Leaflet
1-12
思科 ASA 系列命令参考,A 至 H 命令
第 1 章 aaa accounting command 至 accounting-server-group 命令
aaa authentication console
允许的登录尝试次数
如下表所示,对经过身份验证访问 ASA CLI 的提示的操作有所不同,具体取决于您使用 aaa
authentication console 命令选择的选项。
限制用户 CLI 和 ASDM 访问
您可以使用 aaa authorization exec 命令配置管理授权以限制本地用户、RADIUS、TACACS+ 或
LDAP 用户(如果将 LDAP 属性映射到 RADIUS 属性)访问 CLI、ASDM 或 enable 命令。
注 管理授权中不包括串行访问,因此,如果配置 aaa authentication serial console,则进行身份验证
的任何用户都可以访问控制台端口。
要为管理授权配置用户,请了解对每个 AAA 服务器类型或本地用户的以下要求:
• RADIUS 或 LDAP(映射的)用户 - 为以下值之一配置服务类型属性。(要映射 LDAP 属性,
请参阅 ldap attribute-map 命令。)
–
Service-Type 6(管理)- 允许对 aaa authentication console 命令指定的任何服务进行完全
访问。
–
Service-Type 7(NAS 提示)- 在配置 aaa authentication {telnet | ssh} console 命令时允许
访问 CLI,但如果配置 aaa authentication http console 命令,则拒绝 ASDM 配置访问。
允许 ASDM 监控访问。如果使用 aaa authentication enable console 命令配置启用身份验
证,则用户无法使用 enable 命令进入特权 EXEC 模式。
–
Service-Type 5(出站)- 拒绝管理访问。用户无法使用 aaa authentication console 命令指
定的任何服务(serial 关键字除外;允许串行访问)。远程访问(IPSec 和 SSL)用户仍
可对其远程访问会话进行身份验证并终止会话。
• TACACS+ 用户 - 使用 “service=shell” 请求授权,然后服务器以 PASS(通过)或 FAIL(失
败)予以响应。
–
PASS,特权级别 1 - 允许对 aaa authentication console 命令指定的任何服务进行完全访问。
–
PASS,特权级别 2 及更高 - 在配置 aaa authentication {telnet | ssh} console 命令时允许访
问 CLI,但如果配置 aaa authentication http console 命令,则拒绝 ASDM 配置访问。允
许 ASDM 监控访问。如果使用 aaa authentication enable console 命令配置启用身份验
证,则用户无法使用 enable 命令进入特权 EXEC 模式。
–
FAIL - 拒绝管理访问。用户无法使用 aaa authentication console 命令指定的任何服务
(serial 关键字除外;允许串行访问)。
• 本地用户 - 设置 service-type 命令。默认情况下,service-type 是 admin,它允许对 aaa
authentication console 命令指定的任何服务进行完全访问。
选项 允许的登录尝试次数
enable
三次尝试失败后会拒绝访问
serial
可持续尝试,直到成功为止
ssh
三次尝试失败后会拒绝访问
telnet
可持续尝试,直到成功为止
http
可持续尝试,直到成功为止