LDAP 인증 그룹 정책을 수행하도록 WSA를 구성하려면 어떻게 합니까?

질문:

환경: Cisco WSA(Web Security Appliance), 모든 버전의 AsyncOS

"인증 그룹"이 작동하려면 먼저 "GUI > Network > Authentication"에서 인증 영역을 구성해야 합니다.

1. 먼저 "Authentication Protocol(인증 프로토콜)"을 'LDAP'로 설정하고 "Group Authorization(그룹 권한 부여)"(다른 섹션이 올바르게 구성됨)으로 이동합니다.
2. "그룹 이름 특성"을 지정하십시오. 이 속성은 "Web Security Manager" > "Web Access Policies" > "Click Add Group" > "Select Group Type to Authentication Group" > "Directory Lookup" 테이블 아래에 표시되는 값을 보유하는 속성입니다. 이 특성은 고유해야 하며 이 특성이 나타내는 리프 노드에 해당 그룹의 사용자 목록이 포함되어 있어야 합니다.
3. 다음으로 "그룹 필터 쿼리"를 지정합니다. WSA에서 LDAP 디렉토리의 모든 그룹을 찾는 데 사용하는 검색 필터입니다.
4. 이제 leaf 노드에서 멤버 고유 값을 보유할 속성인 "Group Membership Attribute"를 지정합니다. 이 특성은 이 그룹의 멤버를 보유하므로 여러 항목이 표시됩니다. 이 특성에 포함된 값이 같은 페이지에 있는 "사용자 이름 특성"에 포함된 값과 일치하는지 확인하십시오.

다음은 WSA에서 LDAP 영역 컨피그레이션을 사용하여 사용자 이름을 LDAP 그룹과 일치시키는 방법의 예입니다.

1. "Group Filter Query(그룹 필터 쿼리)"를 "objectClass=group"으로 설정한다고 가정하겠습니다.
2. WSA는 먼저 이 필터를 사용하여 LDAP 디렉토리를 검색하고 결과를 찾습니다.
3. 그런 다음 WSA는 결과를 사용하여 "Group Membership Attribute(그룹 멤버십 특성)"에 지정된 특성을 찾습니다. 이것이 "member"라는 특성이라고 합시다.
4. 이제 사용자가 WSA 프록시를 통해 'USERNAME_A'로 로그인하면 WSA는 LDAP 서버에서 사용자 계정을 조회하고 일치하는 항목이 있으면 "User Name Attribute"(예: uid)에 지정된 특성을 사용하고 "uid"가 위에서 수집한 "member" 특성에 나열된 사용자와 일치하는지 확인합니다.
5. 일치하는 항목이 있으면 사용자가 구성된 정책을 사용하고, 일치하지 않으면 WSA에서 해당 행의 다음 정책을 평가합니다.

LDAP 서버를 사용하여 구성해야 하는 특성을 확인하려면 "Software LDAP Browser(소프트웨어 LDAP 브라우저)" http://www.ldapbrowser.com를 참조하십시오.