Cisco IOS と NX-OS ソフトウェア : Cisco IOS ソフトウェア リリース 11.0

Cisco ルータでの Telnet、コンソールおよび AUX ポートのパスワード設定例

2009 年 4 月 15 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2012 年 7 月 13 日) | フィードバック

目次


概要

このドキュメントでは、ルータへの着信 EXEC 接続に対してパスワード保護を設定する設定例について説明しています。



前提条件

要件

このドキュメントに記載されている作業を実行するには、ルータの Command Line Interface(CLI; コマンドライン インターフェイス)へ特権 EXEC アクセスできる必要があります。コマンドラインの使用方法の詳細と、コマンド モードについては、『Cisco IOS ソフトウェアの使用方法』を参照してください。

ルータへのコンソールの接続手順については、ルータに同梱されている説明書、またはご使用の機器のオンライン ドキュメントを参照してください。



使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco 2509 ルータ

  • Cisco IOS(R) Software バージョン 12.2(19)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。



表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。



背景説明

ご使用になっているルータの Command Line Interface(CLI; コマンドライン インターフェイス)へのアクセスの制御や制限を行うためのパスワード保護の使用は、セキュリティ プラン全体に関わる基本的要素です。

認証されていないリモート アクセス(通常は Telnet)からのルータの保護は、必ず設定しなければならない最も一般的なセキュリティですが、認証されていないローカル アクセスからのルータの保護も見逃さないでください。

注:パスワード保護は、効率的かつ周到にネットワーク セキュリティを管理する際に使用する数多い手段の中の 1 つに過ぎません。セキュリティ プランを実装する場合に検討する必要があるその他の要素には、ファイアウォール、アクセス リスト、機器への物理的アクセスがあります。

ルータへのコマンドライン アクセスまたは EXEC アクセスはさまざまな方法で実行可能ですが、いずれの場合でも、ルータへの着信接続は TTY 回線で実行されます。次の show line 出力例で示すように、TTY 回線の主要タイプは 4 種類あります。

2509#show line
   Tty Typ     Tx/Rx    A Modem  Roty AccO AccI   Uses   Noise  Overruns   Int
*    0 CTY              -    -      -    -    -      0       0     0/0       -
     1 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     2 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     3 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     4 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     5 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     6 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     7 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     8 TTY   9600/9600  -    -      -    -    -      0       0     0/0       -
     9 AUX   9600/9600  -    -      -    -    -      0       0     0/0       -
    10 VTY              -    -      -    -    -      0       0     0/0       -
    11 VTY              -    -      -    -    -      0       0     0/0       -
    12 VTY              -    -      -    -    -      0       0     0/0       -
    13 VTY              -    -      -    -    -      0       0     0/0       -
    14 VTY              -    -      -    -    -      0       0     0/0       -

2509#

CTY 回線タイプはコンソール ポートです。いずれのルータ上でも、この回線タイプは、ルータ設定で line con 0 として表示され、show line コマンド出力で cty として表示されます。コンソール ポートは主として、コンソール端末を使用しているローカル システムのアクセスに使用されます。

TTY 回線は、着信または発信モデム、および端末接続に使用される非同期回線で、ルータ設定またはアクセス サーバ設定で line x として表示されることがあります。固有の回線番号は、ルータまたはアクセス サーバに組み込まれたり取り付けられているハードウェアの機能です。

AUX 回線は補助ポートで、設定で line aux 0 として表示されます。

VTY 回線はルータの仮想端末回線で、着信 Telnet 接続の制御だけに使われます。この回線は、ソフトウェアの機能であり、この回線に関連するハードウェアは存在しないという点で仮想のものです。この回線は、設定で line vty 0 4 として表示されます。

上記の各回線タイプは、パスワード保護を使って設定できます。回線は、全ユーザで 1 つのパスワードを使用するように設定することも、ユーザ固有のパスワードを使用するように設定することもできます。ユーザ固有のパスワードは、ルータ上でローカルに設定することも、認証を行うため認証サーバを使用することもできます。

複数のパスワード保護を使って、複数の回線を設定できます。実際、ルータでは、コンソール用に 1 つのパスワードを使用し、そのほかの着信接続にユーザ固有のパスワードを使用することが一般的です。

次に、show running-config コマンドからのルータ出力例を示します。

2509#show running-config
Building configuration...

Current configuration : 655 bytes
!
version 12.2
.
. 
. 

