Leaflet
1-25
思科 ASA 系列命令参考,A 至 H 命令
第 1 章 aaa accounting command 至 accounting-server-group 命令
aaa authentication secure-http-client
aaa authentication secure-http-client
要启用 SSL 并保护 HTTP 客户端与 ASA 之间用户名和密码交换的安全,请在全局配置模式下使
用 aaa authentication secure-http-client 命令。要禁用此功能,请使用此命令的 no 形式。
aaa authentication secure-http-client
no aaa authentication secure-http-client
语法说明 此命令没有任何参数或关键字。
默认值 没有默认行为或值。
命令模式 下表展示可输入此命令的模式:
命令历史
使用指南 aaa authentication secure-http-client 命令提供在允许基于用户 HTTP 的 Web 请求穿越 ASA 前向
ASA 进行用户身份验证的安全方法。此命令用于通过 SSL 的 HTTP 直接转发代理身份验证。
aaa authentication secure-http-client 命令有以下限制:
• 在运行时,最多允许 16 个 HTTPS 身份验证进程。如果所有 16 个 HTTPS 身份验证进程都在
运行,则不允许需要身份验证的第 17 个新的 HTTPS 连接。
• 当配置 uauth timeout 0 时(将 uauth timeout 设置为 0),HTTPS 身份验证可能无法工作。
如果浏览器在 HTTPS 身份验证后发起多个 TCP 连接以加载网页,则允许第一个连接通过,
但是后续连接会触发身份验证。因此,会不断向用户显示身份验证页面,即使每次都输入正
确的用户名和密码。要解决此问题,请使用 timeout uauth 0:0:1 命令将 uauth timeout 设置为
1 秒。但是,此解决方法会打开一个 1 秒的机会窗口,它可允许未经身份验证的用户通过防
火墙(如果他们来自同一源 IP 地址)。
• 由于 HTTPS 身份验证在 SSL 端口 443 上进行,用户不得配置 access-list 命令语句来拦截从
HTTP 客户端到端口 443 上的 HTTP 服务器的流量。此外,如果在端口 80 上为网络流量配置
静态 PAT,则也必须为 SSL 端口配置静态 PAT。在以下示例中,第一行为网络流量配置静态
PAT,且必须添加第二行以支持 HTTPS 身份验证配置:
static (inside,outside) tcp 10.132.16.200 www 10.130.16.10 www
static (inside,outside) tcp 10.132.16.200 443 10.130.16.10 443
命令模式
防火墙模式 安全情景
路由 透明 单个
多个
情景 系统
全局配置
• 是 • 是 • 是 • 是
—
版本 修改
7.0(1)
引入了此命令。