Leaflet
1-35
思科 ASA 系列命令参考,A 至 H 命令
第 1 章 aaa accounting command 至 accounting-server-group 命令
aaa authorization include, exclude
ciscoasa(config)# aaa authorization include any inside 0 0 0 0
ciscoasa(config)# aaa accounting include any inside 0 0 0 0 tplus1
ciscoasa(config)# aaa authentication ssh console tplus1
在此示例中,第一条命令语句创建名为 tplus1 的服务器组并指定与此组结合使用 TACACS+ 协
议。第二条命令指定具有 IP 地址 10.1.1.10 的身份验证服务器驻留在内部接口上且在 tplus1 服务
器组中。接下来的三条命令语句指定会使用 tplus1 服务器组对通过外部接口启动到任何外部主机
的连接的任何用户进行身份验证,授权成功通过身份验证的用户使用任何服务,以及会将所有出
站连接信息记录在记账数据库中。最后一条命令语句指定对 ASA 控制台的 SSH 访问需要从
tplus1 服务器组的身份验证。
以下示例启用对从外部接口的 DNS 查找的授权:
ciscoasa(config)# aaa authorization include udp/53 outside 0.0.0.0 0.0.0.0
以下示例启用从内部主机到达内部接口的 ICMP 回显数据包的授权:
ciscoasa(config)# aaa authorization include 1/0 inside 0.0.0.0 0.0.0.0
这意味着,如果用户未使用 Telnet、HTTP 或 FTP 对外部主机进行身份验证,则无法对这些主机
进行 ping 操作。
以下示例仅对从内部主机到达内部接口的 ICMP 回显 (ping) 启用授权:
ciscoasa(config)# aaa authorization include 1/8 inside 0.0.0.0 0.0.0.0
相关命令
命令 说明
aaa authorization
command
指定是否执行命令有待授权,或如果指定服务器组中的所有服务器均
已禁用,则将管理授权配置为支持回退至本地用户数据库。
aaa authorization
match
为特定访问列表命令名称启用或禁用 LOCAL 或 TACACS+ 用户授权
服务。
clear configure aaa
删除或重置配置的 AAA 记账值。
show running-config
aaa
显示 AAA 配置。