이 문서에서는 Cisco ASA(Adaptive Security Appliance)에서 사용되는 여러 유형의 인증을 구별하기 위해 클라이언트 유형 RADIUS VSA(Vendor-Specific Attribute)를 활용하도록 Cisco ISE(Identity Services Engine)를 구성하는 방법에 대해 설명합니다. 조직은 사용자가 ASA에 인증되는 방식에 따라 정책 결정을 요구하는 경우가 많습니다. 이를 통해 ASA에서 수신된 관리 연결에 정책을 적용할 수도 있습니다. 그러면 TACACS+ 대신 RADIUS를 사용할 수 있게 됩니다(신중한 경우).
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
ISE 인증 및 권한 부여
ASA 인증 방법 및 RADIUS 컨피그레이션
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
Cisco Adaptive Security Appliance 릴리스 8.4.3.
Cisco Identity Services Engine 릴리스 1.1.
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.
Client-Type 특성은 ASA가 Access-Request(및 Accounting-Request) 패킷에서 ISE에 인증하는 클라이언트 유형을 전송할 수 있도록 하는 ASA 릴리스 8.4.3에 추가되었으며, ISE가 해당 특성을 기반으로 정책 결정을 내릴 수 있도록 합니다. 이 특성은 ASA에 컨피그레이션이 필요하지 않으며 자동으로 전송됩니다.
Client-Type 속성은 현재 다음 정수 값으로 정의됩니다.
Cisco VPN Client(IKEv1(Internet Key Exchange Version))
AnyConnect 클라이언트 SSL VPN
클라이언트리스 SSL VPN
컷스루 프록시
L2TP/IPsec SSL VPN
AnyConnect 클라이언트 IPsec VPN(IKEv2)
이 섹션에서는 이 문서에 설명된 클라이언트 유형 특성을 사용하도록 ISE를 구성하는 데 필요한 정보를 제공합니다.
Client-Type 특성 값을 ISE에 추가하려면 특성을 생성하고 해당 값을 사용자 지정 사전으로 채웁니다.
ISE에서 Policy(정책) > Policy Elements(정책 요소) > Dictionaries(사전) > System(시스템)으로 이동합니다.
시스템 사전 내에서 RADIUS > RADIUS Vendors > Cisco-VPN3000으로 이동합니다.
화면의 공급업체 ID는 3076이어야 합니다. Dictionary Attributes 탭을 클릭합니다.
Add(추가)를 클릭합니다(그림 1 참조).
그림 1: 사전 속성
그림 2와 같이 맞춤형 RADIUS 벤더 특성 양식의 필드를 채웁니다.
그림 2: RADIUS 벤더 특성
화면 하단의 Save 버튼을 클릭합니다.
정책 결정에 새 특성을 사용하려면 조건 섹션의 권한 부여 규칙에 특성을 추가합니다.
ISE에서 Policy > Authorization으로 이동합니다.
새 규칙을 생성하거나 기존 정책을 수정합니다.
규칙의 조건 섹션에서 조건 창을 확장하고 Create a New Condition(새 규칙의 경우) 또는 Add Attribute/Value(기존 규칙의 경우)를 선택합니다.
Select Attribute(특성 선택) 필드에서 Cisco-VPN3000 > Cisco-VPN3000:CVPN3000/ASA/PIX7x-Client-Type으로 이동합니다.
환경에 적합한 연산자(같음 또는 같지 않음)를 선택합니다.
일치시킬 인증 유형을 선택합니다.
정책에 적합한 권한 부여 결과를 할당합니다.
완료를 클릭합니다.
저장을 클릭합니다.
규칙이 생성되면 Authorization Condition(권한 부여 조건)은 그림 3의 예와 유사해야 합니다.
그림 3: 권한 부여 조건 예
Client-Type 특성이 사용 중인지 확인하려면 ISE에서 ASA에서 인증을 검사합니다.
Operations(작업) > Authentications(인증)로 이동합니다.
ASA에서 인증을 위한 Details(세부사항) 버튼을 클릭합니다.
아래로 스크롤하여 기타 특성으로 이동하고 CVPN3000/ASA/PIX7x-Client-Type=(그림 4 참조)
그림 4: 기타 속성 세부 정보
Other Attributes 필드는 인증에 대해 수신된 값을 나타내야 합니다. 규칙은 컨피그레이션 섹션의 2단계에서 정의된 정책과 일치해야 합니다.
개정 | 게시 날짜 | 의견 |
---|---|---|
1.0 |
03-Mar-2013 |
최초 릴리스 |