Auto Enable, como su nombre indica, es una funcionalidad de los firewalls Cisco ASA que evita tener que poner el “enable password” si el usuario que accede tiene suficiente “privilege level”.
Configuración:
aaa authorization exec LOCAL auto-enable
SSH con PKI:
Podemos acceder al firewall por SSH usando un par de llaves pública y privada.
Configuración:
username miusuario password supersecreto privilege 15 username miusuario attributes ssh authentication publickey \llave pública RSA\
Nota: Actualmente, “Auto Enable” no funciona para acceder por SSH si usamos PKI y la release de software es inferior a 9.4(1.99).
Por lo tanto, si usamos PKI para acceder por ssh, entraremos correctamente en el sistema pero no en modo privilegiado.
Comprobación:
xavi@smaug:~/bitbucket$ ssh miusuario@10.199.5.1 Type help or '?' for a list of available commands. firewall-cisco-asa> show curpriv Username : miusuario Current privilege level : 1 Current Mode/s : P_UNPR
Como workaround, podemos pasarle el password de enable y usando nuestra llave privada entraremos directamente en modo privilegiado. Supongamos que el password de enable es “password_1”
xavi@smaug:~/bitbucket$ ssh miusuario@10.199.5.1 $'enable\npassword_1\n' Type help or '?' for a list of available commands. firewall-cisco-asa> enable Password: ******** firewall-cisco-asa#
Te podría interesar:
https://capa3.es/cisco-ios-gestion-automatizada-con-ssh-y-pki.html