この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
ユーザ アカウントは、システムにアクセスするために使用されます。最大 48 個のローカル ユーザ アカウントを設定できます。各ユーザ アカウントには、一意のユーザ名とパスワードが必要です。
管理者アカウントはデフォルト ユーザ アカウントであり、変更や削除はできません。このアカウントは、システム管理者またはスーパーユーザ アカウントであり、すべての権限が与えられています。admin アカウントには、デフォルトのパスワードは割り当てられません。初期システム セットアップ時にパスワードを選択する必要があります。
管理者アカウントは常にアクティブで、有効期限がありません。管理者アカウントを非アクティブに設定することはできません。
ローカル認証されたユーザ アカウントは、シャーシによって直接認証され、admin 権限か AAA 権限を持つユーザが有効または無効にできます。ローカル ユーザ アカウントが無効になっている場合、ユーザはログインできません。無効化されたローカル ユーザ アカウントの設定の詳細はデータベースから削除されません。無効ローカル ユーザ アカウントを再度有効にすると、アカウントはユーザ名とパスワードを含め、既存のコンフィギュレーションで再びアクティブになります。
リモート認証されたユーザ アカウントとは、LDAP、RADIUS、または TACACS+ で認証されたユーザ アカウントです。
ユーザがローカル ユーザ アカウントとリモート ユーザ アカウントを同時に保持する場合、ローカル ユーザ アカウントで定義されたロールがリモート ユーザ アカウントに保持された値を上書きします。
ユーザ アカウントは、事前に定義した時間に有効期限が切れるように設定できます。有効期限の時間になると、ユーザ アカウントはディセーブルになります。
デフォルトでは、ユーザ アカウントの有効期限はありません。
ユーザ アカウントに有効期限日付を設定した後は、アカウントの有効期限をなくすよう再設定できません。ただし、使用できる最新の有効期限日付でアカウントを設定することは可能です。
ユーザ名は、Firepower Chassis Manager および FXOS CLI のログイン ID としても使用されます。ユーザ アカウントにログイン ID を割り当てるときは、次のガイドラインおよび制約事項を考慮してください。
ローカル認証された各ユーザ アカウントにパスワードが必要です。admin 権限または AAA 権限を持つユーザは、ユーザ パスワードのパスワード強度チェックを実行するようにシステムを設定できます。パスワード強度チェックをイネーブルにすると、各ユーザが強力なパスワードを使用する必要があります。
各ユーザが強力なパスワードを設定することを推奨します。ローカル認証されたユーザのパスワード強度チェックを有効化した場合、Firepower eXtensible Operating System は次の要件を満たしていないパスワードをすべて拒否します。
システムには、次のデフォルトのユーザ ロールが用意されています。
システム全体に対する完全な読み取りと書き込みのアクセス権。デフォルトの admin アカウントは、デフォルトでこのロールが割り当てられ、変更はできません。
システム設定に対する読み取り専用アクセス権。システム状態を変更する権限はありません。
パスワード プロファイルには、ローカル認証されたすべてのユーザのパスワード履歴やパスワード変更間隔プロパティが含まれます。ローカル認証されたユーザのそれぞれに異なるパスワード プロファイルを指定することはできません。
パスワード履歴のカウントにより、ローカル認証されたユーザが何度も同じパスワードを再利用しないようにすることができます。このプロパティが設定されている場合、Firepower シャーシは、ローカル認証されたユーザが以前に使用したパスワードを最大 15 個まで保存します。パスワードは最近のものから時系列の逆順で格納され、履歴カウントがしきい値に達した場合に、最も古いパスワードだけを再利用可能にします。
あるパスワードが再利用可能になる前に、ユーザはパスワード履歴カウントで設定された数のパスワードを作成して使用する必要があります。たとえば、パスワード履歴カウントを 8 に設定した場合、ローカル認証されたユーザは最初のパスワードを 9 番目のパスワードが期限切れになった後まで、最初のパスワードを再利用できません。
デフォルトでは、パスワード履歴は 0 に設定されます。この値は、履歴のカウントをディセーブルにし、ユーザはいつでも前のパスワードを使用できます。
必要に応じて、ローカル認証されたユーザについてパスワード履歴カウントをクリアし、以前のパスワードの再利用をイネーブルにできます。
パスワード変更間隔は、ローカル認証されたユーザが特定の時間内に行えるパスワード変更回数を制限することができます。次の表で、パスワード変更間隔の 2 つの設定オプションについて説明します。
間隔の設定 | 説明 | 例 |
---|---|---|
パスワード変更不許可 |
このオプションでは、ローカル認証されたユーザは、パスワードの変更後、指定された時間内にはパスワードを変更できません。 1 ~ 745 時間の変更禁止間隔を指定できます。デフォルトでは、変更禁止間隔は 24 時間です。 |
たとえば、ローカル認証されたユーザが 48 時間の間パスワードを変更できないようにする場合、次のように設定します。 |
変更間隔内のパスワード変更許可 |
このオプションは、ローカル認証されたユーザのパスワードを事前に定義された時間内に変更できる最大回数を指定します。 変更間隔を 1 ~ 745 時間で、パスワード変更の最大回数を 0 ~ 10 で指定できます。デフォルトでは、ローカル認証されたユーザに対して、48 時間間隔内で最大 2 回のパスワード変更が許可されます。 |
たとえば、ローカル認証されたユーザがパスワードを変更した後 24 時間以内に 1 回まで変更できるようにする場合、次のように設定します。 |
次の例では、デフォルトの認証を RADIUS に設定し、デフォルトの認証プロバイダー グループを provider1 に設定し、二要素認証をイネーブルにし、更新間隔を 7200 秒(2 時間)に設定し、セッションのタイムアウト間隔を 28800 秒(8 時間)に設定し、二要素認証をイネーブルにします。そして、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # scope default-auth Firepower-chassis /security/default-auth # set realm radius Firepower-chassis /security/default-auth* # set auth-server-group provider1 Firepower-chassis /security/default-auth* # set use-2-factor yes Firepower-chassis /security/default-auth* # set refresh-period 7200 Firepower-chassis /security/default-auth* # set session-timeout 28800 Firepower-chassis /security/default-auth* # commit-buffer Firepower-chassis /security/default-auth #
