Por que eu começo no nível de privilégio 1 ao entrar em um Cisco ASA 5510?

Question

Por que eu começo no nível de privilégio 1 ao entrar em um Cisco ASA 5510?

#1 resposta do (6 votos)
#2 resposta do (4 votos)
#3 resposta do (3 votos)

5

Eu criei um usuário test que está definido como privilégio 15 na configuração:

username test password **************** encrypted privilege 15

Quando eu faço o login no ASA 5510, estou no privilégio 1 de acordo com sh curpriv :

login as: test
[email protected]'s password:
Type help or '?' for a list of available commands.
asa> sh curpriv
Username : test
Current privilege level : 1
Current Mode/s : P_UNPR

A tentativa de enable falhar, mesmo que eu saiba que tenho a senha de ativação correta:

asa> en
Password: *************************
Password: *************************
Password: *************************
Access denied.

Fazer login com privilégios não privilegiados me coloca no privilégio 15 e posso fazer o que quiser:

asa> login
Username : test
Pasword: *************************
asa> sh curpriv
Current privilege level : 15
Current Mode/s : P_PRIV
asa>

A única coisa que posso acompanhar é uma alteração de configuração que fiz quando removi um usuário VPN que não era mais necessário.

Por que eu começo no nível de privilégio 1 ao fazer login em um Cisco ASA 5510?

cisco ios cisco-asa

por Alain O'Dea 14.11.2011 / 14:45

3 respostas

4

Você pode fazer o login diretamente no modo de ativação se seu nível de privilégio permitir.

Estou executando o asa916-k8.bin no 5510

O comando é aaa autorização exec LOCAL auto-enable

Ravi L

por 15.06.2015 / 22:30

3

Eu estava confuso com isso também, mas acontece que você só precisa digitar a senha duas vezes.

user test pass rootbeer priv 15

O teste do usuário fará o login e, quando solicitado pela senha, o usuário entrará no rootbeer

por 14.11.2011 / 15:56

Tags cisco ios cisco-asa

Como procurar authorized_keys para chave pública e removê-lo O Tomcat é vulnerável à vulnerabilidade do Apache DoS no CVE-2011-3192?

score 6 · Accepted Answer

A partir de 2011.11.28, a resposta aceita, embora correta em alguns casos, não é correta em outros.

O ASA usa um modelo ligeiramente diferente dos roteadores IOS tradicionais, e isso é o motivo de algumas das confusões. A segunda parte é se aaa authentication enable console LOCAL está ou não configurada.

Cenário 1 - Ativar autenticação não configurada

Configuração ASA relevante

enable password enablepass1
aaa authentication ssh console LOCAL
username user1 password pass1 privilege 15

Resultados

login as: user1
user1@ASA's password: pass1
ASA> enable
Password: enablepass1
ASA#

Se a ativação da autenticação não estiver configurada, um usuário com privilégio 15 ainda deverá usar a senha de ativação para entrar no modo exec privilegiado, se entrar no modo exec privilegiado através de enable .

Cenário 2 - Ativar autenticação não configurada, mas usando login

Configuração ASA relevante

enable password enablepass1
aaa authentication ssh console LOCAL
username user1 password pass1 privilege 15

Resultados

login as: user1
user1@ASA's password: pass1
ASA> login
Username: user1
Password: pass1
ASA#

Se a ativação da autenticação não estiver configurada, um usuário com privilégio 15 poderá usar o comando login para entrar no modo exec privilegiado sem conhecer ou usar a senha de ativação.

Cenário 3 - Ativar autenticação configurada

Configuração ASA relevante

enable password enablepass1
aaa authentication ssh console LOCAL
aaa authentication enable console LOCAL
username user1 password pass1 privilege 15

Resultados

login as: user1
user1@ASA's password: pass1
ASA> enable
Password: enablepass1
Password: pass1
ASA#

Se a opção Ativar autenticação estiver configurada, um usuário com privilégio 15 poderá usar login ou enable para obter acesso ao modo exec privilegiado. Se estiver usando enable , a senha necessária será a senha do usuário e não a senha de ativação.