Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet

 

VPN 

액세스를 위한 사용자 LDAP 인증이 성공하면 ASA는 LDAP 서버를 쿼리하여 LDAP 특성을 

받습니다. 이러한 특성은 일반적으로 VPN 세션에 적용되는 권한 부여 데이터를 포함하고 있습니

다. 이와 같이 LDAP을 사용하면 단일 단계에서 인증과 권한 부여가 이루어집니다.
그러나 인증 메커니즘과 별개인 LDAP 디렉토리 서버의 권한 부여가 필요할 때가 있습니다. 예를 

들어, 인증에 SDI 또는 인증서 서버를 사용하는 경우 어떤 권한 부여 정보도 반환되지 않습니다. 

이러한 사용자 권한 부여의 경우 인증에 성공한 후 LDAP 디렉토리를 조회하면 인증 및 권한 부여

를 두 단계로 완료할 수 있습니다.
LDAP

을 사용하여 VPN 사용자 권한 인증을 설정하려면 다음 단계를 수행합니다.

이름이 remotegrp인 IPsec 원격 액세스 터널 그룹을 생성합니다.

예:

ciscoasa(config)# tunnel-group remotegrp

서버 그룹과 터널 그룹을 연결합니다.

groupname general-attributes

예:

ciscoasa(config)# tunnel-group remotegrp general-attributes

권한 부여를 위해 앞서 생성한 AAA 서버 그룹에 새 터널 그룹을 지정합니다.

예:

ciscoasa(config-general)# authorization-server-group ldap_dir_1

특정 요구 사항에 사용 가능한 다른 권한 부여 명령 및 옵션이 있지만 이 예에서는 LDAP를 사용

하여 사용자 권한 부여가 가능한 명령을 보여 줍니다. 그런 다음 remote-1이라는 IPsec 원격 액세

스 터널 그룹을 생성하고, 권한을 부여하기 위해 이 새 터널 그룹을 이전에 생성한 ldap_dir_1 AAA 

서버 그룹에 할당합니다.

ciscoasa(config)# tunnel-group remote-1 type ipsec-ra

ciscoasa(config)# tunnel-group remote-1 general-attributes

ciscoasa(config-general)# authorization-server-group ldap_dir_1

ciscoasa(config-general)# 

이 구성 작업을 마친 후에는 다음 명령을 입력하여 디렉토리 비밀번호, 디렉토리 검색을 위한 시

작점, 디렉토리 검색 범위 등 LDAP 권한 부여 파라미터를 추가로 구성할 수 있습니다.

ciscoasa(config)# aaa-server ldap_dir_1 protocol ldap

ciscoasa(config-aaa-server-group)# aaa-server ldap_dir_1 host 10.1.1.4

ciscoasa(config-aaa-server-host)# ldap-login-dn obscurepassword

ciscoasa(config-aaa-server-host)# ldap-base-dn starthere

ciscoasa(config-aaa-server-host)# ldap-scope subtree

ciscoasa(config-aaa-server-host)#