Firepower System 사용자 어카운트
사용자 이름과 비밀번호를 제공해야 웹 인터페이스나 management center 또는 매니지드 디바이스의 CLI에 액세스할 수 있습니다. 매니지드 디바이스에서, 구성 레벨 액세스 권한이 있는 CLI 사용자는 expert
명령을 이용해 Linux 셸에 액세스할 수 있습니다. management center에서는 모든 CLI 사용자가 expert
명령을 사용할 수 있습니다. management center 및 FTD를 외부 인증을 사용하도록 구성하면 사용자 자격 증명을 외부 LDAP 또는 RADIUS 서버에 저장합니다. CLI 액세스 권한을 취소하거나 외부 사용자에게 제공할 수 있습니다.management center는 인증 및 권한 부여를 위해 SAML(Security Assertion Markup Language) 2.0 개방형 표준을 준수하는 SSO 제공자를 사용하여 SSO(Single Sign-On)를 지원하도록 구성할 수
있습니다.
management center CLI는 모든 명령에 액세스할 수 있는 단일 관리자 사용자를 제공합니다. management center 웹 인터페이스 사용자가 액세스할 수 있는 기능은 관리자가 사용자 계정에 부여하는 권한에 의해 제어됩니다. 매니지드 디바이스의 경우 사용자가 CLI 및 웹 인터페이스에서 액세스할 수 있는 기능은 사용자 계정에 부여된 권한과 관리자에 의해 제어됩니다.
참고 |
시스템은 사용자 어카운트를 기반으로 사용자 활동을 감사합니다. 따라서 사용자들이 올바른 어카운트로 시스템에 로그인하도록 해야 합니다. |
경고 |
모든 management center CLI 사용자 및 (매니지드 디바이스의 경우) 구성 레벨 CLI 액세스 권한이 있는 사용자는 Linux 셸에서 루트 권한을 얻을 수 있으며, 따라서 보안 위험이 발생할 수 있습니다. 시스템 보안을 위해 다음을 적극 권장합니다.
|
경고 |
Cisco TAC가 지시하거나 Firepower 사용자 설명서에서 명시적으로 지시하지 않는 한, Linux 셸은 사용하지 않는 것이 좋습니다. |
다양한 어플라이언스가 각기 다른 기능으로 서로 다른 유형의 사용자 어카운트를 지원합니다.
Secure Firewall Management Centers
Secure Firewall Management Center다음 같은 사용자 어카운트를 지원합니다.
-
웹 인터페이스 액세스를 위한 사전 정의된 관리자 어카운트. 관리자 역할이 주어지며 웹 인터페이스를 통해 관리할 수 있습니다.
-
맞춤형 사용자 계정으로, 웹 인터페이스 액세스를 제공하며 관리자 사용자와 관리자 권한이 있는 사용자가 생성하고 관리할 수 있습니다.
-
CLI 액세스를 위한 사전 정의된 관리자 계정입니다. 이 계정으로 로그인하는 사용자는
expert
명령을 사용해 Linux 셸 액세스 권한을 얻을 수 있습니다.초기 구성에서 CLI 관리자 계정과 웹 인터페이스 관리자 계정의 비밀번호가 동기화되지만, 원한다면 이후 두 관리자 계정에 별도의 비밀번호를 설정할 수 있습니다.
경고 |
시스템 보안을 위해 Cisco에서는 Linux 셸 사용자를 어플라이언스에서 추가로 설정하지 않도록 권장합니다. |
Secure Firewall Threat Defense및 Secure Firewall Threat Defense Virtual 디바이스
Secure Firewall Threat Defense및 Secure Firewall Threat Defense Virtual 디바이스는 다음 사용자 어카운트 유형을 지원합니다.
-
사전 정의된 관리자 어카운트. 모든 형태의 디바이스 액세스에 사용될 수 있습니다.
-
맞춤형 사용자 어카운트. 관리자 사용자 및 Config(구성) 액세스 권한이 있는 사용자가 생성하고 관리할 수 있습니다.
Secure Firewall Threat Defense는 SSH 사용자에 대한 외부 인증을 지원합니다.