我正在Stack Exchange中设置新的ASA,并试图遵循一些最佳实践,如使用configurationpipe理和最小权限 – 必要的用户。 我想要做的就是利用https服务器来下载正在运行的configuration。 如果您不知道,当启用https并且您有足够的权限时,您可以转到https:// asa-ip / config来下载当前正在运行的configuration。
有两个问题我想解决:
我为ASA设置了LDAP访问权限,以便我们可以使用Active Directory来授权给ASA。 它通过SSH工作,但http似乎仍然使用本地数据库,我不知道该命令导致HTTP服务器从LDAP源查找。
哪个aaa命令有必要授权低权限的用户以这种方式下载configuration的能力? 这是甚至可能或者我坚持做一个priv 15用户?
您的AAA命令是aaa authentication http console [your LDAP server group]
至于该URL的特权级别,它应该只使用show run level权限级别,您可以使用privilege show level 1 mode exec command running-config更改授权级别,但如果不起作用,您可以尝试打开debug aaa authorization 。
默认情况下,只有几个命令被设置为0级,其余的15级
请记住,特权级别2+是启用模式特权,您可能需要将您的用户设置为2级或更高级别才能使HTTPS服务器允许其login。
FWIW我使用8.2代码在ASA上testing了这个function,并且无法使用15级以下的用户使用该function,即使show run设置为特权级别2也是如此。我通常会看到使用命令行解决scheme(如Rancid