取消
显示结果 
搜索替代 
您的意思是: 
cancel
1923
查看次数
2
有帮助
8
回复

ISE和ASA老版本的命令授权

jiahao xian
Level 1
Level 1

请教一下我有台CISCO ASA 5545 版本9.1.2 命令授权没有auto-enable,只有aaa authorization exec authentication-server

然后发现ise验证通过后只能进入EXEC模式,然后输入enable密码之后直接就15级EXEC特权模式,任何命令都可以使用,ISE设置的命令权限无法生效,请问旧版本的ASA 如何实现跳过enable,给账户授权呢?

 

1 个已接受解答

已接受的解答

是的,因为这个命令是在9.2(1)开始支持(可能在9.1.5也加入了该auto-enable命令,但建议还是以官方公布为准);但你的版本是9.1.2,所以不支持该命令。

Snipaste_2023-07-21_09-54-09.png

解释: it is a security feature of the ASA that it will not allow you to login to the ASA and go directly to enable mode.

在当前版本尝试解决,可以参考如下:

https://www.cisco.com/c/en/us/support/docs/security/adaptive-security-appliance-asa-software/215792-analyze-aaa-device-administration-behavi.html

Case 3: ASA Authentication, exec authorization and command authorization configured via AAA server

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !

在原帖中查看解决方案

8 条回复8

你好,可以参考如下文档配置:

https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/200207-ISE-2-0-ASA-CLI-TACACS-Authentication.html

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !

你好,这个文档已经看过它里面介绍都是有这个命令

aaa authorization exec authentication-serverauto-enable 

you will be placed in privileged EXEC mode automatically.

但是我这台防火墙没有 auto-enable 这个选项,所以不能按照它这个方式实现。

是的,因为这个命令是在9.2(1)开始支持(可能在9.1.5也加入了该auto-enable命令,但建议还是以官方公布为准);但你的版本是9.1.2,所以不支持该命令。

Snipaste_2023-07-21_09-54-09.png

解释: it is a security feature of the ASA that it will not allow you to login to the ASA and go directly to enable mode.

在当前版本尝试解决,可以参考如下:

https://www.cisco.com/c/en/us/support/docs/security/adaptive-security-appliance-asa-software/215792-analyze-aaa-device-administration-behavi.html

Case 3: ASA Authentication, exec authorization and command authorization configured via AAA server

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !

你好,谢谢分享得文档,我按这个文档配置了一下,虽然和实际有点出入,但是总体知道应该怎么弄,但是好像旧版本得命令授权无法针对账户授予其具体命令,好像针对某个用户只允许show logging 其他不能这样得,我看要不就是所有不能授权,要不就是所有都能授权。

关于针对相关账户的命令授权,也可以通过ISE来实现啊,具体授权你设置的TACACS Command Sets,可以参考一下“

Configure TACACS Command Sets

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !

你好!我已经实现,但是是根据enable_15的账户实现的,我在ise有2个组,一个是只读组只能show,一个是管理员组,现在关键就是我在ISE建立一个账户enable_15和一个aaa 本地用户test,防火墙先用aaa去验证ISE的用户test后,需要输入enable ,这时输入enable密码后,交给aaa上的enable_15授权。目前只能针对着enable_15授权,要不给show的授权,要不给管理员授权,test这个账户只是在ssh远程登录通过后就不需要下面的验证授权了。所以说enable_15这账户如果属于只读组就给与show的命令,如果属于管理员组就授权与管理员权限。无法给与刚开始的test账户授权。

不论如何,已实现了就好。

RpsCheers_0-1689924445491.png

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !

非常感谢!

快捷链接