私の任務は、NOC がルーターに MFA\セキュア アクセスを実装するためのソリューションを考案することです。これには注意点があります。TACACS\RADIUS は MGMT インターフェイスでのみサポートされているなど、さまざまな制限があります (TACACS\RADIUS が不安定な場合にルーターからロックアウトされるリスクを冒したくありません)
そうは言っても、すべてのコマンドをログに記録するジャンプボックスの方が良いアプローチだと思います。ユーザーはジャンプボックスに SSH で接続し、RADIUS または MFA をサポートするその他の方法を使用して AD 資格情報で認証します。
ここでの注意点は次のとおりです:
- 問題のルーターに SSH で接続すると、すべてのコマンドと応答が何らかの方法でログに記録され、RADIUS アカウンティングなどを介してどこかに送信されます。これらを送信するのはジャンプボックスですが、おそらくこれを実行する SSH の「特別な」バージョンがあるのでしょう。
- コマンドを実行したユーザーの下にログが記録されるはずです。