참조되지 않는 개체를 삭제하려면 해당 개체의 휴지통 아이콘()을 클릭합니다.

• Name(이름) - 디렉토리 영역의 이름입니다.

• Type(유형) - 디렉터리 서버의 유형입니다. 지원되는 유형은 Active Directory뿐이며 이 필드의 내용은 변경할 수 없습니다.

• Directory Username(디렉터리 사용자 이름), Directory Password(디렉터리 비밀번호) - 검색하려는 사용자 정보에 대한 적절한 권한이 있는 사용자의 고유 사용자 이름 및 비밀번호입니다. Active Directory의 경우에는 사용자에게 상승된 권한이 필요하지 않습니다. 도메인에 어떤 사용자라도 지정할 수 있습니다. 사용자 이름은 모든 자격 요건에 부합해야 합니다(예: 단지 Administrator가 아닌 Administrator@example.com).

  참고	시스템은 이 정보에서 ldap-login-dn 및 ldap-login-password를 생성합니다. 예를 들어 Administrator@example.com은 cn=administrator,cn=users,dc=example,dc=com으로 변환됩니다. cn=users는 항상 이 변환에 포함되므로 일반 이름 "users" 폴더 아래에 여기서 지정하는 사용자를 구성해야 합니다.

• Base DN(기본 DN) - 사용자 및 그룹 정보를 검색하거나 쿼리하기 위한 디렉터리 트리, 즉 사용자와 그룹의 공통 상위 항목입니다. cn=users,dc=example,dc=com을 예로 들 수 있습니다. 기본 DN을 찾는 방법에 대한 자세한 내용은 디렉터리 기본 DN 결정를 참조하십시오.

• AD Primary Domain(AD 기본 도메인) - 디바이스가 조인해야 하는 정규화된 Active Directory 도메인 이름입니다. example.com 등을 예로 들 수 있습니다.

• Hostname/IP Address(호스트 이름/IP 주소) - 디렉터리 서버의 호스트 이름 또는 IP 주소입니다. 서버에 대한 암호화된 연결을 사용하는 경우에는 IP 주소가 아닌 FQDN(Fully-Qualified Domain Name)을 입력해야 합니다.

• Port(포트) - 서버와의 통신에 사용되는 포트 번호입니다. 기본값은 389입니다. 암호화 방법으로 LDAPS를 선택하는 경우에는 포트 636을 사용합니다.

• Encryption(암호화) - 사용자 및 그룹 정보를 다운로드하기 위해 암호화된 연결을 사용하려는 경우에는 STARTTLS 또는 LDAPS 중에서 원하는 방법을 선택합니다. 기본값은 None(없음)입니다. 이 옵션은 사용자 및 그룹 정보를 일반 텍스트로 다운로드함을 의미합니다.

  • STARTTLS는 암호화 방법을 협상하여 디렉토리 서버가 지원하는 가장 강력한 방법을 사용하며 포트 389를 사용합니다. 원격 액세스 VPN에 영역을 사용하는 경우에는 이 옵션이 지원되지 않습니다.

  • LDAPS를 선택하는 경우 LDAP over SSL이 필요합니다. 이 옵션은 포트 636을 사용합니다.

• Trusted CA Certificate(신뢰할 수 있는 CA 인증서) - 암호화 방법을 선택하는 경우 CA(인증 증명) 인증서를 업로드하여 시스템과 디렉터리 서버 간에 신뢰할 수 있는 연결을 설정합니다. 인증서를 사용하여 인증하는 경우에는 인증서의 서버 이름이 서버 호스트 이름/IP 주소와 일치해야 합니다. 예를 들어 IP 주소로 10.10.10.250을 사용하는데 인증서의 주소는 ad.example.com이면 연결은 실패합니다.

해당 영역에 최대 10개의 AD 서버를 추가할 수 있습니다. 이 서버들은 서로의 중복이어야 하고 동일한 AD 도메인을 지원해야 합니다.

편의에 따라 각 서버 항목을 축소 및 확장할 수 있습니다. 섹션에는 호스트네임/IP 주소 및 포트로 레이블이 지정됩니다.

