Cisco
為什麼我在登錄 Cisco ASA 5510 時從權限級別 1 開始?
我創建了一個在配置中設置為權限 15的****測試使用者:
username test password **************** encrypted privilege 15
當我登錄 ASA 5510 時,根據sh curpriv我處於特權 1中:
login as: test test@192.168.1.253's password: Type help or '?' for a list of available commands. asa> sh curpriv Username : test Current privilege level : 1 Current Mode/s : P_UNPR
即使我知道我有正確的啟用密碼,嘗試啟用也會失敗:
asa> en Password: ************************* Password: ************************* Password: ************************* Access denied.
從非特權登錄使我獲得特權 15,我可以隨意執行以下操作:
asa> login Username : test Pasword: ************************* asa> sh curpriv Current privilege level : 15 Current Mode/s : P_PRIV asa>
我唯一能追踪到的就是我所做的配置更改,我刪除了一個我們不再需要的 VPN 使用者。
為什麼我在登錄 Cisco ASA 5510 時從權限級別 1 開始?
截至 2011 年 11 月 28 日,接受的答案雖然在某些情況下是正確的,但在其他情況下並不准確。
ASA 使用與傳統 IOS 路由器略有不同的模型,這也是一些混亂所在。第二個是是否
aaa authentication enable console LOCAL
配置。場景 1 - 未配置啟用身份驗證
相關 ASA 配置
enable password enablepass1 aaa authentication ssh console LOCAL username user1 password pass1 privilege 15
結果
login as: user1 user1@ASA's password: pass1 ASA> enable Password: enablepass1 ASA#
如果未配置啟用身份驗證,則具有權限 15 的使用者在通過 進入特權執行模式時仍必須使用啟用密碼才能進入特權執行模式
enable
。場景 2 - 啟用身份驗證未配置但使用
login
相關 ASA 配置
enable password enablepass1 aaa authentication ssh console LOCAL username user1 password pass1 privilege 15
結果
login as: user1 user1@ASA's password: pass1 ASA> login Username: user1 Password: pass1 ASA#
如果未配置啟用身份驗證,則具有權限 15 的使用者可以使用該
login
命令進入特權執行模式,而無需知道或使用啟用密碼。場景 3 - 啟用已配置的身份驗證
相關 ASA 配置
enable password enablepass1 aaa authentication ssh console LOCAL aaa authentication enable console LOCAL username user1 password pass1 privilege 15
結果
login as: user1 user1@ASA's password: pass1 ASA> enable Password: enablepass1 Password: pass1 ASA#
如果配置了啟用身份驗證,則具有特權 15 的使用者可以使用
login
或enable
訪問特權 exec 模式。如果使用enable
,所需的密碼將是使用者密碼,而不是啟用密碼。