Cisco ASA シリーズ CLI コンフィギュレーション ガイド ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、ASA 5580、ASA5585-X、および ASA サービス モジュール用ソフトウェア バージョン 9.0
管理アクセスの設定
管理アクセスの設定
発行日;2013/04/17 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 27MB) | フィードバック

目次

管理アクセスの設定

ASDM、Telnet、または SSH の ASA アクセスの設定

ASDM、Telnet、または SSH での ASA アクセスのライセンス要件

ガイドラインと制限事項

Telnet アクセスの設定

Telnet クライアントの使用

SSH アクセスの設定

SSH クライアントの使用

での HTTPS アクセスの設定

CLI パラメータの設定

CLI パラメータのライセンス要件

ガイドラインと制限事項

ログイン バナーの設定

CLI プロンプトのカスタマイズ

コンソール タイムアウトの変更

ICMP アクセスの設定

ICMP アクセスに関する情報

ICMP アクセスのライセンス要件

ガイドラインと制限事項

デフォルト設定

ICMP アクセスの設定

VPN トンネルを介した管理アクセスの設定

管理インターフェイスのライセンス要件

注意事項と制限事項

管理インターフェイスの設定

システム管理者用 AAA の設定

システム管理者の AAA に関する情報

管理認証に関する情報

コマンド許可に関する情報

システム管理者のための AAA のライセンス要件

前提条件

ガイドラインと制限事項

デフォルト設定

CLI および ASDM アクセス認証の設定

特権 EXEC モードにアクセスするための認証の設定(enable コマンド)

enable コマンドの認証の設定

login コマンドによるユーザの認証

管理許可によるユーザ CLI および ASDM アクセスの制限

コマンド許可の設定

ローカル コマンド許可の設定

ローカルのコマンド特権レベルの表示

TACACS+ サーバでのコマンドの設定

TACACS+ コマンド許可の設定

管理アクセス アカウンティングの設定

現在のログイン ユーザの表示

ロックアウトからの回復

管理アクセスの機能履歴

管理アクセスの設定

この章では、Telnet、SSH、および HTTPS(ASDM を使用)を介してシステム管理のために ASA にアクセスする方法と、ユーザを認証および許可する方法とログイン バナーを作成する方法について説明します。

この章は、次の項で構成されています。

「ASDM、Telnet、または SSH の ASA アクセスの設定」

「CLI パラメータの設定」

「ICMP アクセスの設定」

「VPN トンネルを介した管理アクセスの設定」

「システム管理者用 AAA の設定」

「管理アクセスの機能履歴」


) また、管理アクセス用のASA インターフェイスにアクセスする場合は、ホスト IP アドレスを許可するアクセスリストは不要です。必要なのは、この章の各項の説明に従って管理アクセスを設定することだけです。


ASDM、Telnet、または SSH の ASA アクセスの設定

この項では、ASDM、Telnet、または SSH を使用した ASA へのアクセスをクライアントに許可する方法について説明します。次の項目を取り上げます。

「ASDM、Telnet、または SSH での ASA アクセスのライセンス要件」

「ガイドラインと制限事項」

「Telnet アクセスの設定」

「Telnet クライアントの使用」

「SSH アクセスの設定」

「SSH クライアントの使用」

「ASDM での HTTPS アクセスの設定」

ASDM、Telnet、または SSH での ASA アクセスのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングル コンテキスト モードとマルチ コンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードでサポートされています。

IPv6 のガイドライン

IPv6 をサポートします。

モデルのガイドライン

ASASM の場合、スイッチから ASASM へのセッションは Telnet セッションですが、このセクションに従って Telnet アクセスを設定する必要はありません。

その他のガイドライン

VPN トンネル内で Telnet を使用する場合を除き、最も低いセキュリティ インターフェイスに対して Telnet は使用できません。

ASA への通過ルートとなるインターフェイス以外のインターフェイスへの管理アクセスはサポートされません。たとえば、管理ホストが外部インターフェイスにある場合、外部インターフェイスへの直接管理接続のみ開始できます。このルールの例外は、VPN 接続を介した場合のみです。「VPN トンネルを介した管理アクセスの設定」を参照してください。

ASA では、以下のことが可能です。

コンテキストごとに最大 5 つの同時 Telnet 接続を許可し、可能な場合は、最大 100 の接続がすべてのコンテキストの間で分割されます。

コンテキストごとに最大 5 つの同時 SSH 接続を許可し、可能な場合は、最大 100 の接続がすべてのコンテキストの間で分割されます。

コンテキストごとに最大 5 つの同時 ASDM インスタンスを使用でき、全コンテキスト間で最大 32 の ASDM インスタンスの使用が可能です。

ASAは SSH バージョン 1 および 2 で提供されている SSH リモート シェル機能をサポートし、DES 暗号および 3DES 暗号をサポートします。

SSL および SSH での XML 管理はサポートされていません。

(8.4 以降)SSH デフォルト ユーザ名はサポートされなくなりました。 pix または asa ユーザ名とログイン パスワードで SSH を使用して ASA に接続することができなくなりました。SSH を使用するには、 aaa authentication ssh console LOCAL コマンドを使用して AAA 認証を設定し、 username コマンドを入力してローカル ユーザを定義する必要があります。ローカル データベースの代わりに AAA サーバを認証に使用する場合、ローカル認証もバックアップの手段として設定しておくことをお勧めします。

ASA インターフェイスへの Telnet または SSH 接続を確立できない場合は、「ASDM、Telnet、または SSH の ASA アクセスの設定」の手順に従って、ASA への Telnet または SSH をイネーブルにしていることを確認します。

Telnet アクセスの設定

クライアント IP アドレスを、ASA に Telnet を使用して接続できるよう指定するには、次の手順を実行します。

手順の詳細

 

 
コマンド
目的

ステップ 1

telnet source_IP_address mask source_interface
 

hostname(config)# telnet 192.168.1.2 255.255.255.255 inside

アドレスまたはサブネットごとに、ASA が接続を許可する IP アドレスを指定します。

インターフェイスが 1 つしかない場合は、インターフェイスのセキュリティ レベルが 100 である限り、そのインターフェイスにアクセスするように Telnet を設定することができます。

