<div dir="ltr">Ah, yes, I remember this.  I tried to fix it once and failed miserably because I'm not any good at C. <div><br></div><div>Can you hard set the priv_lvl to 15 on an asa line the way you can on a router?  Seriously, why does an asa even have a disable - it's useless. </div>
</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Sun, Nov 3, 2013 at 11:13 AM,  <span dir="ltr"><<a href="mailto:krux@thcnet.net" target="_blank">krux@thcnet.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I know under tac_plus you can setup per user enable authentication "enable = "<br>
But setting it to PAM isn't an option.  You're stuck with DES, cleartext, or a<br>
file.  Cisco ASAs are really only where this is a problem, since they<br>
don't let you set the privilege level (by design) from TACACS.<br>
<br>
Of course you have your value in is it really any more secure if you have to<br>
enter your PAM password twice?  At that point you could just specify "enable =<br>
nopassword", since you've already proven who you are once.<br>
<div><div class="h5"><br>
> Does enable even send a username?<br>
><br>
><br>
> On Thu, Oct 31, 2013 at 7:02 PM, Kouhei Maeda <<a href="mailto:mkouhei@gmail.com">mkouhei@gmail.com</a>> wrote:<br>
><br>
> > 2013/11/1 Brandon Ewing <<a href="mailto:nicotine@warningg.com">nicotine@warningg.com</a> <javascript:;>>:<br>
> > > On Thu, Oct 31, 2013 at 02:10:52AM +0900, Kouhei Maeda wrote:<br>
> > >> Hi,<br>
> > >><br>
> > >> I customised tacplus related "default authentication" top level<br>
> > >> directive to enable to use PAM.<br>
> > >><br>
> > ><br>
> > > Does this patch cover enable authentication as well?  Cisco ASA doesn't<br>
> > like<br>
> > > priviledge assignment from TACACS, IIRC.<br>
> ><br>
> > I have understood your question that the "enable authentication" is the<br>
> > authentication when  changeing to enable mode.<br>
> > If so, it is No.<br>
> > My patch covers the authentication of login network devices, etc. only.<br>
> > That does not support changing to enable mode.<br>
> ><br>
> > Best regard,<br>
> > --<br>
> > Kouhei Maeda <mkouhei at <a href="http://gmail.com" target="_blank">gmail.com</a> | <a href="http://palmtb.net" target="_blank">palmtb.net</a>><br>
> >  KeyID 4096R/7E37CE41<br>
> ><br>
> ><br>
> > --<br>
> > --<br>
> > Kouhei Maeda <mkouhei at <a href="http://gmail.com" target="_blank">gmail.com</a>><br>
> >  KeyID 4096R/7E37CE41<br>
> > -------------- next part --------------<br>
> > An HTML attachment was scrubbed...<br>
> > URL: <<br>
> > <a href="http://www.shrubbery.net/pipermail/tac_plus/attachments/20131101/d2f5d23d/attachment.html" target="_blank">http://www.shrubbery.net/pipermail/tac_plus/attachments/20131101/d2f5d23d/attachment.html</a><br>

> > ><br>
> > _______________________________________________<br>
> > tac_plus mailing list<br>
> > <a href="mailto:tac_plus@shrubbery.net">tac_plus@shrubbery.net</a><br>
> > <a href="http://www.shrubbery.net/mailman/listinfo/tac_plus" target="_blank">http://www.shrubbery.net/mailman/listinfo/tac_plus</a><br>
> ><br>
><br>
><br>
</div></div>> E-Mail to and from me, in connection with the transaction<br>
> of public business, is subject to the Wyoming Public Records<br>
> Act and may be disclosed to third parties.<br>
<div class="im">> -------------- next part --------------<br>
> An HTML attachment was scrubbed...<br>
</div>> URL: <<a href="http://www.shrubbery.net/pipermail/tac_plus/attachments/20131103/1fb8091f/attachment.html" target="_blank">http://www.shrubbery.net/pipermail/tac_plus/attachments/20131103/1fb8091f/attachment.html</a>><br>

<div class="im">> _______________________________________________<br>
> tac_plus mailing list<br>
> <a href="mailto:tac_plus@shrubbery.net">tac_plus@shrubbery.net</a><br>
> <a href="http://www.shrubbery.net/mailman/listinfo/tac_plus" target="_blank">http://www.shrubbery.net/mailman/listinfo/tac_plus</a><br>
><br>
<br>
</div>perl -e 's==UBER?=+y[:-o]}(;->\n{q-yp-y+k}?print:??;-p#)'<br>
<br>
</blockquote></div><br></div>

<pre>
E-Mail to and from me, in connection with the transaction 
of public business, is subject to the Wyoming Public Records 
Act and may be disclosed to third parties.