Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet
32-22
Cisco ASA Series
일반적인 작업 CLI 구성 가이드
32
장 관리 액세스
시스템 관리자를 위한 AAA 구성
•
Permit Unmatched Args(
일치하지 않는 인수) 확인란을 선택하면 명시적으로 거부하지 않
은 명령의 모든 인수를 허용할 수 있습니다.
예를 들어, show 명령만 구성할 수 있으며, 그러면 모든 show 명령이 허용됩니다. 이 방법을
예를 들어, show 명령만 구성할 수 있으며, 그러면 모든 show 명령이 허용됩니다. 이 방법을
사용하는 것이 좋습니다. 그러면 약어와 물음표(CLI 사용법 표시)를 비롯하여 명령의 모든 버
전을 예상할 필요 없습니다.
•
하나의 단어인 명령에 대해서는
반드시 일치하지 않음 인수를 허용해야 합니다. enable, help
처럼 인수가 없는 경우도 해당됩니다.
•
일부 인수를 허용하지 않으려면 그 인수 앞에 deny를 입력합니다.
예를 들어, enable을 허용하되 enable password는 허용하지 않으려면 명령 필드에 enable
예를 들어, enable을 허용하되 enable password는 허용하지 않으려면 명령 필드에 enable
을 입력하고 인수 필드에 deny password라고 입력합니다. 반드시 Permit Unmatched
Args(
Args(
일치하지 않는 인수 허용) 확인란을 선택하여 enable만 계속 허용되게 해야 합니다.
•
명령줄에서 어떤 명령을 축약하면 ASA는 프리픽스와 주 명령을 전체 텍스트로 확장합니다.
그러나 추가 인수는 입력하는 대로 TACACS+ 서버에 보냅니다.
예를 들어, sh log를 입력하면 ASA에서는 전체 명령, 즉 show logging을 TACACS+ 서버에
예를 들어, sh log를 입력하면 ASA에서는 전체 명령, 즉 show logging을 TACACS+ 서버에
보냅니다. 그러나 sh log mess를 입력하면 ASA는 확장된 명령 show logging message가
아닌 show logging mess를 TACACS+ 서버에 보냅니다. 약어를 예상하여 동일 인수의 여러
철자를 구성할 수 있습니다.
•
모든 사용자에게 다음 기본 명령을 허용하는 것이 좋습니다.
–
show checksum
–
show curpriv
–
enable
–
help
–
show history
–
login
–
logout
–
pager
–
show pager
–
clear pager
–
quit
–
show version
TACACS+
명령 권한 부여 구성
TACACS+
명령 권한 부여를 활성화한 경우 어떤 사용자가 CLI에서 명령을 입력하면 ASA에서는
TACACS+
서버에 명령과 사용자 이름을 보내 권한 부여된 명령인지 확인합니다.
TACACS+
명령 권한 부여를 활성화하려면 먼저 TACACS+ 서버에 정의된 사용자로 ASA에 로그
인해야 하며 ASA 구성을 계속 진행하는 데 필요한 명령 권한이 있어야 합니다. 예를 들어, 모든 명
령 권한을 갖는 관리 사용자로 로그인해야 합니다. 그러지 않으면 뜻하지 않게 잠기게 될 수 있습
니다.
원하는 대로 구성이 작동할 때까지는 구성을 저장하지 마십시오. 실수로 잠긴 경우 대개는 ASA를
원하는 대로 구성이 작동할 때까지는 구성을 저장하지 마십시오. 실수로 잠긴 경우 대개는 ASA를
를
참조하십시오.