この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
ユーザ アカウントは、システムにアクセスするために使用されます。最大 48 のローカル ユーザ アカウントを設定できます。各ユーザ アカウントには、一意のユーザ名とパスワードが必要です。
管理者アカウントはデフォルト ユーザ アカウントであり、変更や削除はできません。このアカウントは、システム管理者またはスーパーユーザ アカウントであり、すべての権限が与えられています。管理者アカウントには、デフォルトのパスワードは割り当てられません。初期システム セットアップ時にパスワードを選択する必要があります。
管理者アカウントは常にアクティブになっており、有効期限がありません。管理者アカウントを非アクティブに設定できません。
ローカル認証されたユーザ アカウントは、シャーシを通じて直接認証され、管理者権限または AAA 権限があれば誰でも有効化または無効化できます。ローカル ユーザ アカウントを無効にすると、ユーザはログインできません。データベースは無効化されたローカル ユーザ アカウントの設定の詳細を削除しません。無効ローカル ユーザ アカウントを再度有効にすると、アカウントはユーザ名とパスワードを含め、既存の設定で再びアクティブになります。
リモート認証されたユーザ アカウントとは、LDAP、RADIUS、または TACACS+ を通じて認証されたユーザ アカウントのことです。
ユーザがローカル ユーザ アカウントとリモート ユーザ アカウントを同時に保持する場合、ローカル ユーザ アカウントで定義されたロールがリモート ユーザ アカウントに保持された値を上書きします。
リモート認証のガイドラインの詳細や、リモート認証プロバイダーの設定および削除方法については、次のトピックを参照してください。
ユーザ アカウントは、事前に定義した時間に有効期限が切れるように設定できます。有効期限の時間になると、ユーザ アカウントは無効になります。
デフォルトでは、ユーザ アカウントの有効期限はありません。
ユーザ アカウントに有効期限を設定した後、有効期限なしに再設定することはできません。ただし、使用できる最新の有効期限日付でアカウントを設定することは可能です。
ユーザ名は、Firepower Chassis Manager および FXOS CLI のログイン ID としても使用されます。ユーザ アカウントにログイン ID を割り当てるときは、次のガイドラインおよび制約事項を考慮してください。
ローカル認証された各ユーザ アカウントにパスワードが必要です。admin または AAA 権限を持つユーザについては、ユーザ パスワードのパスワード強度チェックを実行するようにシステムを設定できます。パスワード強度チェックを有効にする場合は、各ユーザが強力なパスワードを使用する必要があります。
各ユーザが強力なパスワードを設定することを推奨します。ローカル認証されたユーザのパスワード強度チェックを有効にすると、Firepower eXtensible Operating System は次の要件を満たしていないパスワードを拒否します。
8 ~ 80 文字の長さであること。
(注) | コモン クライテリア要件に準拠するために、オプションでシステムの最小文字数 15 文字の長さのパスワードを設定できます。詳細については、最小パスワード長チェックの設定を参照してください。 |
アルファベットの大文字を少なくとも 1 文字含む。
アルファベットの小文字を少なくとも 1 文字含む。
英数字以外の文字(特殊文字)を少なくとも 1 文字含む。
aaabbb など連続して 3 回を超えて繰り返す文字を含まない。
passwordABC や password321 などの 3 つの連続した数字や文字をどのような順序であっても含まない。
ユーザ名と同一、またはユーザ名を逆にしたものではない。
パスワード ディクショナリ チェックに合格する。たとえば、辞書に記載されている標準的な単語に基づくパスワードを指定することはできません。
次の記号を含まない。$(ドル記号)、? (疑問符)、=(等号)。
ローカル ユーザ アカウントおよび admin アカウントの場合は空白にしない。
システムを、サポートされているリモート認証サービスのいずれかに設定する場合は、そのサービス用のプロバイダーを作成して、Firepower 4100/9300 シャーシ がそのシステムと通信できるようにする必要があります。ユーザ認証に影響する注意事項は次のとおりです。
ユーザ アカウントは、Firepower 4100/9300 シャーシ にローカルに存在するか、またはリモート認証サーバに存在することができます。
リモート認証サービスを介してログインしているユーザの一時的なセッションを、Firepower Chassis Manager または FXOS CLI から表示できます。
リモート認証サーバでユーザ アカウントを作成する場合は、ユーザが Firepower 4100/9300 シャーシ で作業するために必要なロールをそれらのアカウントに含めること、およびそれらのロールの名前を FXOS で使用される名前と一致させることが必要です。ロール ポリシーによっては、ユーザがログインできない場合や読み取り専用権限しか付与されない場合があります。
RADIUS および TACAS+ 構成では、ユーザが Firepower Chassis Manager または FXOS CLI へのログインに使用する各リモート認証プロバイダーで Firepower 4100/9300 シャーシ 用のユーザ属性を設定する必要があります。このユーザ属性には、各ユーザに割り当てられたロールとロケールが含まれています。
ユーザがログインすると、FXOS は次を実行します。
リモート認証サービスに問い合わせます。
ユーザを検証します。
ユーザが検証されると、そのユーザに割り当てられているロールとロケールをチェックします。
次の表は、FXOS でサポートしているリモート認証プロバイダーのユーザ属性要件を比較したものです。
カスタム CiscoAVPair 属性のサンプル OID は、次のとおりです。
