ISE의 정책 결정을 위해 ASA 플랫폼에서 인증 유형 차별화

다운로드 옵션

  • PDF     (157.6 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (154.9 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (254.4 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2013년 3월 3일
문서 ID:115962

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 Cisco ASA(Adaptive Security Appliance)에서 사용되는 여러 유형의 인증을 구별하기 위해 클라이언트 유형 RADIUS VSA(Vendor-Specific Attribute)를 활용하도록 Cisco ISE(Identity Services Engine)를 구성하는 방법에 대해 설명합니다. 조직은 사용자가 ASA에 인증되는 방식에 따라 정책 결정을 요구하는 경우가 많습니다. 이를 통해 ASA에서 수신된 관리 연결에 정책을 적용할 수도 있습니다. 그러면 TACACS+ 대신 RADIUS를 사용할 수 있게 됩니다(신중한 경우).

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

  • ISE 인증 및 권한 부여

  • ASA 인증 방법 및 RADIUS 컨피그레이션

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

  • Cisco Adaptive Security Appliance 릴리스 8.4.3.

  • Cisco Identity Services Engine 릴리스 1.1.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.

RADIUS VSA 3076/150 클라이언트 유형 특성

Client-Type 특성은 ASA가 Access-Request(및 Accounting-Request) 패킷에서 ISE에 인증하는 클라이언트 유형을 전송할 수 있도록 하는 ASA 릴리스 8.4.3에 추가되었으며, ISE가 해당 특성을 기반으로 정책 결정을 내릴 수 있도록 합니다. 이 특성은 ASA에 컨피그레이션이 필요하지 않으며 자동으로 전송됩니다.

Client-Type 속성은 현재 다음 정수 값으로 정의됩니다.

  1. Cisco VPN Client(IKEv1(Internet Key Exchange Version))

  2. AnyConnect 클라이언트 SSL VPN

  3. 클라이언트리스 SSL VPN

  4. 컷스루 프록시

  5. L2TP/IPsec SSL VPN

  6. AnyConnect 클라이언트 IPsec VPN(IKEv2)

구성

이 섹션에서는 이 문서에 설명된 클라이언트 유형 특성을 사용하도록 ISE를 구성하는 데 필요한 정보를 제공합니다.

1단계

사용자 지정 특성 생성

Client-Type 특성 값을 ISE에 추가하려면 특성을 생성하고 해당 값을 사용자 지정 사전으로 채웁니다.

  1. ISE에서 Policy(정책) > Policy Elements(정책 요소) > Dictionaries(사전) > System(시스템)으로 이동합니다.

  2. 시스템 사전 내에서 RADIUS > RADIUS Vendors > Cisco-VPN3000으로 이동합니다.

  3. 화면의 공급업체 ID는 3076이어야 합니다. Dictionary Attributes 탭을 클릭합니다.

    1. Add(추가)를 클릭합니다(그림 1 참조).

      그림 1: 사전 속성

      differ-auth-types-asa-ise-01.gif

    2. 그림 2와 같이 맞춤형 RADIUS 벤더 특성 양식의 필드를 채웁니다.

      그림 2: RADIUS 벤더 특성

      differ-auth-types-asa-ise-02.gif

    3. 화면 하단의 Save 버튼을 클릭합니다.

2단계

클라이언트 유형 특성 추가

정책 결정에 새 특성을 사용하려면 조건 섹션의 권한 부여 규칙에 특성을 추가합니다.

  1. ISE에서 Policy > Authorization으로 이동합니다.

  2. 새 규칙을 생성하거나 기존 정책을 수정합니다.

  3. 규칙의 조건 섹션에서 조건 창을 확장하고 Create a New Condition(새 규칙의 경우) 또는 Add Attribute/Value(기존 규칙의 경우)를 선택합니다.

  4. Select Attribute(특성 선택) 필드에서 Cisco-VPN3000 > Cisco-VPN3000:CVPN3000/ASA/PIX7x-Client-Type으로 이동합니다.

  5. 환경에 적합한 연산자(같음 또는 같지 않음)를 선택합니다.

  6. 일치시킬 인증 유형을 선택합니다.

  7. 정책에 적합한 권한 부여 결과를 할당합니다.

  8. 완료를 클릭합니다.

  9. 저장을 클릭합니다.

규칙이 생성되면 Authorization Condition(권한 부여 조건)은 그림 3의 예와 유사해야 합니다.

그림 3: 권한 부여 조건 예

differ-auth-types-asa-ise-03.gif

다음을 확인합니다.

Client-Type 특성이 사용 중인지 확인하려면 ISE에서 ASA에서 인증을 검사합니다.

  1. Operations(작업) > Authentications(인증)로 이동합니다.

  2. ASA에서 인증을 위한 Details(세부사항) 버튼을 클릭합니다.

  3. 아래로 스크롤하여 기타 특성으로 이동하고 CVPN3000/ASA/PIX7x-Client-Type=(그림 4 참조)

    그림 4: 기타 속성 세부 정보

    differ-auth-types-asa-ise-04.gif

  4. Other Attributes 필드는 인증에 대해 수신된 값을 나타내야 합니다. 규칙은 컨피그레이션 섹션의 2단계에서 정의된 정책과 일치해야 합니다.

관련 정보

개정 이력

개정 게시 날짜 의견
1.0
03-Mar-2013
최초 릴리스
TAC Authored

Cisco 엔지니어가 작성

  • Beau Wallace
    Cisco TAC Engineer.

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품