Redefinir chaves SSH para Cisco ISE em VMs do Azure

Introdução

Este documento descreve como redefinir chaves SSH para VMs do Azure ISE.

Pré-requisitos

• Conhecimento básico do ISE
• Acesso ao Console do ISE por meio do Microsoft Azure
• Acesso à GUI do ISE
• Privilégios para criar novos pares de chaves no Microsoft Azure

Requisitos

• nó Cisco ISE

Componentes Utilizados

• Cisco ISE 3.3

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.

Configurar

1. No Microsoft Azure, procure o serviço de chaves SSH.

2. Clique em Criar para criar uma nova chave SSH. Selecione sua assinatura e seu grupo de recursos. Especifique um nome personalizado para sua nova chave SSH. Para o campo de origem da chave pública SSH, selecione a opção para Gerar novo par de chaves e para o Tipo de chave SSH selecione Formato SSH RSA.  Por fim, clique em Revisar + Criar para validar e criar a chave.

3. Quando a tecla é criada, uma nova janela é exibida. Clique em Baixar chave privada e criar recurso.

Caution: É importante manter esta chave privada com segurança, pois este é o único momento em que o Azure permite baixar esta chave privada. O Azure não armazena essa chave privada e não pode ser baixado de qualquer outro lugar.

4. Agora, navegue de volta para o serviço Chaves SSH e procure sua chave recém-criada e clique nela para ver sua visão geral.

5. Na visão geral da chave, você verá a chave pública. Copie este texto e cole-o em um editor de texto para que você possa salvá-lo como um arquivo local com a extensão .pem. Neste guia, o arquivo é salvo como public.pem .

Tip: Você pode clicar no botão Copiar para a área de transferência para copiar a sequência de chave pública.

6. Carregue essa chave pública no disco local do ISE. Para fazer isso, navegue até ISE > Administração > Sistema > Manutenção > Gerenciamento de disco local. Clique no nome de host do ISE, em Carregar e em Selecionar arquivo, localize e selecione a chave pública no computador local. Finalmente, clique em Iniciar upload .

7. Crie um repositório que aponte para o disco local do ISE para que você possa usá-lo para instalar a chave pública. Neste exemplo, nosso repositório é chamado local.

Note: Se desejar, você pode carregar o arquivo de chave pública em um repositório diferente que já foi criado no ISE, não é necessário que seja um disco local.

8. Faça login no Console Serial do ISE a partir do Azure usando o nome de usuário para o qual você deseja redefinir a chave SSH.

9. Verifique se a chave pública (arquivo .pem) está localizada corretamente no repositório e instale a chave com o comando crypto key import { name of the public key file } repository { name of the repository.

Verificar

Para fazer SSH no ISE usando os novos pares de chaves, você precisa usar a chave privada como sua identificação ao fazer login.

1. Atribua as permissões apropriadas à chave privada (aquela baixada na Etapa 3)

Do terminal macOS:

chmod 600 { arquivo de chave privada }

Do Windows:

Localize o arquivo no Windows Explorer, clique nele com o botão direito do mouse e selecione Propriedades. Navegue até a guia Segurança e clique em Avançado.

Altere o proprietário para você, desabilite a herança e exclua todas as permissões. Em seguida, conceda a si mesmo o Controle total e salve as permissões.

2. Use SSH no ISE usando a nova chave privada, o nome de usuário do ISE e o endereço IP ou FQDN do ISE.

Do terminal macOS:

ssh -I { private key file } { username }@{ ISE IP ou FQDN }

Do CMD do Windows:

ssh -i "{ arquivo de chave privada }" { nome de usuário }@{ IP ISE ou FQDN }

Troubleshooting

• Certifique-se de copiar o texto completo do arquivo de chave pública para seu arquivo .pem.
• Certifique-se de que o repositório contenha o arquivo de chave pública.
• Se o comando crypto falhar ao instalar a chave pública no ISE, gere um tíquete com o Cisco TAC para que a chave possa ser manualmente instalada da raiz. O erro comum para esta operação é "% Erro: Não é possível atualizar o arquivo de chave autorizada."