ステップ 2

telnet timeout minutes
 

hostname(config)# telnet timeout 30

ASA がセッションを切断するまでに Telnet がアイドル状態を維持する時間の長さを設定します。

タイムアウトは 1 ~ 1440 分に設定します。デフォルトは 5 分です。デフォルトの期間では一般に短すぎるので、実働前のテストとトラブルシューティングがすべて完了するまでは、長めに設定しておいてください。

次の例は、アドレスが 192.168.1.2 の内部インターフェイスのホストで ASA にアクセスする方法を示しています。

hostname(config)# telnet 192.168.1.2 255.255.255.255 inside
 

次の例は、192.168.3.0 のネットワーク上のすべてのユーザが内部インターフェイス上の ASA にアクセスできるようにする方法を示しています。

hostname(config)# telnet 192.168.3.0 255.255.255.0 inside
 

Telnet クライアントの使用

ASA CLI に Telnet を使用してアクセスするには、 password コマンドで設定したログイン パスワードを入力します。Telnet 認証を設定している場合(「CLI および ASDM アクセス認証の設定」を参照)、AAA サーバまたはローカル データベースで定義したユーザ名とパスワードを入力します。

SSH アクセスの設定

クライアント IP アドレスを指定して、ASA に SSH を使用して接続できるユーザを定義するには、次の手順を実行します。

手順の詳細

 

 
コマンド
目的

ステップ 1

crypto key generate rsa modulus modulus_size
 

hostname(config)# crypto key generate rsa modulus 1024

RSA キー ペアを生成します。これは、SSH で必要です。

係数の値(ビット単位)は 512、768、1024、または 2048 です。指定するキー係数のサイズが大きいほど、RSA キー ペアの生成にかかる時間は長くなります。値は 1024 にすることをお勧めします。

ステップ 2

write memory
 

hostname(config)# write memory

RSA キーを永続的なフラッシュ メモリに保存します。

ステップ 3

aaa authentication ssh console LOCAL

SSH アクセスのローカル認証をイネーブルにします。AAA サーバを使用して認証を設定することもできます。詳細については、「CLI および ASDM アクセス認証の設定」を参照してください。

ステップ 4

username user name password password

SSH アクセスに使用できるユーザをローカル データベースに作成します。

ステップ 5

ssh source_IP_address mask source_interface
 

hostname(config)# ssh 192.168.3.0 255.255.255.0 inside

アドレスまたはサブネットごとに、ASA が接続を許可する IP アドレスと、SSH を実行するインターフェイスを指定します。Telnet と異なり、SSH は最も低いセキュリティ レベルのインターフェイスで実行できます。

ステップ 6

(任意)

ssh timeout minutes
 

hostname(config)# ssh timeout 30

ASA がセッションを切断するまでに SSH がアイドル状態を維持する時間の長さを設定します。

タイムアウトは 1 ~ 60 分に設定します。デフォルトは 5 分です。デフォルトの期間では一般に短すぎるので、実働前のテストとトラブルシューティングがすべて完了するまでは、長めに設定しておいてください。

ステップ 7

(任意)

ssh version version_number

 

hostname(config)# ssh version 2

SSH バージョン 1 または 2 へのアクセスを制限します。デフォルトでは、SSH はバージョン 1 と 2 の両方を許可します。

次の例は、RSA キーを生成し、アドレスが 192.168.1.2 の内部インターフェイス上のホストで ASA にアクセスする方法を示しています。

hostname(config)# crypto key generate rsa modulus 1024
hostnamehostname(config)# write memory
hostname(config)# aaa authentication ssh console LOCAL
WARNING: local database is empty!Use 'username' command to define local users.
hostname(config)# username exampleuser1 password examplepassword1
hostname(config)# ssh 192.168.1.2 255.255.255.255 inside
hostname(config)# ssh timeout 30
 

次の例は、192.168.3.0 のネットワーク上のすべてのユーザが内部インターフェイス上の ASA にアクセスできるようにする方法を示しています。

hostname(config)# ssh 192.168.3.0 255.255.255.0 inside
 

SSH クライアントの使用

管理ホストの SSH クライアントで、「SSH アクセスの設定」で設定したユーザ名とパスワードを入力します。SSH セッションを開始すると、次の SSH ユーザ認証プロンプトが表示される前に、ASA コンソール上にドット(.)が表示されます。

hostname(config)#.
 

ドットが表示されても、SSH の機能には影響を与えません。コンソールにドットが表示されるのは、ユーザ認証が始まる前で、サーバ キーを生成する場合か、または SSH キー交換中に秘密キーを使用してメッセージを暗号化する場合です。これらのタスクには 2 分以上かかることがあります。ドットは、ASAがビジー状態で、ハングしていないことを示す進捗インジケータです。

ASDM での HTTPS アクセスの設定

ASDM を使用するには、HTTPS サーバをイネーブルにし、ASAへの HTTPS 接続を許可する必要があります。HTTPS アクセスは、工場出荷時のデフォルト設定の一部として、または setup コマンドを使用したときにイネーブルになっています。この項では、ASDM アクセスを手動で設定する方法について説明します。

ASDM への HTTPS アクセスを設定するには、次の手順を実行します。

手順の詳細

 

 
コマンド
目的

ステップ 1

http source_IP_address mask source_interface
 
hostname(config)# http 192.168.1.2 255.255.255.255 inside

アドレスまたはサブネットごとに、ASA が HTTPS 接続を許可する IP アドレスを指定します。

ステップ 2

http server enable [ port ]
 

hostname(config)# http server enable 443

HTTPS サーバをイネーブルにします。

デフォルトでは、 port は 443 です。ポート番号を変更する場合は、必ず ASDM アクセス URL に変更したポート番号を含めてください。たとえば、ポート番号を 444 に変更する場合は、次のように入力します。

https://10.1.1.1:444

次の例は、HTTPS サーバをイネーブルにし、アドレスが 192.168.1.2 の内部インターフェイス上のホストで ASDM にアクセスする方法を示しています。

hostname(config)# http server enable
hostname(config)# http 192.168.1.2 255.255.255.255 inside
 

次の例は、192.168.3.0 のネットワーク上のすべてのユーザが内部インターフェイス上の ASDM にアクセスできるようにする方法を示しています。

hostname(config)# http 192.168.3.0 255.255.255.0 inside
 

CLI パラメータの設定

この項は、次の内容で構成されています。

「CLI パラメータのライセンス要件」

「ガイドラインと制限事項」

「ログイン バナーの設定」

「CLI プロンプトのカスタマイズ」

「コンソール タイムアウトの変更」

CLI パラメータのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングル コンテキスト モードとマルチ コンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードでサポートされています。

