Asa üzerinde VPN üzerinden oturum açması için oluşturduğunuz kullanıcılarınız var ve authorization kontrolü sağlamıyorsanız muhtemelen o cihazın yapılandırmasında bir sıkıntı var demektir.Çünkü authorization kontrolu yapmadığımız takdirde vpn user’larımız kusursuz bir şekilde cihazların üzerinde management erişim oturumlarını açabilmektedir.Hakkı olmayan kullanıcıların asdm,telnet,ssh bağlantılarını kısıtlamak istiyorsak ilgili servislerin AAA özelliği sayesinde authentication işlemlerini tacacs,radius veya local olarak sağladıktan sonra enable’a giriş işlemi için authorization ile yetki kontrölü sağlamalıyız.Bu yapılandırmanın ardından kullanıcılar cihazlar üzerinde oturum açtıktan sonra yetkili moda giriş yapmak isterler ise aşağıdaki hata ile karşılaşacaklardır.Tabi burada alınacak ilk önlem bu durum olmamak ile birlikte webtype veya downloadable access list’leri kullanarak userlerin erişeceği kaynaklara direk olarak izinli hale kalanlarının ise yasak olmasını sağlamalıyız.
Öncelikle cihazımızı AAA authentication özelliğini LOCAL username’leri kullanacak şekilde yapılandırıyoruz.
aaa authentication enable console LOCAL
aaa authentication telnet console LOCAL
aaa authentication ssh console LOCAL
aaa authentication http console LOCAL
Vpn üzerinden oturum açacak kullanıcımızı local authentication açtığımız için asa üzerinde oluşturuyoruz.
username vpnuser password vpnuser123
son olarak enable (exec) moda geçiş için yetki kontrolü yaptırıyoruz ve kullanıcının priviliege level yetersiz olduğu için bir nevi management erişimleri sağlayamamasını belirtmiş oluyoruz.
aaa authorization exec authentication-server
Durumu iç networkten vpnuser ile oturum açmaya çalışarak test edip birlikte görelim.
telnet 10.0.1.1
User Access Verification
Username: vpnuser
Password: **********
Type help or ‘?’ for a list of available commands.
Internal-DMZ> en
Password: **********
[ vpnuser ] You do NOT have enable Admin Rights to the console
Password: