Хорошо

загрузка публичного ключа на коммутатор

Опубликовано 2020-11-25 16:16:45Последний ответ ноя 27, 2020 11:38:41 397 10 0 0 1
  Награжденные Форбаллы: 0 (Проблема решена)

Здравствуйте!


Вопрос такой: сгенерировал приватный и публичный ключ на линуксе  

# sudo -u zabbix ssh-keygen -t rsa

Как положить публичный ключ на коммутатор S5720-SI (Version 5.170 V200R019C10SPC500)?

Пробовал через rsa peer-public-key, но не получается - ошибка.

Подскажите, пожалуйста, может кто знает?

  • x

Избранные ответы
user_2909167
Модератор Опубликовано 2020-11-27 11:04:49
Добрый день.
Если есть задача только бэкапить конфиги какомуто юзеру - то лучше выдать ему привилеги уровня 1 или 2. Например:
local-user test password irreversible-cipher xxx
local-user test privilege level 2
local-user test2service-type ssh

затем переопределить некоторые команды с уровня [3-15 - которые все обладают админскими правами - https://support.huawei.com/hedex/hdx.do?docid=EDOC1100126530&id=EN-US_CLIREF_0177113360&lang=en ] до уровня нашего пользователя - 2

Например вот так:
system-view
#
command-privilege level 2 view shell ftp
command-privilege level 2 view shell ftp x.y.z.w ///вписать ip-адрес сервера
command-privilege level 2 view ftp-client binary
command-privilege level 2 view ftp-client put vrpcfg.zip backup.zip ///backup.zip - при необходимости - как будет на внешнем сервере сохранен файл
#
Итого - прописываются все команды, в т.ч. содержащие текстовые аргументы (например какойто ip адрес) которые пользователь с низким уровнем привилегий сможет выполнить
https://support.huawei.com/hedex/hdx.do?docid=EDOC1100126530&id=EN-US_CLIREF_0177113207&lang=en

Надеюсь эта информация будет полезной
Развернуть
  • x

Igor24
Igor24 Опубликовано 2020-11-27 12:07 (0) (0)
спасибо.
я хочу через scp бэкапы делать, а для этого нужен 3 уровень (если я все правильно понял)  
Все ответы
NikitamatveeV
NikitamatveeV Админ Опубликовано 2020-11-25 18:40:28

Добрый день!

Уточняем информацию. Если ответ нужен срочно, пожалуйста, обратитесь в TAC cissupport@huawei.com.

Спасибо!

Развернуть
  • x

user_2909167
user_2909167 Модератор Опубликовано 2020-11-25 18:45:28
Добрый вечер
Изучите данный манул начиная с пункта 3
https://support.huawei.com/hedex/hdx.do?docid=EDOC1100126530&id=EN-US_TASK_0177100110&lang=en
Развернуть
  • x

EV_on_Hua
EV_on_Hua Опубликовано 2020-11-26 09:43:01
Здравствуйте. Что именно не получается? И как выглядит выводимая ошибка? Нужна полная информация - что вы вводите, и что выводит в ответ система.
По данной команде есть конкретные рекомендации - https://support.huawei.com/hedex/hdx.do?lib=EDOC1100126530AEI02128&docid=EDOC1100126530&lang=en&v=03&tocLib=EDOC1100126530AEI02128&tocV=03&id=EN-US_CLIREF_0177113409&tocURL=resources%25252Fdc%25252Frsa_peer-public-key.html&p=t&fe=1&ui=3&keyword=rsa%252Bpeer-public-key
Развернуть
  • x

Igor24
Igor24 Опубликовано 2020-11-26 17:06:49
После
# sudo -u zabbix ssh-keygen -t rsa
получаю открытый id_rsa.pub и закрытый ключ id_rsa
копирую содержимое id_rsa.pub,

захожу на коммутатор выполняю команды

[sw_42]rsa peer-public-key test encoding-type pem
Enter "RSA public key" view, return system view with "peer-public-key end".
[sw_42-rsa-public-key]public-key-code begin
Enter "RSA key code" view, return last view with "public-key-code end".
Здесь вставляю содержимое файла id_rsa.pub
[sw_42-rsa-key-code]public-key-code end
% Fail to decode key string, the key string may be invalid.
Развернуть
  • x

Igor24
Igor24 Опубликовано 2020-11-26 17:20:39

Почитал интернет, оказывается надо преобразовать публичный ключ в формат RFC4716
Делаю:
ssh-keygen -f id_rsa.pub -e -m RFC4716
---- BEGIN SSH2 PUBLIC KEY ----
Comment: "3072-bit RSA, converted by sa@zabbix from OpenSSH"
AAAAB3NzaC1yc2EAAAADAQABAAABgQC5i36gaxhOEs6SyAB/vc5jYwuPP3mG9/HX1sZjrQ
MohQK/27RbLZuQgCbr5A0SvrRW6i0w4EkstXCjdbDwHd1b6XJvbvNUfGjhYhuxMxCXJXt+
Ha74Ap8Aqrv8xgcthIVgUbZkQEo5DfEKdHm+m0A3FVDp5fLpHI+UOlOngIlW+cVMgOZW9X
6Khf0H3mnlc0KaNjjxEVA3VRzhbPt29eAPjoYUpq0mcdLGZHRxyHSeO6rF2299q2KOzaoz
UNN/xO7ybCdbCxSvgxFWZcyh6mR7r7z1KJzPVMxPCHEbBiIY4QSGnL8kJZsipBKq7kXgqn
/MyJ9FkE5ScjVp7K/v0ao5DuLYMq/fK2yl57ljbF+uJHVsdbDl2lzl/64x3a9jkUrCuynp
5X3F1FJpW4gCHh/1ACt26Pi1TeYQKV0aFtv/drjB42N5WFuVpc+pgm1oqg4nf0gKL0u3CR
1WdqxKoZRX+NToaWk3f+Ss0PI7F4tGAlwr0llJrEG7pDutPXNbvG8=
---- END SSH2 PUBLIC KEY ----

Копирую все начиная с ---- BEGIN SSH2 PUBLIC KEY ----

И публичный ключ успешно устанавливается

rsa peer-public-key zabbix-key encoding-type pem
public-key-code begin
 ---- BEGIN SSH2 PUBLIC KEY ----
 AAAAB3NzaC1yc2EAAAADAQABAAABgQC5i36gaxhOEs6SyAB/vc5jYwuPP3mG9/HX
 1sZjrQMohQK/27RbLZuQgCbr5A0SvrRW6i0w4EkstXCjdbDwHd1b6XJvbvNUfGjh
 YhuxMxCXJXt+Ha74Ap8Aqrv8xgcthIVgUbZkQEo5DfEKdHm+m0A3FVDp5fLpHI+U
 OlOngIlW+cVMgOZW9X6Khf0H3mnlc0KaNjjxEVA3VRzhbPt29eAPjoYUpq0mcdLG
 ZHRxyHSeO6rF2299q2KOzaozUNN/xO7ybCdbCxSvgxFWZcyh6mR7r7z1KJzPVMxP
 CHEbBiIY4QSGnL8kJZsipBKq7kXgqn/MyJ9FkE5ScjVp7K/v0ao5DuLYMq/fK2yl
 57ljbF+uJHVsdbDl2lzl/64x3a9jkUrCuynp5X3F1FJpW4gCHh/1ACt26Pi1TeYQ
 KV0aFtv/drjB42N5WFuVpc+pgm1oqg4nf0gKL0u3CR1WdqxKoZRX+NToaWk3f+Ss
 0PI7F4tGAlwr0llJrEG7pDutPXNbvG8=
 ---- END SSH2 PUBLIC KEY ----
public-key-code end

Развернуть
  • x

Igor24
Igor24 Опубликовано 2020-11-26 17:43:36

Думал на этом всё, но не тут-то было.
Создаю юзера
aaa
local-user zabbix password irreversible-cipher password
local-user zabbix privilege level 15
local-user zabbix service-type ssh

scp server enable

ssh user zabbix
ssh user zabbix authentication-type all
ssh user zabbix assign rsa-key zabbix-key
ssh user zabbix service-type all

из под линукса захожу по ключу УРА!
и получаю следующее:

<sw_42>display ?
 history-command  Configuration information about history commands

<sw_42>?
User view commands:
 display        Display current system information
 hwtacacs-user  HWTACACS user
 local-user     Add/Delete/Set user(s)
 lock           Lock the current user terminal interface
 mmi-mode       Machine-machine mode
 mtrace         Trace route to multicast source
 ping           Send echo messages
 quit           Exit from current command view
 reset          Reset operation
 return         Exit to user view
 save           Save file
 super          Privilege current user a specified priority level
 telnet         Establish a Telnet connection
 terminal       Set the terminal line characteristics
 trace          Trace route (switch) to host on Data Link Layer
 tracert        Trace route to host
 undo           Cancel current configuration


ОК, в user-interface vty 0 4 добавляю
user privilege level 15

и получаю все права. Но все права этому пользователю не нужны. Ему нужно только конфиги бэкапить.
Изменяю local-user zabbix privilege level 15 на local-user zabbix privilege level 3.
Захожу - и ничего не изменилось, как был полный доступ, так и остался.
Пока нет мыслей как это поправить

Развернуть
  • x

user_2909167
user_2909167 Модератор Опубликовано 2020-11-27 11:04:49
Добрый день.
Если есть задача только бэкапить конфиги какомуто юзеру - то лучше выдать ему привилеги уровня 1 или 2. Например:
local-user test password irreversible-cipher xxx
local-user test privilege level 2
local-user test2service-type ssh

затем переопределить некоторые команды с уровня [3-15 - которые все обладают админскими правами - https://support.huawei.com/hedex/hdx.do?docid=EDOC1100126530&id=EN-US_CLIREF_0177113360&lang=en ] до уровня нашего пользователя - 2

Например вот так:
system-view
#
command-privilege level 2 view shell ftp
command-privilege level 2 view shell ftp x.y.z.w ///вписать ip-адрес сервера
command-privilege level 2 view ftp-client binary
command-privilege level 2 view ftp-client put vrpcfg.zip backup.zip ///backup.zip - при необходимости - как будет на внешнем сервере сохранен файл
#
Итого - прописываются все команды, в т.ч. содержащие текстовые аргументы (например какойто ip адрес) которые пользователь с низким уровнем привилегий сможет выполнить
https://support.huawei.com/hedex/hdx.do?docid=EDOC1100126530&id=EN-US_CLIREF_0177113207&lang=en

Надеюсь эта информация будет полезной
Развернуть
  • x

Igor24
Igor24 Опубликовано 2020-11-27 12:07 (0) (0)
спасибо.
я хочу через scp бэкапы делать, а для этого нужен 3 уровень (если я все правильно понял)  
EV_on_Hua
EV_on_Hua Опубликовано 2020-11-27 11:38:41
А что мешает создать ещё одного local-user для разделения полномочий?
local-user ... privilege level 3 - для бэкапов
local-user ... privilege level 15 - для администрирования
Развернуть
  • x

Igor24
Igor24 Опубликовано 2020-11-27 12:04 (0) (0)
я так и планировал.
но, после этой строки: ssh user zabbix assign rsa-key zabbix-key (вход по ключу)
уровень привилегий определяется уже в настройках vty:
user-interface vty 0 4
authentication-mode aaa
user privilege level 3

поправьте меня, если я ошибаюсь.  

Комментарий

Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация
Отправить

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”

My Followers

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход

Заблокировать
Вы уверены, что хотите заблокировать этого пользователя?
Пользователи из вашего черного списка не могут комментировать ваши посты, не могут упоминать вас, не могут отправлять личные сообщения.
Напоминание
Пожалуйста, привяжите свой мобильный номер чтобы получить бонус за приглашение.