!--- 簡略化のため行を編集。


line con 0
line 1 8
line aux 0
line vty 0 4
!
end


回線上でのパスワードの設定

回線上でパスワードを指定するには、回線設定モードで password コマンドを使用します。ログイン時のパスワード チェックを有効にするには、回線設定モードで login コマンドを使用します。

注:このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。



設定手順

この例では、コンソールを使用する全ユーザに対して、パスワードが 1 つ設定されています。

  1. 特権 EXEC(または「イネーブル」)プロンプトから設定モードに入り、次のコマンドを使って回線設定モードに切り替えます。現在のモードを反映して、プロンプトが変化するという点に注意してください。

    router#configure terminal
    Enter configuration commands, one per line.  End with CNTL/Z.
    router(config)#line con 0
    router(config-line)#
    
  2. パスワードを設定し、ログイン時のパスワード チェックを有効にします。

    router(config-line)#password letmein
    router(config-line)#login
    
  3. 設定モードを終了します。

    router(config-line)#end
    router#
    %SYS-5-CONFIG_I: Configured from console by console
    

    注:ユーザのログイン機能が確認されるまで、設定の変更を line con 0 に保存しないでください。

注:回線コンソールの設定で、login はログイン時のパスワード チェックをイネーブルにするのに必要な設定コマンドです。コンソール認証が機能するには、password コマンドと login コマンドの両方が必要です。



設定の検証

ルータ設定を調べて、コマンドが適切に入力されたことを確認します。

特定の show コマンドは、アウトプットインタープリタ登録ユーザ専用)でサポートされています。このツールを使用すると、show コマンドの出力を分析できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

  • show running-config:ルータの現在の設定を表示します。

    router#show running-config
    Building configuration...
    ...
    
    !--- 簡略化のため行を削除。
    
    
    !
    line con 0
    password letmein
    login
    line 1 8
    line aux 0
    line vty 0 4
    !
    end
    

    設定をテストするには、コンソールをログオフしてから、ルータ アクセス用のパスワードを使って再度ログインします。

    router#exit
    
    router con0 is now available
    
    Press RETURN to get started.
    
    User Access Verification
    Password: 
    
    !--- ルータでは、ここに入力したパスワードは表示されません。
    
    
    router>
    

    注:ルータへの再ログインで障害が発生する場合に備えて、この試験を実行する前に、ルータへの別の接続(Telnet やダイヤルインなど)が確立されていることを確認してください。



ログイン障害のトラブルシューティング

設定を保存していないまま、ルータへの再ログインができなくなった場合、ルータをリロードすれば、これまで行った設定変更が失われます。

設定変更を保存してからルータへのログインができなくなった場合、パスワードの回復を実行する必要があります。ご使用になっているプラットフォーム固有の手順については、『パスワード回復手順』を参照してください。



ローカル ユーザ固有のパスワードの設定

ユーザ名に基づいた認証システムを確立するには、グローバル設定モードで username コマンドを使用します。ログイン時のパスワード チェックを有効にするには、回線設定モードで login local コマンドを使用します。



設定手順

この例では、Telnet を使って、VTY 回線上のルータへ接続しようとするユーザに対して、パスワードが設定されます。

  1. 特権 EXEC(または「イネーブル」)プロンプトから設定モードに入り、ルータへのアクセスを許可するユーザごとに、ユーザ名とパスワードの組み合せを入力します。

    router#configure terminal
            Enter configuration commands, one per line.  End with CNTL/Z.
            router(config)#username russ password montecito
            router(config)#username cindy password belgium
            router(config)#username mike password rottweiler
    
  2. 次のコマンドを使って、回線設定モードに切り替えます。現在のモードを反映して、プロンプトが変化するという点に注意してください。

    router(config)#line vty 0 4
    router(config-line)#
    
  3. ログイン時のパスワード チェックを設定します。

    router(config-line)#login local
    
  4. 設定モードを終了します。

    router(config-line)#end
    router#
    %SYS-5-CONFIG_I: Configured from console by console
    

    注:CLI で名前を入力する際に自動 Telnet をディセーブルにするには、使用する回線で no logging preferred を設定します。transport preferred none でも同じ出力が表示され、ip host コマンドで設定された定義済みホストに対して自動 Telnet がディセーブにされます。この場合、未定義のホストに対して自動 Telnet を停止させ、定義済みホストに対しては機能させる no logging preferred コマンドとは異なります。



設定の検証

ルータ設定を調べて、コマンドが適切に入力されたことを確認します。

  • show running-config:ルータの現在の設定を表示します。

    router#show running-config
    Building configuration...
    !
    
