Cisco Cisco ASA 5505 Adaptive Security Appliance Prospecto
31-7
Cisco ASA Series
일반적인 작업 CLI 구성 가이드
31
장 AAA를 위한 LDAP 서버
AAA
를 위한 LDAP 서버 구성
Auth-Service-Type
Authenticated-User-Idle-Timeout
Authorization-Required
Authorization-Type
:
:
X509-Cert-Data
ciscoasa(config-ldap-attribute-map)#
LDAP
서버 그룹 구성
이 섹션에서는 LDAP 서버 그룹을 구성하는 방법을 설명합니다.
시작하기 전에
LDAP
서버 그룹에 LDAP 서버를 추가하기 전에 특성 맵을 추가해야 합니다.
LDAP
서버 그룹을 만들고 구성하려면, 해당 그룹에 LDAP 서버를 추가하고 다음 단계를 수행하
십시오.
절차
1
단계
서버 그룹 이름과 프로토콜을 지정합니다.
aaa-server
server_tag protocol ldap
예:
ciscoasa(config)# aaa-server servergroup1 protocol ldap
ciscoasa(config-aaa-server-group)#
aaa-server protocol
명령을 입력하면 aaa-server 그룹 구성 모드가 됩니다.
2
단계
그룹의 어떤 LDAP 서버에 최대 몇 번의 요청을 보낸 후 다음 서버를 시도할지 지정합니다.
max-failed-attempts
number
예:
ciscoasa(config-aaa-server-group)# max-failed-attempts 2
number
인수는 1~5입니다. 기본값은 3입니다.
대비 메커니즘 구성에서 로컬 데이터베이스를 사용하여 장애 조치 방법을 구성한 경우(관리 액세
스만 해당), 그룹의 모드 서버가 응답하지 않으면 그 그룹은 무응답으로 간주하고 장애 조치 방법
을 시도합니다. 서버 그룹은 10분(기본값) 동안 무응답으로 표시됩니다. 그러면 이 기간에 다른
AAA
AAA
요청에서 서버 그룹 접속을 시도하지 않으며 즉시 장애 조치 방법이 사용됩니다. 무응답 기
간을 기본값이 아닌 값으로 변경하려면 다음 단계의 reactivation-mode 명령을 참조하십시오.
장애 조치 방법이 없는 경우 ASA는 그룹의 서버를 계속 재시도합니다.
장애 조치 방법이 없는 경우 ASA는 그룹의 서버를 계속 재시도합니다.
3
단계
그룹에서 실패한 서버가 다시 활성화되는 방법(재활성화 정책)을 지정합니다.
reactivation-mode
{depletion [deadtime minutes] | timed}
예:
ciscoasa(config-aaa-server-group)# reactivation-mode deadtime 20
depletion
키워드는 그룹의 모든 서버가 비활성화된 후 실패한 서버를 다시 활성화합니다.