Como posso configurar um ASA para que eu possa usar um usuário sub-privilegiado 15 para baixar a configuração atual de http?

5

Estou configurando nossos novos ASAs no Stack Exchange e tentando seguir algumas práticas recomendadas, como o uso de gerenciamento de configuração e usuários com permissões mínimas necessárias. O que estou tentando fazer é utilizar o servidor https para baixar a configuração em execução. Se você não sabia, quando o https está habilitado e você tem privilégios suficientes, você pode ir para link para baixar a configuração atual em execução.

Existem dois problemas que estou tentando resolver:

  1. Eu configurei o acesso LDAP para o ASA para que possamos usar nossos Active Directory para autenticação no ASA. Ele funciona via ssh, mas http ainda parece usar o banco de dados LOCAL, e não tenho conhecimento do comando para fazer com que o servidor http pesquise a partir da fonte LDAP.

  2. Quais comandos aaa são necessários para autorizar um privilégio inferior usuário a capacidade de baixar a configuração dessa maneira? É isto mesmo possível ou estou preso fazendo um usuário priv 15?

por Peter Grace 30.03.2012 / 15:13

1 resposta

5

Seu comando AAA é aaa authentication http console [your LDAP server group]

No que se refere ao nível de privilégio para essa URL, deve usar apenas o nível de autorização show run , que você pode alterar com privilege show level 1 mode exec command running-config , mas pode tentar ativar debug aaa authorization se não não funciona.

Por padrão, apenas alguns comandos são definidos como nível 0 e o restante nível 15

Lembre-se de que o nível de privilégio 2+ é privilégio de modo de ativação e que você pode precisar colocar seu usuário no nível 2 ou superior para que o servidor HTTPS permita que ele faça o login.

FWIW Eu testei isso no meu ASA com código 8.2 e não consegui fazer isso funcionar com um usuário no nível 15, mesmo com show run definido para o nível de privilégio 2. Geralmente, vejo o gerenciamento de configurações realizado com uma solução de linha de comando como Rancido

    
por 30.03.2012 / 15:34