Leaflet
1-15
思科 ASA 系列命令参考,A 至 H 命令
第 1 章 aaa accounting command 至 accounting-server-group 命令
aaa authentication include, exclude
默认值 没有默认行为或值。
命令模式 下表展示可输入此命令的模式:
命令历史
使用指南 要启用对 ACL 指定的流量的身份验证,请使用 aaa authentication match 命令。您无法在与
include 和 exclude 命令相同的配置中使用 match 命令。我们建议您使用 match 命令而非 include
和 exclude 命令; ASDM 不支持 include 和 exclude 命令。
您无法在具有相同安全性的接口之间使用 aaa authentication include 和 exclude 命令。对于该情
况,您必须使用 aaa authentication match 命令。
即使您禁用序列随机化,TCP 会话仍可能将其序列号随机排列。当 AAA 服务器代理 TCP 会话以
在允许访问前对用户进行身份验证时会发生这种情况。
One-Time 身份验证
给定 IP 地址上的用户仅需对所有规则和类型进行一次身份验证,直到身份验证会话到期为止。
(请参阅 timeout uauth 命令了解超时值。)例如,如果您将 ASA 配置为对 Telnet 和 FTP 进行身
份验证,且用户首先成功对 Telnet 进行身份验证,则只要身份验证会话存在,该用户就不必也对
FTP 进行身份验证。
对于 HTTP 或 HTTPS 身份验证,无论将 timeout uauth 命令设置得如何低,经过身份验证后,用
户都无需重新进行身份验证,因为浏览器在每个到该特定站点的后续连接中缓存字符串
“Basic=Uuhjksdkfhk==”。仅当用户退出 Web 浏览器的
所有
实例并重启时才可清除它。清空缓
存是无用的。
接收身份验证质询所需的应用
虽然您可以将 ASA 配置为需要针对对任何协议或服务的网络访问进行身份验证,但用户可以直
接使用 HTTP、HTTPS、Telnet 或仅使用 FTP 进行身份验证。用户必须首先使用上述服务之一进
行身份验证,ASA 才允许其他需要身份验证的流量。
ASA 支持 AAA 的身份验证端口是固定的:
• 端口 21 用于 FTP
• 端口 23 用于 Telnet
• 端口 80 用于 HTTP
• 端口 443 用于 HTTPS
命令模式
防火墙模式 安全情景
路由 透明 单个
多个
情景 系统
全局配置
• 是 • 是 • 是 • 是
—
版本 修改
7.0(1)
引入了此命令。