Leaflet
1-28
思科 ASA 系列命令参考,A 至 H 命令
第 1 章 aaa accounting command 至 accounting-server-group 命令
aaa authorization command
支持的命令授权方法
您可以使用两个命令授权方法之一:
• 本地特权级别 - 在 ASA 上配置命令特权级别。当本地、RADIUS 或 LDAP(如果将 LDAP 属
性映射到 RADIUS 属性)用户对 CLI 访问进行身份验证时,ASA 将该用户置于本地数据库、
RADIUS 或 LDAP 服务器定义的特权级别中。用户可以访问用户特权级别及该级别以下的命
令。请注意,所有用户首次登录时(命令级别为 0 或 1)都进入用户 EXEC 模式。用户需要
使用 enable 命令再次进行身份验证才能进入特权 EXEC 模式(命令级别为 2 或更高),或使
用 login 命令登录(仅限本地数据库)。
注 您可以使用本地命令授权,其中本地数据库中没有任何用户,也不具有 CLI 或启用身份验
证。相反,输入 enable 命令时,输入系统启用密码,然后 ASA 将您置于级别 15。您可以
为每个级别创建启用密码,以便当您输入 enable n(2 到 15)时,ASA 将您置于级别 n。
不使用这些级别,除非您启用本地命令授权。(请参阅 enable 命令了解更多信息。)
• TACACS+ 服务器特权级别 - 在 TACACS+ 服务器上,配置用户或组可以在其对 CLI 访问进行
身份验证后使用的命令。使用 TACACS+ 服务器检查用户在 CLI 上输入的每个命令。
安全情景和命令授权
以下是在使用多个安全情景实施命令授权时要考虑的重点:
• 每个情景中的 AAA 设置都是离散的,不在情景之间共享。
配置命令授权时,您必须分别配置每个安全情景。这样您可以为不同安全情景实施不同命令
授权。
当在安全情景之间切换时,管理员应知道登录时指定的用户名允许的命令在新情景会话中可
能不同,或在新情景中可能根本未配置该命令授权。若不了解命令授权在安全情景之间可能
不同,管理员会感到困扰。下一点会让此行为更为复杂。
• 无论在上次情景会话中使用什么用户名,以 changeto 命令开始的新情景会话都始终将默认的
用户名 “enable_15” 用作管理员身份。如果没有为 enable_15 用户配置命令授权,或对
enable_15 用户的授权不同于对上次情景会话中的用户的授权,则此行为可导致混乱。
此行为也影响命令记账,命令记账仅在可以准确将每个发出的命令与特定管理员关联时才有
用。由于具有使用 changeto 命令的权限的所有管理员都可以在其他情景中使用 enable_15 用户
名,因此命令记账记录可能不易将登录的用户识别为 enable_15 用户名。如果您为每个情景使
用不同的记账服务器,则跟踪使用 enable_15 用户名的用户需要关联多个服务器的数据。
在配置命令授权时,请考虑以下方面:
–
若管理员具有有效使用 changeto 命令的权限,则该管理员有权限在其他每个情景中使用
对 enable_15 用户允许的所有命令。
–
如果打算根据每个情景进行不同的命令授权,请确保在每个情景中使用对允许使用
changeto 命令的管理员拒绝的命令拒绝 enable_15 用户名。
当在安全情景之间切换时,管理员可以退出特权 EXEC 模式,然后再次输入 enable 命令以使
用所需的用户名。
注 系统执行空间不支持 aaa 命令;因此,命令授权在系统执行空间中不可用。