注意:所有密码已被替换或删除。
我正在尝试创建一个(rancid repo)帐户,该帐户可以使用命令“show run”,而无需启用和使用第二个密码。
现在,我使用命令“用户名 lion 权限 15 秘密 raplegend”添加用户 lion,但是当我以该用户身份使用密码 raplegend 登录时,如果不执行以下任一操作,则无法执行“sh run”命令
使能够
密码:reggaegod
以下是运行配置文件的相关部分。为了方便起见,我已将密码哈希替换为伪造的明文。
version 12.2
enable secret 5 [redacted]
!
username snoop privilege 15 secret 5 raplegend
username lion privilege 15 secret 5 raplegend
aaa new-model
!
line con 0
line vty 0 4
password 7 reggaegod
transport input ssh
line vty 5 15
password 7 reggaegod
transport input ssh
!
我这里遗漏了什么?谢谢!
答案1
我在 12.2(46a) 上快速测试了这一点,我需要添加以下内容才能使其正常工作:
aaa authorization exec default local
当然,如果您使用的不仅仅是本地帐户(例如 TACACS+),则需要修改该语句以适应这些帐户。请确保在退出第一个 SSH 会话之前使用另一个 SSH 会话对其进行测试,因为如果它不起作用,您将无法登录来修复它。
此外,由于aaa 新款配置后,VTY 线路的默认配置相当于旧的当地 当地命令,因此密码不需要命令。
答案2
如果您使用 TACACS 或 RADIUS,则需要传回 av-pair 值,以便该帐户自动升级到启用级别。Google TACACS av-pair。