시스템은 별도의 프로세스와 인터페이스를 사용하여 서버에 액세스하므로, 연결이 특정 사용 유형에는 작동하지만 다른 유형에는 작동하지 않음을 나타내는 오류가 발생합니다. 연결을 ID 정책에는 사용할 수 있지만, 원격 액세스 VPN에는 사용할 수 없는 경우를 예로 들 수 있습니다. 서버에 연결할 수 없는 경우에는 IP 주소와 호스트 이름이 올바른지와 DNS 서버에 호스트 이름의 항목이 있는지 등을 확인합니다. 서버에 대한 정적 경로를 구성해야 할 수 있습니다. 자세한 내용은 디렉터리 서버 연결 트러블슈팅를 참고하십시오.

참조되지 않는 개체를 삭제하려면 해당 개체의 휴지통 아이콘()을 클릭합니다.

• Name(이름) - 개체의 이름입니다.

• Description(설명) - 개체의 설명(선택 사항)입니다.

• AD Realms(AD 영역) — AD 영역 개체를 시퀀스에 추가하려면 +를 클릭합니다. 영역을 추가한 후에는 원하는 순서가 지정된 시퀀스로 영역을 클릭하여 끌어다 놓습니다.

이제 패시브 ID 규칙에서 AD 영역 시퀀스를 선택할 수 있습니다.

참조되지 않는 개체를 삭제하려면 해당 개체의 휴지통 아이콘()을 클릭합니다.

• Name(이름) - 개체의 이름입니다. 이 이름은 서버에 구성된 항목과 일치하지 않아도 됩니다.

• Server Name or IP Address(서버 이름 또는 IP 주소) - 서버의 정규화된 호스트 이름(FQDN) 또는 IP 주소입니다. 예를 들어 radius.example.com 또는 10.100.10.10을 입력합니다.

• Authentication Port(인증 포트) - RADIUS 인증 및 권한 부여가 수행되는 포트입니다. 기본값은 1,812입니다.

• Timeout(시간 제한) - 시스템이 다음 서버로 요청을 보내기 전까지 서버의 응답을 기다리는 시간(1~300초)입니다. 기본값은 10초입니다. 이 서버를 원격 액세스 VPN에 대한 보조 인증 소스로 사용하는 경우(예: 인증 토큰을 요청하는 메시지 표시), 이 시간제한을 60초 이상으로 높일 수 있습니다. 이를 통해 사용자가 토큰을 획득해 입력할 시간을 제공합니다.

• Server Secret Key(서버 비밀 키) - (선택 사항). 위협 방어 디바이스와 RADIUS 서버 간의 데이터를 암호화하는 데 사용되는 공유 암호입니다. 이 키는 대/소문자를 구분하며 공백은 포함하지 않는 영숫자 문자열(최대 64자)입니다. 또한 영숫자 문자 또는 밑줄로 시작해야 하며 특수 문자 $ & - _ . + @는 포함할 수 없습니다. 문자열은 RADIUS 서버에 구성된 것과 일치해야 합니다. 비밀 키를 구성하지 않으면 연결이 암호화되지 않습니다.

• Redirect ACL(리디렉션 ACL) - RA VPN 리디렉션 ACL에 사용할 확장 ACL을 선택합니다. Device(장치) > Advanced Configuration(고급 구성) > Smart CLI(스마트 CLI) > Objects(개체) 페이지에서 스마트 CLI Extended Access List(확장 액세스 목록) 개체를 사용하여 확장 ACL을 생성합니다.

  리디렉션 ACL의 목적은 Cisco ISE(Identity Services Engine)에 초기 트래픽을 전송하여 ISE에서 클라이언트 보안 상태를 평가할 수 있게 하는 것입니다. ACL에서는 ISE에 HTTPS 트래픽을 전송해야 하지만, 이미 ISE가 대상으로 지정된 트래픽 또는 이름 확인을 위해 DNS 서버로 전송되는 트래픽은 전송해서는 안 됩니다. 예시는 Threat Defense 디바이스에서 COA(Change of Authorization) 컨피그레이션를 참조하십시오.