ログイン バナーの設定

ユーザがASAに接続し、ユーザがログインする前または特権 EXEC モードに入る前に表示されるメッセージを設定できます。

制限事項

バナーが追加された後、次の場合はASAに対する Telnet または SSH セッションが終了する可能性があります。

バナー メッセージを処理するためのシステム メモリが不足している場合。

バナー メッセージの表示を試みたときに、TCP 書き込みエラーが発生した場合。

ガイドライン

セキュリティの観点から、バナーで不正アクセスを防止することが重要です。侵入者を惹き付けるような「welcome」や「please」といった言葉を使用しないでください。次のバナーは、不正アクセスに対して適切な雰囲気を表しています。

You have logged in to a secure device. If you are not authorized to access this device, log out immediately or risk possible criminal consequences.
 

バナー メッセージのガイドラインについては、RFC 2196 を参照してください。

ログイン バナーを設定するには、次の手順を実行します。

手順の詳細

 

コマンド
目的

banner { exec | login | motd } text

 

hostname(config)# banner motd Welcome to $(hostname).

ユーザが最初に接続したとき(「今日のお知らせ」( motd ))、ユーザがログインしたとき( login )、ユーザが特権 EXEC モードにアクセスしたとき( exec )のいずれかに表示するバナーを追加します。ユーザがASAに接続すると、まず「今日のお知らせ」バナーが表示され、その後にログイン バナーとプロンプトが表示されます。ユーザが ASA に正常にログインすると、exec バナーが表示されます。

複数の行を追加する場合は、各行の前に banner コマンドを置きます。

バナー テキストに関する注意事項:

スペースは使用できますが、CLI を使用してタブを入力することはできません。

バナーの長さの制限は、RAM およびフラッシュ メモリに関するもの以外はありません。

ASAのホスト名またはドメイン名は、 $(hostname) 文字列と $(domain) 文字列を組み込むことによって動的に追加できます。

システム コンフィギュレーションでバナーを設定する場合は、コンテキスト コンフィギュレーションで $(system) 文字列を使用することによって、コンテキスト内でそのバナー テキストを使用できます。

次は、「今日のお知らせ」バナーの追加方法の例です。

hostname(config)# banner motd Welcome to $(hostname).
hostname(config)# banner motd Contact me at admin@example.com for any
hostname(config)# banner motd issues.

CLI プロンプトのカスタマイズ

[CLI Prompt] ペインで、CLI セッション時に使用するプロンプトをカスタマイズできます。デフォルトでは、プロンプトにASAのホスト名が表示されます。マルチ コンテキスト モードでは、プロンプトにコンテキスト名も表示されます。CLI プロンプトには、次の項目を表示できます。

 

cluster-unit

(シングルおよびマルチ モード)クラスタ ユニット名を表示します。クラスタの各ユニットは一意の名前を持つことができます。

context

(マルチ モードのみ)現在のコンテキストの名前を表示します。

domain

ドメイン名を表示します。

hostname

ホスト名を表示します。

priority

フェールオーバー プライオリティを [pri](プライマリ)または [sec](セカンダリ)として表示します。

state

装置のトラフィック通過状態を表示します。状態には次の値が表示されます。

[act]:フェールオーバーがイネーブルであり、装置ではトラフィックをアクティブに通過させています。

[stby]:フェールオーバーはイネーブルです。ユニットはトラフィックを通過させていません。スタンバイ、失敗、または他の非アクティブ状態です。

[actNoFailove]:フェールオーバーはディセーブルであり、装置ではトラフィックをアクティブに通過させています。

[stbyNoFailover]:フェールオーバーはディセーブルであり、装置ではトラフィックを通過させていません。この状態はスタンバイ装置でしきい値を上回るインターフェイス障害の場合に発生することがあります。

クラスタのユニットのロール(マスターまたはスレーブ)を示します。たとえば、プロンプト ciscoasa/cl2/slave では、ホスト名は ciscoasa、ユニット名は cl2、状態名は slave です。

手順の詳細

CLI プロンプトをカスタマイズするには、次のコマンドを入力します。

 

コマンド
目的

prompt {[ hostname ] [ context ] [ domain ] [ slot ] [ state ] [ priority ] [ cluster-unit ]}

 

hostname(config)# firewall transparent

CLI プロンプトをカスタマイズします。

コンソール タイムアウトの変更

コンソール タイムアウトは、接続が特権 EXEC モードまたはコンフィギュレーション モードのままでいることのできる時間を設定します。タイムアウトに達すると、セッションはユーザ EXEC モードになります。デフォルトでは、セッションはタイムアウトになりません。コンソール ポートへの接続はタイムアウトになることはないため、この設定によってコンソール ポートへの接続継続時間は影響を受けません。

コンソール タイムアウトを変更するには、次の手順を実行します。

手順の詳細

 

コマンド
目的

console timeout number

 

hostname(config)# console timeout 0

特権セッションが終了するまでのアイドル時間を分単位(0 ~ 60)で指定します。デフォルトのタイムアウトは 0 であり、セッションがタイムアウトしないことを示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

 

ICMP アクセスの設定

デフォルトでは、IPv4 または IPv6 を使用して任意のASA インターフェイスに ICMP パケットを送信できます。この項では、ASA への ICMP 管理アクセスを制限する方法について説明します。ASAへの ICMP アクセスを許可するホストとネットワークのアドレスを制限することによって、ASAを攻撃から保護できます。


) ICMP トラフィックが ASA を通過できるようにするには、を参照してください。


この項は、次の内容で構成されています。

「ICMP アクセスに関する情報」

「ICMP アクセスのライセンス要件」

「ガイドラインと制限事項」

「デフォルト設定」

「ICMP アクセスの設定」

ICMP アクセスに関する情報

IPv6 の ICMP は、IPv4 の ICMP と同じ働きをします。ICMPv6 によって、ICMP 宛先到達不能メッセージなどのエラー メッセージや、ICMP エコー要求および応答メッセージのような情報メッセージが生成されます。また、IPv6 の ICMP パケットは、IPv6 のネイバー探索プロセスやパス MTU ディスカバリに使用されます。

