使用基於金鑰的身份驗證通過SSH連線到NX-OS交換機

下載選項

  • PDF     (179.3 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (79.1 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (64.3 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2017 年 4 月 7 日
文件 ID:200640

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本檔案介紹如何在不提示輸入安全殼層(SSH)使用者密碼的情況下,ssh進入Cisco多層次資料交換器(MDS)9000或Nexus系列交換器。 

您可以將ssh與基於金鑰的身份驗證結合使用並運行命令,這樣就不會出現密碼提示。

switch# ssh username@switch命

必要條件

需求

思科建議您瞭解以下主題:

  • 當前使用ssh應用程式的伺服器

採用元件

本文檔中的資訊基於使用ssh版本的Linux伺服器:

$ ssh -v
OpenSSH_5.0p1-hpn13v1,OpenSSL 0.9.8d 2006年9月28日

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。

設定

要啟用此功能,請執行以下步驟:

步驟1.需要在MDS/Nexus交換機上啟用SSH。

#conf 
(config)#feature ssh

步驟2.您需要從主機獲取公鑰,並在MDS/Nexus交換機上進行配置。

選項:

-v :Verbose已啟用

-b:金鑰的位數

-t:演算法型別DSA或RSA

$ ssh-keygen -v -b 1024 -t rsa 
Generating public/private rsa key pair.
Enter file in which to save the key (/users/thteoh/.ssh/id_rsa):
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in /users/thteoh/.ssh/id_rsa.
Your public key has been saved in /users/thteoh/.ssh/id_rsa.pub.
The key fingerprint is:
61:18:ad:14:cd:a7:bf:44:89:73:4a:2e:09:96:bb:51 thteoh@people

附註:在本示例中,使用RSA時,您還可以選擇數位簽章演算法(DSA)金鑰。

使用cat with id_rsa.pub檔案驗證生成的金鑰(檔案也可以是id_dsa.pub)

$ cat id_rsa.pub
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAzDWrMuGDkDXFRnuCqdJRM9Yd+oi0ff2K6HxRsyqh82GmQJ3IX6OG7obiQTKnT9+eH7h2WCArEiMsOz3GYtakEkpYx6zR3cKwrsrgKv4TwRgSv8yUyH8GwPZOvZP97szJDu/3WP/ni4wJBb+yDqoI6+G1Rq/F2aYx45fh6SwlPv0= thteoh@people

步驟3.將id_rsa.pub(或id_dsa.pub)檔案傳輸到MDS/Nexus交換機的bootflash目錄並配置ssh公鑰。

在此示例中,SFTP用於在MDS交換機中傳輸id_rsa.pub

#copy sftp:  bootflash

要在Nexus交換機中傳輸檔案,請在命令中包括vrf

步驟4.使用id_rsa.pubid_dsa.pub在交換機上生成SSH金鑰。

用於參考teoh用戶名。

#conf 
(config)#username teoh sshkey file bootflash:id_rsa.pub

步驟5.您可以檢查命令是否成功完成。

switch# show user-account teoh
user:teoh
this user account has no expiry date
roles:network-admin 
ssh public key: ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAzDWrMuGDkDXFRnuCqdJRM9Yd+oi0ff2K6HxRsyqh82GmQJ3IX6OG7o
biQTKnT9+eH7h2WCArEiMsOz3GYtakEkpYx6zR3cKwrsrgKv4TwRgSv8yUyH8GwPZOvZP97szJDu/3WP/ni4wJBb+yDqoI6+G1Rq/F2aYx45fh6Swl
Pv0= thteoh@people
switch#

驗證

現在,您可以通過ssh連線到switch,並在不提示密碼的情況下發出任何命令:

$ ssh teoh@10.66.78.53 "sh system uptime"
Warning: the output may not have all the roles
System start time: Tue May 29 17:51:30 2012
System uptime: 7 days, 19 hours, 42 minutes, 15 seconds
Kernel uptime: 7 days, 19 hours, 45 minutes, 17 seconds

TAC Authored

由思科工程師貢獻

  • Tiong Teoh
    Cisco TAC Engineer

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品