소개
이 문서에서는 ASA 9.22에서 Kerberos 감축에 대한 통찰력을 설명합니다.
사전 요구 사항
요구 사항
기본 보안 개념에 대한 지식을 보유하고 있는 것이 좋습니다.
- ASA CLI에 대한 기본 지식
- AAA에 대한 기본 지식(인증, 권한 부여 및 계정 관리)
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- 모든 ASA 플랫폼
- ASA CLI 9.22.1
- ASDM 7.22.1
- CSM 4.29
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.
ASA CLI 컨피그레이션 연습
ASA CLI 개요:
- 명령 출력에서 inbold italichas 옵션이 CLI에서 제거되었습니다.
- 이러한 컨피그레이션이 포함된 9.22 이전 버전에서 업그레이드하면 부팅 중에 콘솔에 경고 메시지가 표시됩니다.
ciscoasa (config) # aaa 서버 연석 프로토콜?
configure mode 명령/옵션:
http-form 프로토콜 HTTP 양식 기반
kerberos 프로토콜 Kerberos(사용되지 않음)
ldap 프로토콜 LDAP
radius 프로토콜 RADIUS
sdi 프로토콜 SDI
tacacs+ 프로토콜 TACACS+
ciscoasa (config) # aaa-server conclude 프로토콜 kerberos
ciscoasa (config-aaa-server-group) # ?
AAA 서버 컨피그레이션 명령:
exit aaa-server group 컨피그레이션 모드에서 Exit
aaa 서버 구성 명령에 대한 도움말 도움말
max-failed-attempts 그룹의 서버가 비활성화되기 전에 해당 서버에 허용되는 최대 실패 횟수를 지정합니다
no aaa-server group 컨피그레이션에서 항목을 제거합니다.
reactivation-mode 실패한 서버를 다시 활성화하는 방법을 지정합니다
validate-kdc kerberos 사용자 인증 중에 KDC 유효성 검사 활성화
ciscoasa (config) # 테스트 aaa-server 인증 연석?
exec 모드 명령/옵션:
Kerberos 제한 위임 테스트 위임
host 서버의 IP 주소를 지정하려면 이 키워드를 입력합니다
테스트 Kerberos 프로토콜 전환 가장
password 비밀번호 키워드
자체 테스트 Kerberos 셀프 티켓 검색
username 사용자 이름 키워드
ciscoasa (config) # aaa-server ldaps 프로토콜 ldap
ciscoasa (config-aaa-server-group) # aaa-server ldaps 호스트 x.x.x.x
ciscoasa (config-aaa-server-host) # sasl 메커니즘 ?
aaa-server-host 모드 명령/옵션:
digest-md5 선택 Digest-MD5
kerberos select Kerberos
ciscoasa (config) # debug kerberos 지원
ASDM 컨피그레이션 연습
ASDM 개요:
- Kerberos는 ASDM 7.22에서 더 이상 지원되지 않습니다.
- 이렇게 하면 최종 사용자가 Kerberos 프로토콜 및 LDAP SASL 메커니즘으로 AAA 서버 그룹을 구성할 수 없게 됩니다.
- 이러한 비활성화의 일환으로, AAA Kerberos는 TreeMenu의 Users/AAA(디바이스 관리)의 Users/AAA 아래에 더 이상 나열되지 않습니다.
- Microsoft KCD 서버도 더 이상 지원되지 않습니다.
ASDM: 새 AAA 서버 그룹의 Kerberos 프로토콜
ASDM: AAA Kerberos
ASDM: 새 AAA 서버 그룹의 Kerberos 프로토콜
ASDM: LDAP SASL에 대한 Kerberos 컨피그레이션
CSM 구성 연습
CSM 개요:
- Kerberos 프로토콜은 더 이상 지원되지 않습니다.
- 이렇게 하면 최종 사용자가 Kerberos 프로토콜 및 LDAP SASL 메커니즘으로 AAA 서버 그룹을 구성할 수 없게 됩니다.
- Microsoft KCD 서버도 더 이상 지원되지 않습니다.
- CSM에서 Kerberos 지원을 제거하는 대신 활동 검증에서 처리됩니다.
- 활동 검증에서 9.22.1 이상 버전의 ASA에 대해 Kerberos 프로토콜이 9.22.1 이상 버전에서 지원되지 않는다는 오류 메시지를 throw합니다.
CSM Kerberos 컨피그레이션
경로: CSM >Firewall > AAA Rules > AAA Server Group > Add > Kerberos
- 저장
- 활동 검증 결과에 대한 컨피그레이션 미리 보기

LDAP SASL에 대한 CSM Kerberos 컨피그레이션
경로: CSM >방화벽 > AAA 규칙 > AAA 서버 그룹 > 추가 >프로토콜 > LDAP >SASL
- 저장
- 활동 검증 결과에 대한 컨피그레이션 미리 보기
