Cisco Cisco Content Security Management Appliance M1070 Mode D'Emploi
11-15
AsyncOS 9.0 for Cisco Content Security Management Appliances
사용 설명서
11
장 LDAP와 통합
LDAP
를 사용하여 관리 사용자의 외부 인증 구성
관리 사용자 인증을 위한 사용자 계정 쿼리
외부 사용자를 인증하기 위해 AsyncOS는 LDAP 디렉터리의 사용자 레코드 및 사용자 전체 이름
이 포함된 특성을 검색하는 쿼리를 사용합니다. 선택하는 서버 유형에 따라 AsyncOS는 기본 쿼
리 및 기본 특성을 입력합니다. RFC 2307, LDAP 사용자 레코드에 특성이 정의된 경우
(shadowLastChange, shadowMax
(shadowLastChange, shadowMax
및 shadowExpire) 어플라이언스에서 만료된 계정의 사용
자를 거부하도록 할 수 있습니다. 사용자 레코드가 상주하는 도메인 레벨에 대해 기본 DN이 필요
합니다.
에서는 AsyncOS가 Active Directory 서버에서 사용자 계정을 검색할 때 사용하는 기본 쿼
리 문자열 및 전체 사용자 이름 특성을 보여줍니다.
에서는 AsyncOS가 OpenLDAP 서버에서 사용자 계정을 검색할 때 사용하는 기본 쿼리
문자열 및 전체 사용자 이름 특성을 보여줍니다.
관리 사용자 인증을 위한 그룹 멤버십 쿼리
어플라이언스에 액세스하도록 LDAP 그룹을 사용자 역할과 연결할 수 있습니다.
AsyncOS
AsyncOS
는 또한 쿼리를 사용하여 사용자가 디렉터리 그룹의 멤버인지를 확인하고, 그룹의 모든
멤버를 찾기 위한 별도의 쿼리를 만듭니다. 디렉터리 그룹의 멤버십은 시스템 내 사용자의 권한을
결정합니다. GUI의 Management Appliance(관리 어플라이언스) >System Administration(시스템
관리) > Users(사용자) 페이지(또는 CLI의
userconfig
)
에서 외부 인증을 활성화할 때 LDAP 디렉터
리의 그룹에 사용자 역할을 할당합니다. 사용자 역할은 사용자가 시스템에서 보유하는 권한을 결
정하며, 외부에서 인증된 사용자의 경우 개별 사용자 대신 디렉터리 그룹에 역할이 할당됩니다. 예
를 들면 IT 디렉터리 그룹의 사용자를 Administrator(관리자) 역할에 할당하고 Support(지원) 디렉
터리 그룹의 사용자를 Help Desk User(헬프 데스크 사용자) 역할에 할당할 수 있습니다.한 사용자가 서로 다른 사용자 역할의 여러 LDAP 그룹에 속해 있으면 AsyncOS는 해당 사용자에
게 가장 제한적인 역할에 대한 권한을 부여합니다. 예를 들어 한 사용자가 Operator 권한의 그룹
과 Help Desk User 권한의 그룹에 속해 있으면 AsyncOS는 해당 사용자에게 Help Desk User 역
할에 대한 권한을 부여합니다.
표
11-5
Active Directory
서버에
대한
기본
쿼리
문자열
서버 유형
Active Directory
기본 DN
[
비어 있음] (사용자 레코드를 찾으려면 특정 기본 DN을 사
용해야 합니다.)
쿼리 문자열
(&(objectClass=user)(sAMAccountName={u}))
사용자의 전체 이름을 포함하는 특성
displayName
표
11-6
Open LDAP
서버에
대한
기본
쿼리
문자열
서버 유형
OpenLDAP
기본 DN
[
비어 있음] (사용자 레코드를 찾으려면 특정 기본 DN을 사
용해야 합니다.)
쿼리 문자열
(&(objectClass=posixAccount)(uid={u}))
사용자의 전체 이름을 포함하는 특성
gecos