티스토리 뷰
[Network] Cisco Switch Ldap 인증 구성 (Cisco Ldap Authentication)
Network && Devops 2023. 10. 16. 12:30회사 내부에 AD(Active Directory) 환경을 사용중일 경우 스위치 관리자 로그인도 AD 계정을 사용하도록 구성할수 있다.
우선 스위치에서 AD 서버로 Ldap 인증구성을 위한 Ldap 서비스 포트(TCP 389) 가 열려 있어야 한다.
구성도
Cisco Switch 설정
1. LDAP Attribute Maps Configuration
Ldap 인증시 사용할 Ldap 속성값과 AAA 속성 값에 대한 매핑을 구성해 준다.
ldap attribute-map ldap_user_map
map type sAMAccountName username ldap 속성과 AAA 속성에 대한 정보는
show ldap attributes로 확인할 수 있다.
Switch#show ldap attributes
LDAP Attribute Format AAA Attribute
============== ====== =============
airespaceBwDataBurstContract Ulong bsn-data-bandwidth-burst-contr
userPassword String password
airespaceBwRealBurstContract Ulong bsn-realtime-bandwidth-burst-c
employeeType String employee-type
airespaceServiceType Ulong service-type
airespaceACLName String bsn-acl-name
priv-lvl Ulong priv-lvl
memberOf String DN supplicant-group
cn String username
airespaceDSCP Ulong bsn-dscp
policyTag String tag-name
airespaceQOSLevel Ulong bsn-qos-level
airespace8021PType Ulong bsn-8021p-type
airespaceBwRealAveContract Ulong bsn-realtime-bandwidth-average
airespaceVlanInterfaceName String bsn-vlan-interface-name
airespaceVapId Ulong bsn-wlan-id
airespaceBwDataAveContract Ulong bsn-data-bandwidth-average-con
sAMAccountName String sam-account-name
meetingContactInfo String contact-info
telephoneNumber String telephone-number
Map: ldap_user_map
sAMAccountName String username
2. ldap 서버 생성.
ldap server ADLDAP
ipv4 192.168.0.100 ## AD 서버 IP
attribute map ldap_user_map
timeout retransmit 20
bind authenticate root-dn CN=admin,DC=cisco,DC=com password <password> ##Ldap 인증용 계정설정
base-dn OU=Organization,DC=cisco,DC=com ## 로그인할 사용자가 소속된 OU 등록(최상위OU 설정 가능)
search-filter user-object-type person ## 필터링할 objectClass 속성 값 등록 (top,user도 가능)
authentication bind-first Ldap 서버 구성시 관리자 계정이 속해 있는 OU를 base-dn 으로 설정을 해 준다.
등록된 OU의 하위 OU에 대해서는 기본적으로 상속을 받아 적용이 되기 때문에 최상위 OU를 등록을 해 주어도 된다
그리고 search-filter에서 필터링할 AD objectClass 속성 값을 정의를 해 준다.
person, top, user 등의 objectClass 값을 설정을 해 줄수 있다.
단 위의 값들은 모든 사용자에 대한 기본적은 속성 값이기 때문에 base-dn을 최상위 OU로 설정할 경우에는 모든 사용자계정으로 로그인을 할 수 있으니 주의해야 한다.
그래서 관리자 계정만 존재하는 별도의 OU를 만들어서 관리하는 것도 좋은 방법이다.
만약 여러 사용자가 속해있는 OU를 base-dn 으로 사용할 경우에는 로그인할 관리자 계정에 대해서 별도로 objectClass 속성값을 추가해 주고 해당 값을 search-filter에 등록하면 해당 사용자만 로그인을 할 수 있게 된다.
3. AAA 인증 설정.
aaa new-model
aaa group server ldap ldap_group
server ADLDAP
aaa authentication login default local group ldap none
aaa authentication enable default enable
aaa authorization exec default group ldap local none
위와 같이 설정해준 후 AD 계정으로 스위치 로그인을 할 경우 정상적으로 로그인이 되는 것을 확인할 수 있다.
참고로 show ldap server all 명령어를 사용하면 현재 ldap 서버 상태 및 통계등을 확인 할 수 있다.
show ldap server all
'Network&Security' 카테고리의 다른 글
| [Security] 전문가들이 사용하는 17가지 침투 테스트 툴 (0) | 2020.08.07 |
|---|---|
| [Security] Web 서버 정보 확인 사이트 (0) | 2020.08.07 |
| [Fortigate] Cannot delete admin while 'username' is logged in! (0) | 2020.02.19 |
| Strongswan 을 활용하여 IPSEC-VPN 구성하기(Centos) (1) | 2019.11.20 |
| DHCP Snooping - 비인가 DHCP 사용 차단 ( Cisco ) (0) | 2019.11.19 |
- Total
- Today
- Yesterday
- 개발
- 파이선
- CentOS
- ELASTIC
- switch
- routing
- maximum shards open error
- CISCO
- ccie
- ccnp
- GUI
- pyqt
- Python
- Elasticsearch
- nms
- Elk
- Network
- Logstash
- Kibana
- Ntopng
- EVE
- Linux
- NTOP
- ldap
- ccna
- 코딩
- Security
- EVE-ng
- Fortigate
- ubuntu
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |