Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
Login Password Retry Lockout
Login Password Retry Lockout
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

Login Password Retry Lockout

機能情報の確認

この章の構成

Login Password Retry Lockout の前提条件

Login Password Retry Lockout の制約事項

Login Password Retry Lockout について

ローカル AAA ユーザ アカウントのロックアウト

Login Password Retry Lockout の設定方法

Login Password Retry Lockout の設定

ログインがロックアウトされたユーザのロック解除

ユーザの失敗したログイン試行のクリア

Login Password Retry Lockout のステータスのモニタおよびメンテナンス

Login Password Retry Lockout の設定例

Login Password Retry Lockout 設定の表示:例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

Login Password Retry Lockout の機能情報

用語集

Login Password Retry Lockout

Login Password Retry Lockout 機能により、システム管理者はユーザによるログイン試行が設定した回数失敗すると、ローカルの Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)ユーザ アカウントをロックアウトできます。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「Login Password Retry Lockout の機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。

Login Password Retry Lockout の前提条件

AAA コンポーネントを含む Cisco IOS イメージを実行する必要があります。

Login Password Retry Lockout の制約事項

パスワードを推測している攻撃者とパスワードを誤って複数回入力している認証されたユーザとの区別はされないため、認証されたユーザもロックアウトされます。

Denial-of-Service(DoS; サービス拒絶)攻撃もあり得ます。つまり、認証されたユーザのユーザ名が攻撃者に知られた場合、認証されたユーザがロックアウトされる可能性もあります。

Login Password Retry Lockout について

Login Password Retry Lockout 機能を設定するには、次の概念を理解しておく必要があります。

「ローカル AAA ユーザ アカウントのロックアウト」

ローカル AAA ユーザ アカウントのロックアウト

Login Password Retry Lockout 機能により、システム管理者は、AAA ユーザ アカウントに一致するユーザ名を使用したユーザによるログインが指定した回数失敗すると、ローカル AAA ユーザ アカウントをロックアウトできます。ロックアウトされたユーザは、ユーザ アカウントが管理者によってロック解除されるまで、再度正常にログインすることはできなくなります。

ユーザがシステムによってロックされるか、システム管理者によってロック解除されると、システム メッセージが生成されます。次に示すのは、このようなシステム メッセージの例です。

%AAA-5-USER_LOCKED: User user1 locked out on authentication failure.

システム管理者はロックアウトできません。


) システム管理者は特殊なユーザで、最大の特権レベル(ルート権限 - レベル 15)を使用して設定されています。これより低い特権レベルを使用して設定されたユーザは、enable コマンドを使用して特権レベルを変更できます。ルート権限(レベル 15)に変更可能なユーザは、システム管理者として機能できます。


この機能は、ASCII、Challenge Handshake Authentication Protocol(CHAP; チャレンジ ハンドシェーク認証プロトコル)および Password Authentication Protocol(PAP; パスワード認証プロトコル)など、任意のログイン認証方式に適用できます。


) ロックされたステータスによる認証エラー後、ユーザにメッセージは表示されません(つまり、通常の認証エラーとユーザのロックされたステータスによる認証エラーは区別されません)。


Login Password Retry Lockout の設定方法

ここでは、次の各手順について説明します。

「Login Password Retry Lockout の設定」(任意)

「ログインがロックアウトされたユーザのロック解除」(任意)

「ユーザの失敗したログイン試行のクリア」(任意)

「Login Password Retry Lockout のステータスのモニタおよびメンテナンス」(任意)

Login Password Retry Lockout の設定

Login Password Retry Lockout 機能を設定するには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. username name [ privilege level ] password encryption-type password

4. aaa new-model

5. aaa local authentication attempts max-fail number-of-unsuccessful-attempts

6. aaa authentication login default method

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

username name [ privilege level ] password encryption-type password
 
Router(config)# username user1 privilege 15 password 0 cisco

ユーザ名をベースとした認証システムを構築します。

ステップ 4

aaa new-model

 

Router(config)# aaa new-model

AAA アクセス コントロール モデルをイネーブルにします。

ステップ 5

aaa local authentication attempts max-fail number-of-unsuccessful-attempts

 

Router(config)# aaa local authentication attempts max-fail 3

ユーザがロックアウトされるまでの試行の失敗回数の上限を指定します。

ステップ 6

aaa authentication login default method

 