ICMP 到達不能メッセージ タイプ(タイプ 3)の権限は常に付与することを推奨します。ICMP 到達不能メッセージを拒否すると、ICMP パス MTU ディスカバリがディセーブルになって、IPSec および PPTP トラフィックが停止することがあります。パス MTU ディスカバリの詳細については、RFC 1195 および RFC 1435 を参照してください。

ICMP ルールを設定していると、ASA では、ICMP トラフィックに対する最初の照合の後に、すべてのエントリを暗黙の拒否が使用されます。つまり、最初に一致したエントリが許可エントリである場合、ICMP パケットは引き続き処理されます。最初に一致したエントリが拒否エントリであるか、エントリに一致しない場合、ASAによって ICMP パケットは破棄され、syslog メッセージが生成されます。ICMP ルールが設定されていない場合は例外となります。その場合、許可文が想定されます。

ICMP アクセスのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングル コンテキスト モードとマルチ コンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードでサポートされています。

IPv6 のガイドライン

IPv6 をサポートします。

その他のガイドライン

ASA は、ブロードキャスト アドレス宛ての ICMP エコー要求に応答しません。

ASAは、トラフィックが着信するインターフェイス宛ての ICMP トラフィックにのみ応答します。ICMP トラフィックは、インターフェイス経由で離れたインターフェイスに送信できません。

ASA インターフェイスを ping できない場合は、 icmp コマンドを使用して、IP アドレス用に ASA への ICMP をイネーブルにします。

デフォルト設定

デフォルトでは、IPv4 または IPv6 を使用して任意のASA インターフェイスに ICMP パケットを送信できます。

ICMP アクセスの設定

ICMP アクセス ルールを設定するには、次のいずれかのコマンドを入力します。

手順の詳細

 

コマンド
目的

(IPv4 の場合)

icmp { permit | deny } { host ip_address | ip_address mask | any } [ icmp_type ] interface_name
 

hostname(config)# icmp deny host 10.1.1.15 inside

IPv4 ICMP アクセス ルールを作成します。 icmp_type を指定しないと、すべてのタイプが識別されます。番号または名前を入力できます。ping を制御するには、echo-reply(0)(ASAからホストへ)または echo(8)(ホストからASAへ)を指定します。ICMP タイプのリストについては、を参照してください。

(IPv6 の場合)

ipv6 icmp { permit | deny } { ipv6-prefix / prefix-length | any | host ipv6-address } [ icmp-type ] interface_name
 

hostname(config)# icmp permit host fe80::20d:88ff:feee:6a82 outside

IPv6 ICMP アクセス ルールを作成します。 icmp_type を指定しないと、すべてのタイプが識別されます。番号または名前を入力できます。ping を制御するには、echo-reply(0)(ASAからホストへ)または echo(8)(ホストからASAへ)を指定します。ICMP タイプのリストについては、を参照してください。

次の例は、10.1.1.15 のホストを除くすべてのホストで内部インターフェイスへの ICMP の使用を許可する方法を示しています。

hostname(config)# icmp deny host 10.1.1.15 inside
hostname(config)# icmp permit any inside
 

次の例は、次のコマンドを入力して、10.1.1.15 のアドレスを持つホストに内部インターフェイスへの ping だけを許可する方法を示しています。

hostname(config)# icmp permit host 10.1.1.15 inside
 

次に、外部インターフェイスですべての ping 要求を拒否し、すべての packet-too-big メッセージを許可する(パス MTU ディスカバリをサポートするため)方法を示します。

hostname(config)# ipv6 icmp deny any echo-reply outside
hostname(config)# ipv6 icmp permit any packet-too-big outside
 

次の例は、ホスト 2000:0:0:4::2 またはプレフィックス 2001::/64 上のホストに対して外部インターフェイスへの ping を許可する方法を示しています。

hostname(config)# ipv6 icmp permit host 2000:0:0:4::2 echo-reply outside
hostname(config)# ipv6 icmp permit 2001::/64 echo-reply outside
hostname(config)# ipv6 icmp permit any packet-too-big outside
 

VPN トンネルを介した管理アクセスの設定

VPN トンネルがあるインターフェイスで終わっている場合に、別のインターフェイスにアクセスして ASA を管理する必要があれば、そのインターフェイスを管理アクセス インターフェイスとして識別できます。たとえば、outside インターフェイスから ASA に入る場合は、この機能を使用して、ASDM、SSH、Telnet、または SNMP 経由で Inside インターフェイスに接続するか、outside インターフェイスから入るときに Inside インターフェイスに ping を実行できます。管理アクセスは、IPsec クライアント、IPsec site-to-site、AnyConnect SSL VPN クライアントの VPN トンネル タイプ経由で行えます。

この項では、次のトピックについて取り上げます。

「管理インターフェイスのライセンス要件」

「ガイドラインと制限事項」

「管理インターフェイスの設定」

管理インターフェイスのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

注意事項と制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングル モードでだけサポートされています。

ファイアウォール モードのガイドライン

ルーテッド モードでサポートされています。

IPv6 のガイドライン

IPv6 をサポートします。

その他のガイドライン

管理アクセス インターフェイスは 1 つだけ定義できます。

管理インターフェイスの設定

管理インターフェイスを設定するには、次の手順を実行します。

手順の詳細

 

コマンド
目的

management access management_interface

 

hostname(config)# management access inside

management_interface は、別のインターフェイスから ASA に入るときにアクセスする管理インターフェイスの名前を指定します。

システム管理者用 AAA の設定

この項では、システム管理者の認証とコマンド許可をイネーブルにする方法について説明します。システム管理者の AAA を設定する前に、まずの手順に従ってローカル データベースまたは AAA サーバを設定します。

この項は、次の内容で構成されています。

「システム管理者の AAA に関する情報」

「システム管理者のための AAA のライセンス要件」

「前提条件」

「ガイドラインと制限事項」

「デフォルト設定」

「CLI および ASDM アクセス認証の設定」

「特権 EXEC モードにアクセスするための認証の設定(enable コマンド)」

「管理許可によるユーザ CLI および ASDM アクセスの制限」

「コマンド許可の設定」

「管理アクセス アカウンティングの設定」

「現在のログイン ユーザの表示」

「ロックアウトからの回復」

システム管理者の AAA に関する情報

この項では、システム管理者用 AAA について説明します。次の項目を取り上げます。

「管理認証に関する情報」

「コマンド許可に関する情報」

管理認証に関する情報

この項では、管理アクセスのための AAA 認証について説明します。次の項目を取り上げます。

「認証がある場合とない場合の CLI アクセスの比較」

「認証がある場合とない場合の ASDM アクセスの比較」

「スイッチから ASA サービス モジュールへのセッションの認証」

認証がある場合とない場合の CLI アクセスの比較

ASA にログインする方法は、認証がイネーブルであるかどうかで異なります。

Telnet の認証をイネーブルにしていない場合は、ユーザ名を入力しません。ログイン パスワード( password コマンドで設定)を入力します。SSH の場合は、ユーザ名とログイン パスワードを入力します。ユーザ EXEC モードにアクセスします。

