이 문서에서는 Microsoft Active Directory를 Cisco ACS(Secure Access Control System) 5.x 이상과 통합하는 샘플 컨피그레이션을 제공합니다. ACS는 Microsoft AD(Active Directory)를 외부 ID 저장소로 사용하여 사용자, 시스템, 그룹 및 특성과 같은 리소스를 저장합니다. ACS는 AD에 대해 이러한 리소스를 인증합니다.
이 구성을 시도하기 전에 다음 요구 사항을 충족해야 합니다.
사용할 Windows Active Directory 도메인을 완전히 구성하고 작동해야 합니다.
Microsoft Windows Server 2003 Domain, Microsoft Windows Server 2008 Domain 또는 Microsoft Windows Server 2008 R2 Domain은 ACS 5.x에서 지원되므로 이 도메인을 사용합니다.
참고: Microsoft Windows Server 2008 R2 도메인과 ACS의 통합은 ACS 5.2 이상에서 지원됩니다.
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
Cisco Secure ACS 5.3
Microsoft Windows Server 2003 도메인
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 규칙을 참조하십시오.
Windows Active Directory는 일상적인 네트워크 사용에서 사용되는 많은 기능을 제공합니다. ACS 5.x와 AD를 통합하면 기존 AD 사용자, 머신 및 그룹 매핑을 사용할 수 있습니다.
ACS 5.x는 AD와 통합되어 다음과 같은 기능을 제공합니다.
시스템 인증
권한 부여를 위한 속성 검색
EAP-TLS 인증을 위한 인증서 검색
사용자 및 머신 계정 제한
시스템 액세스 제한
전화 접속 권한 확인
전화 접속 사용자를 위한 콜백 옵션
전화 접속 지원 특성
ACS 5.x를 AD에 통합하기 전에 ACS의 TimeZone, Date & Time이 AD 기본 도메인 컨트롤러의 TimeZone과 일치하는지 확인합니다. 또한 ACS 5.x에서 도메인 이름을 확인할 수 있도록 ACS에서 DNS 서버를 정의합니다. ACS 5.x ADE-OS(Application Deployment Engine)를 구성하려면 다음 단계를 완료합니다.
ACS 어플라이언스에 SSH를 입력하고 CLI 자격 증명을 입력합니다.
도메인 컨트롤러의 TIMEZONE과 일치시키기 위해 ACS에서 TIMEZONE을 구성하려면 표시된 대로 config 모드에서 clock timezone 명령을 실행합니다.
clock timezone Asia/Kolkata
참고: 아시아/콜카타는 이 문서에서 사용되는 시간대입니다. exec mode show timezones 명령으로 특정 시간대를 찾을 수 있습니다.
AD 도메인 컨트롤러가 네트워크에 상주하는 NTP 서버와 동기화되는 경우 ACS에서 동일한 NTP 서버를 사용하는 것이 좋습니다. NTP 서버가 없는 경우 4단계로 건너뜁니다. 다음은 NTP 서버를 구성하는 단계입니다.
NTP 서버는 컨피그레이션 모드에서 ntp server <ip address of the NTP server> 명령을 사용하여 구성할 수 있습니다.
ntp server 192.168.26.55 The NTP server was modified. If this action resulted in a clock modification, you must restart ACS.
ACS 5.x 참조: NTP 컨피그레이션에 대한 자세한 내용은 Cisco ACS Synchronization with NTP Server Configuration Example을 참조하십시오.
날짜와 시간을 수동으로 구성하려면 exec 모드에서 clock set 명령을 사용합니다. 다음은 예입니다.
clock set Jun 8 10:36:00 2012 Clock was modified. You must restart ACS. Do you want to restart ACS now? (yes/no) yes Stopping ACS. Stopping Management and View...................... Stopping Runtime...... Stopping Database.... Cleanup..... Starting ACS .... To verify that ACS processes are running, use the 'show application status acs' command.
이제 show clock 명령을 사용하여 Timezone, Date 및 Time을 확인합니다. 다음은 show clock 명령의 출력입니다.
acs51/admin# show clock Fri Jun 8 10:36:05 IST 2012
아래와 같이 구성 모드에서 <ip name-server <ip address of the DNS> 명령을 사용하여 ACS에서 DNS를 구성합니다.
ip name-server 192.168.26.55
참고: DNS IP 주소는 Windows 도메인 관리자가 제공합니다.
표시된 대로 도메인 이름 연결 가능성을 확인하려면 nslookup <domain name> 명령을 실행합니다.
acs51/admin#nslookup MCS55.com Trying "MCS55.com" ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60485 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1 ;; QUESTION SECTION: ;MCS55.com. IN ANY ;; ANSWER SECTION: MCS55.com. 600 IN A 192.168.26.55 MCS55.com. 3600 IN NS admin-zq2ttn9ux.MCS55.com. MCS55.com. 3600 IN SOA admin-zq2ttn9ux.MCS55.com. hostmaster.MCS55.com. 635 900 600 86400 3600 ;; ADDITIONAL SECTION: admin-zq2ttn9ux.MCS55.com. 3600 IN A 192.168.26.55 Received 136 bytes from 192.168.26.55#53 in 0 ms
참고: ANSWER SECTION이 비어 있으면 Windows 도메인 관리자에게 문의하여 도메인에 대한 올바른 DNS 서버를 확인하십시오.
ACS에서 DOMAIN-NAME을 구성하려면 다음과 같이 ip domain-name <domain name> 명령을 실행합니다.
ip domain-name MCS55.com
여기와 같이 ACS에서 HOSTNAME을 구성하려면 hostname <hostname> 명령을 실행합니다.
hostname acs51
참고: NETBIOS 제한 사항으로 인해 ACS 호스트 이름은 15자 이하여야 합니다.
구성을 ACS에 저장하려면 Write memory 명령을 실행합니다.
ACS5.x를 AD에 조인하려면 다음 단계를 완료하십시오.
Users and Identity Stores(사용자 및 ID 저장소) > External Identity Stores(외부 ID 저장소) > Active Directory를 선택하고 Domain Name(도메인 이름), AD 계정(사용자 이름) 및 해당 비밀번호를 제공하고 Test Connection(연결 테스트)을 클릭합니다.
참고: ACS에서 도메인 액세스에 필요한 AD 계정에는 다음 중 하나가 있어야 합니다.
해당 도메인의 도메인 사용자 권한에 워크스테이션을 추가합니다.
ACS 컴퓨터를 도메인에 가입시키기 전에 ACS 컴퓨터의 계정이 생성된 해당 컴퓨터 컨테이너에서 Computer Objects(컴퓨터 개체 생성) 또는 Delete Computer Objects(컴퓨터 개체 삭제) 권한을 생성합니다.
참고: Cisco에서는 ACS 계정에 대해 잠금 정책을 비활성화하고 해당 계정에 잘못된 비밀번호를 사용하는 경우 관리자에게 경고를 보내도록 AD 인프라를 구성하는 것이 좋습니다. 잘못된 비밀번호를 입력하면 ACS는 필요한 경우 해당 시스템 계정을 생성하거나 수정하지 않으므로 모든 인증을 거부할 수 있기 때문입니다.
참고: ACS를 AD 도메인에 연결하는 Windows AD 계정은 자체 OU(조직 구성 단위)에 배치할 수 있습니다. 어카운트가 생성될 때 또는 어플라이언스 이름이 AD 어카운트의 이름과 일치해야 한다는 제한이 있는 OU에 상주합니다.
이 스크린샷은 AD에 대한 테스트 연결이 성공했음을 보여줍니다. 그런 다음 확인을 클릭합니다.
참고: AD 도메인과 ACS 연결을 테스트하는 동안 서버에서 느린 응답이 있을 경우 컨피그레이션이 영향을 받고 연결이 끊어질 수 있습니다. 그러나 다른 응용 프로그램에서도 원활하게 작동합니다.
ACS가 AD에 조인할 Save Changes를 클릭합니다.
ACS가 AD 도메인에 성공적으로 가입하면 연결 상태가 표시됩니다.
참고: AD ID 저장소를 구성할 때 ACS에서도 다음을 생성합니다.
다음 두 가지 특성을 가진 해당 저장소에 대한 새 사전 ExternalGroups 및 Directory Attributes 페이지에서 검색된 속성에 대한 다른 특성
새 특성, IdentityAccessRestricted입니다. 이 특성에 대한 사용자 지정 조건을 수동으로 생성할 수 있습니다.
ExternalGroup 특성에서 그룹 매핑에 대한 사용자 지정 조건입니다. 사용자 지정 조건 이름은 AD1:ExternalGroups이고 Directory Attributes 페이지에서 선택한 각 특성에 대한 다른 사용자 지정 조건(예: AD1:cn)입니다.
ACS에서 새로 구성된 AD 통합을 사용할 수 있도록 액세스 서비스 구성을 완료하려면 다음 단계를 완료하십시오.
AD에서 사용자를 인증하려는 서비스를 선택하고 Identity를 클릭합니다. 이제 ID 소스 필드 옆에 있는 선택을 클릭합니다.
AD1을 선택하고 OK를 클릭합니다.
Save Changes를 클릭합니다.
AD 인증을 확인하려면 AD 자격 증명을 사용하여 NAS에서 인증 요청을 보냅니다. NAS가 ACS에 구성되어 있고 이전 섹션에서 구성된 액세스 서비스에서 요청을 처리했는지 확인합니다.
NAS에서 성공적으로 인증한 후 ACS GUI에 로그인하고 Monitoring and Reports(모니터링 및 보고서) > AAA Protocol(AAA 프로토콜) > TACACS+Authentication(TACACS+인증)을 선택합니다. 목록에서 전달된 인증을 식별하고 표시된 대로 돋보기 기호를 클릭합니다.
ACS에서 인증 요청을 AD로 전송한 단계에서 확인할 수 있습니다.
개정 | 게시 날짜 | 의견 |
---|---|---|
1.0 |
19-Jun-2012 |
최초 릴리스 |