Leaflet
1-16
思科 ASA 系列命令参考,A 至 H 命令
第 1 章 aaa accounting command 至 accounting-server-group 命令
aaa authentication include, exclude
ASA 身份验证提示
对于 Telnet 和 FTP,ASA 生成身份验证提示。
对于 HTTP,ASA 默认情况下使用基本 HTTP 身份验证,并提供身份验证提示。您可以选择将
ASA 配置为将用户重定向到他们可以输入自己的用户名和密码的内部网页(使用 aaa
authentication listener 命令配置)。
对于 HTTPS,ASA 生成定制登录屏幕。您可以选择将 ASA 配置为将用户重定向到他们可以输入
自己的用户名和密码的内部网页(使用 aaa authentication listener 命令配置)。
重定向是在基本方法上进行的改进,因为它提供进行身份验证时的改进用户体验,以及在 Easy
VPN 和防火墙模式下对 HTTP 和 HTTPS 的相同用户体验。它还支持直接通过 ASA 进行身份验证。
在下列情况下,您可能希望继续使用基本 HTTP 身份验证:不想 ASA 打开侦听端口;在路由器上
使用 NAT,且不想为 ASA 提供的网页创建转换规则;基本 HTTP 身份验证更适用于您的网络。
例如,非浏览器应用(例如,当将 URL 嵌入到邮件中时)可能更适合基本身份验证。
正确进行身份验证后,ASA 将您重定向到原始目标。如果目标服务器也有自己的身份验证,则用
户输入另一个用户名和密码。如果使用基本 HTTP 身份验证,且需要输入目标服务器的另一个用
户名和密码,则需要配置 virtual http 命令。
注 如果在不使用 aaa authentication secure-http-client 命令时使用 HTTP 身份验证,则以明文形式将
用户名和密码从客户端发送到 ASA。我们建议,无论何时启用 HTTP 身份验证,请使用 aaa
authentication secure-http-client 命令。
对于 FTP,用户可以选择输入 ASA 用户名(符号 (@) 紧随其后),然后输入 FTP 用户名
(name1@name2)。对于密码,用户输入 ASA 密码(符号 (@) 紧随其后),然后输入 FTP 密码
(password1@password2)。例如,输入以下文本。
name> asa1@partreq
password> letmein@he110
此功能在您具有需要多次登录的级联防火墙时有用。您可以通过多个符号 (@) 隔开几个名称和
密码。
允许的登录尝试次数因支持的协议不同而存在差异:
静态 PAT 和 HTTP
对于 HTTP 身份验证,ASA 在配置静态 PAT 时检查实际端口。如果它检测到以实际端口 80 为目
标的流量,则不论映射的端口如何,ASA 都会拦截 HTTP 连接并实施身份验证。
例如,假设将外部 TCP 端口 889 转换为端口 80 (www) 且任何相关的 ACL 均允许流量:
static (inside,outside) tcp 10.48.66.155 889 192.168.123.10 www netmask 255.255.255.255
当用户尝试访问端口 889 上的 10.48.66.155 时,ASA 拦截流量并实施 HTTP 身份验证。在 ASA 允
许 HTTP 连接完成前,用户会在其 Web 浏览器中看到 HTTP 身份验证页面。
协议 允许的登录尝试次数
FTP
不正确的密码立即导致连接丢弃。
HTTP
HTTPS
连续重新提示,直到成功登录为止。
Telnet
四次尝试失败后丢弃连接。