CN=CiscoAVPair,CN=Schema, CN=Configuration,CN=X objectClass: top objectClass: attributeSchema cn: CiscoAVPair distinguishedName: CN=CiscoAVPair,CN=Schema,CN=Configuration,CN=X instanceType: 0x4 uSNCreated: 26318654 attributeID: 1.3.6.1.4.1.9.287247.1 attributeSyntax: 2.5.5.12 isSingleValued: TRUE showInAdvancedViewOnly: TRUE adminDisplayName: CiscoAVPair adminDescription: UCS User Authorization Field oMSyntax: 64 lDAPDisplayName: CiscoAVPair name: CiscoAVPair objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,CN=X
システムには、次のユーザ ロールが用意されています。
システム全体に対する完全な読み取りと書き込みのアクセス権。デフォルトの admin アカウントは、デフォルトでこのロールが割り当てられ、変更はできません。
システム設定に対する読み取り専用アクセス権。システム状態を変更する権限はありません。
NTP の設定、Smart Licensing のための Smart Call Home の設定、システム ログ(syslog サーバとエラーを含む)に対する読み取りと書き込みのアクセス権。システムの残りの部分に対する読み取りアクセス権。
ユーザ、ロール、および AAA 設定に対する読み取りと書き込みのアクセス権。システムの残りの部分に対する読み取りアクセス権。
パスワードのプロファイルには、ローカル認証されたユーザすべてのパスワード履歴やパスワード変更間隔プロパティが含まれます。ローカル認証されたユーザのそれぞれに異なるパスワード プロファイルを指定することはできません。
パスワード履歴のカウントにより、ローカル認証されたユーザが何度も同じパスワードを再利用しないようにすることができます。このプロパティが設定されている場合、Firepower シャーシは、ローカル認証されたユーザがこれまでに使用した最大 15 個のパスワードを保存します。パスワードは最近のものから時系列の逆順で格納され、履歴カウントがしきい値に達した場合に、最も古いパスワードだけを再利用可能にします。
あるパスワードが再利用可能になる前に、ユーザはパスワード履歴カウントで設定された数のパスワードを作成して使用する必要があります。たとえば、パスワード履歴カウントを 8 に設定した場合、ローカル認証されたユーザは 9 番目のパスワードが期限切れになった後まで、最初のパスワードを再利用できません。
デフォルトでは、パスワード履歴は 0 に設定されます。この値は、履歴のカウントをディセーブルにし、ユーザはいつでも前のパスワードを使用できます。
必要に応じて、ローカル認証されたユーザについてパスワード履歴カウントをクリアし、以前のパスワードの再利用をイネーブルにできます。
パスワード変更間隔は、ローカル認証されたユーザが特定の時間内に行えるパスワード変更回数を制限することができます。次の表で、パスワード変更間隔の 2 つの設定オプションについて説明します。
間隔の設定 | 説明 | 例 |
---|---|---|
パスワード変更禁止 |
このオプションを設定すると、ローカル認証されたユーザは、パスワードを変更してから指定された時間内はパスワードを変更できなくなります。 1 ~ 745 時間の変更禁止間隔を指定できます。デフォルトでは、変更禁止間隔は 24 時間です。 |
たとえば、ローカル認証されたユーザが 48 時間の間パスワードを変更できないようにする場合、次のように設定します。 |
変更間隔内のパスワード変更許可 |
このオプションは、ローカル認証されたユーザのパスワードを事前に定義された時間内に変更できる最大回数を指定します。 変更間隔を 1 ~ 745 時間で、パスワード変更の最大回数を 0 ~ 10 で指定できます。デフォルトでは、ローカル認証されたユーザに対して、48 時間間隔内で最大 2 回のパスワード変更が許可されます。 |
たとえば、ローカル認証されたユーザがパスワードを変更した後 24 時間以内に最大 1 回そのパスワードを変更できるようにするには、次のように設定します。 |
次の例では、デフォルトの認証を RADIUS に設定し、デフォルトの認証プロバイダー グループを provider1 に設定し、二要素認証を有効にし、更新間隔を 300 秒(5 分)に設定し、セッションのタイムアウト間隔を 540 秒(9 分)に設定し、二要素認証を有効にします。その後で、トランザクションを確定します。
Firepower-chassis# scope security Firepower-chassis /security # scope default-auth Firepower-chassis /security/default-auth # set realm radius Firepower-chassis /security/default-auth* # set auth-server-group provider1 Firepower-chassis /security/default-auth* # set use-2-factor yes Firepower-chassis /security/default-auth* # set refresh-period 300 Firepower-chassis /security/default-auth* # set session-timeout 540 Firepower-chassis /security/default-auth* # commit-buffer Firepower-chassis /security/default-auth #
FXOS CLI を使用することにより、ユーザ アクティビティなしで経過可能な時間を指定できます。この時間が経過した後、Firepower 4100/9300 シャーシはユーザ セッションを閉じます。コンソール セッションと、HTTPS、SSH、および Telnet セッションとで、異なる設定を行うことができます。
