저는 라우터에서 MFA\보안 액세스를 구현하기 위해 NOC를 위한 솔루션을 마련하는 임무를 맡고 있습니다. TACACS\RADIUS는 다른 제한 사항 중에서도 MGMT 인터페이스에서만 지원되므로 이 작업을 수행할 때 주의해야 할 사항이 있습니다(TACACS\RADIUS가 문제가 있는 경우 라우터가 잠길 위험을 감수하고 싶지 않습니다).
그렇다면 더 나은 접근 방식은 모든 명령을 기록하는 점프박스가 될 것이라고 생각합니다. 사용자는 Jumpbox에 SSH로 접속하고 RADIUS 또는 MFA를 지원하는 다른 것을 통해 AD 자격 증명으로 인증합니다.
여기서 주의할 점은 다음과 같습니다.
- 문제의 라우터에 SSH로 연결하면 모든 명령/응답이 어떻게든 RADIUS 계정 등을 통해 어딘가에 기록되고 전달되어야 합니다. 이를 수행하는 것은 점프박스일 것입니다. 아마도 이를 수행하는 SSH의 "특별" 버전이 있을 것입니다.
- 명령을 실행한 사용자 아래에 기록되어야 합니다.