Cisco Cisco ASA 5555-X Adaptive Security Appliance 产品宣传页
32-16
Cisco ASA Series
일반적인 작업 CLI 구성 가이드
32
장 관리 액세스
시스템 관리자를 위한 AAA 구성
RADIUS IETF service-type
특성은, RADIUS 인증 및 권한 부여 요청의 결과인
access-accept
메시지를 통해 전송될 때, 어떤 서비스 유형이 인증된 사용자에게 허가될지 지
정하는 데 쓰입니다.
–
Service-Type 6 (Administrative) — aaa authentication console
명령에 의해 지정되는
임의의 서비스에 대한 전체 액세스를 허용합니다.
–
Service-Type 7 (NAS prompt) — aaa authentication {telnet | ssh} console
명령을 구
성할 때 CLI에 대한 액세스를 허용합니다. 그러나 aaa authentication http console 명
령을 구성한 경우에는 ASDM 구성 액세스를 거부합니다. ASDM 모니터링 액세스는 허용
됩니다. enable 인증을 구성하는 데 aaa authentication enable console 명령을 사용한
경우, 사용자는 enable 명령을 사용하여 특별 권한 EXEC 모드에 액세스할 수 없습니다.
Framed (2)
Framed (2)
서비스 유형과 Login (1) 서비스 유형은 동일하게 처리됩니다.
–
Service-Type 5(Outbound)—
관리 액세스를 거부합니다. 사용자는 aaa authentication
console
명령에 의해 지정되는 임의의 서비스를 사용할 수 없습니다( serial 키워드 제외, 직
렬 액세스는 허용됨). 원격 액세스(IPSec 및 SSL) 사용자는 원격 액세스 세션을 계속 인증하고
종료할 수 있습니다. 그 밖의 모든 서비스 유형(Voice, FAX 등)은 동일하게 처리됩니다.
RADIUS Cisco VSA privilege-level
특성(Vendor ID 3076, sub-ID 220)은, access-accept 메
시지를 통해 전송될 때, 사용자의 권한 수준을 지정하는 데 쓰입니다.
인증된 사용자가 ASDM, SSH 또는 텔넷을 통해 ASA에 대한 관리 액세스를 시도하지만 그에
인증된 사용자가 ASDM, SSH 또는 텔넷을 통해 ASA에 대한 관리 액세스를 시도하지만 그에
적합한 권한 수준이 아닐 경우, ASA에서는 syslog 메시지 113021을 생성합니다. 이 메시지는
부적합한 관리 권한 때문에 로그인 시도가 실패했음을 사용자에게 알립니다.
다음 예는 LDAP 특성 맵을 정의하는 방법을 보여 줍니다. 이 예에서 보안 정책은 LDAP을 통
다음 예는 LDAP 특성 맵을 정의하는 방법을 보여 줍니다. 이 예에서 보안 정책은 LDAP을 통
해 인증되는 사용자가 사용자 레코드 필드 또는 파라미터 제목 및 회사를 각각 IETF-RADIUS
service-type
service-type
및 privilege-level에 매핑하도록 지정합니다.
ciscoasa(config)# ldap attribute-map admin-control
ciscoasa(config-ldap-attribute-map)# map-name title IETF-RADIUS-Service-Type
ciscoasa(config-ldap-attribute-map)# map-name company Privilege-Level
다음 예는 LDAP AAA 서버에 LDAP 특성 맵을 적용합니다.
ciscoasa(config)# aaa-server ldap-server (dmz1) host 10.20.30.1
ciscoasa(config-aaa-server-host)# ldap-attribute-map admin-control
•
TACACS+
사용자
"service=shell"
로 권한 부여가 요청되고, 서버는 PASS 또는 FAIL로 응답합니다.
–
PASS,
권한 수준 1 — 구성 및 모니터링 섹션에 대한 제한적인 읽기 전용 액세스 그리고 권
한 수준이 1인 show 명령을 위한 액세스로 ASDM에 대한 액세스를 허용합니다.
–
PASS,
권한 수준 2 이상 — aaa authentication {telnet | ssh} console 명령을 구성 할
때 CLI에 대한 액세스를 허용합니다. 그러나 aaa authentication http console 명령을
구성한 경우에는 ASDM 구성 액세스를 거부합니다. ASDM 모니터링 액세스는 허용됩니
다. enable 인증을 구성하는 데 aaa authentication enable console 명령을 사용한 경
우, 사용자는 enable 명령을 사용하여 특별 권한 EXEC 모드에 액세스할 수 없습니다.
enable
enable
권한 수준이 14 이하로 설정된 경우 enable 명령을 사용하여 특별 권한 EXEC 명
령에 액세스할 수 없습니다.
–
FAIL—
관리 액세스를 거부합니다. 사용자는 aaa authentication console 명령에 의해 지
정되는 임의의 서비스를 사용할 수 없습니다( serial 키워드 제외, 직렬 액세스는 허용됨).
•
로컬 사용자
지정된 사용자 이름에 대한 service-type 명령을 설정합니다. service-type의 기본값은
admin
지정된 사용자 이름에 대한 service-type 명령을 설정합니다. service-type의 기본값은
admin
입니다. 이는 aaa authentication console 명령으로 지정된 임의의 서비스에 대한 전
체 액세스를 허용합니다.