Stack Exchangeで新しいASAをセットアップし、構成管理や最小限の権限が必要なユーザーの使用など、いくつかのベストプラクティスに従おうとしています。私がやろうとしているのは、httpsサーバーを利用して実行中の構成をダウンロードすることです。気付いていない場合は、httpsが有効になっていて十分な権限がある場合は、 https:// asa-ip/config にアクセスして、現在実行中の構成をダウンロードできます。
私が解決しようとしている2つの問題があります:
Active Directoryを使用してASAに認証できるように、ASAのLDAPアクセスを設定しました。 ssh経由で動作しますが、httpはまだLOCALデータベースを使用しているようで、httpサーバーにLDAPソースからルックアップさせるコマンドを認識していません。
権限の低いユーザーがこの方法で設定をダウンロードできるようにするために必要なaaaコマンドはどれですか。これも可能ですか、それとも私はpriv 15ユーザーを作るのに行き詰まっていますか?
AAAコマンドはaaa authentication http console [your LDAP server group]
です
そのURLの特権レベルに関しては、shouldは、show run
で変更できるprivilege show level 1 mode exec command running-config
認証レベルを使用するだけです。しかし、それが機能しない場合は、debug aaa authorization
をオンにしてみてください。
デフォルトでは、いくつかのコマンドのみがレベル0に設定され、残りはレベル15に設定されています
特権レベル2+は有効モードの特権であり、HTTPSサーバーにログインを許可させるには、ユーザーをレベル2以上にする必要がある場合があることに注意してください。
FWIW 8.2コードを使用してASAでこれをテストしましたが、show run
を特権レベル2に設定しても、レベル15未満のユーザーでこれを機能させることができませんでした。通常、構成管理は次のようなコマンドラインソリューションで実行されます。 悪臭を放つ