Cisco Cisco ASA 5555-X Adaptive Security Appliance 产品宣传页
31-3
Cisco ASA Series
일반적인 작업 CLI 구성 가이드
31
장 AAA를 위한 LDAP 서버
LDAP
및 ASA에 대한 정보
•
Search Scope
는 LDAP 계층 구조에서 검색의 범위를 정의합니다. 검색에서는 계층 구조상
LDAP Base DN
아래의 여러 단계에서 이 작업을 진행합니다. 서버가 바로 아래 단계만 검색
하게 하거나, 전체 하위 트리를 검색할 수도 있습니다. 단일 레벨 검색이 더 빠르지만, 하위 트
리 검색은 더 광범위합니다.
•
Naming Attribute(s)
는 LDAP 서버의 항목을 고유하게 식별하는 RDN을 정의합니다.
cn(Common Name), sAMAccountName, userPrincipalName
과 같은 명명 특성이 주로 사용됩
니다.
그림에서는 Example Corporation의 샘플 LDAP 계층 구조를 보여 줍니다. 이 계층 구조에서 여러
가지 방법으로 검색을 정의할 수 있습니다. 다음 표는 2개의 샘플 검색 구성을 보여줍니다.
첫 번째 구성 예에서는 Employee1이 LDAP 권한 부여가 필요한 IPsec 터널을 설정하자 ASA에서
LDAP
첫 번째 구성 예에서는 Employee1이 LDAP 권한 부여가 필요한 IPsec 터널을 설정하자 ASA에서
LDAP
서버에 검색 요청을 보내면서 Engineering 그룹에서 Employee1을 찾도록 지시합니다. 이
검색은 빠르게 수행됩니다.
두 번째 구성 예에서는 ASA가 검색 요청을 보내면서서버에 Example Corporation 내에서
Employee1
두 번째 구성 예에서는 ASA가 검색 요청을 보내면서서버에 Example Corporation 내에서
Employee1
을 검색하도록 지시합니다. 이 검색은 더 오래 걸립니다.
LDAP
서버와의 바인딩
ASA
에서는 로그인 DN과 로그인 비밀번호를 사용하여 LDAP 서버와의 신뢰(바인딩)를 설정합니
다. Microsoft Active Directory 읽기 전용 작업(예: 인증, 권한 부여, 그룹 검색)을 수행할 때 ASA
는 더 적은 권한의 로그인 DN을 사용하여 바인딩할 수 있습니다. 이를테면 로그인 DN은 AD
"Member Of"
"Member Of"
지정이 Domain Users의 일부인 사용자일 수 있습니다. VPN 비밀번호 관리 작업의
경우 로그인 DN은 상승된 권한이 필요하며 Account Operators AD 그룹의 일원이어야 합니다.
다음은 로그인 DN의 예입니다.
다음은 로그인 DN의 예입니다.
cn=Binduser1,ou=Admins,ou=Users,dc=company_A,dc=com
ASA
에서는 다음 인증 방식을 지원합니다.
•
포트 389에서 암호화되지 않은 비밀번호를 사용하는 단순 LDAP 인증
•
포트 636의 LDAP-S(Secure LDAP)
•
SASL(Simple Authentication and Security Layer) MD5
•
SASL Kerberos
ASA
에서는 익명 인증을 지원하지 않습니다.
참고
LDAP
클라이언트인 ASA는 익명 바인딩 또는 요청의 전송을 지원하지 않습니다.
표
31-1
검색
구성의
예
번호 LDAP Base DN
검색 범위 명명 특성
결과
1
group= Engineering,ou=People,dc=ExampleCorporation,
dc=com
dc=com
단일 레벨 cn=Employee1 더 빠른 검색
2
dc=ExampleCorporation,dc=com
하위 트리 cn=Employee1 더 오래 걸리는 검색