
<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Title" content="">


<meta name="Keywords" content="">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0in;


        margin-bottom:.0001pt;


        font-size:11.0pt;


        font-family:"Calibri",sans-serif;}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


span.hoenzb


        {mso-style-name:hoenzb;}


span.EmailStyle18


        {mso-style-type:personal-reply;


        font-family:"Calibri",sans-serif;


        color:windowtext;}


span.msoIns


        {mso-style-type:export-only;


        mso-style-name:"";


        text-decoration:underline;


        color:teal;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-size:10.0pt;}


@page WordSection1


        {size:8.5in 11.0in;


        margin:1.0in 1.0in 1.0in 1.0in;}


div.WordSection1


        {page:WordSection1;}


--></style>


</head>


<body bgcolor="white" lang="EN-US" link="blue" vlink="purple">


<div class="WordSection1">


<p class="MsoNormal">Awesome.  Though, since it’s the default parameter, would it make sense to account for it in clogin?<o:p></o:p></p>


<p class="MsoNormal">weylin<o:p></o:p></p>


<p class="MsoNormal"><o:p> </o:p></p>


<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">


<p class="MsoNormal" style="margin-left:.5in"><b><span style="font-size:12.0pt;color:black">From:


</span></b><span style="font-size:12.0pt;color:black">Azher <azheramin@gmail.com><br>


<b>Date: </b>Monday, January 1, 2018 at 23:09<br>


<b>To: </b>Weylin Piegorsch <weylin@bu.edu><br>


<b>Subject: </b>Re: [rancid] ASA-5585 Enable mode<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>


</div>


<div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:0in;margin-right:0in;margin-bottom:12.0pt;margin-left:.5in">


Thanks, that fixed it.<br>


<br>


no aaa authentication login-history<o:p></o:p></p>


</div>


<p class="MsoNormal" style="mso-margin-top-alt:0in;margin-right:0in;margin-bottom:12.0pt;margin-left:.5in">


-Azher<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>


<div>


<p class="MsoNormal" style="margin-left:.5in">On Mon, Jan 1, 2018 at 7:18 PM, Piegorsch, Weylin William <<a href="mailto:weylin@bu.edu" target="_blank">weylin@bu.edu</a>> wrote:<o:p></o:p></p>


<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">


<p class="MsoNormal" style="margin-left:.5in">This is a behavior change to the ASA made in version 9.8.  I believe it’s a response to a US DOD mandate, to aid in detecting unauthorized logins.  At least, that was a requirement implemented sometime around 2005


 (for systems that supported the capability), though I can’t find a .mil URL more recent than 2008 discussing the requirement (though I can find it referenced in some current commercial locations like Red Hat’s site).<br>


<br>


I noticed it recently in lab trials; I had assumed Cisco decided it made sense to make this the normal behavior for all deployments, given ASA stands for Adaptive Security Appliance.  I hadn’t noticed it in rancid, since I’m still in lab trials.<br>


<br>


Luckily, it’s configurable, see “Enable and View the Login History” at this URL:<br>


<a href="https://www.cisco.com/c/en/us/td/docs/security/asa/asa98/configuration/general/asa-98-general-config/admin-management.pdf" target="_blank">https://www.cisco.com/c/en/us/td/docs/security/asa/asa98/configuration/general/asa-98-general-config/admin-management.pdf</a><br>


<span style="color:#888888"><br>


<span class="hoenzb">weylin</span></span><o:p></o:p></p>


<div>


<div>


<p class="MsoNormal" style="mso-margin-top-alt:0in;margin-right:0in;margin-bottom:12.0pt;margin-left:.5in">


<br>


-----Original Message-----<br>


From: heasley <<a href="mailto:heas@shrubbery.net">heas@shrubbery.net</a>><br>


Date: Sunday, December 31, 2017 at 16:19<br>


To: Azher <<a href="mailto:azheramin@gmail.com">azheramin@gmail.com</a>><br>


Cc: <<a href="mailto:rancid-discuss@shrubbery.net">rancid-discuss@shrubbery.net</a>><br>


Subject: Re: [rancid] ASA-5585 Enable mode<br>


<br>


    Thu, Dec 28, 2017 at 06:42:46PM -0800, Azher:<br>


    > Hi All,<br>


    ><br>


    > Our current Cisco ASA devices "ASA5550" , 8.4(7)30, work fine with RANCID.<br>


    ><br>


    > Same config does not work for ASA-5585, 9.8(1). I am not sure why it is<br>


    > sending "admin" twice and later it sends "enable" at the prompt .... Any<br>


    > suggestions ?<br>


    ><br>


    > add user sslvpnb admin<br>


    > add password sslvpnb pass1 pass2<br>


    > add autoenable sslvpnb 0<br>


    > add method sslvpnb ssh<br>


    ><br>


    > [rancid@rancid ~]$ more var/asa/router.db<br>


    > sslvpn1;cisco;up<br>


    > sslvpn2;cisco;up<br>


    > sslvpna;cisco;up<br>


    > sslvpnb;cisco;up<br>


    ><br>


    > [rancid@rancid ~]$ clogin sslvpnb<br>


    > sslvpnb<br>


    > spawn ssh -c aes128-ctr,aes128-cbc,3des-cbc -x -l admin sslvpnb<br>


    > admin@sslvpnb's password:<br>


    > User admin logged in to sslvpnb<br>


    > Logins over the last 44 days: 29.  Last login: 18:09:41 PST Dec 28 2017<br>


    > from <a href="tel:68.181.191.19">68.181.191.19</a><br>


    > Failed logins since the last login: 0.  Last failed login: 06:47:32 PST Dec<br>


    > 28 2017 from 68.181.191.19<br>


<br>


    its sending admin again because it sees "login:" before a prompt.  why<br>


    is it displaying this?<br>


<br>


    > Type help or '?' for a list of available commands.<br>


    > sslvpnb> admin<br>


    >          ^<br>


    > ERROR: % Invalid input detected at '^' marker.<br>


    ><br>


    > Error: Unrecognized command, check your enable command<br>


    > sslvpnb> admin<br>


    >          ^<br>


    > ERROR: % Invalid input detected at '^' marker.<br>


    > sslvpnb> enable<br>


    > Password:<br>


    > Invalid password<br>


    > Password:<br>


    > Invalid password<br>


    > Password:<br>


    > Invalid password<br>


    > Access denied.<br>


    > sslvpnb><br>


    ><br>


    ><br>


    > Thanks<br>


    > -Azher<br>


<br>


    > _______________________________________________<br>


    > Rancid-discuss mailing list<br>


    > <a href="mailto:Rancid-discuss@shrubbery.net">Rancid-discuss@shrubbery.net</a><br>


    > <a href="http://www.shrubbery.net/mailman/listinfo/rancid-discuss" target="_blank">


http://www.shrubbery.net/mailman/listinfo/rancid-discuss</a><br>


<br>


<br>


<br>


<o:p></o:p></p>


</div>


</div>


</blockquote>


</div>


<p class="MsoNormal" style="margin-left:.5in"><o:p> </o:p></p>


</div>


</div>


</body>


</html>