질문:
환경: Cisco WSA(Web Security Appliance), 모든 버전의 AsyncOS
이 기술 자료 문서에서는 Cisco에서 유지 관리하거나 지원하지 않는 소프트웨어를 참조합니다. 그 정보는 당신의 편의를 위해 제공되었다. 자세한 내용은 소프트웨어 공급업체에 문의하십시오.
"인증 그룹"이 작동하려면 먼저 "GUI > Network > Authentication"에서 인증 영역을 구성해야 합니다.
- 먼저 "Authentication Protocol(인증 프로토콜)"을 'LDAP'로 설정하고 "Group Authorization(그룹 권한 부여)"(다른 섹션이 올바르게 구성됨)으로 이동합니다.
- "그룹 이름 특성"을 지정하십시오. 이 속성은 "Web Security Manager" > "Web Access Policies" > "Click Add Group" > "Select Group Type to Authentication Group" > "Directory Lookup" 테이블 아래에 표시되는 값을 보유하는 속성입니다. 이 특성은 고유해야 하며 이 특성이 나타내는 리프 노드에 해당 그룹의 사용자 목록이 포함되어 있어야 합니다.
- 다음으로 "그룹 필터 쿼리"를 지정합니다. WSA에서 LDAP 디렉토리의 모든 그룹을 찾는 데 사용하는 검색 필터입니다.
- 이제 leaf 노드에서 멤버 고유 값을 보유할 속성인 "Group Membership Attribute"를 지정합니다. 이 특성은 이 그룹의 멤버를 보유하므로 여러 항목이 표시됩니다. 이 특성에 포함된 값이 같은 페이지에 있는 "사용자 이름 특성"에 포함된 값과 일치하는지 확인하십시오.
다음은 WSA에서 LDAP 영역 컨피그레이션을 사용하여 사용자 이름을 LDAP 그룹과 일치시키는 방법의 예입니다.
- "Group Filter Query(그룹 필터 쿼리)"를 "objectClass=group"으로 설정한다고 가정하겠습니다.
- WSA는 먼저 이 필터를 사용하여 LDAP 디렉토리를 검색하고 결과를 찾습니다.
- 그런 다음 WSA는 결과를 사용하여 "Group Membership Attribute(그룹 멤버십 특성)"에 지정된 특성을 찾습니다. 이것이 "member"라는 특성이라고 합시다.
- 이제 사용자가 WSA 프록시를 통해 'USERNAME_A'로 로그인하면 WSA는 LDAP 서버에서 사용자 계정을 조회하고 일치하는 항목이 있으면 "User Name Attribute"(예: uid)에 지정된 특성을 사용하고 "uid"가 위에서 수집한 "member" 특성에 나열된 사용자와 일치하는지 확인합니다.
- 일치하는 항목이 있으면 사용자가 구성된 정책을 사용하고, 일치하지 않으면 WSA에서 해당 행의 다음 정책을 평가합니다.
LDAP 서버를 사용하여 구성해야 하는 특성을 확인하려면 "Software LDAP Browser(소프트웨어 LDAP 브라우저)" http://www.ldapbrowser.com를 참조하십시오.