Cisco

為什麼我在登錄 Cisco ASA 5510 時從權限級別 1 開始?

  • June 15, 2015

我創建了一個在配置中設置為權限 15的****測試使用者:

username test password **************** encrypted privilege 15

當我登錄 ASA 5510 時,根據sh curpriv我處於特權 1中:

login as: test
test@192.168.1.253's password:
Type help or '?' for a list of available commands.
asa> sh curpriv
Username : test
Current privilege level : 1
Current Mode/s : P_UNPR

即使我知道我有正確的啟用密碼,嘗試啟用也會失敗:

asa> en
Password: *************************
Password: *************************
Password: *************************
Access denied.

從非特權登錄使我獲得特權 15,我可以隨意執行以下操作:

asa> login
Username : test
Pasword: *************************
asa> sh curpriv
Current privilege level : 15
Current Mode/s : P_PRIV
asa> 

我唯一能追踪到的就是我所做的配置更改,我刪除了一個我們不再需要的 VPN 使用者。

為什麼我在登錄 Cisco ASA 5510 時從權限級別 1 開始?

截至 2011 年 11 月 28 日,接受的答案雖然在某些情況下是正確的,但在其他情況下並不准確。

ASA 使用與傳統 IOS 路由器略有不同的模型,這也是一些混亂所在。第二個是是否aaa authentication enable console LOCAL配置。

場景 1 - 未配置啟用身份驗證

相關 ASA 配置

enable password enablepass1
aaa authentication ssh console LOCAL
username user1 password pass1 privilege 15

結果

login as: user1
user1@ASA's password: pass1
ASA> enable
Password: enablepass1
ASA#

如果未配置啟用身份驗證,則具有權限 15 的使用者在通過 進入特權執行模式時仍必須使用啟用密碼才能進入特權執行模式enable

場景 2 - 啟用身份驗證未配置但使用 login

相關 ASA 配置

enable password enablepass1
aaa authentication ssh console LOCAL
username user1 password pass1 privilege 15

結果

login as: user1
user1@ASA's password: pass1
ASA> login
Username: user1
Password: pass1
ASA#

如果未配置啟用身份驗證,則具有權限 15 的使用者可以使用該login命令進入特權執行模式,而無需知道或使用啟用密碼。

場景 3 - 啟用已配置的身份驗證

相關 ASA 配置

enable password enablepass1
aaa authentication ssh console LOCAL
aaa authentication enable console LOCAL
username user1 password pass1 privilege 15

結果

login as: user1
user1@ASA's password: pass1
ASA> enable
Password: enablepass1
Password: pass1
ASA#

如果配置了啟用身份驗證,則具有特權 15 的使用者可以使用loginenable訪問特權 exec 模式。如果使用enable,所需的密碼將是使用者密碼,而不是啟用密碼。

引用自:https://serverfault.com/questions/330758