Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet

장애 조치 지원이 필요한 사용자는 로컬 데이터베이스의 사용자 이름 및 비밀번호를 AAA 서버의 

사용자 이름 및 비밀번호와 일치시키는 것이 좋습니다. 이러한 방식을 사용하면 장애 조치 지원이 

확실하게 제공됩니다. 사용자는 서비스를 제공하는 것이 AAA 서버인지 아니면 로컬 데이터베이

스인지 확인할 수 없으므로, 로컬 데이터베이스의 사용자 이름 및 비밀번호와 다른 사용자 이름 

및 비밀번호를 AAA 서버에서 사용할 경우 사용자는 입력해야 하는 사용자 이름 및 비밀번호를 확

신할 수 없게 됩니다.
로컬 데이터베이스는 다음과 같은 장애 조치 기능을 지원합니다.

콘솔 및 enable 비밀번호 인증 - 그룹 내 모든 서버를 사용할 수 없는 경우 ASA는 로컬 데이

터베이스를 사용하여 관리 액세스 권한을 인증(enable 비밀번호 인증도 포함)합니다.

명령 인증 - 그룹 내 TACACS+ 서버를 모두 사용할 수 없는 경우 권한 수준을 기준으로 명령

을 인증하는 데 로컬 데이터베이스가 사용됩니다.

VPN 

인증 및 권한 부여 - 이러한 VPN 서비스를 정상적으로 지원하는 AAA 서버를 사용할 수 

없는 경우 ASA에 원격으로 액세스할 수 있도록 VPN 인증 및 권한 부여가 지원됩니다. 관리

자의 VPN 클라이언트가 로컬 데이터베이스로 장애 조치되도록 구성된 터널 그룹을 지정하는 

경우, 로컬 데이터베이스가 필요한 특성으로 구성되어 있으면 AAA 서버 그룹을 사용할 수 없

는 경우에도 VPN 터널을 설정할 수 있습니다.

서버 그룹에 여러 개의 서버를 구성하고 서버 그룹의 로컬 데이터베이스에 장애 조치를 사용하도록 

설정할 경우 해당 그룹의 서버가 ASA의 인증 요청에 반응하지 않으면 장애 조치가 실행됩니다. 명

확히 이해하기 위해 다음 시나리오를 가정해 보십시오.
2

개의 Active Directory 서버가 서버 1, 서버 2의 순서대로 포함된 LDAP 서버 그룹을 구성합니다. 원

격 사용자가 로그인하면 ASA에서는 서버 1에 인증을 시도합니다.
서버 1이 인증 오류에 응답할 경우(예: 

사용자가 없음), ASA에서는 서버 2에 인증을 시도하지 않

습니다. 
서버 1이 시간 제한 내에 응답하지 않을 경우(또는 인증 시도 횟수가 구성된 최대 횟수를 초과할 

경우) ASA에서는 서버 2의 응답을 시도합니다.
그룹의 두 서버가 모두 응답하지 않고 로컬 데이터베이스에 장애 조치를 수행하도록 ASA가 구성

된 경우 ASA에서는 로컬 데이터베이스를 인증하려고 시도합니다.

인증 또는 권한 부여에 로컬 데이터베이스를 사용할 경우 ASA가 잠기는 것을 방지해야 합니다.