Cisco ISE 서버 TACACS+ 기본 개념 및 설정#5

TACACS+ Profile 및 Command Set을 이용한 권한제어 벤더별 추가 적용 정리.

 

공통.

Catalyst 외 Timeout/Idle Timeout 기능 적용 안됨.

 

1. Cisco.

- Catalyst 시리즈. 

 ISE에서 제공하는 옵션기능 모두 적용됨.

- Nexus 시리즈.

 그 외 ISE의 Profile 및 권한제어를 위해서 Nexus 는 aaa configuration 이 약간 다름.

aaa authentication login default group tacacs+  ##원격 접속##
aaa authentication login console group tacacs+  ##콘솔 접속##
aaa authorization config-commands default group tacacs+ local ##T+ 적용이 무시됨 ##
aaa authorization commands default group tacacs+ local ##
aaa authorization config-commands console group tacacs+ local ##T+ 적용을 콘솔에서 무시하려면 ##
aaa authorization commands console group tacacs+ local 
aaa accounting default group tacacs+ 
aaa authentication login error-enable 
aaa authentication login ascii-authentication 
tacacs-server directed-request 

 

2. Junifer

 - Profile 중 권한제어 옵션은 주니퍼의 Attribute 값으로 맞춰주면 정상동작.

 Command Set은 적용되지 않으며, 마찬가지로 Attribute를 맞춰주면 주니퍼 장비에서 동작.

 

3. Dell

 - Profile , Command Set 모두 적용됨.

 

4. 멜라녹스.

 - Profile은 적용, Command Set 적용되지 않음.

 - Command 에 대한 로그를 정상적으로 읽어올 수 없음. ( Command의 경로만 읽어짐)

 

5. 포티게이트

 - T+의 적용은 가능하나, T+와 로컬 계정이 동시 접속되며, 추가적인 권한의 제어가 어려움

방화벽의 특성상 T+로 제어를 하지 않는 것을 추천.