デフォルトでは、LDAP、RADIUS、または TACACS プロトコルを使用してリモート サーバから Firepower Chassis Manager または FXOS CLI にログインするすべてのユーザに読み取り専用アクセス権が付与されます。セキュリティ上の理由から、確立されたユーザ ロールに一致するユーザにアクセスを制限することが望ましい場合があります。
ユーザがログインを試みたときに、リモート認証プロバイダーが認証情報を含むユーザ ロールを提供しないと、ユーザは読み取り専用ユーザ ロールでログインすることができます。
これはデフォルトの動作です。
ユーザがログインを試みたときに、リモート認証プロバイダーが認証情報を含むユーザ ロールを提供しないと、アクセスは拒否されます。
ステップ 1 |
セキュリティ モードを開始します。 Firepower-chassis # scopesecurity |
ステップ 2 |
Firepower Chassis Manager および FXOS CLI へのユーザ アクセスをユーザ ロールに基づいて制限するかどうかを指定します。 Firepower-chassis /security # set remote-user default-role {assign-default-role | no-login} |
ステップ 3 |
トランザクションをシステム設定にコミットします。 Firepower-chassis /security # commit-buffer |
Firepower-chassis# scope security Firepower-chassis /security # set remote-user default-role no-login Firepower-chassis /security* # commit-buffer Firepower-chassis /security #
パスワード強度チェックが有効化になっている場合、Firepower eXtensible Operating System では、強力なパスワードのガイドラインを満たしていないパスワードを選択できません(パスワードに関するガイドラインを参照)。
ステップ 1 |
セキュリティ モードを開始します。 Firepower-chassis # scopesecurity |
ステップ 2 |
パスワード強度チェックを有効化するかディセーブルにするかを指定します。 Firepower-chassis /security # set enforce-strong-password {yes | no} |
次に、パスワード強度チェックをイネーブルにする例を示します。
Firepower-chassis# scope security Firepower-chassis /security # set enforce-strong-password yes Firepower-chassis /security* # commit-buffer Firepower-chassis /security #
ステップ 1 |
セキュリティ モードを開始します。 Firepower-chassis # scopesecurity |
ステップ 2 |
パスワード プロファイル セキュリティ モードを開始します。 Firepower-chassis /security # scope password-profile |
ステップ 3 |
ローカル認証されたユーザが指定した時間内にパスワードを変更できる回数を制限します。 Firepower-chassis /security/password-profile # set change-during-interval enable |
ステップ 4 |
ローカル認証されたユーザが、[Change Interval] の間に自分のパスワードを変更できる最大回数を指定します。 Firepower-chassis /security/password-profile # set change-count pass-change-num この値は、0 ~ 10 から自由に設定できます。 |
ステップ 5 |
[Change Count] フィールドで指定したパスワード変更回数が適用される最大時間数を指定します。 Firepower-chassis /security/password-profile # set change-interval num-of-hours この値は、1 ~ 745 時間から自由に設定できます。 たとえば、このフィールドが 48 に設定され、[Change Count] フィールドが 2 に設定されている場合、ローカル認証されたユーザは 48 時間以内に 2 回を超えるパスワード変更を実行することはできません。 |
ステップ 6 |
トランザクションをシステム設定にコミットします。 Firepower-chassis /security/password-profile # commit-buffer |
次の例は、change during interval オプションをイネーブルにし、変更回数を 5 回、変更間隔を 72 時間に設定し、トランザクションをコミットします。
Firepower-chassis # scope security Firepower-chassis /security # scope password-profile Firepower-chassis /security/password-profile # set change-during-interval enable Firepower-chassis /security/password-profile* # set change-count 5 Firepower-chassis /security/password-profile* # set change-interval 72 Firepower-chassis /security/password-profile* # commit-buffer Firepower-chassis /security/password-profile #
ステップ 1 |
セキュリティ モードを開始します。 Firepower-chassis # scopesecurity |
ステップ 2 |
パスワード プロファイル セキュリティ モードを開始します。 Firepower-chassis /security # scope password-profile |
ステップ 3 |
間隔中の変更機能をディセーブルにします。 Firepower-chassis /security/password-profile # set change-during-interval disable |
