Fallo de autorización local
Descripción del problema
Se tiene un problema con los derechos de usuario de SSH (nivel de privilegio).
Cada vez que un usuario se conecta al Switch por SSH con certificado, obtiene su nivel de privilegio de la configuración de VTY, no de la configuración local de AAA.
Análisis del problema
Permitir al usuario proporcionar diagnose information
Compruebe que la configuración de SSH está bien.
ssh user v_lutyi
ssh user v_lutyi authentication-type rsa
ssh user v_lutyi assign rsa-key v_lutyi_rsa_key
ssh user v_lutyi service-type all
ssh user vit_lutyi
ssh user vit_lutyi authentication-type rsa
Compruebe RSA debido a la certificación de usuario Rsa está bien
rsa peer-public-key v_lutyi_rsa_key
public-key-code begin
30820109
0282010
Verifique la autenticación aaa y encuentre el siguiente privilegio configurado como 0
aaa
authentication-scheme default
authentication-scheme radius
authentication-mode radius
authorization-scheme default
accounting-scheme default
local-aaa-user password policy administrator
password history record number 0
password expire 0
domain default
authentication-scheme radius
radius-server default
domain default_admin
authentication-scheme default
local-user admin password irreversible-cipher $1a$^k~:)_a5D~$}LmtLIOF$=Zr1B!w,w3Qg"nzPrFim$hm9"DL6&H=$
local-user admin privilege level 15
local-user admin service-type terminal http
local-user v_lutyi password irreversible-cipher $1a$$IoD%bQG;N$h-N>'X.7(DSta68<E@JGsR2"VC*O2GgWr|Q0kyC,$
local-user v_lutyi privilege level 0
local-user v_lutyi service-type terminal ssh http
Encontré que el siguiente privilegio es 0, intente modificar a 15
user-interface con 0
authentication-mode aaa
user-interface vty 0 4
authentication-mode aaa
protocol inbound all
user-interface vty 16 20
authentication-mode aaa
protocol inbound all
Si la cuenta es autenticación RSA, solo puede obtener el nivel de usuario de vty, por lo que debe agregar el comando: user privilege level 3 bajo vty.
Causa principal
Si la cuenta es autenticación RSA, solo puede obtener el nivel de usuario de vty
user-interface vty 0 4
authentication-mode aaa
protocol inbound all
user-interface vty 16 20
authentication-mode aaa