この項の説明に従って Telnet または SSH 認証をイネーブルにした場合は、AAA サーバまたはローカル ユーザ データベースで定義されているユーザ名とパスワードを入力します。ユーザ EXEC モードにアクセスします。

ログイン後に特権 EXEC モードを開始するには、 enable コマンドを入力します。 enable コマンドの動作は、認証がイネーブルかどうかによって異なります。

enable 認証を設定していない場合は、 enable コマンドを入力するときにシステム イネーブル パスワード( enable password コマンドで設定)を入力します。ただし、enable 認証を使用しない場合、 enable コマンドを入力した後は、特定のユーザとしてログインしていません。ユーザ名を維持するには、enable 認証を使用してください。

enable 認証を設定する場合(「特権 EXEC モードにアクセスするための認証の設定(enable コマンド)」を参照)は、ASA によってユーザ名とパスワードの入力を求めるプロンプトが再度表示されます。この機能は、ユーザが入力できるコマンドを判別するためにユーザ名が重要な役割を果たすコマンド許可を実行する場合に特に役立ちます。

ローカル データベースを使用する enable 認証の場合は、 enable コマンドの代わりに login コマンドを使用できます。 login ではユーザ名は維持されますが、認証をオンにするコンフィギュレーションは必要ありません。詳細については、「login コマンドによるユーザの認証」を参照してください。

認証がある場合とない場合の ASDM アクセスの比較

デフォルトでは、ブランクのユーザ名と enable password コマンドによって設定されたイネーブル パスワードを使用して ASDM にログインできます。ログイン画面で(ユーザ名をブランクのままにしないで)ユーザ名とパスワードを入力した場合は、ASDM によってローカル データベースで一致がチェックされることに注意してください。

HTTP 認証を設定すると、ブランクのユーザ名とイネーブル パスワードで ASDM を使用することはできなくなります。

スイッチから ASA サービス モジュールへのセッションの認証

スイッチから ASASM へのセッションの場合は( session コマンドを使用)、Telnet 認証を設定できます。スイッチから ASASM への仮想コンソール接続の場合は( service-module session コマンドを使用)、シリアル ポート認証を設定できます。

マルチ コンテキスト モードでは、システム コンフィギュレーションで AAA コマンドを設定できません。ただし、Telnet またはシリアル認証を管理コンテキストで設定した場合、認証はスイッチから ASASM へのセッションにも適用されます。この場合、管理コンテキストの AAA サーバまたはローカル ユーザ データベースが使用されます。

コマンド許可に関する情報

この項では、コマンド許可について説明します。次の項目を取り上げます。

「サポートされるコマンド許可方式」

「ユーザ クレデンシャルの維持について」

「セキュリティ コンテキストとコマンド許可」

サポートされるコマンド許可方式

次の 2 つのコマンド許可方式のいずれかを使用できます。

ローカル特権レベル:ASAでコマンド特権レベルを設定します。ローカル ユーザ、RADIUS ユーザ、または LDAP ユーザ(LDAP 属性を RADIUS 属性にマッピングする場合)を CLI アクセスについて認証する場合、ASAはそのユーザをローカル データベース、RADIUS、または LDAP サーバで定義されている特権レベルに所属させます。ユーザは、割り当てられている特権レベル以下のコマンドにアクセスできます。すべてのユーザは、初めてログインするときに、ユーザ EXEC モード(レベル 0 または 1 のコマンド)にアクセスします。ユーザは、特権 EXEC モード(レベル 2 以上のコマンド)にアクセスするために再び enable コマンドで認証するか、 login コマンドでログイン(ローカル データベースに限る)できます。


) ローカル データベース内にユーザが存在しなくても、また CLI 認証や enable 認証がない場合でも、ローカル コマンド許可を使用できます。代わりに、enable コマンドを入力するときにシステム イネーブル パスワードを入力すると、ASAによってレベル 15 に置かれます。次に、すべてのレベルのイネーブル パスワードを作成します。これにより、enable n(2 ~ 15)を入力したときに、ASAによってレベル n に置かれるようになります。これらのレベルは、ローカル コマンド許可をイネーブルにするまで使用されません(「ローカル コマンド許可の設定」を参照してください)。enable コマンドの詳細については、コマンド リファレンスを参照してください。


TACACS+ サーバ特権レベル:TACACS+ サーバで、ユーザまたはグループが CLI アクセスについて認証した後で使用できるコマンドを設定します。CLI でユーザが入力するすべてのコマンドは、TACACS+ サーバで検証されます。

ユーザ クレデンシャルの維持について

ユーザが ASA にログインする場合、ユーザ名とパスワードを入力して認証される必要があります。ASAは、同じセッションで後ほど認証が再び必要になる場合に備えて、これらのセッション クレデンシャルを保持します。

次のコンフィギュレーションが設定されている場合、ユーザはログイン時にローカル サーバだけで認証されればよいことになります。その後に続く許可では、保存されたクレデンシャルが使用されます。また、特権レベル 15 のパスワードの入力を求めるプロンプトが表示されます。特権モードを出るときに、ユーザは再び認証されます。ユーザのクレデンシャルは特権モードでは保持されません。

ローカル サーバは、ユーザ アクセスの認証を行うように設定されます。

特権レベル 15 のコマンド アクセスは、パスワードを要求するように設定されます。

ユーザのアカウントは、シリアル許可専用(コンソールまたは ASDM へのアクセスなし)として設定されます。

ユーザのアカウントは、特権レベル 15 のコマンド アクセス用に設定されます。

次の表に、ASAでのクレデンシャルの使用方法を示します。

 

