回复： asa aaa转本地认证

lee-HP · ‎03-03-2024

asa防火墙配置AAA认证，并在本地配置逃生账号。使用AAA账号登录无异常。使用逃生账号登录时，有时提示access deny登录失败，有时可以正常登录，无特别的规律。这是什么原因导致的。AAA配置如下：

aaa-server TACSRV protocol tacacs+
aaa-server TACSRV (INSIDE) host x.x.x.x
timeout 60
key *****
aaa-server TACSRV (INSIDE) host x.x.x.x
timeout 60
key *****

user-identity default-domain LOCAL
aaa authentication http console TACSRV LOCAL
aaa authentication ssh console TACSRV LOCAL
aaa authentication serial console TACSRV LOCAL
aaa accounting command TACSRV
aaa accounting enable console TACSRV
aaa accounting serial console TACSRV
aaa accounting ssh console TACSRV
aaa authorization exec authentication-server auto-enable

ilay · ‎03-04-2024

使用loca账号认证不稳定是正常的现象，asa默认有一个机制来重新尝试启用fail状态的aaa-server，你的本地账号能否正常使用完全取决于asa上当前认证使用的aaa-server的状态，如果认证被送到外部的服务器上，那么返回的肯定是一个失败的结果。

ciscoasa(config-aaa-server-group)# reactivation-mode ?

aaa-server-group mode commands/options:
depletion Failed servers will remain inactive until all other servers in
this group are inactive
timed Failed servers will be reactivated after 30 seconds of down time
ciscoasa(config-aaa-server-group)# reactivation-mode

重启激活失败的服务器有两个设置选项，一个是fail的服务器会一直保持fail状态，直至组内其他的服务器都变成inactive状态，

另一个是每30s尝试进行激活。目前不确定缺省状态是那种设置。但就你的描述来看，使用asa本地账户认证失败时，应该是到外部的aaa服务器上去认证了。