ステップ 4 |
ローカル認証されたユーザが、新しく作成したパスワードを変更する前に待機する最小時間数を指定します。 Firepower-chassis /security/password-profile # set no-change-interval min-num-hours この値は、1 ~ 745 時間から自由に設定できます。 この間隔は、[Change During Interval] プロパティが [Disable] に設定されていない場合、無視されます。 |
ステップ 5 |
トランザクションをシステム設定にコミットします。 Firepower-chassis /security/password-profile # commit-buffer |
次に、間隔中の変更オプションをディセーブルにし、変更禁止間隔を 72 時間に設定し、トランザクションをコミットする例を示します。
Firepower-chassis # scope security Firepower-chassis /security # scope password-profile Firepower-chassis /security/password-profile # set change-during-interval disable Firepower-chassis /security/password-profile* # set no-change-interval 72 Firepower-chassis /security/password-profile* # commit-buffer Firepower-chassis /security/password-profile #
ステップ 1 |
セキュリティ モードを開始します。 Firepower-chassis # scopesecurity |
ステップ 2 |
パスワード プロファイル セキュリティ モードを開始します。 Firepower-chassis /security # scope password-profile |
ステップ 3 |
ローカル認証されたユーザが、以前に使用したパスワードを再利用できるようになるまでに、作成する必要がある一意のパスワードの数を指定します Firepower-chassis /security/password-profile # set history-count num-of-passwords この値は、0 ~ 15 から自由に設定できます。 デフォルトでは、[History Count] フィールドは 0 に設定されます。これは、履歴カウントをディセーブルにし、ユーザはいつでも前に使用されたパスワードを再使用できます。 |
ステップ 4 |
トランザクションをシステム設定にコミットします。 Firepower-chassis /security/password-profile # commit-buffer |
次の例は、パスワード履歴カウントを設定し、トランザクションをコミットします。
Firepower-chassis # scope security Firepower-chassis /security # scope password-profile Firepower-chassis /security/password-profile # set history-count 5 Firepower-chassis /security/password-profile* # commit-buffer Firepower-chassis /security/password-profile #
ステップ 1 |
セキュリティ モードを開始します。 Firepower-chassis# scope security |
||
ステップ 2 |
ユーザ アカウントを作成します。 Firepower-chassis /security # create local-user local-user-name |
||
ステップ 3 |
ローカル ユーザ アカウントを有効化するかディセーブルにするかを指定します。 Firepower-chassis /security/local-user # set account-status {active| inactive} |
||
ステップ 4 |
ユーザ アカウントのパスワードを設定します。 Firepower-chassis /security/local-user # set password パスワードを入力します。password パスワードを確認します。password |
||
ステップ 5 |
(任意)ユーザの名を指定します。 Firepower-chassis /security/local-user # set firstname first-name |
||
ステップ 6 |
(任意)ユーザの姓を指定します。 Firepower-chassis /security/local-user # set lastname last-name |
||
ステップ 7 |
(任意)ユーザ アカウントが期限切れになる日付を指定します。month 引数は、月の英名の最初の 3 文字です。 Firepower-chassis /security/local-user # set expiration month day-of-month year
|
||
ステップ 8 |
(任意)ユーザの電子メール アドレスを指定します。 Firepower-chassis /security/local-user # set email email-addr |
||
ステップ 9 |
(任意)ユーザの電話番号を指定します。 Firepower-chassis /security/local-user # set phone phone-num |
||
ステップ 10 |
(任意)パスワードレス アクセス用の SSH キーを指定します。 Firepower-chassis /security/local-user # set sshkey ssh-key |
||
ステップ 11 |
トランザクションをコミットします。 Firepower-chassis security/local-user # commit-buffer |
次の例は、kikipopo という名前のユーザ アカウントを作成し、ユーザ アカウントをイネーブルにし、foo12345 にパスワードを設定し、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # create local-user kikipopo Firepower-chassis /security/local-user* # set account-status active Firepower-chassis /security/local-user* # set password Enter a password: Confirm the password: Firepower-chassis /security/local-user* # commit-buffer Firepower-chassis /security/local-user #
