Вопрос: Почему я начинаю с уровня привилегий 1 при входе в Cisco ASA 5510?


Я создал контрольная работа пользователя, который настроен на привилегия 15 в config:

username test password **************** encrypted privilege 15

Когда я вхожу в ASA 5510, я вхожу в привилегия 1 в соответствии с sh curpriv:

login as: test
test@192.168.1.253's password:
Type help or '?' for a list of available commands.
asa> sh curpriv
Username : test
Current privilege level : 1
Current Mode/s : P_UNPR

Попытка включить не удается, хотя я знаю, что у меня есть правильный пароль для включения:

asa> en
Password: *************************
Password: *************************
Password: *************************
Access denied.

Вход в систему из непривилегированного меня ставит привилегия 15 и я могу сделать как пожалуйста:

asa> login
Username : test
Pasword: *************************
asa> sh curpriv
Current privilege level : 15
Current Mode/s : P_PRIV
asa> 

Единственное, что я могу отследить, это изменение конфигурации, которое я сделал, когда я удалил пользователя VPN, который нам больше не нужен.

Почему я начинаю с уровня привилегий 1 при входе в Cisco ASA 5510?


5
2017-11-14 13:45


Источник


Как вы подключаетесь? Telnet? SSH? Я думаю, возможно, возможно, если вы используете telnet (небезопасный), он не позволит вам перейти в режим включения? - SpacemanSpiff
Такое же поведение происходит со мной с SSH-соединением. - evolvd


Ответы:


По состоянию на 2011.11.28 принятый ответ, хотя и правильный в некоторых случаях, не является точным в других.

ASA использует немного другую модель, чем традиционные маршрутизаторы IOS, и это там, где сидит некоторая путаница. Вторая часть - есть ли aaa authentication enable console LOCAL .

Сценарий 1 - Включить проверку подлинности не настроено

Релевантная конфигурация ASA

enable password enablepass1
aaa authentication ssh console LOCAL
username user1 password pass1 privilege 15

Результаты

login as: user1
user1@ASA's password: pass1
ASA> enable
Password: enablepass1
ASA#

Если активировать аутентификацию не настроен, пользователь с привилегией 15 все равно должен использовать пароль включения для входа в режим привилегированного exec, если вход в режим привилегированного exec через enable,

Сценарий 2 - Включить аутентификацию Не настроено, но с помощью  login

Релевантная конфигурация ASA

enable password enablepass1
aaa authentication ssh console LOCAL
username user1 password pass1 privilege 15

Результаты

login as: user1
user1@ASA's password: pass1
ASA> login
Username: user1
Password: pass1
ASA#

Если активировать аутентификацию не настроен, пользователь с привилегией 15 может использовать login чтобы войти в режим привилегированного exec, не зная или не используя пароль включения.

Сценарий 3 - Включить проверку подлинности

Релевантная конфигурация ASA

enable password enablepass1
aaa authentication ssh console LOCAL
aaa authentication enable console LOCAL
username user1 password pass1 privilege 15

Результаты

login as: user1
user1@ASA's password: pass1
ASA> enable
Password: enablepass1
Password: pass1
ASA#

Если включена настройка аутентификации, пользователь с привилегией 15 может использовать login или enable для доступа к привилегированному режиму exec. При использовании enable, требуемым паролем будет пароль пользователя, а не пароль включения.


6
2017-11-28 06:30





Вы можете войти в режим разрешений, если это позволяет вам уровень привилегий.

Я бегу asa916-k8.bin на 5510

Команда aaa авторизация exec LOCAL auto-enable

Рави L


4
2018-06-15 20:30



Это было добавлено в версии ASA версии 9.1 (5), которая была выпущена в марте 2014 года. Это, безусловно, работает сейчас, но не было бы тогда. Спасибо за то, что поделился этим. - Alain O'Dea


Я тоже был смущен этим, но, похоже, вам просто нужно ввести пароль дважды.

user test pass rootbeer priv 15

Пользовательский тест войдет в систему, а затем, когда будет предложено ввести пароль для включения, пользователь войдет в корневой


3
2017-11-14 14:56



Большое спасибо :) Это именно то, чего мне не хватало. - Alain O'Dea
@evolvd «Введите пароль дважды» зависит от разных сценариев. Я попытался объяснить сценарии примерами в ответе. - Weaver