Cisco Cisco Identity Services Engine 1.2 产品宣传页
Cisco Systems © 2016
122페이지
보안
액세스 방법 가이드
Step 92
이 로그를 통해 APC-UPS로 프로파일링된 두 엔드포인트가 UPS라는 권한 부여 프로파일을
사용하여 인증되고 권한이 부여됨을 알 수 있습니다. 이 예에서는 첫 번째 엔드포인트에 권한이
부여된 후에 다운로드 가능한 ACL(dACL)이 스위치로 전송됩니다. 두 번째 엔드포인트에서는 이미
다운로드된 dACL을 재사용하므로 두 번째 dACL은 전송되지 않습니다.
사용하여 인증되고 권한이 부여됨을 알 수 있습니다. 이 예에서는 첫 번째 엔드포인트에 권한이
부여된 후에 다운로드 가능한 ACL(dACL)이 스위치로 전송됩니다. 두 번째 엔드포인트에서는 이미
다운로드된 dACL을 재사용하므로 두 번째 dACL은 전송되지 않습니다.
프로파일
전환 및 COA(Change of Authorization)
프로파일링 과정을 통해 엔드포인트는 알 수 없는 ID 그룹에서 보다 구체적인 특정 프로파일(예: Apple-
디바이스)로 전환될 수 있습니다. 경우에 따라 Apple-iPad 등으로 직접 전환되지만, 네트워크에서 새 프로파일
데이터가 수집되면 그에 맞춰 전환이 발생할 수도 있습니다. 일반적인 경우는 아니지만 엔드포인트에
대한“네거티브”프로파일링 데이터의 경우 더 구체적인 프로파일에서 덜 구체적인 상위 프로파일로
전환되거나 모두 완전히 다른 프로파일로 전환되도록 할 수 있습니다.
디바이스)로 전환될 수 있습니다. 경우에 따라 Apple-iPad 등으로 직접 전환되지만, 네트워크에서 새 프로파일
데이터가 수집되면 그에 맞춰 전환이 발생할 수도 있습니다. 일반적인 경우는 아니지만 엔드포인트에
대한“네거티브”프로파일링 데이터의 경우 더 구체적인 프로파일에서 덜 구체적인 상위 프로파일로
전환되거나 모두 완전히 다른 프로파일로 전환되도록 할 수 있습니다.
프로파일 전환 유형에 상관없이 일치하는 엔드포인트가 네트워크에 인증될 때 엔드포인트 ID 그룹 할당에서
다른 권한 부여 정책 규칙을 적용하는 연관된 변경 사항이 있는 경우가 있을 수 있습니다. 문제는 네트워크에
이미 인증되고 권한이 부여된 엔드포인트에 새 권한 부여가 미치는 영향입니다.
다른 권한 부여 정책 규칙을 적용하는 연관된 변경 사항이 있는 경우가 있을 수 있습니다. 문제는 네트워크에
이미 인증되고 권한이 부여된 엔드포인트에 새 권한 부여가 미치는 영향입니다.
그림 93에서는 프로파일 전환 및 CoA(Change of Authorization)의 컨피그레이션 흐름을 보여줍니다.
그림
88 컨피그레이션 흐름: 프로파일 전환 및 CoA
CoA(Change of Authorization)
CoA는 특정 상태 또는 정책 변경이 발생하는 경우 RADIUS 서버(ISE)가 네트워크 액세스 디바이스(RADIUS
클라이언트)를 대상으로 요청하지 않은 통신을 시작하여 엔드포인트에 대한 액세스 정책을 업데이트하도록
하는 표준 기반 RADIUS 기능(RFC 3576)입니다. 업데이트는 엔드포인트에서 재인증을 시작하지 않아도
발생할 수 있습니다.
클라이언트)를 대상으로 요청하지 않은 통신을 시작하여 엔드포인트에 대한 액세스 정책을 업데이트하도록
하는 표준 기반 RADIUS 기능(RFC 3576)입니다. 업데이트는 엔드포인트에서 재인증을 시작하지 않아도
발생할 수 있습니다.