次の例は、lincey という名前のユーザ アカウントを作成し、ユーザ アカウントをイネーブルにし、パスワードレス アクセス用の OpenSSH キーを設定し、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # create local-user lincey Firepower-chassis /security/local-user* # set account-status active Firepower-chassis /security/local-user* # set sshkey "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAuo9VQ2CmWBI9/S1f30klCWjnV3lgdXMzO0WUl5iPw85lkdQqap+NFuNmHcb4K iaQB8X/PDdmtlxQQcawclj+k8f4VcOelBxlsGk5luq5ls1ob1VOIEwcKEL/h5lrdbNlI8y3SS9I/gGiBZ9ARlop9LDpD m8HPh2LOgyH7Ei1MI8=" Firepower-chassis /security/local-user* # commit-buffer Firepower-chassis /security/local-user #
次の例は、jforlenz という名前のユーザ アカウントを作成し、ユーザ アカウントをイネーブルにし、パスワードレス アクセス用のセキュア SSH キーを設定し、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # create local-user jforlenz Firepower-chassis /security/local-user* # set account-status active Firepower-chassis /security/local-user* # set sshkey Enter lines one at a time. Enter ENDOFBUF to finish. Press ^C to abort. User's SSH key: > ---- BEGIN SSH2 PUBLIC KEY ---- >AAAAB3NzaC1yc2EAAAABIwAAAIEAuo9VQ2CmWBI9/S1f30klCWjnV3lgdXMzO0WUl5iPw8 >5lkdQqap+NFuNmHcb4KiaQB8X/PDdmtlxQQcawclj+k8f4VcOelBxlsGk5luq5ls1ob1VO >IEwcKEL/h5lrdbNlI8y3SS9I/gGiBZ9ARlop9LDpDm8HPh2LOgyH7Ei1MI8= > ---- END SSH2 PUBLIC KEY ---- > ENDOFBUF Firepower-chassis /security/local-user* # commit-buffer Firepower-chassis /security/local-user #
ステップ 1 |
セキュリティ モードを開始します。 Firepower-chassis# scope security |
ステップ 2 |
ローカルユーザ アカウントを削除します。 Firepower-chassis /security # delete local-userlocal-user-name |
ステップ 3 |
トランザクションをシステム設定にコミットします。 Firepower-chassis /security #commit-buffer |
次に、foo というユーザ アカウントを削除し、トランザクションをコミットする例を示します。
Firepower-chassis# scope security Firepower-chassis /security # delete local-user foo Firepower-chassis /security* # commit-buffer Firepower-chassis /security #
ローカル ユーザ アカウントをアクティブ化または非アクティブ化できるのは、admin 権限または AAA 権限を持つユーザのみです。
ステップ 1 |
セキュリティ モードを開始します。 Firepower-chassis# scope security |
||
ステップ 2 |
アクティブ化または非アクティブ化するユーザに対してローカルユーザ セキュリティ モードを開始します。 Firepower-chassis /security # scope local-userlocal-user-name |
||
ステップ 3 |
ローカル ユーザ アカウントをアクティブ化するか非アクティブ化するかを指定します。 Firepower-chassis /security/local-user # set account-status {active | inactive}
|
次に、accounting というローカル ユーザ アカウントをイネーブルにする例を示します。
Firepower-chassis# scope security Firepower-chassis /security # scope local-user accounting Firepower-chassis /security/local-user # set account-status active
ステップ 1 |
セキュリティ モードを開始します。 Firepower-chassis # scopesecurity |
ステップ 2 |
指定したユーザ アカウントに対してローカル ユーザ セキュリティ モードを開始します。 Firepower-chassis /security # scope local-user user-name |
ステップ 3 |
指定したユーザ アカウントのパスワード履歴をクリアします。 Firepower-chassis /security/local-user # clear password-history |
ステップ 4 |
トランザクションをシステム設定にコミットします。 Firepower-chassis /security/local-user # commit-buffer |
次の例は、パスワード履歴カウントを設定し、トランザクションをコミットします。
Firepower-chassis # scope security Firepower-chassis /security # scope local-user admin Firepower-chassis /security/local-user # clear password-history Firepower-chassis /security/local-user* # commit-buffer Firepower-chassis /security/local-user #
目次
ユーザ アカウント
