقر Ok

• انقر فوق Save private Key

بعد حفظ المفتاح على الكمبيوتر، تكون مستعدا لاستخدامه بالإشارة إلى الأمثلة التالية:

• فتح بوتي
• انقر فوق Connection > SSH > Auth > Browse
• حدد مفتاحك الخاص وانقر Open

• العودة إلى جلسة العمل، قم بتعيين عنوان IP أو اسم المضيف (FQDN) ل ISE
• انقر على فتح

أستخدم مفتاح التشفير المكون في الخطوة إنشاء المفاتيح الخاصة والعامة عبر نظام التشغيل MacOS أو إنشاء المفاتيح الخاصة والعامة في Windows للمصادقة.

استكشاف الأخطاء وإصلاحها

سحب رسائل الخطأ من موقع نقطة النهاية التي تضيف في اتصال ssh العلامة -v

Example for Windows: 
ssh -v -i id_rsa admin@192.168.57.13

Example for MacOS:
ssh -v -i id_rsa admin@192.168.57.13

 أو

ssh -v -i ~/.ssh/id_rsa admin@192.168.57.13

خطأ في إستيراد المفتاح العام

% Error: يتعذر تحليل ملف المفتاح العام.

إذا واجهت أي إزعاج عند إستيراد أكثر من مفتاح عام واحد، فيرجى الاتصال بدعم Cisco.