Pet*_*ace 5 cisco cisco-asa aaa
我正在 Stack Exchange 设置我们的新 ASA,并尝试遵循一些最佳实践,例如使用配置管理和最低权限所需的用户。我想要做的是利用 https 服务器下载正在运行的配置。如果您不知道,当启用 https 并且您有足够的权限时,您可以转到https://asa-ip/config下载当前运行的配置。
我试图解决两个问题:
我已经为 ASA 设置了 LDAP 访问,以便我们可以使用我们的 Active Directory 对 ASA 进行身份验证。它通过 ssh 工作,但 http 似乎仍然使用 LOCAL 数据库,而且我不知道导致 http 服务器从 LDAP 源查找的命令。
需要哪些 aaa 命令来授权低权限用户以这种方式下载配置?这甚至是可能的还是我一直在创建一个 priv 15 用户?
您的 AAA 命令是 aaa authentication http console [your LDAP server group]
至于该 URL 的权限级别,它应该只使用show run您可以更改的授权级别,privilege show level 1 mode exec command running-config但debug aaa authorization如果这不起作用,您可以尝试打开。
请记住,权限级别 2+ 是启用模式权限,您可能需要将用户置于级别 2 或更高级别才能让 HTTPS 服务器允许他们登录。
FWIW 我用 8.2 代码在我的 ASA 上测试了这个,即使show run设置为权限级别 2 ,也无法让它与 15 级以下的用户一起工作。我通常看到配置管理是通过像Rancid这样的命令行解决方案完成的
| 归档时间: |
|
| 查看次数: |
961 次 |
| 最近记录: |