Gracias por comunicarte con la comunidad de cisco @xbaladas  este usuario que nescesitas sera local ?  o dispones de algun servidor Radius, AAA o ISE ?

Recuerda la autenticación local la maneja solamente el dispositivo.

a continuación se envia la documentación que explica los niveles de privilegio:

Para comprender este ejemplo, es necesario comprender los niveles de privilegios. De forma predeterminada, hay tres niveles de comando en el enrutador:

nivel de privilegio 0: incluye los comandos de desactivación , activación , salida , ayuda y cierre de sesión .

nivel de privilegio 1: nivel normal en Telnet; incluye todos los comandos de nivel de usuario en el indicador del router> .

nivel de privilegio 15: incluye todos los comandos de nivel de habilitación en el indicador del número de enrutador .

Los comandos disponibles en un nivel particular en un enrutador en particular se pueden encontrar escribiendo un ? en el indicador del enrutador. Los comandos se pueden mover entre niveles de privilegios utilizando el comando de privilegios , como se ilustra en el ejemplo. Si bien este ejemplo muestra la autenticación y autorización local, los comandos funcionan de manera similar para la autenticación TACACS + o RADIUS y la autorización ejecutiva (se puede lograr más granularidad en el control del enrutador con la implementación de la autorización del comando TACACS + con un servidor).

Detalles adicionales sobre los usuarios y los niveles de privilegios presentados en el ejemplo:

El usuario seis puede ingresar por Telnet y ejecutar el comando show run , pero la configuración resultante está prácticamente en blanco porque este usuario no puede configurar nada (el terminal de configuración está en el nivel 8, no en el nivel 6). El usuario no tiene permitido ver los nombres de usuario y las contraseñas de los otros usuarios, ni ver la información del Protocolo simple de administración de redes (SNMP).

El usuario john puede ingresar a Telnet y ejecutar el comando show run , pero solo ve los comandos que él puede configurar (la comunidad snmp-server forma parte de la configuración del enrutador, ya que este usuario es nuestro administrador de administración de red). Puede configurar la comunidad snmp-server porque configure terminal está en el nivel 8 (en o por debajo del nivel 9), y la comunidad snmp-server es un comando de nivel 8. El usuario no puede ver los nombres de usuario y las contraseñas de los otros usuarios, pero se le confía la configuración SNMP.

El usuario inout puede ingresar mediante Telnet y, en virtud de estar configurado para la ejecución de show de autocomando , ve la configuración mostrada pero se desconecta a partir de entonces.

El usuario poweruser puede hacer Telnet y ejecutar el comando show run . Este usuario está en el nivel 15 y puede ver todos los comandos. Todos los comandos están en o por debajo del nivel 15; los usuarios de este nivel también pueden ver y controlar nombres de usuario y contraseñas.

Fuente 

https://www.cisco.com/c/en/us/support/docs/security-vpn/terminal-access-controller-access-control-system-tacacs-/23383-showrun.html

también puedes ver este post, con respuesta de un empleado de Cisco para solventar esta falla

https://community.cisco.com/t5/discusiones-seguridad/como-crear-un-usuario-de-solo-lectura/td-p/2146742

Recuerda que es Necesario que califiques esta respuesta, ya que esto motiva a seguir la contribución en la comunidad de cisco.