Cisco Cisco ASA 5555-X Adaptive Security Appliance 产品宣传页

CLI

에 대한 액세스는 허용되지만 특별 권한 EXEC 모드 액세스는 허용되지 않는 사용자를 로컬 데

이터베이스에 추가하려는 경우 명령 권한 부여를 구성해야 합니다. 명령 권한 부여가 없으면, 권한 

수준이 2 이상(2가 기본값)인 사용자는 CLI에서 각자의 비밀번호를 사용하여 특별 권한 EXEC 모드
(

및 모든 명령)에 액세스할 수 있습니다. 또는 인증에 AAA 서버를 사용할 수 있습니다. 혹은 모든 로

컬 사용자를 수준 1로 설정해 놓고 누가 시스템 enable 비밀번호를 사용하여 특별 권한 EXEC 모드

에 액세스할 수 있는가를 제어하는 방법도 있습니다.

ASA

에서는 사용자가 RADIUS, LDAP, TACACS+ 또는 로컬 사용자 데이터베이스를 사용하여 인

증할 때 관리 사용자와 원격 액세스 사용자를 구분할 수 있습니다. 사용자 역할 차별화를 통해 원

격 액세스 VPN 및 네트워크 액세스 사용자가 ASA와의 관리 연결을 설정하는 것을 방지할 수 있

습니다.

직렬 액세스는 관리 권한 부여에 포함되지 않습니다. 따라서 aaa authentication serial console

명령을 구성한 경우 인증하는 모든 사용자가 콘솔 포트에 액세스할 수 있습니다.

로컬, RADIUS, LDAP(매핑됨), TACACS+ 사용자에 대한 관리 권한 부여를 활성화하려면 다음 명

령을 입력합니다.

HTTP

를 위해 권한 부여의 개별 구성을 입력할 수 있습니다.

로컬 서버 또는 인증 서버 중 하나로 권한 부여하기 위해 ASA에서 텔넷 및 SSH 관리 세션을 구성

하려면 다음 명령을 사용합니다.

ciscoasa(config)# aaa authorization exec {authentication-server | LOCAL} [auto-enable]

개별적으로 또는 함께 작동하도록 권한 부여 서버를 구성하고 권한 부여 및 인증을 설정할 수 있

습니다.

로컬 서버 또는 인증 서버 중 하나로 권한 부여하기 위해 ASA에서 HTTP 관리 세션을 구성하려면, 

다음 명령을 사용합니다.

ciscoasa(config)# aaa authorization http console {authentication-server | LOCAL}

관리 권한 부여를 위해 사용자를 구성하려면 각 AAA 서버 유형 또는 로컬 사용자에 대한 다음 요

구 사항을 확인하십시오.

RADIUS 

또는 LDAP(매핑됨) 사용자

사용자가 LDAP을 통해 인증되면 기본 LDAP 특성과 그 값이 Cisco ASA 특성에 매핑되어 특

정 권한 부여 기능을 제공할 수 있습니다. 값이 0~15인 Cisco VSA 
CVPN3000-Privilege-Level

로 구성한 다음 ldap map-attributes 명령을 사용하여 LDAP 특

성을 Cisco VAS CVPN3000-Privilege-Level에 매핑합니다.