• Interface Used to Connect to RADIUS Server(RADIUS 서버에 연결하는 데 사용할 인터페이스) - 서버와 통신할 때 사용할 인터페이스를 결정합니다. Resolve via Route Lookup(경로 조회를 통해 확인)을 선택하면 시스템에서는 항상 라우팅 테이블을 사용해 어떤 인터페이스를 사용할지 결정합니다. Manually Choose Interface(수동으로 인터페이스 선택)를 선택하면 시스템에서는 선택한 인터페이스를 항상 사용합니다.

  CoA(Change of Authorization)를 컨피그레이션하려면 시스템에서 인터페이스의 CoA 리스너를 올바르게 활성화할 수 있도록 특정 인터페이스를 선택해야 합니다.

  서버가 관리 주소와 동일한 네트워크에 있는 경우(진단 인터페이스 선택을 의미함), 진단 인터페이스의 IP 주소도 설정해야 합니다. 관리 IP 주소로는 충분하지 않습니다. Device(디바이스) > Interfaces(인터페이스)로 이동하여 관리 IP 주소와 동일한 서브넷에 있는 진단 인터페이스에서 IP 주소를 설정합니다.

  또한 device manager 관리 액세스를 위해 이 서버를 사용하는 경우, 이 인터페이스는 무시됩니다. 관리 액세스 시도는 항상 관리 IP 주소를 통해 인증됩니다.

사용자 이름과 비밀번호를 입력하라는 메시지가 표시됩니다. 테스트에서는 서버에 연결할 수 있는지, 그리고 서버에 연결할 수 있는 경우 사용자 이름을 인증할 수 있는지를 확인합니다.

참조되지 않는 개체를 삭제하려면 해당 개체의 휴지통 아이콘()을 클릭합니다.

• Name(이름) - 개체의 이름입니다. 이 이름은 서버에 구성된 항목과 일치하지 않아도 됩니다.

• Dead Time(비활성 시간) - 모든 서버에서 장애가 발생해야 장애 발생 서버가 다시 활성화됩니다. 비활성 시간이란 마지막 서버가 실패한 이후, 모든 서버를 재활성화하기 이전의 대기 시간(0~1440분)입니다. 기본은 10분입니다.

• Maximum Failed Attempts(최대 실패 시도 횟수) - 다음 서버 사용을 시도하기 전에 그룹의 RADIUS 서버로 전송되었으나 실패한 AAA 트랜잭션(즉, 응답을 받지 못한 요청)의 수입니다. 1~5 사이의 값을 지정할 수 있으며 기본값은 3입니다. 최대 실패 시도 횟수가 초과되면 시스템에서 해당 서버를 Failed(장애 발생)로 표시합니다.

  특정 기능에 대해 로컬 데이터베이스를 사용하여 대체 방법을 구성했는데 그룹의 모든 서버가 응답하지 않으면 해당 그룹은 응답이 없는 것으로 간주되고 대체 방법을 시도합니다. 서버 그룹은 데드 타임 동안 응답하지 않는 것으로 표시된 상태를 유지하므로 해당 기간 내의 추가 AAA 요청은 서버 그룹에 연결을 시도하지 않으며 폴백 방법이 즉시 사용됩니다.

• Dynamic Authorization(동적 인증)(RA VPN에만 해당), Port(포트) - RADIUS 동적 인증 또는 이 RADIUS 서버 그룹에 대한 CoA(Change of Authorization) 서비스를 활성화할 경우, 해당 그룹은 CoA 알림이 등록되며 ISE(Identity Services Engine)의 CoA 정책 업데이트를 위해 지정된 포트를 수신합니다. 기본 수신 포트는 1700입니다. 또는 1024~65535 범위 내에서 다른 포트를 지정할 수 있습니다. ISE와 함께 원격 액세스 VPN에서 이 서버 그룹을 사용하는 경우에만 동적 인증을 활성화합니다.

