Leaflet
1-49
思科 ASA 系列命令参考,A 至 H 命令
第 1 章 aaa accounting command 至 accounting-server-group 命令
aaa-server host
使用指南 通过使用 aaa-server 命令定义 AAA 服务器组来控制 AAA 服务器配置,然后使用 aaa-server host
命令将服务器添加到组中。使用 aaa-server host 命令时,进入 AAA 服务器主机配置模式,您可
以从该模式中指定并管理特定于主机的 AAA 服务器连接数据。
在单模式下您可以具有最多 15 个服务器组,在多模式下每个情景具有 4 个服务器组。在单模式下
每个组可以具有最多 16 个服务器,在多模式下具有 4 个服务器。用户登录时,从您在配置中指定
的第一个服务器开始一次访问一个服务器,直到有服务器响应为止。
示例 以下示例配置名为 “watchdogs”的 Kerberos AAA 服务器组,将一个 AAA 服务器添加到该组
中,并为该服务器定义 Kerberos 领域:
注 Kerberos 领域名称仅使用数字和大写字母。虽然 ASA 接受小写字母的领域名称,但它不会将小写
字母转换为大写字母。请确保仅使用大写字母。
ciscoasa(config)# aaa-server watchdogs protocol kerberos
ciscoasa(config-aaa-server-group)# exit
ciscoasa(config)# aaa-server watchdogs host 192.168.3.4
ciscoasa(config-aaa-server-host)# kerberos-realm EXAMPLE.COM
以下示例配置名为 “svrgrp1”的 SDI AAA 服务器组,然后将一个 AAA 服务器添加到该组中,
将超时间隔设置为 6 秒,将重试间隔设置为 7 秒,并将 SDI 版本配置为版本 5:
ciscoasa(config)# aaa-server svrgrp1 protocol sdi
ciscoasa(config-aaa-server-group)# exit
ciscoasa(config)# aaa-server svrgrp1 host 192.168.3.4
ciscoasa(config-aaa-server-host)# timeout 6
ciscoasa(config-aaa-server-host)# retry-interval 7
ciscoasa(config-aaa-server-host)# sdi-version sdi-5
以下示例展示在将 aaa-server aaa_server_group_tag 命令用于 LDAP 搜索时,如何缩小目标组的
搜索路径:
ciscoasa(config)# aaa-server CISCO_AD_SERVER protocol ldap
ciscoasa(config)# aaa-server CISCO_AD_SERVER host 10.1.1.1
ciscoasa(config-aaa-server-host)# server-port 636
ciscoasa(config-aaa-server-host)# ldap-base-dn DC=cisco,DC=com
ciscoasa(config-aaa-server-host)# ldap-group-base-dn OU=Cisco Groups,DC=cisco,DC=com
ciscoasa(config-aaa-server-host)# ldap-scope subtree
ciscoasa(config-aaa-server-host)# ldap-login-password *
ciscoasa(config-aaa-server-host)# ldap-login-dn CISCO\username1
ciscoasa(config-aaa-server-host)# ldap-over-ssl enable
ciscoasa(config-aaa-server-host)# server-type microsoft
注 指定 ldap-group-base-dn 命令时,所有组必须位于 LDAP 目录层次结构中的该命令之下,且任何
组不能位于此路径外。
仅当至少存在一个激活的基于用户身份的策略时,ldap-group-base-dn 命令才会生效。
必须配置 server-type microsoft 命令(并非默认值)。
第一个 aaa-server aaa_server_group_tag host 命令用于 LDAP 操作。