Я настраиваю наши новые ASA на Stack Exchange и пытаюсь следовать некоторым передовым методам, например, использовать управление конфигурацией и минимально необходимые разрешения для пользователей. Я пытаюсь использовать https-сервер для загрузки работающей конфигурации. Если вы не знали, когда https включен и у вас достаточно прав, вы можете перейти на https: // asa-ip / config чтобы загрузить текущую работающую конфигурацию.
Я пытаюсь решить две проблемы:
Я настроил доступ LDAP для ASA, чтобы мы могли использовать нашу Active Directory для авторизации в ASA. Он работает через ssh, но http по-прежнему использует ЛОКАЛЬНУЮ базу данных, и я не знаю, какая команда заставляет http-сервер искать из источника LDAP.
Какие команды aaa необходимы, чтобы разрешить пользователю с более низкими привилегиями возможность загружать конфигурацию таким образом? Возможно ли это вообще, или я застрял в создании пользователя Priv 15?
Ваша команда AAA aaa authentication http console [your LDAP server group]
Что касается уровня привилегий для этого URL, он должен просто используйте show run
уровень авторизации, который вы можете изменить с помощью privilege show level 1 mode exec command running-config
но ты можешь попробовать включить debug aaa authorization
если это не сработает.
По умолчанию только несколько команд имеют уровень 0, а остальные - уровень 15.
Помните, что уровень привилегий 2+ - это привилегии режима включения и что вам может потребоваться поставить вашего пользователя на уровень 2 или выше, чтобы сервер HTTPS позволил им войти в систему.
FWIW Я тестировал это на своем ASA с кодом 8.2 и не смог заставить это работать с пользователем ниже 15 уровня даже с show run
установлен на уровень привилегий 2. Обычно я вижу, что управление конфигурацией осуществляется с помощью решения командной строки, например Прогорклый