    !--- 簡略化のため行を削除。
    
    
    
    !
    username russ password 0 montecito
    username cindy password 0 belgium
    username mike password 0 rottweiler
    !
    
    !--- 簡略化のため行を削除。
    
    
    
    !
    line con 0
    line 1 8
    line aux 0
    line vty 0 4
     login local
    !
    end
    

    この設定をテストするため、ルータへの Telnet 接続を確立する必要があります。これはネットワークの別のホストから接続することによって実行できますが、show interfaces コマンドの出力で表示される up/up 状態にあるルータ上の任意のインターフェイスの IP アドレスに telnet 接続することによって、ルータ自体からテストすることもできます。

    interface ethernet 0 のアドレスが 10.1.1.1 の場合の出力例を次に示します。

    router#telnet 10.1.1.1
    Trying 10.1.1.1 ... Open
    
    
    User Access Verification
    
    
    Username: mike
    Password:
    
    !--- ルータでは、ここに入力したパスワードは表示されません。
    
    
    
    router
    


ユーザ固有のパスワード障害のトラブルシューティング

ユーザ名とパスワードでは、大文字と小文字が区別されます。ユーザ名またはパスワードの大文字と小文字を正しく区別しないで入力すると、ログインしようとするユーザが拒絶されます。

ユーザが固有のパスワードを使ってルータにログインできない場合、ルータ上でユーザ名とパスワードを再設定してください。



ログイン用 AAA 認証の設定

ログイン用に認証、認可、アカウンティング(AAA)認証をイネーブルにするには、回線設定モードで login authentication コマンドを使用します。AAA サービスも設定する必要があります。



設定手順

この例では、ユーザがルータに接続しようとすると、TACACS+ サーバからユーザのパスワードを取得するようにルータが設定されます。

注:ほかのタイプの AAA サーバ(RADIUS など)を使用するようにルータを設定する場合も同様です。詳細は、『認証の設定』を参照してください。

注:このドキュメントでは、AAA サーバ自体の設定については触れていません。AAA サーバの設定については、『セキュリティ サーバ プロトコル』を参照してください。

  1. 特権 EXEC(または「イネーブル」)プロンプトから設定モードに入り、認証用に AAA サービスを使用するようにルータを設定します。

           router#configure terminal
    Enter configuration commands, one per line.  End with CNTL/Z.
    router(config)#aaa new-model
    router(config)#aaa authentication login my-auth-list tacacs+
    router(config)#tacacs-server host 192.168.1.101
    router(config)#tacacs-server key letmein
    
  2. 次のコマンドを使って、回線設定モードに切り替えます。現在のモードを反映して、プロンプトが変化するという点に注意してください。

    router(config)#line 1 8
    router(config-line)#
    
  3. ログイン時のパスワード チェックを設定します。

    router(config-line)#login authentication my-auth-list
    
  4. 設定モードを終了します。

    router(config-line)#end
    router#
    %SYS-5-CONFIG_I: Configured from console by console
    


設定の検証

ルータ設定を調べて、コマンドが適切に入力されたことを確認します。

  • show running-config:ルータの現在の設定を表示します。

    router#write terminal
    Building configuration...
    
    Current configuration:
    !
    version 12.0
    service timestamps debug uptime
    service timestamps log uptime
    no service password-encryption
    !
    hostname router
    !
    aaa new-model
    aaa authentication login my-auth-list tacacs+
    !
    
    !--- 簡略化のため行を削除。
    
    
    
    ...
    !
    tacacs-server host 192.168.1.101
    tacacs-server key letmein
    !
    line con 0
    line 1 8
     login authentication my-auth-list
    line aux 0
    line vty 0 4
    !
    end
    

この特定の設定をテストするには、着信接続または発信接続を回線に反映する必要があります。モデム接続用の非同期回線設定については、『モデム - ルータ間接続ガイド』を参照してください。

また、AAA 認証とその試験を実行するため、1 つまたは複数の VTY 回線を設定することもできます。



AAA ログイン障害のトラブルシューティング

debug コマンドを発行する前に、『debug コマンドの重要な情報』を参照してください。

ログイン時の障害をトラブルシューティングするには、使用中の設定に対して debug コマンドを適切に使用する必要があります。





関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報




Document ID: 45843