ユーザ アカウントは、システムにアクセスするために使用されます。最大 48 個のローカル ユーザ アカウントを設定できます。各ユーザ アカウントには、一意のユーザ名とパスワードが必要です。
管理者アカウント
管理者アカウントはデフォルト ユーザ アカウントであり、変更や削除はできません。このアカウントは、システム管理者またはスーパーユーザ アカウントであり、すべての権限が与えられています。admin アカウントには、デフォルトのパスワードは割り当てられません。初期システム セットアップ時にパスワードを選択する必要があります。
管理者アカウントは常にアクティブで、有効期限がありません。管理者アカウントを非アクティブに設定することはできません。
ローカル認証されたユーザ アカウント
ローカル認証されたユーザ アカウントは、シャーシによって直接認証され、admin 権限か AAA 権限を持つユーザが有効または無効にできます。ローカル ユーザ アカウントが無効になっている場合、ユーザはログインできません。無効化されたローカル ユーザ アカウントの設定の詳細はデータベースから削除されません。無効ローカル ユーザ アカウントを再度有効にすると、アカウントはユーザ名とパスワードを含め、既存のコンフィギュレーションで再びアクティブになります。
リモート認証されたユーザ アカウント
リモート認証されたユーザ アカウントとは、LDAP、RADIUS、または TACACS+ で認証されたユーザ アカウントです。
ユーザがローカル ユーザ アカウントとリモート ユーザ アカウントを同時に保持する場合、ローカル ユーザ アカウントで定義されたロールがリモート ユーザ アカウントに保持された値を上書きします。
ユーザ アカウントの有効期限
ユーザ アカウントは、事前に定義した時間に有効期限が切れるように設定できます。有効期限の時間になると、ユーザ アカウントはディセーブルになります。
デフォルトでは、ユーザ アカウントの有効期限はありません。
ユーザ アカウントに有効期限日付を設定した後は、アカウントの有効期限をなくすよう再設定できません。ただし、使用できる最新の有効期限日付でアカウントを設定することは可能です。
ユーザ名に関するガイドライン
ユーザ名は、Firepower Chassis Manager および FXOS CLI のログイン ID としても使用されます。ユーザ アカウントにログイン ID を割り当てるときは、次のガイドラインおよび制約事項を考慮してください。
パスワードに関するガイドライン
ローカル認証された各ユーザ アカウントにパスワードが必要です。admin 権限または AAA 権限を持つユーザは、ユーザ パスワードのパスワード強度チェックを実行するようにシステムを設定できます。パスワード強度チェックをイネーブルにすると、各ユーザが強力なパスワードを使用する必要があります。
各ユーザが強力なパスワードを設定することを推奨します。ローカル認証されたユーザのパスワード強度チェックを有効化した場合、Firepower eXtensible Operating System は次の要件を満たしていないパスワードをすべて拒否します。
デフォルト ユーザ ロール
システムには、次のデフォルトのユーザ ロールが用意されています。
- Administrator
システム全体に対する完全な読み取りと書き込みのアクセス権。デフォルトの admin アカウントは、デフォルトでこのロールが割り当てられ、変更はできません。
- Read-Only
システム設定に対する読み取り専用アクセス権。システム状態を変更する権限はありません。
ローカル認証されたユーザのパスワード プロファイル
パスワード プロファイルには、ローカル認証されたすべてのユーザのパスワード履歴やパスワード変更間隔プロパティが含まれます。ローカル認証されたユーザのそれぞれに異なるパスワード プロファイルを指定することはできません。
パスワード履歴カウント
パスワード履歴のカウントにより、ローカル認証されたユーザが何度も同じパスワードを再利用しないようにすることができます。このプロパティが設定されている場合、Firepower シャーシは、ローカル認証されたユーザが以前に使用したパスワードを最大 15 個まで保存します。パスワードは最近のものから時系列の逆順で格納され、履歴カウントがしきい値に達した場合に、最も古いパスワードだけを再利用可能にします。
あるパスワードが再利用可能になる前に、ユーザはパスワード履歴カウントで設定された数のパスワードを作成して使用する必要があります。たとえば、パスワード履歴カウントを 8 に設定した場合、ローカル認証されたユーザは最初のパスワードを 9 番目のパスワードが期限切れになった後まで、最初のパスワードを再利用できません。
デフォルトでは、パスワード履歴は 0 に設定されます。この値は、履歴のカウントをディセーブルにし、ユーザはいつでも前のパスワードを使用できます。
必要に応じて、ローカル認証されたユーザについてパスワード履歴カウントをクリアし、以前のパスワードの再利用をイネーブルにできます。
パスワード変更間隔
パスワード変更間隔は、ローカル認証されたユーザが特定の時間内に行えるパスワード変更回数を制限することができます。次の表で、パスワード変更間隔の 2 つの設定オプションについて説明します。
間隔の設定 説明 例 パスワード変更不許可
このオプションでは、ローカル認証されたユーザは、パスワードの変更後、指定された時間内にはパスワードを変更できません。
1 ~ 745 時間の変更禁止間隔を指定できます。デフォルトでは、変更禁止間隔は 24 時間です。
たとえば、ローカル認証されたユーザが 48 時間の間パスワードを変更できないようにする場合、次のように設定します。
変更間隔内のパスワード変更許可
このオプションは、ローカル認証されたユーザのパスワードを事前に定義された時間内に変更できる最大回数を指定します。
変更間隔を 1 ~ 745 時間で、パスワード変更の最大回数を 0 ~ 10 で指定できます。デフォルトでは、ローカル認証されたユーザに対して、48 時間間隔内で最大 2 回のパスワード変更が許可されます。
たとえば、ローカル認証されたユーザがパスワードを変更した後 24 時間以内に 1 回まで変更できるようにする場合、次のように設定します。
デフォルト認証サービスの選択
手順
ステップ 1 セキュリティ モードを開始します。 Firepower-chassis # scope security
ステップ 2 デフォルト認証セキュリティ モードを開始します。 Firepower-chassis /security # scopedefault-auth
ステップ 3 デフォルト認証を指定します。 Firepower-chassis /security/default-auth # set realmauth-type
auth-type は、次のキーワードのいずれかです。
ステップ 4 (任意)関連付けられたプロバイダー グループを指定します(存在する場合)。 Firepower-chassis /security/default-auth # set auth-server-groupauth-serv-group-name
