web-dev-qa-db-ja.com

サブ特権15ユーザを使用して現在の設定をhttpからダウンロードできるようにASAを設定するにはどうすればよいですか。

Stack Exchangeで新しいASAをセットアップし、構成管理や最小限の権限が必要なユーザーの使用など、いくつかのベストプラクティスに従おうとしています。私がやろうとしているのは、httpsサーバーを利用して実行中の構成をダウンロードすることです。気付いていない場合は、httpsが有効になっていて十分な権限がある場合は、 https:// asa-ip/config にアクセスして、現在実行中の構成をダウンロードできます。

私が解決しようとしている2つの問題があります:

  1. Active Directoryを使用してASAに認証できるように、ASAのLDAPアクセスを設定しました。 ssh経由で動作しますが、httpはまだLOCALデータベースを使用しているようで、httpサーバーにLDAPソースからルックアップさせるコマンドを認識していません。

  2. 権限の低いユーザーがこの方法で設定をダウンロードできるようにするために必要なaaaコマンドはどれですか。これも可能ですか、それとも私はpriv 15ユーザーを作るのに行き詰まっていますか?

5
Peter Grace

AAAコマンドはaaa authentication http console [your LDAP server group]です

そのURLの特権レベルに関しては、shouldは、show runで変更できるprivilege show level 1 mode exec command running-config認証レベルを使用するだけです。しかし、それが機能しない場合は、debug aaa authorizationをオンにしてみてください。

デフォルトでは、いくつかのコマンドのみがレベル0に設定され、残りはレベル15に設定されています

特権レベル2+は有効モードの特権であり、HTTPSサーバーにログインを許可させるには、ユーザーをレベル2以上にする必要がある場合があることに注意してください。

FWIW 8.2コードを使用してASAでこれをテストしましたが、show runを特権レベル2に設定しても、レベル15未満のユーザーでこれを機能させることができませんでした。通常、構成管理は次のようなコマンドラインソリューションで実行されます。 悪臭を放つ

5
resmon6