Leaflet
1-22
思科 ASA 系列命令参考,A 至 H 命令
第 1 章 aaa accounting command 至 accounting-server-group 命令
aaa authentication match
接收身份验证质询所需的应用
虽然您可以将 ASA 配置为需要针对对任何协议或服务的网络访问进行身份验证,但用户可以直
接使用 HTTP、HTTPS、Telnet 或仅使用 FTP 进行身份验证。用户必须首先使用上述服务之一进
行身份验证,ASA 才允许其他需要身份验证的流量。
ASA 支持 AAA 的身份验证端口是固定的:
• 端口 21 用于 FTP
• 端口 23 用于 Telnet
• 端口 80 用于 HTTP
• 端口 443 用于 HTTPS(需要 aaa authentication listener 命令)
ASA 身份验证提示
对于 Telnet 和 FTP,ASA 生成身份验证提示。
对于 HTTP,ASA 默认情况下使用基本 HTTP 身份验证,并提供身份验证提示。您可以选择将
ASA 配置为将用户重定向到他们可以输入自己的用户名和密码的内部网页(使用 aaa
authentication listener 命令配置)。
对于 HTTPS,ASA 生成定制登录屏幕。您可以选择将 ASA 配置为将用户重定向到他们可以输入
自己的用户名和密码的内部网页(使用 aaa authentication listener 命令配置)。
重定向是在基本方法上进行的改进,因为它提供进行身份验证时的改进用户体验,以及在 Easy
VPN 和防火墙模式下对 HTTP 和 HTTPS 的相同用户体验。它还支持直接通过 ASA 进行身份验证。
在下列情况下,您可能希望继续使用基本 HTTP 身份验证:不想 ASA 打开侦听端口;在路由器上
使用 NAT,且不想为 ASA 提供的网页创建转换规则;基本 HTTP 身份验证更适用于您的网络。
例如,非浏览器应用(例如,当将 URL 嵌入到邮件中时)可能更适合基本身份验证。
正确进行身份验证后,ASA 将您重定向到原始目标。如果目标服务器也有自己的身份验证,则用
户输入另一个用户名和密码。如果使用基本 HTTP 身份验证,且需要输入目标服务器的另一个用
户名和密码,则需要配置 virtual http 命令。
注 如果在不使用 aaa authentication secure-http-client 命令时使用 HTTP 身份验证,则以明文形式将
用户名和密码从客户端发送到 ASA。我们建议,无论何时启用 HTTP 身份验证,请使用 aaa
authentication secure-http-client 命令。
对于 FTP,用户可以选择输入 ASA 用户名(符号 (@) 紧随其后),然后输入 FTP 用户名
(name1@name2)。对于密码,用户输入 ASA 密码(符号 (@) 紧随其后),然后输入 FTP 密码
(password1@password2)。例如,输入以下文本。
name> asa1@partreq
password> letmein@he110
此功能在您具有需要多次登录的级联防火墙时有用。您可以通过多个符号 (@) 隔开几个名称和
密码。
允许的登录尝试次数因支持的协议不同而存在差异:
协议 允许的登录尝试次数
FTP
不正确的密码立即导致连接丢弃。
HTTP
HTTPS
连续重新提示,直到成功登录为止。
Telnet
四次尝试失败后丢弃连接。