ステップ 5 (任意) このドメインのユーザに許可する更新要求間隔の最大時間数を指定します。 Firepower-chassis /security/default-auth # set refresh-periodseconds
60 ~ 172800 の整数を指定します。デフォルトは 600 秒です。
この時間制限を超えると、Firepower eXtensible Operating System は Web セッションを非アクティブであると見なしますが、セッションの終了は行いません。
ステップ 6 (任意) 最後の更新要求から Firepower eXtensible Operating System が Web セッションが終了したと見なすまでの最大経過時間を指定します。 Firepower-chassis /security/default-auth # set session-timeoutseconds
60 ~ 172800 の整数を指定します。デフォルト値は 7200 秒です。
(注) RADIUS または TACACS+ レルムに対して二要素認証を設定する場合は、リモート ユーザが頻繁に再認証する必要がないよう、セッションの更新時間およびセッションのタイムアウト時間を増やすことを検討してください。
ステップ 7 (任意) 認証方式をレルムの二要素認証に設定します。 Firepower-chassis /security/default-auth # set use-2-factor yes
(注) 二要素認証は、RADIUS および TACACS+ レルムにのみ適用されます。
ステップ 8 トランザクションをシステム設定にコミットします。 commit-buffer
次の例では、デフォルトの認証を RADIUS に設定し、デフォルトの認証プロバイダー グループを provider1 に設定し、二要素認証をイネーブルにし、更新間隔を 7200 秒(2 時間)に設定し、セッションのタイムアウト間隔を 28800 秒(8 時間)に設定し、二要素認証をイネーブルにします。そして、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # scope default-auth Firepower-chassis /security/default-auth # set realm radius Firepower-chassis /security/default-auth* # set auth-server-group provider1 Firepower-chassis /security/default-auth* # set use-2-factor yes Firepower-chassis /security/default-auth* # set refresh-period 7200 Firepower-chassis /security/default-auth* # set session-timeout 28800 Firepower-chassis /security/default-auth* # commit-buffer Firepower-chassis /security/default-auth #リモート ユーザのロール ポリシーの設定
手順デフォルトでは、LDAP、RADIUS、または TACACS プロトコルを使用してリモート サーバから Firepower Chassis Manager または FXOS CLI にログインするすべてのユーザに読み取り専用アクセス権が付与されます。セキュリティ上の理由から、確立されたユーザ ロールに一致するユーザにアクセスを制限することが望ましい場合があります。
リモート ユーザのロール ポリシーは、次の方法で設定できます。
- assign-default-role
ユーザがログインを試みたときに、リモート認証プロバイダーが認証情報を含むユーザ ロールを提供しないと、ユーザは読み取り専用ユーザ ロールでログインすることができます。
これはデフォルトの動作です。
- no-login
ユーザがログインを試みたときに、リモート認証プロバイダーが認証情報を含むユーザ ロールを提供しないと、アクセスは拒否されます。
ステップ 1 セキュリティ モードを開始します。 Firepower-chassis # scopesecurity
ステップ 2 Firepower Chassis Manager および FXOS CLI へのユーザ アクセスをユーザ ロールに基づいて制限するかどうかを指定します。 Firepower-chassis /security # set remote-user default-role {assign-default-role | no-login}
ステップ 3 トランザクションをシステム設定にコミットします。 Firepower-chassis /security # commit-buffer
ローカル認証されたユーザへのパスワード強度チェックの有効化
手順パスワード強度チェックが有効化になっている場合、Firepower eXtensible Operating System では、強力なパスワードのガイドラインを満たしていないパスワードを選択できません(パスワードに関するガイドラインを参照)。
ステップ 1 セキュリティ モードを開始します。 Firepower-chassis # scopesecurity
ステップ 2 パスワード強度チェックを有効化するかディセーブルにするかを指定します。 Firepower-chassis /security # set enforce-strong-password {yes | no}
変更間隔のパスワード変更の最大数の設定
手順
ステップ 1 セキュリティ モードを開始します。 Firepower-chassis # scopesecurity
ステップ 2 パスワード プロファイル セキュリティ モードを開始します。 Firepower-chassis /security # scope password-profile
ステップ 3 ローカル認証されたユーザが指定した時間内にパスワードを変更できる回数を制限します。 Firepower-chassis /security/password-profile # set change-during-interval enable
ステップ 4 ローカル認証されたユーザが、[Change Interval] の間に自分のパスワードを変更できる最大回数を指定します。 Firepower-chassis /security/password-profile # set change-count pass-change-num
この値は、0 ~ 10 から自由に設定できます。
ステップ 5 [Change Count] フィールドで指定したパスワード変更回数が適用される最大時間数を指定します。 Firepower-chassis /security/password-profile # set change-interval num-of-hours
この値は、1 ~ 745 時間から自由に設定できます。
