Cisco Cisco ASA 5555-X Adaptive Security Appliance 产品宣传页
31-8
Cisco ASA Series
일반적인 작업 CLI 구성 가이드
31
장 AAA를 위한 LDAP 서버
AAA
를 위한 LDAP 서버 구성
deadtime minutes
키워드-인수 쌍은 그룹의 마지막 서버를 비활성화한 시점부터 나중에 모든 서
버를 다시 활성화한 시점까지 경과한 시간(분)을 0~1440 범위에서 지정합니다. 기본값은 10분입
니다.
timed
timed
키워드는 가동이 중단되고 30초 후에 실패한 서버를 다시 활성화합니다.
4
단계
LDAP
서버 및 해당 서버가 속한 AAA 서버 그룹을 지정합니다.
aaa-server
server_group [interface_name] host server_ip
예:
ciscoasa(config)# aaa-server servergroup1 outside host 10.10.1.1
aaa-server host
명령을 입력하면 aaa-server 호스트 구성 모드가 됩니다. 필요하다면 호스트 구
성 모드 명령을 사용하여 AAA 서버를 추가 구성합니다.
다음 표에서는 LDAP 서버를 위해 사용 가능한 명령 및 해당 명령에 대해 새로운 LDAP 서버 정의
다음 표에서는 LDAP 서버를 위해 사용 가능한 명령 및 해당 명령에 대해 새로운 LDAP 서버 정의
가 기본값을 갖는지 보여 줍니다. 기본값이 제공되지 않은 경우("—"로 표시) 명령을 사용하여 값
을 지정합니다.
예
다음 예에서는 watchdog이라는 LDAP 서버 그룹을 구성하고 그 그룹에 LDAP 서버를 추가하는
방법을 보여 줍니다. 이 예에서는 재시도 간격 또는 LDAP 서버가 수신하는 포트를 정의하지 않으
므로 ASA는 이 두 서버별 매개 변수에 기본값을 사용합니다.
ciscoasa(config)# aaa-server watchdogs protocol ldap
ciscoasa(config-aaa-server-group)# aaa-server watchdogs host 192.168.3.4
ciscoasa(config-aaa-server-host)# exit
ciscoasa(config)#
표
31-2
호스트
모드
구성
및
기본값
명령
기본값
설명
ldap-attribute-map
—
—
ldap-base-dn
—
—
ldap-login-dn
—
—
ldap-login-password
—
—
ldap-naming-attribute
—
—
ldap-over-ssl
636
설정되지 않은 경우 ASA에서는 LDAP 요청에 sAMAccountName을 사용
합니다. SASL 또는 일반 텍스트를 사용하더라도 ASA와 LDAP 서버 간
의 통신을 SSL로 보호할 수 있습니다. SASL을 구성하지 않은 경우 LDAP
통신을 SSL로 보호하는 것이 좋습니다.
ldap-scope
—
—
sasl-mechanism
—
—
server-port
389
—
server-type
autodiscovery
자동 감지에서 LDAP 서버 유형을 확인하지 못한 경우, 그 서버가
Microsoft, Sun
Microsoft, Sun
또는 일반 LDAP 서버인지 알고 있다면 직접 서버 유형을
구성할 수 있습니다.
timeout
10
초
—