Cisco Cisco ASA 5555-X Adaptive Security Appliance 产品宣传页

ASA

와 LDAP 서버는 이러한 SASL 메커니즘의 모든 조합을 지원합니다. 여러 메커니즘을 구성하

는 경우 ASA는 서버에 구성되어 있는 SASL 메커니즘의 목록을 검색하고 ASA와 서버에 모두 구

성되어 있는 가장 강력한 메커니즘으로 인증 메커니즘을 설정합니다. 예를 들어, LDAP 서버와 
ASA

가 모두 두 메커니즘을 지원할 경우 ASA는 둘 중 더 강력한 Kerberos를 선택합니다.

사용자 LDAP 인증이 성공하면 LDAP 서버는 인증된 사용자의 특성을 반환합니다. VPN 인증의 

경우, VPN 세션에 적용되어 있는 권한 부여 데이터가 이러한 특성에 일반적으로 포함됩니다. 이

러한 경우 LDAP을 사용하면 단 하나의 단계를 통해 인증과 권한 부여가 수행됩니다.

LDAP

에 대한 자세한 내용은 RFC 1777, 2251, 2849를 참조하십시오.

LDAP 

구성은 조직의 논리적 계층 구조를 반영해야 합니다. Example Corporation이라는 회사에 

Employee1

이라는 직원이 있다고 가정합니다. Employee1은 Engineering 그룹에서 일합니다. LDAP 

계층 구조는 단일 단계 또는 여러 단계를 포함할 수 있습니다. 단일 단계 계층 구조로 설정할 경우 
Employee1

은 Example Corporation의 멤버로 간주됩니다. 또는 다단계 계층 구조로 설정할 수 있는

데, 그러면 Employee1은 Engineering 부서의 멤버이고 이 부서는 People이라는 조직 단위의 멤버

이며, People은 Example Corporation의 멤버입니다. 다단계계층 구조의 예는 다음 그림을 참조하십

시오.
다단계 계층 구조가 더 상세한 내용을 포함하지만, 검색 결과는 단일 단계계층 구조에서 더 빨리 

얻을 수 있습니다.

ASA

에서는 LDAP 계층 구조 내 검색을 맞춤 구성할 수 있습니다. ASA의 다음 3개 필드를 구성하

여 LDAP 계층 구조에서 검색을 시작할 위치, 범위, 찾으려는 정보 유형을 정의합니다. 이 필드가 

종합적으로 작용하여 사용자 권한을 포함하는 부분으로만 계층 구조 검색을 한정합니다.

LDAP Base DN

은 서버가 ASA로부터 권한 부여 요청을 받았을 때 LDAP 계층 구조의 어디에

서 사용자 정보 검색을 시작할 것인가를 정의합니다.

330368

dc=ExampleCorp, dc=com

People

Equipment

Engineering

Marketing

HR

cn=User1

cn=User3

cn=User4 Users

cn=User2