• Realm that Supports the RADIUS Server(RADIUS 서버를 지원하는 영역) - 사용자 인증을 위해 AD 서버를 사용하도록 RADIUS 서버를 컨피그레이션하는 경우, 이 RADIUS 서버와 함께 사용되는 AD 서버를 지정하는 AD 영역을 선택합니다. 영역이 아직 없는 경우, 목록 아래에 있는 Create New Identity Realm(새 ID 영역 생성)을 클릭하여 영역을 바로 컨피그레이션합니다.

• RADIUS Server list(RADIUS 서버 목록) - 그룹의 서버를 정의하는 RADIUS 서버 개체를 16개까지 선택합니다. 이러한 개체는 우선순위대로 추가합니다. 목록의 첫 번째 서버가 응답이 없는 상태가 될 때까지 계속 사용됩니다. 개체를 추가한 후에는 끌어 놓기를 통해 개체를 다시 정렬할 수 있습니다. 필요한 개체가 아직 없으면 Create New RADIUS Server(새 RADIUS 서버 생성)를 클릭하여 바로 추가합니다.

  Test(테스트) 링크를 클릭하여 시스템이 서버에 연결할 수 있는지를 확인할 수도 있습니다. 사용자 이름과 비밀번호를 입력하라는 메시지가 표시됩니다. 테스트에서는 서버에 연결할 수 있는지, 그리고 서버에 연결할 수 있는 경우 사용자 이름을 인증할 수 있는지를 확인합니다.

사용자 이름과 비밀번호를 입력하라는 메시지가 표시됩니다. 시스템은 각 서버에 연결할 수 있는지, 그리고 각 서버에서 사용자 이름을 인증할 수 있는지를 확인합니다.

참조되지 않는 개체를 삭제하려면 해당 개체의 휴지통 아이콘()을 클릭합니다.

• Name(이름) - 개체의 이름입니다.

• Status(상태) - 토글을 클릭하여 개체를 활성화하거나 비활성화합니다. 비활성화하면 ID 규칙에서 ISE를 ID 소스로 사용할 수 없습니다.

• Description(설명) - 개체의 설명(선택 사항)입니다.

• Primary Node Hostname/IP Address(기본 노드 호스트 이름/IP 주소) - 기본 pxGrid ISE 서버의 호스트 이름 또는 IP 주소입니다. 사용 중인 ISE 버전이 IPv6을 지원하는지 확인하지 않았다면 IPv6 주소를 지정하지 마십시오.

• Secondary Node Hostname/IP Address(보조 노드 호스트네임/IP 주소) - 고가용성을 위해 보조 ISE 서버를 설정하는 경우, Add Secondary Node Hostname/IP Address(보조 노드 호스트네임/IP 주소 추가)를 클릭하고 보조 pxGrid ISE 서버의 호스트네임 또는 IP 주소를 입력합니다.

• pxGrid Server CA Certificate(pxGrid 서버 CA 인증서) - 신뢰할 수 있는 pxGrid 프레임워크용 인증 기관 인증서입니다. 구축에 기본 및 보조 pxGrid 노드가 포함된 경우 동일한 인증 증명으로 두 가지 노드의 인증서를 서명해야 합니다.

• MNT Server CA Certificate(MNT 서버 CA 인증서) - 일괄 다운로드를 수행할 때 신뢰할 수 있는 ISE 인증서용 인증 기관 인증서입니다. MNT(모니터링 및 트러블슈팅) 서버가 별도로 지정되어 있지 않은 경우 pxGrid 서버 인증서와 같을 수 있습니다. 구축에 기본 및 보조 MNT 노드가 포함된 경우 동일한 인증 증명으로 두 가지 노드의 인증서를 서명해야 합니다.

• Server Certificate(서버 인증서) - ISE에 연결하거나 일괄 다운로드를 수행할 때 위협 방어 디바이스가 ISE에 제공해야 하는 내부 ID 인증서입니다.

• Subscribe To(구독 대상) — 어떤 ISE pxGrid 주제를 구독할지 선택합니다. 주제를 구독하면 해당 주제와 관련된 데이터를 다운로드할 수 있습니다.