タイムアウトに設定できる値は、最大 3600 秒(60 分)です。デフォルト値は 600 秒です。この設定を無効にするには、セッション タイムアウト値を 0 に設定します。
ステップ 1 | セキュリティ モードに入ります。
Firepower-chassis # scope security |
ステップ 2 | デフォルトの認証セキュリティ モードに入ります。
Firepower-chassis /security # scopedefault-auth |
ステップ 3 | HTTPS、SSH、および Telnet セッションのアイドル タイムアウトを設定します。
Firepower-chassis /security/default-auth # set session-timeout seconds |
ステップ 4 | (任意)コンソール セッションのアイドル タイムアウトを設定します。
Firepower-chassis /security/default-auth # set con-session-timeout seconds |
ステップ 5 | (任意)セッションおよび絶対セッション タイムアウトの設定を表示します。
Firepower-chassis /security/default-auth # show detail 例: Default authentication: Admin Realm: Local Operational Realm: Local Web session refresh period(in secs): 600 Session timeout(in secs) for web, ssh, telnet sessions: 600 Absolute Session timeout(in secs) for web, ssh, telnet sessions: 3600 Serial Console Session timeout(in secs): 600 Serial Console Absolute Session timeout(in secs): 3600 Admin Authentication server group: Operational Authentication server group: Use of 2nd factor: No |
Firepower 4100/9300 シャーシには絶対セッション タイムアウト設定があり、セッションの使用状況に関係なく、絶対セッション タイムアウト期間が経過するとユーザ セッションは閉じられます。この絶対タイムアウト機能は、シリアル コンソール、SSH、HTTPS を含むすべての形式のアクセスに対してグローバルに適用されます。
シリアル コンソール セッションの絶対セッション タイムアウトを個別に設定できます。これにより、デバッグ ニーズに応えるシリアル コンソール絶対セッション タイムアウトは無効にしながら、他の形式のアクセスのタイムアウトは維持することができます。
絶対タイムアウト値のデフォルトは 3600 秒(60 分)であり、FXOS CLI を使用して変更できます。この設定を無効にするには、絶対セッション タイムアウト値を 0 に設定します。
ステップ 1 | セキュリティ モードに入ります。
Firepower-chassis # scope security |
ステップ 2 | デフォルトの認証セキュリティ モードに入ります。
Firepower-chassis /security # scopedefault-auth |
ステップ 3 | 絶対セッション タイムアウトを設定します。
Firepower-chassis /security/default-auth # set absolute-session-timeout seconds |
ステップ 4 | (任意)別個のコンソール セッション タイムアウトを設定します。
Firepower-chassis /security/default-auth # set con-absolute-session-timeout seconds |
ステップ 5 | (任意)セッションおよび絶対セッション タイムアウトの設定を表示します。
Firepower-chassis /security/default-auth # show detail 例: Default authentication: Admin Realm: Local Operational Realm: Local Web session refresh period(in secs): 600 Session timeout(in secs) for web, ssh, telnet sessions: 600 Absolute Session timeout(in secs) for web, ssh, telnet sessions: 3600 Serial Console Session timeout(in secs): 600 Serial Console Absolute Session timeout(in secs): 3600 Admin Authentication server group: Operational Authentication server group: Use of 2nd factor: No |
デフォルトでは、LDAP、RADIUS、または TACACS プロトコルを使用してリモート サーバから Firepower Chassis Manager または FXOS CLI にログインするすべてのユーザに読み取り専用アクセス権が付与されます。セキュリティ上の理由から、確立されたユーザ ロールに一致するユーザにアクセスを制限することが望ましい場合があります。
ユーザがログインしようとしたときにリモート認証プロバイダーが認証情報付きのユーザ ロールを提供しなかった場合、そのユーザは読み取り専用ユーザ ロールでのログインが許可されます。
これはデフォルトの動作です。
ユーザがログインしようとしたときにリモート認証プロバイダーが認証情報付きのユーザ ロールを提供しなかった場合は、アクセスが拒否されます。
ステップ 1 | セキュリティ モードに入ります。
Firepower-chassis # scopesecurity |
