[Network] Cisco Switch Ldap 인증 구성 (Cisco Ldap Authentication)

회사 내부에 AD(Active Directory) 환경을 사용중일 경우 스위치 관리자 로그인도 AD 계정을 사용하도록 구성할수 있다.

우선 스위치에서  AD 서버로 Ldap 인증구성을 위한 Ldap 서비스 포트(TCP 389) 가 열려 있어야 한다.

구성도

Cisco Switch 설정

반응형

 1. LDAP Attribute Maps Configuration
    Ldap 인증시 사용할  Ldap 속성값과 AAA 속성 값에 대한 매핑을 구성해 준다.

ldap attribute-map ldap_user_map
 map type sAMAccountName username

   ldap 속성과 AAA 속성에 대한 정보는 
   show ldap attributes로 확인할 수 있다.

Switch#show ldap attributes 
LDAP Attribute                    Format      AAA Attribute                 
==============                    ======      =============                 
airespaceBwDataBurstContract     Ulong       bsn-data-bandwidth-burst-contr
userPassword                     String      password                      
airespaceBwRealBurstContract     Ulong       bsn-realtime-bandwidth-burst-c
employeeType                     String      employee-type                 
airespaceServiceType             Ulong       service-type                  
airespaceACLName                 String      bsn-acl-name                  
priv-lvl                         Ulong       priv-lvl                      
memberOf                         String DN   supplicant-group              
cn                               String      username                      
airespaceDSCP                    Ulong       bsn-dscp                      
policyTag                        String      tag-name                      
airespaceQOSLevel                Ulong       bsn-qos-level                 
airespace8021PType               Ulong       bsn-8021p-type                
airespaceBwRealAveContract       Ulong       bsn-realtime-bandwidth-average
airespaceVlanInterfaceName       String      bsn-vlan-interface-name       
airespaceVapId                   Ulong       bsn-wlan-id                   
airespaceBwDataAveContract       Ulong       bsn-data-bandwidth-average-con
sAMAccountName                   String      sam-account-name              
meetingContactInfo               String      contact-info                  
telephoneNumber                  String      telephone-number              


Map: ldap_user_map
sAMAccountName                   String      username

 

반응형

2. ldap 서버 생성.

ldap server ADLDAP
 ipv4 192.168.0.100  ## AD 서버 IP 
 attribute map ldap_user_map
 timeout retransmit 20
 bind authenticate root-dn CN=admin,DC=cisco,DC=com password <password>  ##Ldap 인증용 계정설정
 base-dn OU=Organization,DC=cisco,DC=com  ## 로그인할 사용자가 소속된 OU 등록(최상위OU 설정 가능)
 search-filter user-object-type person      ## 필터링할 objectClass 속성 값 등록 (top,user도 가능) 
 authentication bind-first

  Ldap 서버 구성시 관리자 계정이 속해 있는 OU를 base-dn 으로 설정을 해 준다.
  등록된 OU의 하위 OU에 대해서는 기본적으로 상속을 받아 적용이 되기 때문에 최상위 OU를 등록을 해 주어도 된다

  그리고 search-filter에서 필터링할 AD objectClass 속성 값을 정의를 해 준다. 
  person, top, user 등의 objectClass 값을 설정을 해 줄수 있다.
  단 위의 값들은 모든 사용자에 대한 기본적은 속성 값이기 때문에 base-dn을 최상위 OU로 설정할 경우에는 모든 사용자계정으로 로그인을 할 수 있으니 주의해야 한다.
   그래서 관리자 계정만 존재하는 별도의 OU를 만들어서 관리하는 것도 좋은 방법이다.
만약 여러 사용자가 속해있는 OU를 base-dn 으로 사용할 경우에는 로그인할 관리자 계정에 대해서 별도로 objectClass 속성값을 추가해 주고 해당 값을 search-filter에 등록하면 해당 사용자만 로그인을 할 수 있게 된다.

반응형

 3.  AAA 인증 설정.

aaa new-model

aaa group server ldap ldap_group   
 server ADLDAP

aaa authentication login default local group ldap none
aaa authentication enable default enable
aaa authorization exec default group ldap local none

위와 같이 설정해준 후 AD 계정으로 스위치 로그인을 할 경우 정상적으로 로그인이 되는 것을 확인할 수 있다.

참고로 show ldap server all  명령어를 사용하면 현재 ldap 서버 상태 및 통계등을 확인 할 수 있다.

show ldap server all

반응형