  • Session Directory Topic(세션 디렉토리 주제) — 사용자 세션에 대한 SGT 매핑을 비롯한 사용자 세션에 대한 정보를 가져올지 여부입니다. 이 옵션은 기본적으로 활성화되어 있습니다. 보안 정책에 사용하고 모니터링 대시보드에서 볼 수 있도록 패시브 사용자 ID를 가져오려면 이 옵션을 선택해야 합니다.

  • SXP Topic(SXP 주제) — 정적 SGT-IP 주소 매핑을 가져올지 여부입니다. SGT(Security Group Tag)를 기반으로 액세스 제어 규칙을 작성하려면 이 항목을 선택합니다.

• ISE Network Filters(ISE 네트워크 필터) - ISE가 시스템에 보고하는 데이터를 제한하기 위해 설정할 수 있는 선택적 필터입니다. 네트워크 필터를 제공하는 경우 ISE는 필터 내의 네트워크에서만 데이터를 보고합니다. +를 클릭하고 네트워크를 식별하는 네트워크 개체를 선택한 후에 OK(확인)를 클릭합니다. 개체를 생성해야 하는 경우 Create New Network(새 네트워크 생성)를 클릭합니다. IPv4 네트워크 개체만 구성합니다.

테스트에 실패하는 경우 See Logs(로그 보기) 링크를 클릭하여 자세한 오류 메시지를 확인합니다. 예를 들어 다음 메시지는 시스템이 필요한 포트에서 서버에 연결하지 못했음을 나타냅니다. 호스트로의 경로가 없거나, ISE 서버가 필요한 포트를 사용하고 있지 않거나, 연결을 차단하는 액세스 제어 규칙이 문제일 수 있습니다.

Captured Jabberwerx log:2018-05-11T16:10:30 [   ERROR]: connection timed out while 
trying to test connection to host=10.88.127.142:ip=10.88.127.142:port=5222

• 목차에서 Objects(개체)와 Identity Sources(ID 소스)를 차례로 선택합니다.

• Device(디바이스) > Remote Access VPN(원격 액세스 VPN) > SAML Servers(SAML 서버)를 선택합니다.

참조되지 않는 개체를 삭제하려면 해당 개체의 휴지통 아이콘()을 클릭합니다.

• Name(이름) - 개체의 이름입니다.

• Description(설명) - 개체의 설명(선택 사항)입니다.

• Identity Provider (IDP) Entity ID URL(IdP(ID 공급자) 엔티티 ID URL) — SAML 발급자가 요청에 응답하는 방법을 설명하는 메타데이터 XML을 제공하는 페이지의 URL입니다. 일부 SAML 서버 제품에서는 이를 엔티티 ID라고 하고, 일부는 메타데이터 URL이라고 합니다. URL은 프로토콜 https://를 포함하여 4~256자 사이여야 합니다. (예: https://191.168.2.21/dag/saml2/idp/metadata.php)

• Sign-In URL(로그인 URL) — ID 공급자 SAML 서버에 로그인하기 위한 URL입니다. URL은 프로토콜을 포함하여 4~500자 사이여야 합니다. http:// 및 https:// 모두 허용됩니다. (예: https://191.168.2.21/dag/saml2/idp/SSOService.php)

• Sign-Out URL(로그아웃 URL) - ID 공급자 SAML 서버에서 로그아웃하기 위한 URL입니다. URL은 프로토콜을 포함하여 4~500자 사이여야 합니다. http:// 및 https:// 모두 허용됩니다. (예: https://191.168.2.21/dag/saml2/idp/SingleLogoutService.php)

• Service Provider Certificate(FTD 서비스 공급자 인증서) — threat defense 디바이스에 사용할 내부 인증서입니다. 원칙적으로는 인증된 서드 파티에서 서명한 인증서를 이미 업로드했으므로 지금 선택할 수 있습니다. 또한 내장된 DefaultInternalCertificate를 사용하거나 Create New Internal Certificate(새 내부 인증서 생성)를 클릭하여 서명된 인증서를 지금 업로드할 수도 있습니다. SAML 서버 ID 공급자는 이 인증서를 신뢰해야 하므로 SAML 서버에 이를 업로드해야 할 수 있습니다. 인증서를 업로드하거나 서비스 공급자와의 신뢰 관계를 활성화하는 방법에 대한 자세한 내용은 SAML 서버 설명서를 참조하십시오.

