<div dir="ltr">Ah, yes, I remember this.  I tried to fix it once and failed miserably because I'm not any good at C. <div><br></div><div>Can you hard set the priv_lvl to 15 on an asa line the way you can on a router?  Seriously, why does an asa even have a disable - it's useless. </div>

</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Sun, Nov 3, 2013 at 11:13 AM,  <span dir="ltr"><<a href="mailto:krux@thcnet.net" target="_blank">krux@thcnet.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

I know under tac_plus you can setup per user enable authentication "enable = "<br>

But setting it to PAM isn't an option.  You're stuck with DES, cleartext, or a<br>

file.  Cisco ASAs are really only where this is a problem, since they<br>

don't let you set the privilege level (by design) from TACACS.<br>

<br>

Of course you have your value in is it really any more secure if you have to<br>

enter your PAM password twice?  At that point you could just specify "enable =<br>

nopassword", since you've already proven who you are once.<br>

<div><div class="h5"><br>

> Does enable even send a username?<br>

><br>

><br>

> On Thu, Oct 31, 2013 at 7:02 PM, Kouhei Maeda <<a href="mailto:mkouhei@gmail.com">mkouhei@gmail.com</a>> wrote:<br>

><br>

> > 2013/11/1 Brandon Ewing <<a href="mailto:nicotine@warningg.com">nicotine@warningg.com</a> <javascript:;>>:<br>

> > > On Thu, Oct 31, 2013 at 02:10:52AM +0900, Kouhei Maeda wrote:<br>

> > >> Hi,<br>

> > >><br>

> > >> I customised tacplus related "default authentication" top level<br>

> > >> directive to enable to use PAM.<br>

> > >><br>

> > ><br>

> > > Does this patch cover enable authentication as well?  Cisco ASA doesn't<br>

> > like<br>

> > > priviledge assignment from TACACS, IIRC.<br>

> ><br>

> > I have understood your question that the "enable authentication" is the<br>

> > authentication when  changeing to enable mode.<br>

> > If so, it is No.<br>

> > My patch covers the authentication of login network devices, etc. only.<br>

> > That does not support changing to enable mode.<br>

> ><br>

> > Best regard,<br>

> > --<br>

> > Kouhei Maeda <mkouhei at <a href="http://gmail.com" target="_blank">gmail.com</a> | <a href="http://palmtb.net" target="_blank">palmtb.net</a>><br>

> >  KeyID 4096R/7E37CE41<br>

> ><br>

> ><br>

> > --<br>

> > --<br>

> > Kouhei Maeda <mkouhei at <a href="http://gmail.com" target="_blank">gmail.com</a>><br>

> >  KeyID 4096R/7E37CE41<br>

> > -------------- next part --------------<br>

> > An HTML attachment was scrubbed...<br>

> > URL: <<br>

> > <a href="http://www.shrubbery.net/pipermail/tac_plus/attachments/20131101/d2f5d23d/attachment.html" target="_blank">http://www.shrubbery.net/pipermail/tac_plus/attachments/20131101/d2f5d23d/attachment.html</a><br>

> > ><br>

> > _______________________________________________<br>

> > tac_plus mailing list<br>

> > <a href="mailto:tac_plus@shrubbery.net">tac_plus@shrubbery.net</a><br>

> > <a href="http://www.shrubbery.net/mailman/listinfo/tac_plus" target="_blank">http://www.shrubbery.net/mailman/listinfo/tac_plus</a><br>

> ><br>

><br>

><br>

</div></div>> E-Mail to and from me, in connection with the transaction<br>

> of public business, is subject to the Wyoming Public Records<br>

> Act and may be disclosed to third parties.<br>

<div class="im">> -------------- next part --------------<br>

> An HTML attachment was scrubbed...<br>

</div>> URL: <<a href="http://www.shrubbery.net/pipermail/tac_plus/attachments/20131103/1fb8091f/attachment.html" target="_blank">http://www.shrubbery.net/pipermail/tac_plus/attachments/20131103/1fb8091f/attachment.html</a>><br>

<div class="im">> _______________________________________________<br>

> tac_plus mailing list<br>

> <a href="mailto:tac_plus@shrubbery.net">tac_plus@shrubbery.net</a><br>

> <a href="http://www.shrubbery.net/mailman/listinfo/tac_plus" target="_blank">http://www.shrubbery.net/mailman/listinfo/tac_plus</a><br>

><br>

<br>

</div>perl -e 's==UBER?=+y[:-o]}(;->\n{q-yp-y+k}?print:??;-p#)'<br>

<br>

</blockquote></div><br></div>

<pre>

E-Mail to and from me, in connection with the transaction 

of public business, is subject to the Wyoming Public Records 

Act and may be disclosed to third parties.