[Network] Cisco Switch Ldap 인증 구성 (Cisco Ldap Authentication)

Network&Security

[Network] Cisco Switch Ldap 인증 구성 (Cisco Ldap Authentication)

Network && Devops 2023. 10. 16. 12:30

회사 내부에 AD(Active Directory) 환경을 사용중일 경우 스위치 관리자 로그인도 AD 계정을 사용하도록 구성할수 있다.

우선 스위치에서 AD 서버로 Ldap 인증구성을 위한 Ldap 서비스 포트(TCP 389) 가 열려 있어야 한다.

구성도

Cisco Switch 설정

1. LDAP Attribute Maps Configuration
Ldap 인증시 사용할 Ldap 속성값과 AAA 속성 값에 대한 매핑을 구성해 준다.

ldap attribute-map ldap_user_map
 map type sAMAccountName username

ldap 속성과 AAA 속성에 대한 정보는
show ldap attributes로 확인할 수 있다.

Switch#show ldap attributes 
LDAP Attribute                    Format      AAA Attribute                 
==============                    ======      =============                 
airespaceBwDataBurstContract     Ulong       bsn-data-bandwidth-burst-contr
userPassword                     String      password                      
airespaceBwRealBurstContract     Ulong       bsn-realtime-bandwidth-burst-c
employeeType                     String      employee-type                 
airespaceServiceType             Ulong       service-type                  
airespaceACLName                 String      bsn-acl-name                  
priv-lvl                         Ulong       priv-lvl                      
memberOf                         String DN   supplicant-group              
cn                               String      username                      
airespaceDSCP                    Ulong       bsn-dscp                      
policyTag                        String      tag-name                      
airespaceQOSLevel                Ulong       bsn-qos-level                 
airespace8021PType               Ulong       bsn-8021p-type                
airespaceBwRealAveContract       Ulong       bsn-realtime-bandwidth-average
airespaceVlanInterfaceName       String      bsn-vlan-interface-name       
airespaceVapId                   Ulong       bsn-wlan-id                   
airespaceBwDataAveContract       Ulong       bsn-data-bandwidth-average-con
sAMAccountName                   String      sam-account-name              
meetingContactInfo               String      contact-info                  
telephoneNumber                  String      telephone-number              


Map: ldap_user_map
sAMAccountName                   String      username

2. ldap 서버 생성.

ldap server ADLDAP
 ipv4 192.168.0.100  ## AD 서버 IP 
 attribute map ldap_user_map
 timeout retransmit 20
 bind authenticate root-dn CN=admin,DC=cisco,DC=com password <password>  ##Ldap 인증용 계정설정
 base-dn OU=Organization,DC=cisco,DC=com  ## 로그인할 사용자가 소속된 OU 등록(최상위OU 설정 가능)
 search-filter user-object-type person      ## 필터링할 objectClass 속성 값 등록 (top,user도 가능) 
 authentication bind-first

Ldap 서버 구성시 관리자 계정이 속해 있는 OU를 base-dn 으로 설정을 해 준다.
등록된 OU의 하위 OU에 대해서는 기본적으로 상속을 받아 적용이 되기 때문에 최상위 OU를 등록을 해 주어도 된다

그리고 search-filter에서 필터링할 AD objectClass 속성 값을 정의를 해 준다.
person, top, user 등의 objectClass 값을 설정을 해 줄수 있다.
단 위의 값들은 모든 사용자에 대한 기본적은 속성 값이기 때문에 base-dn을 최상위 OU로 설정할 경우에는 모든 사용자계정으로 로그인을 할 수 있으니 주의해야 한다.
그래서 관리자 계정만 존재하는 별도의 OU를 만들어서 관리하는 것도 좋은 방법이다.
만약 여러 사용자가 속해있는 OU를 base-dn 으로 사용할 경우에는 로그인할 관리자 계정에 대해서 별도로 objectClass 속성값을 추가해 주고 해당 값을 search-filter에 등록하면 해당 사용자만 로그인을 할 수 있게 된다.

3. AAA 인증 설정.

aaa new-model

aaa group server ldap ldap_group   
 server ADLDAP

aaa authentication login default local group ldap none
aaa authentication enable default enable
aaa authorization exec default group ldap local none

위와 같이 설정해준 후 AD 계정으로 스위치 로그인을 할 경우 정상적으로 로그인이 되는 것을 확인할 수 있다.

참고로 show ldap server all 명령어를 사용하면 현재 ldap 서버 상태 및 통계등을 확인 할 수 있다.

show ldap server all