Leaflet
1-32
思科 ASA 系列命令参考,A 至 H 命令
第 1 章 aaa accounting command 至 accounting-server-group 命令
aaa authorization exec
要为管理授权配置用户,请了解对每个 AAA 服务器类型或本地用户的以下要求:
• LDAP 映射的用户 - 要映射 LDAP 属性,请参阅 ldap attribute-map 命令。
• RADIUS 用户 - 使用 IETF RADIUS 数字 service-type 属性,该属性映射到以下值之一:
–
Service-Type 5(出站)拒绝管理访问。用户无法使用 aaa authentication console 命令指
定的任何服务(serial 关键字除外;允许串行访问)。远程访问(IPsec 和 SSL)用户仍
可对其远程访问会话进行身份验证并终止会话。
–
Service-Type 6(管理)允许对 aaa authentication console 命令指定的任何服务进行完全
访问。
–
在配置 aaa authentication {telnet | ssh} console 命令时,Service-Type 7(NAS 提示)允许
访问 CLI,但如果配置 aaa authentication http console 命令,则拒绝 ASDM 配置访问。
允许 ASDM 监控访问。如果使用 aaa authentication enable console 命令配置启用身份验
证,则用户无法使用 enable 命令进入特权 EXEC 模式。
注 仅识别 Login (1)、Framed (2)、Administrative (6) 和 NAS-Prompt (7) 服务类型。使用任何
其他服务类型会导致访问被拒绝。
• TACACS+ 用户 - 使用 “service=shell” 条目请求授权,然后服务器以 PASS(通过)或 FAIL
(失败)予以响应,如下所示:
–
PASS,特权级别 1 允许对 aaa authentication console 命令指定的任何服务进行完全访问。
–
PASS,在配置 aaa authentication {telnet | ssh} console 命令时特权级别 2 及更高允许访问
CLI,但如果配置 aaa authentication http console 命令,则拒绝 ASDM 配置访问。允许
ASDM 监控访问。如果使用 aaa authentication enable console 命令配置启用身份验证,
则用户无法使用 enable 命令进入特权 EXEC 模式。
–
FAIL(失败)拒绝管理访问。用户无法使用 aaa authentication console 命令指定的任何
服务(serial 关键字除外;允许串行访问)。
• 本地用户 - 设置 service-type 命令,它在 username 命令的用户名配置模式下。默认情况下,
service-type 是 admin,它允许对 aaa authentication console 命令指定的任何服务进行完全
访问。
示例 以下示例使用本地数据库启用管理授权:
ciscoasa(config)# aaa authorization exec LOCAL
相关命令
命令 说明
aaa authentication
console
启用控制台身份验证。
ldap attribute-map
映射 LDAP 属性。
service-type
限制本地用户的 CLI 访问。
show running-config
aaa
显示 AAA 配置。