Назад | Перейти на главную страницу

Как я могу настроить ASA так, чтобы я мог использовать пользователя с дополнительными привилегиями 15 для загрузки текущей конфигурации с http?

Я настраиваю наши новые ASA на Stack Exchange и пытаюсь следовать некоторым передовым методам, например, использовать управление конфигурацией и минимально необходимые разрешения для пользователей. Я пытаюсь использовать https-сервер для загрузки работающей конфигурации. Если вы не знали, когда https включен и у вас достаточно прав, вы можете перейти на https: // asa-ip / config чтобы загрузить текущую работающую конфигурацию.

Я пытаюсь решить две проблемы:

  1. Я настроил доступ LDAP для ASA, чтобы мы могли использовать нашу Active Directory для авторизации в ASA. Он работает через ssh, но http по-прежнему использует ЛОКАЛЬНУЮ базу данных, и я не знаю, какая команда заставляет http-сервер искать из источника LDAP.

  2. Какие команды aaa необходимы, чтобы разрешить пользователю с более низкими привилегиями возможность загружать конфигурацию таким образом? Возможно ли это вообще, или я застрял в создании пользователя Priv 15?

Ваша команда AAA aaa authentication http console [your LDAP server group]

Что касается уровня привилегий для этого URL, он должен просто используйте show run уровень авторизации, который вы можете изменить с помощью privilege show level 1 mode exec command running-config но ты можешь попробовать включить debug aaa authorization если это не сработает.

По умолчанию только несколько команд имеют уровень 0, а остальные - уровень 15.

Помните, что уровень привилегий 2+ - это привилегии режима включения и что вам может потребоваться поставить вашего пользователя на уровень 2 или выше, чтобы сервер HTTPS позволил им войти в систему.

FWIW Я тестировал это на своем ASA с кодом 8.2 и не смог заставить это работать с пользователем ниже 15 уровня даже с show run установлен на уровень привилегий 2. Обычно я вижу, что управление конфигурацией осуществляется с помощью решения командной строки, например Прогорклый