ISE에서 사용자별 동적 액세스 제어 목록 구성

다운로드 옵션

PDF (1.0 MB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (1.0 MB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (1.0 MB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2021년 1월 17일 (일)

문서 ID:212419

Bias-Free Language

The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 ISE 내부 ID 저장소 또는 외부 ID 저장소에 있는 사용자에 대한 사용자 단위 동적 액세스 제어 목록(dACL)의 컨피그레이션에 대해 설명합니다.

사전 요구 사항

요구 사항

Cisco에서는 ISE(Identity Services Engine)에 대한 정책 컨피그레이션에 대해 알고 있는 것이 좋습니다.

사용되는 구성 요소

이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.

Identity Services Engine 3.0
Microsoft Windows Active Directory 2016

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.

구성

사용자 지정 사용자 특성을 사용하여 내부 저장소의 모든 사용자에 대해 사용자 단위 dACL을 구성할 수 있습니다.AD(Active Directory) 사용자의 경우 유형 문자열의 모든 특성을 사용하여 동일한 값을 얻을 수 있습니다.이 섹션에서는 ISE와 AD에서 모두 특성을 구성하는 데 필요한 정보와 이 기능이 작동하기 위해 ISE에 필요한 컨피그레이션을 제공합니다.

ISE에서 새 사용자 지정 사용자 특성 구성

Administration(관리) > Identity Management(ID 관리) > Settings(설정) > User Custom Attributes(사용자 지정 특성)로 이동합니다.이미지에 표시된 대로 + 버튼을 클릭하여 새 특성을 추가하고 변경 사항을 저장합니다.이 예에서 사용자 지정 특성의 이름은 ACL입니다.

dACL 구성

다운로드 가능한 ACL을 구성하려면 Policy(정책) > Policy Elements(정책 요소) > Results(결과) > Authorization(권한 부여) > Downloadable ACLs(다운로드 가능한 ACL)로 이동합니다.Add(추가)를 클릭합니다.dACL의 이름, 내용을 입력하고 변경 사항을 저장합니다.이미지에 표시된 대로 dACL의 이름은 NotMuchAccess입니다.

사용자 지정 특성을 사용하여 내부 사용자 계정 구성

Administration(관리) > Identity Management(ID 관리) > Identities(ID) > Users(사용자) > Add(추가)로 이동합니다.사용자를 생성하고 사용자 지정 특성 값을 사용자가 권한을 부여할 때 받아야 하는 dACL의 이름으로 구성합니다.이 예에서 dACL의 이름은 NotMuchAccess입니다.

AD 사용자 계정 구성

Active Directory에서 사용자 계정 속성으로 이동한 다음 Attribute Editor 탭으로 이동합니다.이미지에 표시된 대로 CSPolicyName은 dACL 이름을 지정하는 데 사용되는 속성입니다.그러나 앞에서 설명한 것처럼 문자열 값을 허용할 수 있는 모든 속성을 사용할 수도 있습니다.

AD에서 ISE로 특성 가져오기

AD에 구성된 특성을 사용하려면 ISE에서 해당 특성을 가져와야 합니다.특성을 가져오려면 Administration(관리) > Identity Management(ID 관리) > External Identity Sources(외부 ID 소스) > Active Directory > [Join point configured] > Attributes(특성) 탭으로 이동합니다.추가를 클릭한 다음 디렉토리에서 속성 선택을 클릭합니다. AD에 사용자 계정 이름을 입력한 다음 속성 검색을 클릭합니다. dACL에 대해 구성된 속성을 선택하고 확인을 클릭한 다음 저장을 클릭합니다.이미지에 표시된 것처럼 aCSPolicyName은 속성입니다.

내부 및 외부 사용자에 대한 권한 부여 프로파일 구성

권한 부여 프로파일을 구성하려면 Policy(정책) > Policy Elements(정책 요소) > Results(결과) > Authorization(권한 부여) > Authorization Profiles(권한 부여 프로파일)로 이동합니다.Add(추가)를 클릭합니다.이름을 제공하고 내부 사용자의 dACL 이름을 InternalUser:<사용자 지정 특성의 이름>으로 선택합니다.이미지에 표시된 대로 내부 사용자의 경우 프로필 InternalUserAttributeTest가 dACL을 InternalUser:ACL로 구성되도록 구성됩니다.

외부 사용자의 경우 <Join point name>:<attribute configured on AD>(AD에 구성된 특성)를 dACL 이름으로 사용합니다.이 예에서 프로필 ExternalUserAttributeTest는 RiniAD:aCSPolicyName으로 구성된 dACL로 구성되며 여기서 RiniAD는 조인 지점 이름입니다.

권한 부여 정책 구성

권한 부여 정책은 외부 사용자가 AD에 있는 그룹 및 ISE 내부 ID 저장소의 사용자 이름을 기반으로 하여 Policy > Policy Sets에서 구성할 수 있습니다.이 예에서 testuserexternal은 그룹 rinsantrr.lab/Users/Test Group에 있는 사용자이고 testuserinternal은 ISE 내부 ID 저장소에 있는 사용자입니다.