Ala*_*Dea 5 cisco ios cisco-asa
我创建了一个在配置中设置为权限 15的测试用户:
username test password **************** encrypted privilege 15
根据sh curpriv ,当我登录到 ASA 5510 时,我处于特权 1 中:
login as: test
test@192.168.1.253's password:
Type help or '?' for a list of available commands.
asa> sh curpriv
Username : test
Current privilege level : 1
Current Mode/s : P_UNPR
即使我知道我有正确的启用密码,尝试启用也会失败:
asa> en
Password: *************************
Password: *************************
Password: *************************
Access denied.
从非特权登录使我拥有特权 15,我可以随意执行以下操作:
asa> login
Username : test
Pasword: *************************
asa> sh curpriv
Current privilege level : 15
Current Mode/s : P_PRIV
asa>
我唯一可以跟踪的是我所做的配置更改,其中删除了我们不再需要的 VPN 用户。
为什么我在登录 Cisco ASA 5510 时从权限级别 1 开始?
截至 2011 年 11 月 28 日,接受的答案虽然在某些情况下是正确的,但在其他情况下并不准确。
ASA 使用的模型与传统的 IOS 路由器略有不同,这也是一些混淆所在。第二块是是否aaa authentication enable console LOCAL配置。
场景 1 - 启用未配置的身份验证
相关 ASA 配置
enable password enablepass1
aaa authentication ssh console LOCAL
username user1 password pass1 privilege 15
结果
login as: user1
user1@ASA's password: pass1
ASA> enable
Password: enablepass1
ASA#
如果未配置启用身份验证,则具有权限 15 的用户如果通过 进入特权执行模式,仍必须使用启用密码才能进入特权执行模式enable。
场景 2 - 启用未配置但使用的身份验证 login
相关 ASA 配置
enable password enablepass1
aaa authentication ssh console LOCAL
username user1 password pass1 privilege 15
结果
login as: user1
user1@ASA's password: pass1
ASA> login
Username: user1
Password: pass1
ASA#
如果没有配置enable authentication,权限为15的用户可以在login不知道或不使用enable密码的情况下使用该命令进入特权执行模式。
场景 3 - 启用身份验证配置
相关 ASA 配置
enable password enablepass1
aaa authentication ssh console LOCAL
aaa authentication enable console LOCAL
username user1 password pass1 privilege 15
结果
login as: user1
user1@ASA's password: pass1
ASA> enable
Password: enablepass1
Password: pass1
ASA#
如果配置了启用身份验证,则具有特权 15 的用户可以使用login或enable获得特权执行模式的访问权限。如果使用enable,所需的密码将是用户密码而不是启用密码。