Leaflet

1-36

思科 ASA 系列命令参考，A 至 H 命令

第 1 章 aaa accounting command 至 accounting-server-group 命令

aaa authorization match

要启用对通过 ASA 的连接的授权，请在全局配置模式下使用 aaa authorization match 命令。要

禁用授权，请使用此命令的 no 形式。

aaa authorization match acl_name interface_name server_tag

no aaa authorization match acl_name interface_name server_tag

语法说明

默认值没有默认行为或值。

命令模式下表展示可输入此命令的模式：

命令历史

使用指南您无法在与 include 和 exclude 命令相同的配置中使用 aaa authorization match 命令。我们建议您

使用 match 命令而非 include 和 exclude 命令； ASDM 不支持 include 和 exclude 命令。

您可以使用 TACACS+ 配置 ASA 以执行网络访问授权。使用 aaa authorization match 命令的

RADIUS 授权仅支持到 ASA 的 VPN 管理连接。

身份验证和授权语句无关；但是，会拒绝与授权语句匹配的任何未经身份验证的流量。要使授权成

功，用户必须首先通过 ASA 进行身份验证。由于位于给定 IP 地址的用户仅需对所有规则和类型进

行一次身份验证，如果身份验证会话未到期，则会发生授权，即使该流量与身份验证语句匹配。

用户进行身份验证后，ASA 检查用于匹配流量的授权规则。如果流量与授权语句匹配，则 ASA

将用户名发送到 TACACS+ 服务器。TACACS+ 服务器根据用户简档以允许或拒绝该流量来对

ASA 予以响应。ASA 在响应中实施授权规则。

请参阅您的

TACACS+ 服务器的文档，了解有关为用户配置网络访问授权的信息。

如果首次尝试授权失败，且第二次尝试导致超时，请使用 service resetinbound 命令重置授权失

败的客户端，以便其不会重新传输任何连接。在 Telnet 中的示例授权超时消息如下。

Unable to connect to remote host: Connection timed out

acl_name

指定扩展的 ACL 名称。请参阅 access-list extended 命令。permit ACE

将匹配的流量标记为要进行授权，而 deny 条目将匹配的流量从授权中

排除。

interface_name

指定用户需要从中进行身份验证的接口名称。

server_tag

指定 aaa-server 命令定义的 AAA 服务器组标记。

命令模式

防火墙模式安全情景

路由透明单个

多个

情景系统

全局配置

• 是 • 是 • 是 • 是

—

版本修改

7.0(1)

引入了此命令。