• Identity Provider Certificate(ID 공급자 인증서) — SAML 서버 ID 공급자에 대해 신뢰할 수 있는 CA 인증서입니다. SAML 서버에서 이 인증서를 다운로드합니다. 아직 업로드하지 않은 경우 Create New Trusted CA Certificate(새 신뢰할 수 있는 CA 인증서 생성)를 클릭하여 지금 업로드합니다.

• Request Signature(서명 요청) — 로그인 요청에 서명할 때 사용할 암호화 알고리즘입니다. 암호화를 비활성화하려면 None(없음)을 선택합니다. 그렇지 않은 경우에는 SHA1, SHA256, SHA384, SHA512(가장 약한 순서에서 가장 강한 순서로 나열) 중 하나를 선택합니다.

• Request Timeout(요청 시간 초과) - SAML 어설션에는 유효 기간이 있습니다. 사용자는 유효 기간 내에 SSO(Single Sign-On) 요청을 완료해야 합니다. 시간 초과(초 단위)를 설정하여 이 기간을 변경할 수 있습니다. 어설션의 NotOnOrAfter 조건보다 긴 값으로 시간 초과를 설정할 경우 이 시간 초과를 무시하고 NotOnOrAfter가 적용됩니다. 범위는 1~7200초입니다. 기본값은 300초입니다.

• This SAML identity provider (IDP) is on an internal network(이 SAML ID 공급자(IDP)가 내부 네트워크에 있습니다) — SAML 서버가 보호받는 네트워크의 외부가 아닌 내부 네트워크에서 작동하는지 여부.

• Request IDP re-authentication at login(로그인 시 IDP 재인증 요청) — SAML 서버가 이전 인증 세션을 다시 사용하지 않고 사용자가 로그인할 때마다 재인증하려면 이 옵션을 선택합니다. 이 옵션은 기본적으로 활성화되어 있습니다.

목록에 사용자 이름과 서비스 유형이 표시되며, 다음과 같습니다.

• MGMT - device manager에 로그인할 수 있는 관리 사용자입니다. 관리 사용자는 항상 정의되어 있으며 삭제할 수 없습니다. 추가 MGMT 사용자를 구성할 수도 없습니다. 그러나 관리 액세스용 외부 인증을 정의하는 경우에는 디바이스에 로그인하는 외부 사용자가 로컬 사용자 목록에 MGMT 사용자로 표시됩니다.

• RA VPN - 디바이스에 구성된 원격 액세스 VPN에 로그인할 수 있는 사용자입니다. 기본 또는 보조(대체) 소스용 로컬 데이터베이스도 선택해야 합니다.

• 사용자를 추가하려면 +를 클릭합니다.

• 사용자를 수정하려면 해당 사용자의 수정 아이콘()을 클릭합니다.

특정 사용자 어카운트가 더 이상 필요하지 않으면 해당 사용자의 삭제 아이콘()을 클릭합니다.

이름과 비밀번호는 인쇄 가능한 모든 ASCII 영숫자 또는 특수 문자(공백과 물음표 제외)를 포함할 수 있습니다. 인쇄 가능한 문자는 ASCII 코드 33~126입니다.

• Name(이름) - 원격 액세스 VPN에 로그인하기 위한 사용자 이름입니다. 이 이름은 4~64자로 지정할 수 있으며 공백은 포함할 수 없습니다. 예를 들어 johndoe와 같은 이름을 사용합니다.

• Password(비밀번호), Confirm Password(비밀번호 확인) - 어카운트의 비밀번호를 입력합니다. 비밀번호는 8~16자여야 하며 같은 문자를 연속으로 포함할 수는 없습니다. 또한 숫자, 대/소문자, 특수 문자를 각각 하나 이상 포함해야 합니다.