必要なクレデンシャル
ユーザ名とパスワードによる認証
シリアル許可
特権モード コマンド許可
特権モード終了許可

ユーザ名

Yes

No

No

Yes

パスワード

Yes

No

No

Yes

特権モードのパスワード

No

No

Yes

No

セキュリティ コンテキストとコマンド許可

マルチ セキュリティ コンテキストでコマンド許可を実装する場合の重要な考慮点を次に示します。

AAA 設定はコンテキストごとに個別であり、コンテキスト間で共有されません。

コマンド許可を設定する場合は、各セキュリティ コンテキストを別々に設定する必要があります。この設定により、異なるセキュリティ コンテキストに対して異なるコマンド許可を実行できます。

セキュリティ コンテキストを切り替える場合、管理者は、ログイン時に指定したユーザ名で許可されるコマンドが新しいコンテキスト セッションでは異なる可能性があることや、新しいコンテキストではコマンド許可がまったく設定されていない可能性があることを念頭に置いてください。コマンド許可がセキュリティ コンテキストによって異なる場合があることを管理者が理解していないと、混乱が生じる可能性があります。この動作は、次の仕組みによってさらに複雑になります。

changeto コマンドによって開始された新しいコンテキスト セッションでは、前のコンテキスト セッションで使用されたユーザ名に関係なく、管理者 ID として常にデフォルトの「enable_15」ユーザ名が使用されます。これにより、enable_15 ユーザに対してコマンド許可が設定されていない場合や、enable_15 ユーザの許可が前のコンテキスト セッションでのユーザの許可と異なる場合に、混乱が生じる可能性があります。

これは、発行される各コマンドを特定の管理者に正確に関連付けることができる場合に限り有効となる、コマンド アカウンティングにも影響します。 changeto コマンドの使用が許可されているすべての管理者は enable_15 ユーザ名を他のコンテキストで使用できるため、enable_15 ユーザ名でログインしたユーザをコマンド アカウンティング レコードで簡単に特定できるとは限りません。コンテキストごとに異なるアカウンティング サーバを使用する場合は、enable_15 ユーザ名を使用していたユーザを追跡するために数台のサーバのデータを相関させる必要が生じます。

コマンド許可を設定する場合は、次の点を考慮します。

changeto コマンドの使用が許可されている管理者は、実質的に、他のコンテキストそれぞれで enable_15 ユーザに許可されているすべてのコマンドを使用する許可を持ちます。

コンテキストごとに別々にコマンドを許可する場合は、 changeto コマンドの使用許可を持つ管理者に対しても拒否されるコマンドが enable_15 ユーザ名でも拒否されることを、各コンテキストで確認してください。

セキュリティ コンテキストを切り替える場合、管理者は特権 EXEC モードを終了し、再度 enable コマンドを入力して必要なユーザ名を使用できます。


) システム実行スペースでは AAA コマンドがサポートされないため、システム実行スペースではコマンド許可を使用できません。


システム管理者のための AAA のライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

前提条件

この機能により、次を使用できます。

AAA サーバ: を参照してください。

ローカル データベース: を参照してください。

管理認証の前提条件

ASA において Telnet ユーザ、SSH ユーザ、または HTTP ユーザを認証できるようにするには、ASA との通信を許可する IP アドレスを明確にする必要があります。ASASM の場合、マルチコンテキスト モードのシステムへのアクセスについては例外です。この場合、スイッチから ASASM へのセッションは Telnet セッションですが、Telnet アクセスの設定は不要です。詳細については、「ASDM、Telnet、または SSH の ASA アクセスの設定」を参照してください。

ローカル コマンド許可の前提条件

enable 認証を設定します (「CLI および ASDM アクセス認証の設定」を参照)。

enable 認証は、ユーザが enable コマンドにアクセスした後にユーザ名を保持するためには不可欠です。

あるいは、設定を必要としない login コマンド(これは、認証されている enable コマンドと同じでローカル データベースの場合に限る)を使用することもできます。このオプションは enable 認証ほど安全ではないため、お勧めしません。

CLI 認証を使用することもできますが、必須ではありません。

次に示すユーザ タイプごとの前提条件を確認してください。

ローカル データベース ユーザ:ローカル データベース内の各ユーザの特権レベルを 0 ~ 15 で設定します。

RADIUS ユーザ:ユーザの Cisco VSA CVPN3000-Privilege-Level を、0 ~ 15 の値で設定します。

LDAP ユーザ:ユーザを特権レベル 0 ~ 15 の間で設定し、次に の説明に従って、LDAP 属性を Cisco VSA CVPN3000-Priviledge-Level にマッピングします。

TACACS+ コマンド許可の前提条件

CLI 認証を設定する(「CLI および ASDM アクセス認証の設定」を参照)。

enable 認証を設定する(「特権 EXEC モードにアクセスするための認証の設定(enable コマンド)」を参照)。

管理アカウンティングの前提条件

CLI 認証を設定する(「CLI および ASDM アクセス認証の設定」を参照)。

enable 認証を設定する(「特権 EXEC モードにアクセスするための認証の設定(enable コマンド)」を参照)。

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングル コンテキスト モードとマルチ コンテキスト モードでサポートされています。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードでサポートされています。

IPv6 のガイドライン

IPv6 をサポートします。

デフォルト設定

デフォルトのコマンド特権レベル

デフォルトでは、次のコマンドが特権レベル 0 に割り当てられます。他のすべてのコマンドは、特権レベル 15 に割り当てられます。

show checksum

show curpriv

enable

help

show history

login

logout

pager

show pager

clear pager

quit

show version

コンフィギュレーション モード コマンドを 15 より低いレベルに移動する場合は、 configure コマンドも同じレベルに移動してください。このようにしないと、ユーザはコンフィギュレーション モードに入ることができません。

すべての特権レベルを表示する方法は、「ローカルのコマンド特権レベルの表示」を参照してください。

CLI および ASDM アクセス認証の設定

認証を設定するには、次のコマンドを入力します。

手順の詳細

 

コマンド
目的

aaa authentication { telnet | ssh | http | serial } console { LOCAL | server_group [ LOCAL ]}