Router(config)# aaa authentication login default local

ログイン時の Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)認証方式を設定します。たとえば、aaa authentication login default local はローカル AAA ユーザ データベースを指定します。

ログインがロックアウトされたユーザのロック解除

ログインがロックアウトされたユーザをロック解除するには、次の手順を実行します。


) この作業を実行できるのは、ルート権限(レベル 15)を持つユーザだけです。


手順の概要

1. enable

2. clear aaa local user lockout {username username | all}

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

clear aaa local user lockout { username username | all }

 

Router# clear aaa local user lockout username user1

ロックアウトされたユーザをロック解除します。

ユーザの失敗したログイン試行のクリア

この作業は、ユーザ設定が変更され、すでに記録されている、失敗したユーザのログイン試行をクリアする必要がある場合に役立ちます。

すでに記録されている、失敗したユーザのログイン試行をクリアするには、次の手順を実行します。

手順の概要

1. enable

2. clear aaa local user fail-attempts {username username | all}

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

clear aaa local user fail-attempts { username username | all }

 

Router# clear aaa local user fail-attempts username user1

失敗したユーザの試行をクリアします。

このコマンドは、ユーザ設定が変更され、すでに記録されている失敗した試行をクリアする必要がある場合に役立ちます。

Login Password Retry Lockout のステータスのモニタおよびメンテナンス

Login Password Retry Lockout 設定ステータスのモニタとメンテナンスを行うには、次の手順を実行します。

手順の概要

1. enable

2. show aaa local user lockout

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードをイネーブルにします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

show aaa local user lockout

 

Router# show aaa local user lockout

現在の Login Password Retry Lockout 設定でロックアウトされているユーザのリストを表示します。

次の出力は、user1 がロックアウトされていることを示しています。

Router# show aaa local user lockout
 
Local-user Lock time
user1 04:28:49 UTC Sat Jun 19 2004

Login Password Retry Lockout の設定例

ここでは、次の設定例について説明します。

「Login Password Retry Lockout 設定の表示:例」

Login Password Retry Lockout 設定の表示:例

次の show running-config コマンド出力は、Login Password Retry Lockout 設定で、ユーザの試行の失敗回数の上限が 2 に設定されていることを示します。

Router # show running-config
 
Building configuration...
 
Current configuration : 1214 bytes
!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname LAC-2
!
boot-start-marker
boot-end-marker
!
!
username sysadmin
username sysad privilege 15 password 0 cisco
username user1 password 0 cisco
aaa new-model
aaa local authentication attempts max-fail 2
!
!
aaa authentication login default local
aaa dnis map enable
aaa session-id common

その他の参考資料

ここでは、Login Password Retry Lockout に関する関連資料について説明します。

関連資料

内容
参照先

Cisco IOS セキュリティ コマンド

『Cisco IOS Security Command Reference』

規格

規格
タイトル

なし

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

なし

--

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

Login Password Retry Lockout の機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 Login Password Retry Lockout の機能情報

機能名
リリース
機能情報

Login Password Retry Lockout

12.3(14)T 12.2(33)SRE

Login Password Retry Lockout 機能により、システム管理者はユーザによるログイン試行が設定した回数失敗すると、ローカル AAA ユーザ アカウントをロックアウトできます。

この機能は、Cisco IOS リリース 12.3(14)T で導入されました。

この機能は、Cisco IOS リリース 12.2(33)SRE に統合されました。

この機能により、次のコマンドが導入または変更されました。 aaa local authentication attempts max-fail clear aaa local user fail-attempts clear aaa local user lockout

用語集

ローカル AAA 方式 :ルータ上にローカル ユーザ データベースを設定し、そのデータベースから、AAA にユーザの認証または認可を提供させる方式。

ローカル AAA ユーザ :ローカル AAA 方式を使用して認証されたユーザ。

 

このマニュアルで使用している IP アドレスおよび電話番号は、実際のアドレスおよび電話番号を示すものではありません。マニュアル内の例、コマンド出力、ネットワーク トポロジ図、およびその他の図は、説明のみを目的として使用されています。説明の中に実際のアドレスおよび電話番号が使用されていたとしても、それは意図的なものではなく、偶然の一致によるものです。

© 2005-2009 Cisco Systems, Inc.
All rights reserved.