ステップ 2 | ユーザ ロールに基づいて Firepower Chassis Manager および FXOS CLI へのユーザ アクセスを制限するかどうかを指定します。
Firepower-chassis /security # set remote-user default-role {assign-default-role | no-login} |
ステップ 3 | トランザクションをシステムの設定に対して確定します。
Firepower-chassis /security # commit-buffer |
Firepower-chassis# scope security Firepower-chassis /security # set remote-user default-role no-login Firepower-chassis /security* # commit-buffer Firepower-chassis /security #
パスワードの強度チェックが有効になっている場合、Firepower eXtensible Operating System では、強力なパスワードのガイドラインを満たしていないパスワードを選択できません(パスワードに関するガイドライン を参照)。
次に、パスワードの強度チェックを有効にする例を示します。
Firepower-chassis# scope security Firepower-chassis /security # set enforce-strong-password yes Firepower-chassis /security* # commit-buffer Firepower-chassis /security #
ロックアウト前にユーザに許可されるログイン試行の最大回数を指定します。この回数を超えると、指定した時間だけ Firepower 4100/9300 シャーシからロックアウトされることになります。ユーザは、設定した最大回数を超えてログインを試行すると、システムからロックされます。ユーザがロックアウトされたことを示す通知は表示されません。これが起きると、ユーザは次にログインを試行できるようになるまで、指定された時間だけ待機する必要があります。
ログイン試行の最大数を設定するには、次の手順を実行します。
(注) |
|
このオプションは、システムのコモン クライテリア認定への準拠を取得するために提示される数の 1 つです。詳細については、セキュリティ認定コンプライアンスを参照してください。
ステップ 1 | FXOS CLI から、セキュリティ モードに入ります。
scopesystem scopesecurity |
ステップ 2 | 失敗できるログイン試行の最高回数を設定します。
setmax-login-attempts max_loginmax_login の値は、0 ~ 10 の範囲内の任意の整数です。 |
ステップ 3 | ログイン試行の最高回数に達した後、ユーザがシステムからロック アウトされる時間(秒単位)を指定します。
setuser-account-unlock-time unlock_time |
ステップ 4 | 設定を確定します。
commit-buffer |
管理者ユーザは、失敗の回数が [最大ログイン試行回数(Maximum Number of Login Attempts)] CLI 設定で指定されたログイン最大試行回数を超えた後、Firepower 4100/9300 シャーシからロックアウトされているユーザのロックアウト ステータスを表示およびクリアできます。詳細については、ログイン試行の最大回数の設定を参照してください。
ステップ 1 | FXOS CLI から、セキュリティ モードに入ります。
scopesystem scopesecurity |
ステップ 2 | 該当するユーザのユーザ情報(ロックアウト ステータスを含む)を次のように表示します。
Firepower-chassis /security # show local-user userdetail 例: Local User user: First Name: Last Name: Email: Phone: Expiration: Never Password: User lock status: Locked Account status: Active User Roles: Name: read-only User SSH public key: |
ステップ 3 | (任意)ユーザのロックアウト ステータスをクリアします。
Firepower-chassis /security # scope local-user user Firepower-chassis /security/local-user # clear lock-status |
ステップ 1 | セキュリティ モードに入ります。
Firepower-chassis # scopesecurity |
ステップ 2 | パスワード プロファイル セキュリティ モードに入ります。
Firepower-chassis /security # scope password-profile |
ステップ 3 | ローカル認証されたユーザが指定された時間内に実行できるパスワード変更の回数を制限します。
Firepower-chassis /security/password-profile # set change-during-interval enable |
ステップ 4 | ローカル認証されたユーザが、[変更間隔(Change Interval)] に指定された期間に自分のパスワードを変更できる最大回数を指定します。
Firepower-chassis /security/password-profile # set change-count pass-change-num この値は、0 ~ 10 の範囲で自由に設定できます。 |
ステップ 5 | [変更カウント(Change Count)] フィールドで指定したパスワード変更回数が適用される最大時間数を指定します。
Firepower-chassis /security/password-profile # set change-interval num-of-hours この値は、1 ~ 745 時間の範囲で自由に設定できます。 たとえば、このフィールドが 48 に設定され、[変更カウント(Change Count)] フィールドが 2 に設定されている場合、ローカル認証されたユーザは 48 時間以内に 2 回を超えるパスワード変更を実行することはできません。 |
