已解决: Re: ISE和ASA老版本的命令授权

jiahao xian · ‎07-14-2023

请教一下我有台CISCO ASA 5545 版本9.1.2 命令授权没有auto-enable，只有aaa authorization exec authentication-server

然后发现ise验证通过后只能进入EXEC模式，然后输入enable密码之后直接就15级EXEC特权模式，任何命令都可以使用，ISE设置的命令权限无法生效，请问旧版本的ASA 如何实现跳过enable，给账户授权呢？

Rps-Cheers · ‎07-20-2023

是的，因为这个命令是在9.2(1)开始支持（可能在9.1.5也加入了该auto-enable命令，但建议还是以官方公布为准）；但你的版本是9.1.2，所以不支持该命令。

解释： it is a security feature of the ASA that it will not allow you to login to the ASA and go directly to enable mode.

在当前版本尝试解决，可以参考如下：

https://www.cisco.com/c/en/us/support/docs/security/adaptive-security-appliance-asa-software/215792-analyze-aaa-device-administration-behavi.html

Case 3: ASA Authentication, exec authorization and command authorization configured via AAA server

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !

在原帖中查看解决方案

Rps-Cheers · ‎07-20-2023

你好，可以参考如下文档配置：

https://www.cisco.com/c/en/us/support/docs/security/identity-services-engine/200207-ISE-2-0-ASA-CLI-TACACS-Authentication.html

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !

jiahao xian · ‎07-20-2023

你好，这个文档已经看过它里面介绍都是有这个命令

aaa authorization exec authentication-serverauto-enable

you will be placed in privileged EXEC mode automatically.

但是我这台防火墙没有 auto-enable 这个选项，所以不能按照它这个方式实现。

Rps-Cheers · ‎07-20-2023

是的，因为这个命令是在9.2(1)开始支持（可能在9.1.5也加入了该auto-enable命令，但建议还是以官方公布为准）；但你的版本是9.1.2，所以不支持该命令。

解释： it is a security feature of the ASA that it will not allow you to login to the ASA and go directly to enable mode.

在当前版本尝试解决，可以参考如下：

https://www.cisco.com/c/en/us/support/docs/security/adaptive-security-appliance-asa-software/215792-analyze-aaa-device-administration-behavi.html

Case 3: ASA Authentication, exec authorization and command authorization configured via AAA server

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !

jiahao xian · ‎07-20-2023

你好，谢谢分享得文档，我按这个文档配置了一下，虽然和实际有点出入，但是总体知道应该怎么弄，但是好像旧版本得命令授权无法针对账户授予其具体命令，好像针对某个用户只允许show logging 其他不能这样得，我看要不就是所有不能授权，要不就是所有都能授权。

Rps-Cheers · ‎07-21-2023

关于针对相关账户的命令授权，也可以通过ISE来实现啊，具体授权你设置的TACACS Command Sets，可以参考一下“

Configure TACACS Command Sets

”

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !

jiahao xian · ‎07-21-2023

你好！我已经实现，但是是根据enable_15的账户实现的，我在ise有2个组，一个是只读组只能show，一个是管理员组，现在关键就是我在ISE建立一个账户enable_15和一个aaa 本地用户test，防火墙先用aaa去验证ISE的用户test后，需要输入enable ，这时输入enable密码后，交给aaa上的enable_15授权。目前只能针对着enable_15授权，要不给show的授权，要不给管理员授权，test这个账户只是在ssh远程登录通过后就不需要下面的验证授权了。所以说enable_15这账户如果属于只读组就给与show的命令，如果属于管理员组就授权与管理员权限。无法给与刚开始的test账户授权。

Rps-Cheers · ‎07-21-2023

不论如何，已实现了就好。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !

jiahao xian · ‎07-21-2023

非常感谢！