 

hostname(config)# aaa authentication telnet console LOCAL

管理アクセス用のユーザを認証します。 telnet キーワードを使用すると、Telnet アクセスを制御できます。ASASM の場合、このキーワードは session コマンドを使用するスイッチからのセッションにも影響します。マルチ モード アクセスについては、「スイッチから ASA サービス モジュールへのセッションの認証」を参照してください。

ssh キーワードを使用すると、SSH アクセスを制御できます。SSH のデフォルト ユーザ名である asa および pix は現在はサポートされていません。

http キーワードを使用すると、ASDM アクセスを制御できます。

serial キーワードを使用すると、コンソール ポート アクセスを制御できます。ASASM の場合、このキーワードは service-module コマンドを使用してスイッチからアクセスする仮想コンソールにも影響します。マルチ モード アクセスについては、「スイッチから ASA サービス モジュールへのセッションの認証」を参照してください。

HTTP 管理認証では、AAA サーバ グループの SDI プロトコルをサポートしていません。

認証に AAA サーバ グループを使用する場合は、AAA サーバが使用できないときにローカル データベースをフォールバック方式として使用するようにASAを設定できます。サーバ グループ名の後ろに LOCAL を指定します( LOCAL は大文字と小文字を区別します)。ローカル データベースでは AAA サーバと同じユーザ名およびパスワードを使用することを推奨します。これは、ASA のプロンプトでは、使用されている方式が示されないためです。

LOCAL だけを入力して、ローカル データベースを認証の主要方式として(フォールバックなしで)使用することもできます。

特権 EXEC モードにアクセスするための認証の設定(enable コマンド)

ユーザが enable コマンドを入力したときに AAA サーバまたはローカル データベースでそれらのユーザを認証するようにASAを設定することができます。あるいは、ユーザは login コマンドを入力したときにローカル データベースで自動的に認証されます。この場合も、ローカル データベース内のユーザ レベルに応じて特権 EXEC モードにアクセスします。

この項は、次の内容で構成されています。

「enable コマンドの認証の設定」

「login コマンドによるユーザの認証」

enable コマンドの認証の設定

ユーザが enable コマンドを入力したときに認証されるように、ASAを設定できます。詳細については、「認証がある場合とない場合の CLI アクセスの比較」を参照してください。

enable コマンドの入力時にユーザを認証するには、次のコマンドを入力します。

 

コマンド
目的

aaa authentication enable console { LOCAL | server_group [ LOCAL ]}

 

hostname(config)# aaa authentication enable console LOCAL

enable コマンドを入力したユーザを認証します。 ユーザ名とパスワードの入力を求めるプロンプトがユーザに対して表示されます。

認証に AAA サーバ グループを使用する場合は、AAA サーバが使用できないときにローカル データベースをフォールバック方式として使用するようにASAを設定できます。サーバ グループ名の後ろに LOCAL を指定します( LOCAL は大文字と小文字を区別します)。ローカル データベースでは AAA サーバと同じユーザ名およびパスワードを使用することを推奨します。これは、ASA のプロンプトでは、使用されている方式が示されないためです。

LOCAL だけを入力して、ローカル データベースを認証の主要方式として(フォールバックなしで)使用することもできます。

login コマンドによるユーザの認証

ユーザ EXEC モードから、 login コマンドを使用してローカル データベース内のユーザ名でログインすることができます。

この機能を使用すると、ユーザは独自のユーザ名とパスワードでログインして特権 EXEC モードにアクセスすることができるので、システム イネーブル パスワードを全員に提供する必要がなくなります。ユーザがログイン時に特権 EXEC モード(およびすべてのコマンド)にアクセスできるようにするには、ユーザの特権レベルを 2(デフォルト)~ 15 に設定します。ローカル コマンド許可を設定した場合、ユーザは、その特権レベル以下のレベルに割り当てられているコマンドのみを入力できます。詳細については、「ローカル コマンド許可の設定」を参照してください。


注意 CLI にアクセスできるユーザや特権 EXEC モードを開始できないようにするユーザをローカル データベースに追加する場合は、コマンド許可を設定する必要があります。コマンド許可がない場合、特権レベルが 2 以上(2 がデフォルト)のユーザは、CLI で自分のパスワードを使用して特権 EXEC モード(およびすべてのコマンド)にアクセスできます。あるいは、認証処理で AAA サーバを使用するか、またはすべてのローカル ユーザをレベル 1 に設定することにより、システム イネーブル パスワードを使用して特権 EXEC モードにアクセスできるユーザを制御できます。

ローカル データベースからユーザとしてログインするには、次のコマンドを入力します。

 

コマンド
目的
login
 

hostname# login

ローカル データベースからユーザとしてログインします。ASAにより、ユーザ名とパスワードの入力を求めるプロンプトが表示されます。パスワードを入力すると、ASAにより、ユーザはローカル データベースで指定されている特権レベルに置かれます。

管理許可によるユーザ CLI および ASDM アクセスの制限

CLI 認証または enable 認証を設定すると、ローカル ユーザ、RADIUS、TACACS+、または LDAP ユーザ(LDAP 属性を RADIUS 属性にマッピングする場合)からの CLI、ASDM、または enable コマンドへのアクセスを制限できます。


) シリアル アクセスは管理認証に含まれないため、aaa authentication serial console コマンドを設定している場合は、認証したユーザはすべてコンソール ポートにアクセスできます。


手順の詳細

 

 
コマンド
目的

ステップ 1

aaa authorization exec authentication-server
 

hostname(config)# aaa authorization exec authentication-server

ローカル、RADIUS、LDAP(マッピング済み)、および TACACS+ の各ユーザの管理許可をイネーブルにします。また、RADIUS からの管理ユーザ特権レベルのサポートもイネーブルになります。この特権レベルは、コマンド許可でのローカル コマンドの特権レベルと併用できます。詳細については、「ローカル コマンド許可の設定」を参照してください。 aaa authorization exec LOCAL コマンドを使用して、ローカル データベースから属性を取得できるようにします。

ステップ 2

ユーザを管理認証対象に設定するには、次の各 AAA サーバ タイプまたはローカル ユーザの要件を参照してください。

RADIUS または LDAP(マッピング済み)ユーザ:IETF RADIUS 数値型属性の Service-Type を使用します。この属性は、次のいずれかの値にマッピングされます

Service-Type 6(管理): aaa authentication console コマンドで指定されたサービスへのフル アクセスを許可します。

Service-Type 7(NAS プロンプト): aaa authentication { telnet | ssh} console コマンドを設定した場合は CLI へのアクセスを許可しますが、 aaa authentication http console コマンドを設定した場合は ASDM コンフィギュレーション アクセスを拒否します。ASDM モニタリング アクセスは許可します。 aaa authentication enable console コマンドでイネーブル認証を設定している場合、ユーザは enable コマンドを使用して特権 EXEC モードにアクセスできません。

