Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet

TACACS+ 

시스템이 확실히 안정적이고 신뢰할 수 있는지 확인합니다. 필요한 수준의 신뢰도에 

이르기 위해서는 일반적으로 완전 이중 TACACS+ 서버 시스템이 있고 ASA와 완전 이중 방식으

로 연결되어야 합니다. 예를 들어, TACACS+ 서버 풀에서 인터페이스 1과 연결된 서버 1대와 인

터페이스 2와 연결된 또 다른 서버를 포함합니다. TACACS+ 서버를 사용할 수 없을 경우를 위한 

장애 조치로 로컬 명령 권한 부여를 구성할 수도 있습니다. 그러한 경우 

의 절차에 따라 로컬 사용자 및 명령 권한 수준을 구성해야 합니다.

TACACS+ 

서버를 사용하여 명령 권한 부여를 구성하려면 다음 단계를 수행하십시오.

다음의 명령을 입력합니다.

tacacs+_server_group [LOCAL]

예:

ciscoasa(config)# aaa authorization command group_1 LOCAL

ASA

에서 TACACS+ 서버를 사용할 수 없을 때 로컬 데이터베이스를 대신 사용하도록 구성할 수 

있습니다. 장애 조치를 활성화하려면 LOCAL(LOCAL은 대/소문자 구분) 다음에 서버 그룹 이름

을 지정합니다. 로컬 데이터베이스에서 TACACS+ 서버와 동일한 사용자 이름과 비밀번호를 사용

하는 것이 좋습니다. ASA 프롬프트에서는 어떤 방법을 사용 중인지 알려주지 않기 때문입니다. 

반드시 로컬 데이터베이스의 사용자와 명령 권한 수준을 구성해야 합니다.

CLI

에서 show 명령이 아닌 임의의 명령을 입력할 때 TACACS+ 어카운팅 서버에 어카운팅 메시

지를 보낼 수 있습니다. 사용자가 로그인할 때, 사용자가 enable 명령을 입력할 때 또는 사용자가 

명령을 실행할 때 어카운팅을 구성할 수 있습니다.
명령 어카운팅에는 TACACS+ 서버만 사용할 수 있습니다.
관리 액세스를 구성하고 명령 어카운팅을 활성화하려면 다음 단계를 수행합니다.

다음의 명령을 입력합니다.

 {serial | telnet | ssh | enable} console server-tag

예:

ciscoasa(config)# aaa accounting telnet console group_1

유효한 서버 그룹 프로토콜은 RADIUS와 TACACS+입니다.

명령 어카운팅을 활성화합니다. TACACS+ 서버만 명령 어카운팅을 지원합니다.

 [privilege level] server-tag

예:

ciscoasa(config)# aaa accounting command privilege 15 group_1