为什么在登录到Cisco ASA 5510时，我从特权级别1开始呢？

Question

我已经创建了一个在配置中设置为特权15的测试用户：

username test password **************** encrypted privilege 15

当我登录ASA 5510时，根据sh curpriv的规定，我享有特权1：

login as: test
test@192.168.1.253's password:
Type help or '?' for a list of available commands.
asa> sh curpriv
Username : test
Current privilege level : 1
Current Mode/s : P_UNPR

尝试启用失败，即使我知道我有正确的启用密码：

asa> en
Password: *************************
Password: *************************
Password: *************************
Access denied.

从非特权登录使我获得了特权15，请允许我这样做：

asa> login
Username : test
Pasword: *************************
asa> sh curpriv
Current privilege level : 15
Current Mode/s : P_PRIV
asa> 

我唯一能追踪到的事情是，我在删除了我们不再需要的VPN用户时所做的配置更改。

为什么在登录到Cisco ASA 5510时，我从特权级别1开始呢？

Answer 1

截至2011.11.28，已接受的答案虽然在某些情况下是正确的，但在另一些情况下则不准确。

ASA使用的模型与传统的IOS路由器略有不同，而这也是一些混乱的地方。第二部分是是否配置了aaa authentication enable console LOCAL。

场景1-启用未配置的身份验证

相关ASA配置

enable password enablepass1
aaa authentication ssh console LOCAL
username user1 password pass1 privilege 15

结果

login as: user1
user1@ASA's password: pass1
ASA> enable
Password: enablepass1
ASA#

如果未配置启用身份验证，则如果通过enable进入特权exec模式，则具有特权15的用户仍必须使用启用密码进入特权exec模式。

场景2-未配置但使用login的启用身份验证

相关ASA配置

enable password enablepass1
aaa authentication ssh console LOCAL
username user1 password pass1 privilege 15

结果

login as: user1
user1@ASA's password: pass1
ASA> login
Username: user1
Password: pass1
ASA#

如果未配置启用身份验证，则具有特权15的用户可以使用login命令进入特权exec模式，而无需知道或使用启用密码。

场景3-启用配置的身份验证

相关ASA配置

enable password enablepass1
aaa authentication ssh console LOCAL
aaa authentication enable console LOCAL
username user1 password pass1 privilege 15

结果

login as: user1
user1@ASA's password: pass1
ASA> enable
Password: enablepass1
Password: pass1
ASA#

如果配置了启用身份验证，则具有特权15的用户可以使用login或enable访问特权执行模式。如果使用enable，所需密码将是用户密码，而不是启用密码。

Answer 2

如果您的特权级别允许，您可以直接在启用模式下登录。

我正在运行am 916-k8.bin 5510

该命令是aaa授权exec本地自动启用。

拉维·L

Answer 3

我也对此感到困惑，但事实证明，你只需输入两次密码。

user test pass rootbeer priv 15

用户测试将登录，然后当提示输入启用密码时，用户将输入rootbeer。