たとえば、このフィールドが 48 に設定され、[Change Count] フィールドが 2 に設定されている場合、ローカル認証されたユーザは 48 時間以内に 2 回を超えるパスワード変更を実行することはできません。
ステップ 6 トランザクションをシステム設定にコミットします。 Firepower-chassis /security/password-profile # commit-buffer
次の例は、change during interval オプションをイネーブルにし、変更回数を 5 回、変更間隔を 72 時間に設定し、トランザクションをコミットします。
Firepower-chassis # scope security Firepower-chassis /security # scope password-profile Firepower-chassis /security/password-profile # set change-during-interval enable Firepower-chassis /security/password-profile* # set change-count 5 Firepower-chassis /security/password-profile* # set change-interval 72 Firepower-chassis /security/password-profile* # commit-buffer Firepower-chassis /security/password-profile #パスワードの変更禁止間隔の設定
手順
ステップ 1 セキュリティ モードを開始します。 Firepower-chassis # scopesecurity
ステップ 2 パスワード プロファイル セキュリティ モードを開始します。 Firepower-chassis /security # scope password-profile
ステップ 3 間隔中の変更機能をディセーブルにします。 Firepower-chassis /security/password-profile # set change-during-interval disable
ステップ 4 ローカル認証されたユーザが、新しく作成したパスワードを変更する前に待機する最小時間数を指定します。 Firepower-chassis /security/password-profile # set no-change-interval min-num-hours
この値は、1 ~ 745 時間から自由に設定できます。
この間隔は、[Change During Interval] プロパティが [Disable] に設定されていない場合、無視されます。
ステップ 5 トランザクションをシステム設定にコミットします。 Firepower-chassis /security/password-profile # commit-buffer
次に、間隔中の変更オプションをディセーブルにし、変更禁止間隔を 72 時間に設定し、トランザクションをコミットする例を示します。
Firepower-chassis # scope security Firepower-chassis /security # scope password-profile Firepower-chassis /security/password-profile # set change-during-interval disable Firepower-chassis /security/password-profile* # set no-change-interval 72 Firepower-chassis /security/password-profile* # commit-buffer Firepower-chassis /security/password-profile #パスワード履歴カウントの設定
手順
ステップ 1 セキュリティ モードを開始します。 Firepower-chassis # scopesecurity
ステップ 2 パスワード プロファイル セキュリティ モードを開始します。 Firepower-chassis /security # scope password-profile
ステップ 3 ローカル認証されたユーザが、以前に使用したパスワードを再利用できるようになるまでに、作成する必要がある一意のパスワードの数を指定します Firepower-chassis /security/password-profile # set history-count num-of-passwords
この値は、0 ~ 15 から自由に設定できます。
デフォルトでは、[History Count] フィールドは 0 に設定されます。これは、履歴カウントをディセーブルにし、ユーザはいつでも前に使用されたパスワードを再使用できます。
ステップ 4 トランザクションをシステム設定にコミットします。 Firepower-chassis /security/password-profile # commit-buffer
次の例は、パスワード履歴カウントを設定し、トランザクションをコミットします。
Firepower-chassis # scope security Firepower-chassis /security # scope password-profile Firepower-chassis /security/password-profile # set history-count 5 Firepower-chassis /security/password-profile* # commit-buffer Firepower-chassis /security/password-profile #ローカル ユーザ アカウントの作成
手順
ステップ 1 セキュリティ モードを開始します。 Firepower-chassis# scope security
ステップ 2 ユーザ アカウントを作成します。 Firepower-chassis /security # create local-user local-user-name
ステップ 3 ローカル ユーザ アカウントを有効化するかディセーブルにするかを指定します。 Firepower-chassis /security/local-user # set account-status {active| inactive}
ステップ 4 ユーザ アカウントのパスワードを設定します。 Firepower-chassis /security/local-user # set password
パスワードを入力します。password
パスワードを確認します。password
ステップ 5 (任意)ユーザの名を指定します。 Firepower-chassis /security/local-user # set firstname first-name
ステップ 6 (任意)ユーザの姓を指定します。 Firepower-chassis /security/local-user # set lastname last-name
