TACACS+ 디바이스 관리
Cisco ISE는 네트워크 디바이스의 컨피그레이션을 제어하고 감사하기 위해 TACACS+(Terminal Access Controller Access-Control System) 보안 프로토콜을 사용하는 디바이스 관리를 지원합니다. 네트워크 디바이스는 디바이스 관리자 작업 인증 및 권한 부여를 Cisco ISE에 쿼리하고, 해당 작업을 기록하기 위해 Cisco ISE에 대한 계정 관리 메시지를 전송하도록 구성됩니다. 따라서 어떤 사용자가 어떤 네트워크 디바이스에 액세스하고 관련 네트워크 설정을 변경할 수 있는지를 세분화된 방식으로 제어할 수 있습니다. Cisco ISE 관리자는 디바이스 관리 액세스 서비스의 권한 부여 정책 규칙에서 명령 집합 및 쉘(shell) 프로파일과 같은 TACACS 결과를 선택하도록 허용하는 정책 집합을 생성할 수 있습니다. Cisco ISE 모니터링 노드는 디바이스 관리와 관련이 있는 향상된 보고서를 제공합니다. 작업 센터 메뉴에는 ISE 관리자에게 단일 시작점으로 작동하는 모든 디바이스 관리 페이지가 포함되어 있습니다.
Cisco ISE에서 TACACS+를 사용하려면 디바이스 관리 라이선스가 필요합니다.
디바이스 관리를 수행하는 관리자에는 다음 두 가지 유형이 있습니다.
-
디바이스 관리자
-
Cisco ISE 관리자
디바이스 관리자는 스위치, 무선 액세스 포인트, 라우터, 게이트웨이와 같은 네트워크 디바이스에 로그인하여(일반적으로 SSH 사용) 관리 중인 디바이스의 구성 및 유지 관리를 수행하는 사용자입니다. Cisco ISE 관리자는 Cisco ISE에 로그인하여 디바이스 관리자가 로그인하는 디바이스를 구성하고 조정합니다.
Cisco ISE 관리자는 이 문서의 대상으로, 디바이스 관리자의 작업을 제어하는 설정을 구성하기 위해 Cisco ISE에 로그인합니다. Cisco ISE 관리자는 디바이스 관리 기능(Cisco ISE GUI에서 메뉴 아이콘()을 클릭하고 Work Centers(작업 센터) > Device Administration(디바이스 관리))을 사용하여 네트워크 디바이스의 구성을 제어 및 감사합니다. 디바이스는 TACACS(Terminal Access Controller Access-Control System) 보안 프로토콜을 사용하여 Cisco ISE 서버에 쿼리하도록 구성할 수 있습니다. Cisco ISE 모니터링 노드는 디바이스 관리와 관련이 있는 향상된 보고서를 제공합니다. Cisco ISE 관리자는 다음 작업을 수행할 수 있습니다.
-
TACACS+ 세부정보(공유 암호)로 네트워크 디바이스를 구성합니다.
-
디바이스 관리자를 내부 사용자로 추가하고 필요에 따라 활성화 비밀번호를 설정합니다.
-
디바이스 관리 액세스 서비스의 권한 부여 정책 규칙에서 명령 집합 및 쉘(shell) 프로파일과 같은 TACACS 결과를 선택하도록 허용하는 정책 집합을 생성합니다.
-
디바이스 관리자가 정책 집합에 따라 디바이스에 액세스할 수 있도록 Cisco ISE에서 TACACS 서버를 구성합니다.
디바이스 관리자는 Cisco ISE 서버와 통신하도록 디바이스를 설정하는 작업을 수행합니다. 디바이스 관리자가 디바이스에 로그온하면 디바이스는 Cisco ISE 서버에 쿼리합니다. 그러면 Cisco ISE 서버가 내부 또는 외부 ID 저장소에 쿼리하여 디바이스 관리자의 세부정보를 검증합니다. Cisco ISE 서버에서 검증이 수행되면 디바이스는 Cisco ISE 서버에 계정 관리 및 감사를 위해 각 세션 또는 명령 권한 부여 작업의 최종 결과를 알립니다.
Cisco ISE 관리자는 TACACS 및 Cisco ISE 2.0 이상 릴리스를 사용하여 디바이스 관리를 수행할 수 있습니다. 디바이스 관리와 관련된 구성을 Cisco Secure Access Control System(ACS) 서버 5.5, 5.6, 5.7 및 5.8 버전에서 마이그레이션할 수도 있습니다. 마이그레이션 전에 이전 버전을 5.5 또는 5.6으로 업그레이드해야 합니다.
참고 |
TACACS+ 작업을 활성화하려면 Administration(관리) > System(시스템) > Deployment(구축) > General Settings(일반 설정) 페이지에서 Enable Device Admin Service(디바이스 관리 서비스 활성화) 확인란을 선택해야 합니다. 구축의 각 PSN에서 이 옵션이 활성화되어 있는지 확인합니다. TACACS+ 프로토콜은 스위치 또는 라우터와 Cisco ISE 간의 보안 연결을 생성하는 데 알려진 제한이 있으므로 양측 간에 IPsec 프로토콜이 구축되었는지 확인하십시오. |
디바이스 관리 속성에 대한 자세한 내용은 ISE Device Administration Attributes를 참고하십시오. 무선 LAN 컨트롤러, IOS 네트워크 디바이스, Cisco NX-OS 네트워크 디바이스 및 네트워크 디바이스의 TACACS+ 구성에 대한 자세한 내용은 ISE Device Administration(TACACS+)을 참고하십시오. |