Leaflet
1-29
思科 ASA 系列命令参考,A 至 H 命令
第 1 章 aaa accounting command 至 accounting-server-group 命令
aaa authorization command
本地命令授权前提条件
• 使用 aaa authentication enable console 命令为本地、RADIUS 或 LDAP 身份验证配置启用身
份验证。
启用身份验证对于在用户访问 enable 命令后维护用户名十分重要。
或者,您可以使用 login 命令(与具有身份验证的 enable 命令相同),该命令不需要配置。
我们不建议使用此选项,因为它不像启用身份验证那样安全。
您也可以使用 CLI 身份验证 (aaa authentication {ssh | telnet | serial} console),但是这不是必
需的。
• 如果将 RADIUS 用于身份验证,则您可以使用 aaa authorization exec 命令从 RADIUS 中启用
管理用户特权级别的支持(但是这不是必需的)。此命令也启用对本地、RADIUS、LDAP
(映射的)和 TACACS+ 用户的管理授权。
• 请参阅以下每个用户类型的前提条件:
–
本地数据库用户 - 使用 username 命令将本地数据库中的每个用户配置为从 0 到 15 的特权
级别。
–
RADIUS 用户 - 使用 0 和 15 之间的值配置具有 Cisco VSA CVPN3000-Privilege-Level 的用
户。
–
LDAP 用户 - 配置具有 0 和 15 之间的特权级别的用户,然后使用 ldap map-attributes 命
令将 LDAP 属性映射到 Cisco VAS CVPN3000-Privilege-Level。
• 请参阅 privilege 命令,了解有关设置命令特权级别的信息。
TACACS+ 命令授权
如果启用 TACACS+ 命令授权,且用户在 CLI 上输入命令,则 ASA 将命令和用户名发送到
TACACS+ 服务器以确定命令是否已授权。
在使用 TACACS+ 服务器配置命令授权时,请勿保存配置,直到您确定其按照您期望的方式运行
为止。如果您因错误被锁定,通常可以通过重启 ASA 来恢复访问。
请确保您的 TACACS+ 系统完全稳定且可靠。必要的可靠性级别通常需要您具有完全冗余的
TACACS+ 服务器系统和完全冗余的与 ASA 的连接性。例如,在您的 TACACS+ 服务器池中包括一
个与接口 1 连接的服务器和另一个与接口 2 连接的服务器。如果 TACACS+ 服务器不可用,则您也
可以将本地命令授权配置为回退方法。在这种情况下,您需要配置本地用户和命令特权级别。
请参阅 CLI 配置指南,了解有关配置 TACACS+ 服务器的信息。
TACACS+ 命令授权前提条件
• 使用 aaa authentication {ssh | telnet | serial} console 命令配置 CLI 身份验证。
• 使用 aaa authentication enable console 命令配置 enable 身份验证。
示例 以下示例展示如何使用名为 tplus1 的 TACACS+ 服务器组启用命令授权:
ciscoasa(config)# aaa authorization command tplus1
以下示例展示在 tplus1 服务器组中的所有服务器不可用时如何配置管理授权以支持回退至本地用
户数据库。
ciscoasa(config)# aaa authorization command tplus1 LOCAL