ステップ 6 | トランザクションをシステムの設定に対して確定します。
Firepower-chassis /security/password-profile # commit-buffer |
次の例は、[間隔中の変更(Change During Interval)] オプションを有効にし、変更回数を 5 回、変更間隔を 72 時間に設定し、トランザクションを確定する例を示します。
Firepower-chassis # scope security Firepower-chassis /security # scope password-profile Firepower-chassis /security/password-profile # set change-during-interval enable Firepower-chassis /security/password-profile* # set change-count 5 Firepower-chassis /security/password-profile* # set change-interval 72 Firepower-chassis /security/password-profile* # commit-buffer Firepower-chassis /security/password-profile #
最小パスワード長チェックを有効にした場合は、指定した最小文字を使用するパスワードを作成する必要があります。たとえば、min_length オプションを 15 に設定した場合、パスワードは 15 文字以上を使用して作成する必要があります。このオプションは、システムのコモン クライテリア認定への準拠のための数の 1 つです。詳細については、セキュリティ認定コンプライアンスを参照してください。
最小パスワード長チェックを設定するには、次の手順を実行します。
ステップ 1 | FXOS CLI から、セキュリティ モードに入ります。 |
ステップ 2 | scopesystem scopesecurity |
ステップ 3 | パスワード プロファイル セキュリティ モードに入ります。
scopepassword-profile |
ステップ 4 | パスワードの最小の長さを指定します。
setmin-password-length min_length |
ステップ 5 | 設定を確定します。
commit-buffer |
ステップ 1 | セキュリティ モードに入ります。
Firepower-chassis # scopesecurity |
ステップ 2 | パスワード プロファイル セキュリティ モードに入ります。
Firepower-chassis /security # scope password-profile |
ステップ 3 | 間隔中の変更機能を無効にします。
Firepower-chassis /security/password-profile # set change-during-interval disable |
ステップ 4 | ローカル認証されたユーザが、新しく作成したパスワードを変更する前に待機する最小時間数を指定します。
Firepower-chassis /security/password-profile # set no-change-interval min-num-hours この値は、1 ~ 745 時間の範囲で自由に設定できます。 この間隔は、[間隔中の変更(Change During Interval)] プロパティが [無効(Disable)] に設定されていない場合は無視されます。 |
ステップ 5 | トランザクションをシステムの設定に対して確定します。
Firepower-chassis /security/password-profile # commit-buffer |
次に、間隔中の変更オプションを無効にし、変更禁止間隔を 72 時間に設定し、トランザクションを確定する例を示します。
Firepower-chassis # scope security Firepower-chassis /security # scope password-profile Firepower-chassis /security/password-profile # set change-during-interval disable Firepower-chassis /security/password-profile* # set no-change-interval 72 Firepower-chassis /security/password-profile* # commit-buffer Firepower-chassis /security/password-profile #
ステップ 1 | セキュリティ モードに入ります。
Firepower-chassis # scopesecurity |
ステップ 2 | パスワード プロファイル セキュリティ モードに入ります。
Firepower-chassis /security # scope password-profile |
ステップ 3 | ローカル認証されたユーザが、以前に使用していたパスワードを再利用できるまでに、作成する必要がある一意のパスワードの数を指定します。
Firepower-chassis /security/password-profile # set history-count num-of-passwords この値は、0 ~ 15 の範囲で自由に設定できます。 デフォルトでは、[履歴(History Count)] フィールドは 0 に設定されます。これにより、履歴カウントが無効になるため、ユーザはいつでも以前に使用していたパスワードを再利用できます。 |
ステップ 4 | トランザクションをシステムの設定に対して確定します。
Firepower-chassis /security/password-profile # commit-buffer |
次に、パスワード履歴カウントを設定し、トランザクションを確定する例を示します。
