Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet

思科 ASA 系列命令参考，S 命令

第 1 章      same-security-traffic 至 shape 命令

要指定用于向

 LDAP 验证 LDAP 身份的 SASL（简单身份验证和安全层）机制，请在 aaa-server 

主机配置模式下使用

 sasl-mechanism 命令。SASL 身份验证机制选项为 digest-md5 和 kerberos。

要禁用身份验证机制，请使用此命令的

 no 形式。

{digest-md5 | kerberos server-group-name}

 {digest-md5 | kerberos server-group-name}

注

由于

 ASA 用作 VPN 用户连接 LDAP 服务器的客户端代理，因此在这里引用的 LDAP 客户端是 

ASA。

语法说明

默认值

没有默认行为或值。

ASA 将身份验证参数以明文形式传递到 LDAP 服务器。

注

如果尚未配置

 SASL，建议使用 ldap-over-ssl 命令通过 SSL 保护 LDAP 通信。

命令模式

下表展示可输入此命令的模式：

命令历史

使用指南

使用此命令指定

 ASA 使用 SASL 机制向 LDAP 服务器进行身份验证。

ASA 和 LDAP 服务器可以支持多种 SASL 身份验证机制。在协商 SASL 身份验证时，ASA 将检索
服务器上配置的

 SASL 机制列表，并且将身份验证机制设置为 ASA 和服务器上配置的最强机制。

Kerberos 机制强度高于 Digest-MD5 机制。为便于说明，如果 LDAP 服务器和 ASA 都支持两种机
制，

ASA 选择 Kerberos（相对更强的机制）。

ASA 使用从用户名和密码计算的 MD5 值响应。

ASA 使用 GSSAPI（通用安全服务应用程序编程接口）Kerberos 机制发送
用户名和领域来响应。

指定

 Kerberos aaa 服务器组，最多 64 个字符。

命令模式

防火墙模式

安全情景

路由

透明

单个

多个

情景

系统

aaa-server 主机配置

是

是

是

是

—

版本

修改

7.1(1)

引入了此命令。