Leaflet
1-37
思科 ASA 系列命令参考,A 至 H 命令
第 1 章 aaa accounting command 至 accounting-server-group 命令
aaa authorization match
注 指定端口范围可能在授权服务器上生成意外结果。ASA 将端口范围作为字符串发送到服务器,期
望服务器将其解析成特定端口。并非所有服务器都执行此操作。此外,您可能想就特定服务对用
户进行授权,如果接受范围,则这种情况不会发生。
示例 以下示例将 tplus1 服务器组与 aaa 命令结合使用:
ciscoasa(config)# aaa-server tplus1 protocol tacacs+
ciscoasa(config)# aaa-server tplus1 (inside) host 10.1.1.10 thekey timeout 20
ciscoasa(config)# aaa authentication include any inside 0 0 0 0 tplus1
ciscoasa(config)# aaa accounting include any inside 0 0 0 0 tplus1
ciscoasa(config)# aaa authorization match myacl inside tplus1
在此示例中,第一条命令语句将 tplus1 服务器组定义为 TACACS+ 组。第二条命令指定具有 IP 地
址 10.1.1.10 的身份验证服务器驻留在内部接口上且在 tplus1 服务器组中。接下来的两条命令语句
指定使用 tplus1 服务器组对穿越内部接口到任何外部主机的任何连接进行身份验证,并将所有这
些连接记录在记账数据库中。最后一条命令语句指定与 myacl 中的 ACE 匹配的任何连接由 tplus1
服务器组中的 AAA 服务器授权。
相关命令
命令 说明
aaa authorization
启用或禁用用户授权。
clear configure aaa
将所有 AAA 配置参数重置为默认值。
clear uauth
为一个用户或所有用户删除 AAA 授权和身份验证缓存,强制用户在其
下次创建连接时重新进行身份验证。
show running-config
aaa
显示 AAA 配置。
show uauth
显示向授权服务器提供用于身份验证和授权目的的用户名、与该用户
名绑定的 IP 地址,以及是仅对该用户进行身份验证,还是也对缓存的
服务进行身份验证。