Firepower-chassis # scope security Firepower-chassis /security # scope password-profile Firepower-chassis /security/password-profile # set history-count 5 Firepower-chassis /security/password-profile* # commit-buffer Firepower-chassis /security/password-profile #
ステップ 1 | セキュリティ モードに入ります。
Firepower-chassis# scope security | ||
ステップ 2 | ユーザ アカウントを作成します。
Firepower-chassis /security # create local-user local-user-name ここで local-user-name は、このアカウントにログインするときに使用されるアカウント名です。この名前は、固有であり、ユーザ アカウント名のガイドラインと制限を満たしている必要があります(ユーザ名に関するガイドラインを参照)。 ユーザを作成した後は、ログイン ID を変更できません。ユーザ アカウントを削除し、新しいユーザ アカウントを作成する必要があります。 | ||
ステップ 3 | ローカル ユーザ アカウントを有効にするか、無効にするかを指定します。
Firepower-chassis /security/local-user # set account-status {active| inactive} | ||
ステップ 4 | ユーザ アカウントのパスワードを設定します。
Firepower-chassis /security/local-user # set password パスワードを入力します。password パスワードを確認します。password パスワード強度チェックを有効にした場合は、ユーザ パスワードを強固なものにする必要があります。Firepower eXtensible Operating System は強度チェック要件を満たしていないパスワードを拒否します(パスワードに関するガイドラインを参照)。 | ||
ステップ 5 | (任意)
ユーザの名を指定します。
Firepower-chassis /security/local-user # set firstname first-name | ||
ステップ 6 | (任意)
ユーザの姓を指定します。
Firepower-chassis /security/local-user # set lastname last-name | ||
ステップ 7 | (任意)
ユーザ アカウントが期限切れになる日付を指定します。month 引数は、月の英名の最初の 3 文字です。
Firepower-chassis /security/local-user # set expiration month day-of-month year
| ||
ステップ 8 | (任意)
ユーザの電子メール アドレスを指定します。
Firepower-chassis /security/local-user # set email email-addr | ||
ステップ 9 | (任意)
ユーザの電話番号を指定します。
Firepower-chassis /security/local-user # set phone phone-num | ||
ステップ 10 | (任意)
パスワードレス アクセスに使用する SSH キーを指定します。
Firepower-chassis /security/local-user # set sshkey ssh-key | ||
ステップ 11 | すべてのユーザはデフォルトで read-only ロールに割り当てられ、このロールは削除できません。ユーザに割り当てる追加の各ロールに対して、以下を実行します。
Firepower-chassis /security/local-user # create role role-name ここで role-name は、ユーザ アカウントに割り当てる特権を表すロールです(ユーザの役割を参照)。
| ||
ステップ 12 | 割り当てられたロールをユーザから削除するには、以下を実行します。
Firepower-chassis /security/local-user # delete role role-name
| ||
ステップ 13 | トランザクションを確定します。
Firepower-chassis security/local-user # commit-buffer |
次の例は、kikipopo という名前のユーザ アカウントを作成し、ユーザ アカウントを有効にし、foo12345 にパスワードを設定し、管理ユーザ ロールを割り当て、トランザクションを確定します。
Firepower-chassis# scope security Firepower-chassis /security # create local-user kikipopo Firepower-chassis /security/local-user* # set account-status active Firepower-chassis /security/local-user* # set password Enter a password: Confirm the password: Firepower-chassis /security/local-user* # create role admin Firepower-chassis /security/local-user* # commit-buffer Firepower-chassis /security/local-user #
次の例は、lincey という名前のユーザ アカウントを作成し、ユーザ アカウントを有効にし、パスワードレス アクセス用の OpenSSH キーを設定し、AAA および操作ユーザ ロールを割り当て、トランザクションを確定します。
