SSH-sleutels opnieuw instellen voor Cisco ISE op Azure VM's

Inleiding

In dit document wordt beschreven hoe u SSH-sleutels voor Azure ISE VM's kunt resetten.

Voorwaarden

• Basiskennis ISE
• Toegang tot ISE Console via Microsoft Azure
• Toegang tot de ISE GUI
• Privileges voor het maken van nieuwe sleutelparen in Microsoft Azure

Vereisten

• Cisco ISE-node

Gebruikte componenten

• Cisco ISE 3.3

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Configureren

1. Zoek in Microsoft Azure naar de service SSH-sleutels.

2. Klik op Maken om een nieuwe SSH-sleutel te maken. Selecteer uw abonnement en uw bronnengroep. Geef een aangepaste naam op voor de nieuwe SSH-sleutel. Selecteer in het bronveld van de openbare SSH-sleutel de optie Nieuw sleutelpaar genereren en selecteer voor SSH-sleuteltype de optie RSA SSH-indeling.  Klik ten slotte op Bekijken + Maken om de sleutel te valideren en te maken.

3. Wanneer de sleutel is gemaakt, verschijnt er een nieuw venster. Klik op Privésleutel downloaden en bron maken.

Let op: Het is belangrijk om deze privésleutel veilig te bewaren, omdat dit het enige moment is waarop Azure u toestaat deze privésleutel te downloaden. Azure slaat deze privésleutel niet op en kan nergens anders worden gedownload.

4. Navigeer nu terug naar de SSH Keys-service en zoek naar uw nieuw gemaakte sleutel en klik erop om het overzicht te zien.

5. Op het overzicht van de sleutel ziet u de Public key. Kopieer deze tekst en plak deze op een teksteditor, zodat u deze kunt opslaan als een lokaal bestand met de extensie .pem. In deze handleiding wordt het bestand opgeslagen als public.pem.

Tip: U kunt op de knop Kopiëren naar klembord klikken om de openbare sleutelreeks te kopiëren.

6. Upload deze publieke sleutel naar ISE localdisk. Ga hiervoor naar ISE > Beheer > Systeem > Onderhoud > Lokaal schijfbeheer. Klik op de ISE-hostnaam, klik vervolgens op Uploaden en klik vervolgens op Bestand selecteren en zoek de openbare sleutel op uw lokale computer. Klik ten slotte op Uploaden starten.

7. Maak een repository die verwijst naar de lokale ISE-schijf, zodat u deze kunt gebruiken om de openbare sleutel te installeren, in dit voorbeeld wordt onze repository lokaal genoemd.

Opmerking: Als u het bestand met de publieke sleutel wilt uploaden naar een andere repository die al op ISE is gemaakt, hoeft dit geen lokale schijf te zijn.

8. Meld u aan bij ISE Serial Console van Azure met behulp van de gebruikersnaam waarvoor u de SSH-sleutel wilt resetten.

9. Controleer of de publieke sleutel (.pem-bestand) zich op de juiste manier in de repository bevindt en installeer de sleutel met de opdracht crypto key import { naam van het public key-bestand } repository { naam van de repository }.

Verifiëren

Om SSH in ISE te gebruiken met behulp van de nieuwe sleutelparen, moet u de privésleutel gebruiken als uw identificatie tijdens het inloggen.

1. Wijs de juiste rechten toe aan de privésleutel (degene die is gedownload in stap 3)

Vanaf macOS terminal:

CHMOD 600 { Privé-sleutelbestand }

Vanuit Windows:

Zoek het bestand in Windows Verkenner, klik er met de rechtermuisknop op en selecteer Eigenschappen. Navigeer naar het tabblad Beveiliging en klik op Geavanceerd.

Wijzig de eigenaar aan u, schakel overerving uit en verwijder alle machtigingen. Geef jezelf dan volledige controle en sla de machtigingen op.

2. SSH naar ISE met behulp van de nieuwe private key, de ISE-gebruikersnaam en het ISE IP-adres of FQDN.

Vanaf macOS terminal:

ssh -I { private key file } { gebruikersnaam } @{ ISE IP of FQDN }

Van Windows CMD:

ssh -i "{ private key file }" { gebruikersnaam } @{ ISE IP of FQDN }

Problemen oplossen

• Zorg ervoor dat u de volledige tekst van het bestand met de openbare sleutel naar uw .pem-bestand kopieert.
• Zorg ervoor dat de repository het public key bestand bevat.
• Als de crypto-opdracht de openbare sleutel niet op ISE installeert, verhoogt u een ticket met Cisco TAC, zodat de sleutel handmatig vanaf root kan worden geïnstalleerd. Veelvoorkomende fout voor deze bewerking is "% Fout: kan het geautoriseerde sleutelbestand niet bijwerken."