我正在 Stack Exchange 上设置我们的新 ASA,并尝试遵循一些最佳实践,例如使用配置管理和最低权限所需的用户。我试图做的是利用 https 服务器下载正在运行的配置。如果您不知道,当 https 启用并且您有足够的权限时,您可以转到https://asa-ip/config下载当前运行配置。
我正在尝试解决两个问题:
我已经为 ASA 设置了 LDAP 访问权限,以便我们可以使用 Active Directory 对 ASA 进行身份验证。它通过 ssh 工作,但 http 似乎仍然使用本地数据库,而且我不知道导致 http 服务器从 LDAP 源进行查找的命令。
哪些 aaa 命令对于授权较低权限用户以这种方式下载配置是必需的?这是否可行,还是我只能创建权限为 15 的用户?
答案1
您的 AAA 命令是aaa authentication http console [your LDAP server group]
就该 URL 的权限级别而言,它应该只需使用show run您可以更改的授权级别,但如果这不起作用,privilege show level 1 mode exec command running-config您可以尝试打开。debug aaa authorization
默认情况下,只有少数命令设置为 0 级,其余命令为 15 级
请记住,权限级别 2+ 是启用模式权限,您可能需要将用户置于 2 级或更高级别,以便 HTTPS 服务器允许他们登录。
我用 8.2 代码在 ASA 上测试了这一点,无法让它与级别 15 以下的用户一起工作,即使show run设置为权限级别 2。我通常看到使用命令行解决方案完成配置管理,例如馊