Firepower-chassis# scope security Firepower-chassis /security # create local-user lincey Firepower-chassis /security/local-user* # set account-status active Firepower-chassis /security/local-user* # set sshkey "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAuo9VQ2CmWBI9/S1f30klCWjnV3lgdXMzO0WUl5iPw85lkdQqap+NFuNmHcb4K iaQB8X/PDdmtlxQQcawclj+k8f4VcOelBxlsGk5luq5ls1ob1VOIEwcKEL/h5lrdbNlI8y3SS9I/gGiBZ9ARlop9LDpD m8HPh2LOgyH7Ei1MI8=" Firepower-chassis /security/local-user* # create role aaa Firepower-chassis /security/local-user* # create role operations Firepower-chassis /security/local-user* # commit-buffer Firepower-chassis /security/local-user #
次の例は、jforlenz という名前のユーザ アカウントを作成し、ユーザ アカウントを有効にし、パスワードレス アクセス用のセキュア SSH キーを設定し、トランザクションを確定します。
Firepower-chassis# scope security Firepower-chassis /security # create local-user jforlenz Firepower-chassis /security/local-user* # set account-status active Firepower-chassis /security/local-user* # set sshkey Enter lines one at a time. Enter ENDOFBUF to finish. Press ^C to abort. User's SSH key: > ---- BEGIN SSH2 PUBLIC KEY ---- >AAAAB3NzaC1yc2EAAAABIwAAAIEAuo9VQ2CmWBI9/S1f30klCWjnV3lgdXMzO0WUl5iPw8 >5lkdQqap+NFuNmHcb4KiaQB8X/PDdmtlxQQcawclj+k8f4VcOelBxlsGk5luq5ls1ob1VO >IEwcKEL/h5lrdbNlI8y3SS9I/gGiBZ9ARlop9LDpDm8HPh2LOgyH7Ei1MI8= > ---- END SSH2 PUBLIC KEY ---- > ENDOFBUF Firepower-chassis /security/local-user* # commit-buffer Firepower-chassis /security/local-user #
次に、foo というユーザ アカウントを削除し、トランザクションを確定する例を示します。
Firepower-chassis# scope security Firepower-chassis /security # delete local-user foo Firepower-chassis /security* # commit-buffer Firepower-chassis /security #
ローカル ユーザ アカウントをアクティブ化または非アクティブ化できるのは、admin 権限または AAA 権限を持つユーザのみです。
ステップ 1 | セキュリティ モードに入ります。
Firepower-chassis# scope security | ||
ステップ 2 | アクティブ化または非アクティブ化するユーザのローカル ユーザ セキュリティ モードに入ります。
Firepower-chassis /security # scope local-user local-user-name | ||
ステップ 3 | ローカル ユーザ アカウントをアクティブ化するか非アクティブ化するかを指定します。
Firepower-chassis /security/local-user # set account-status {active | inactive}
|
次に、accounting というローカル ユーザ アカウントを有効にする例を示します。
Firepower-chassis# scope security Firepower-chassis /security # scope local-user accounting Firepower-chassis /security/local-user # set account-status active
ステップ 1 | セキュリティ モードに入ります。
Firepower-chassis # scopesecurity |
ステップ 2 | 指定したユーザ アカウントのローカル ユーザ セキュリティ モードに入ります。
Firepower-chassis /security # scope local-user user-name |
ステップ 3 | 指定したユーザ アカウントのパスワード履歴をクリアします。
Firepower-chassis /security/local-user # clear password-history |
ステップ 4 | トランザクションをシステムの設定に対して確定します。
Firepower-chassis /security/local-user # commit-buffer |
次に、パスワード履歴を消去し、トランザクションを確定する例を示します。
Firepower-chassis # scope security Firepower-chassis /security # scope local-user admin Firepower-chassis /security/local-user # clear password-history Firepower-chassis /security/local-user* # commit-buffer Firepower-chassis /security/local-user #