Cisco Cisco ASA 5555-X Adaptive Security Appliance 产品宣传页

다음은 다중 보안 상황으로 명령 권한 부여를 구현할 때 중요하게 고려할 사항입니다.

AAA 

설정은 상황끼리 공유되지 않으며 상황마다 다릅니다 .

명령 권한 부여를 구성할 때 각 보안 상황을 따로 구성해야 합니다. 이러한 구성에서는 여러 

보안 상황에서 각기 다른 명령 권한 부여를 적용하는 것이 가능합니다.
보안 상황 간 전환에서 관리자는 로그인 시 지정된 사용자 이름에 대해 허용된 명령이 새 상황 

세션에서는 다를 수 있음을 또는 새 상황에서는 명령 권한 부여가 아예 구성되지 않았을 수도 

있음을 알고 있어야 합니다. 명령 권한 부여가 보안 상황마다 다를 수 있음을 모르는 관리자는 

혼란스러워 할 수도 있습니다. 이는 다음 사항 때문에 더욱 복잡해집니다.

changeto 

명령으로 시작한 새 상황 세션은 항상 기본 enable_15 사용자 이름을 관리자 ID로 

사용합니다. 이전 상황 세션에서 어떤 사용자 이름을 사용했는가는 상관없습니다. 따라서 
enable_15 

사용자에 대해 명령 권한 부여가 구성되지 않은 경우 또는 enable_15 사용자에 대

한 권한 부여가 이전 상황 세션 사용자에 대한 권한 부여와 다를 경우 혼란이 일어날 수 있습

니다.
이러한 동작은 명령 어카운팅에도 영향을 줍니다. 명령 어카운팅은 실행된 각 명령을 특정 관

리자와 정확하게 연결할 수 있는 경우에만 유용합니다. changeto 명령을 사용할 권한이 있는 

모든 관리자는 다른 상황에서 enable_15 사용자 이름을 사용할 수 있으므로 명령 어카운팅 

레코드에서 누가 enable_15 사용자 이름으로 로그인했는지 즉시 식별하기 어렵습니다. 상황

마다 다른 어카운팅 서버를 사용하는 경우, 누가 enable_15 사용자 이름을 사용하고 있었는

지 추적하려면 여러 서버의 데이터를 연계하여 파악해야 합니다.
명령 권한 부여를 구성할 때 다음 사항을 고려하십시오.

changeto 

명령을 사용할 권한이 있는 관리자는 enable_15 사용자에게 허용된 모든 명령

을 사실상 다른 모든 상황에서 사용할 수 있습니다 .

명령 권한 부여를 상황마다 다르게 하려는 경우, 각 상황에서 enable_15 사용자 이름에게 

허용되지 않은 명령은 changeto 명령 사용 권한을 가진 관리자에게도 거부되어야 합니다.

다른 보안 상황으로 전환할 때 관리자는 특별 권한 EXEC 모드를 종료하고 enable 명령을 다

시 입력하여 필요한 사용자 이름을 사용할 수 있습니다.

시스템 실행 영역에서는 AAA 명령을 지원하지 않습니다. 따라서 시스템 실행 영역에서는 명령 권

한 부여를 사용할 수 없습니다.

기본적으로 다음 명령에 권한 수준 0이 할당됩니다. 다른 모든 명령은 권한 수준 15에 할당됩니다.