ステップ 7 (任意)ユーザ アカウントが期限切れになる日付を指定します。month 引数は、月の英名の最初の 3 文字です。 Firepower-chassis /security/local-user # set expiration month day-of-month year
(注) ユーザ アカウントに有効期限日付を設定した後は、アカウントの有効期限をなくすよう再設定できません。ただし、使用できる最新の有効期限日付でアカウントを設定することは可能です。
ステップ 8 (任意)ユーザの電子メール アドレスを指定します。 Firepower-chassis /security/local-user # set email email-addr
ステップ 9 (任意)ユーザの電話番号を指定します。 Firepower-chassis /security/local-user # set phone phone-num
ステップ 10 (任意)パスワードレス アクセス用の SSH キーを指定します。 Firepower-chassis /security/local-user # set sshkey ssh-key
ステップ 11 トランザクションをコミットします。 Firepower-chassis security/local-user # commit-buffer
次の例は、kikipopo という名前のユーザ アカウントを作成し、ユーザ アカウントをイネーブルにし、foo12345 にパスワードを設定し、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # create local-user kikipopo Firepower-chassis /security/local-user* # set account-status active Firepower-chassis /security/local-user* # set password Enter a password: Confirm the password: Firepower-chassis /security/local-user* # commit-buffer Firepower-chassis /security/local-user #次の例は、lincey という名前のユーザ アカウントを作成し、ユーザ アカウントをイネーブルにし、パスワードレス アクセス用の OpenSSH キーを設定し、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # create local-user lincey Firepower-chassis /security/local-user* # set account-status active Firepower-chassis /security/local-user* # set sshkey "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAuo9VQ2CmWBI9/S1f30klCWjnV3lgdXMzO0WUl5iPw85lkdQqap+NFuNmHcb4K iaQB8X/PDdmtlxQQcawclj+k8f4VcOelBxlsGk5luq5ls1ob1VOIEwcKEL/h5lrdbNlI8y3SS9I/gGiBZ9ARlop9LDpD m8HPh2LOgyH7Ei1MI8=" Firepower-chassis /security/local-user* # commit-buffer Firepower-chassis /security/local-user #次の例は、jforlenz という名前のユーザ アカウントを作成し、ユーザ アカウントをイネーブルにし、パスワードレス アクセス用のセキュア SSH キーを設定し、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # create local-user jforlenz Firepower-chassis /security/local-user* # set account-status active Firepower-chassis /security/local-user* # set sshkey Enter lines one at a time. Enter ENDOFBUF to finish. Press ^C to abort. User's SSH key: > ---- BEGIN SSH2 PUBLIC KEY ---- >AAAAB3NzaC1yc2EAAAABIwAAAIEAuo9VQ2CmWBI9/S1f30klCWjnV3lgdXMzO0WUl5iPw8 >5lkdQqap+NFuNmHcb4KiaQB8X/PDdmtlxQQcawclj+k8f4VcOelBxlsGk5luq5ls1ob1VO >IEwcKEL/h5lrdbNlI8y3SS9I/gGiBZ9ARlop9LDpDm8HPh2LOgyH7Ei1MI8= > ---- END SSH2 PUBLIC KEY ---- > ENDOFBUF Firepower-chassis /security/local-user* # commit-buffer Firepower-chassis /security/local-user #ローカル ユーザ アカウントの削除
ローカル ユーザ アカウントのアクティブ化または非アクティブ化
手順
ステップ 1 セキュリティ モードを開始します。 Firepower-chassis# scope security
ステップ 2 アクティブ化または非アクティブ化するユーザに対してローカルユーザ セキュリティ モードを開始します。 Firepower-chassis /security # scope local-userlocal-user-name
ステップ 3 ローカル ユーザ アカウントをアクティブ化するか非アクティブ化するかを指定します。 Firepower-chassis /security/local-user # set account-status {active | inactive}
(注) admin ユーザ アカウントは常にアクティブに設定されます。変更はできません。
ローカル認証されたユーザのパスワード履歴のクリア
手順
ステップ 1 セキュリティ モードを開始します。 Firepower-chassis # scopesecurity
ステップ 2 指定したユーザ アカウントに対してローカル ユーザ セキュリティ モードを開始します。 Firepower-chassis /security # scope local-user user-name
ステップ 3 指定したユーザ アカウントのパスワード履歴をクリアします。 Firepower-chassis /security/local-user # clear password-history
ステップ 4 トランザクションをシステム設定にコミットします。 Firepower-chassis /security/local-user # commit-buffer