Cisco Cisco Identity Services Engine 1.3 전단
Cisco Systems © 2016
118페이지
보안
액세스 방법 가이드
특정 항목 앞에 있는 오른쪽 화살표는 해당 프로파일에 대한 하위 정책이 있음을 나타냅니다. 위 그래픽에
따르면 Android 정책에는 하위 정책이 없는 반면 Apple-디바이스에는 상위 정책이 있습니다. 화살표를
클릭하면 Apple-디바이스의 하위 정책이 표시됩니다.
따르면 Android 정책에는 하위 정책이 없는 반면 Apple-디바이스에는 상위 정책이 있습니다. 화살표를
클릭하면 Apple-디바이스의 하위 정책이 표시됩니다.
계층 구조는 화면을 구성하고 정책을 관리하는 데 유용합니다. 하위 정책을 일치시키면 보다 세부적인 규칙에
따라 상위 레벨의 조건을 반복적으로 정의할 필요 없이 상위 정책이 자동으로 일치되도록 여러 하위 정책에
대한 공통 조건 집합을 정의하는 방법도 제공됩니다.
따라 상위 레벨의 조건을 반복적으로 정의할 필요 없이 상위 정책이 자동으로 일치되도록 여러 하위 정책에
대한 공통 조건 집합을 정의하는 방법도 제공됩니다.
일반적인 계층 사용법은 OUI에 따라 일치시키는 것입니다. 예를 들어 모든 Apple 디바이스는 Apple과 같은
OUI를 갖습니다. 그러므로 iPad, iPod, iPhone 등에 대해 이 조건을 반복 적용할 필요가 없습니다. Apple-iPhone
프로파일을 일치시키려면 해당 엔드포인트에도 Apple OUI도 있어야 합니다. 이것이 바로 다른 브라우저 User-
Agent 문자열과 유사한 User Agent Switch라는 간단한 Firefox 브라우저 플러그인을 사용해도 Apple iPhone에
대한 프로파일 조건을 통과하지 못하는 이유입니다. Apple MAC 주소가 없으면 상위 조건 테스트에
실패합니다. 이 가이드 앞부분에 설명된 것처럼 프로파일링은 안티 스푸핑 솔루션 역할을 하지는 못하지만
특정 스푸핑 활동을 자연스럽게 차단하는 솔루션 기능이 있습니다.
OUI를 갖습니다. 그러므로 iPad, iPod, iPhone 등에 대해 이 조건을 반복 적용할 필요가 없습니다. Apple-iPhone
프로파일을 일치시키려면 해당 엔드포인트에도 Apple OUI도 있어야 합니다. 이것이 바로 다른 브라우저 User-
Agent 문자열과 유사한 User Agent Switch라는 간단한 Firefox 브라우저 플러그인을 사용해도 Apple iPhone에
대한 프로파일 조건을 통과하지 못하는 이유입니다. Apple MAC 주소가 없으면 상위 조건 테스트에
실패합니다. 이 가이드 앞부분에 설명된 것처럼 프로파일링은 안티 스푸핑 솔루션 역할을 하지는 못하지만
특정 스푸핑 활동을 자연스럽게 차단하는 솔루션 기능이 있습니다.
계층 구조는 ID 그룹 할당을 일치시키는 작업을 간소화하는 데에도 유용합니다. 상위 정책이 ID 그룹에
매핑된 경우 모든 하위 정책을 ID 그룹에 매핑할 필요는 없습니다. 예를 들어 Cisco IP Phone에는 사전 구성된
여러 프로파일이 있습니다. Cisco-IP-Phone(기본 설정)에 대해 일치하는 ID 그룹을 생성하면 이 상위 정책을
기반으로 권한 부여 정책을 생성할 수 있으며 각 하위 정책마다 별도의 ID 그룹이 필요하지 않습니다. 그에
따라 권한 부여 정책의 규칙을 크게 간소화할 수 있습니다. 개별 IP 전화기 모델에 대한 특수한 처리가 필요한
경우가 아니라면 상위 프로파일 및 ID 그룹 할당을 참조하여 일관되게 처리할 수 있습니다.
매핑된 경우 모든 하위 정책을 ID 그룹에 매핑할 필요는 없습니다. 예를 들어 Cisco IP Phone에는 사전 구성된
여러 프로파일이 있습니다. Cisco-IP-Phone(기본 설정)에 대해 일치하는 ID 그룹을 생성하면 이 상위 정책을
기반으로 권한 부여 정책을 생성할 수 있으며 각 하위 정책마다 별도의 ID 그룹이 필요하지 않습니다. 그에
따라 권한 부여 정책의 규칙을 크게 간소화할 수 있습니다. 개별 IP 전화기 모델에 대한 특수한 처리가 필요한
경우가 아니라면 상위 프로파일 및 ID 그룹 할당을 참조하여 일관되게 처리할 수 있습니다.
프로파일링
정책에 대해 일치하는 ID 그룹 생성
Step 76
이 절차에서는 APC-UPS라는 사용자 정의 프로파일 정책에 대한 ID 그룹을 생성합니다.
Step 77
Policy(정책)Profiling(프로파일링)으로 이동하고 프로파일 목록에서 APC-UPS를 선택합니다.
Step 78
Create Matching Identity Group(일치하는 ID 그룹 생성) 옵션을 선택한 다음 Save(저장)를 클릭하여
변경 사항을 커밋합니다.
변경 사항을 커밋합니다.
Step 79
Administration(관리)Identity Management(ID 관리)Identities(ID)Endpoints(엔드포인트)에서
내부 엔드포인트(Internal Endpoints) 목록으로 돌아가서 APC-UPS 프로파일에 할당된 엔드포인트 중
하나를 선택합니다(그림 86).
내부 엔드포인트(Internal Endpoints) 목록으로 돌아가서 APC-UPS 프로파일에 할당된 엔드포인트 중
하나를 선택합니다(그림 86).
그림
81: 사용자 정의 프로파일에 대한 엔드포인트 ID 그룹 예