Service-Type 5(発信):管理アクセスを拒否します。ユーザは aaa authentication console コマンドで指定されたサービスを使用できません( serial キーワードを除きます。シリアル アクセスは許可されます)。リモート アクセス(IPsec および SSL)ユーザは、引き続き自身のリモート アクセス セッションを認証および終了できます。

Cisco VSA CVPN3000-Privilege-Level を、0 ~ 15 の値で設定します。次に、 ldap map-attributes コマンドを使用して LDAP 属性を Cisco VAS CVPN3000-Privilege-Level にマッピングします。詳細については、を参照してください。

TACACS+ ユーザ:「service=shell」で許可が要求され、サーバは PASS または FAIL で応答します。

PASS、特権レベル 1:設定およびモニタリング セクションへの限定的な読み取り専用アクセス権で ASDM へのアクセスと、権限レベル 1 の show コマンドのみへのアクセスを許可します。

PASS、特権レベル 2 以上: aaa authentication { telnet | ssh} console コマンドを設定した場合は CLI へのアクセスを許可しますが、 aaa authentication http console コマンドを設定した場合は ASDM コンフィギュレーション アクセスを拒否します。ASDM モニタリング アクセスは許可します。 aaa authentication enable console コマンドで イネーブル 認証を設定している場合、ユーザは enable コマンドを使用して特権 EXEC モードにアクセスできません。イネーブルの特権レベルが 14 以下に設定されている場合は、 enable コマンドを使用して特権 EXEC モードにアクセスすることはできません。

FAIL:管理アクセスを拒否します。 aaa authentication console コマンドで指定されたサービスは使用できません( serial キーワードを除きます。シリアル アクセスは許可されます)。

ローカル ユーザ: service-type コマンドを設定します。デフォルトの service-type admin で、 aaa authentication console コマンドで指定されたサービスへのフル アクセスを許可します。0 ~ 15 の特権レベルでローカル データベース ユーザを設定するには、 username コマンドを使用します。詳細については、を参照してください。

コマンド許可の設定

コマンドへのアクセスを制御する場合、ASA ではコマンド許可を設定でき、ユーザが使用できるコマンドを決定できます。デフォルトでは、ログインするとユーザ EXEC モードにアクセスでき、最低限のコマンドだけが提供されます。 enable コマンド(または、ローカル データベースを使用するときは login コマンド)を入力すると、特権 EXEC モードおよびコンフィギュレーション コマンドを含む高度なコマンドにアクセスできます。

次の 2 つのコマンド許可方式のいずれかを使用できます。

ローカル特権レベル

TACACS+ サーバの特権レベル

このコマンド許可の詳細については、「コマンド許可に関する情報」を参照してください。

この項は、次の内容で構成されています。

「ローカル コマンド許可の設定」

「ローカルのコマンド特権レベルの表示」

「TACACS+ サーバでのコマンドの設定」

「TACACS+ コマンド許可の設定」

ローカル コマンド許可の設定

ローカル コマンド許可を使用して、コマンドを 16 の特権レベル(0 ~ 15)の 1 つに割り当てることができます。デフォルトでは、各コマンドは特権レベル 0 または 15 に割り当てられます。各ユーザを特定の特権レベルに定義でき、各ユーザは割り当てられた特権レベル以下のコマンドを入力できます。ASAは、ローカル データベース、RADIUS サーバ、または LDAP サーバ(LDAP 属性を RADIUS 属性にマッピングする場合。を参照してください)で定義されるユーザ特権レベルをサポートします。

TACACS+ コマンド許可を設定するには、次の手順を実行します。

手順の詳細

 

 
コマンド
目的

ステップ 1

privilege [ show | clear | cmd ] level level [ mode { enable | cmd }] command command
 

hostname(config)# privilege show level 5 command filter

特権レベルにコマンドを割り当てます。

再割り当てする各コマンドに対してこのコマンドを繰り返します。

このコマンドのオプションは、次のとおりです。

show | clear | cmd :これらのオプション キーワードを使用すると、コマンドの show、clear、または configure 形式に対してだけ特権を設定できます。コマンドの configure 形式は、通常、未修正コマンド( show または clear プレフィックスなしで)または no 形式として、コンフィギュレーションの変更を引き起こす形式です。これらのキーワードのいずれかを使用しない場合は、コマンドのすべての形式が影響を受けます。

level level :0 ~ 15 のレベル。

mode { enable | configure }:ユーザ EXEC モードまたは特権 EXEC モードおよびコンフィギュレーション モードでコマンドを入力することができ、そのコマンドが各モードで異なるアクションを実行する場合は、それらのモードの特権レベルを個別に設定することができます。

enable :ユーザ EXEC モードと特権 EXEC モードの両方を指定します。

configure configure terminal コマンドを使用してアクセスされるコンフィギュレーション モードを指定します。

command command :設定しているコマンド。設定できるのは、 main コマンドの特権レベルだけです。たとえば、すべての aaa コマンドのレベルを設定できますが、 aaa authentication コマンドと aaa authorization コマンドのレベルを個別に設定できません。

ステップ 2

aaa authorization exec authentication-server

 

hostname(config)# aaa authorization exec authentication-server

RADIUS からの管理ユーザ特権レベルをサポートします。

管理アクセスを認証するユーザに、ユーザ固有のアクセス レベルを強制します( aaa authentication console LOCAL コマンドを参照)。

このコマンドを入力しない場合、ASAは、ローカル データベース ユーザの特権レベルだけをサポートし、他のタイプのユーザをすべてデフォルトでレベル 15 に割り当てます。

このコマンドは、ローカル、RADIUS、LDAP(マッピング済み)、および TACACS+ の各ユーザの管理許可もイネーブルにします。

aaa authorization exec LOCAL コマンドを使用して、ローカル データベースから属性を取得できるようにします。AAA サーバのユーザを管理許可が有効になるように設定する方法については、「管理許可によるユーザ CLI および ASDM アクセスの制限」を参照してください。

ステップ 3

aaa authorization command LOCAL

 

hostname(config)# aaa authorization command LOCAL

ローカル コマンドの特権レベルの使用をイネーブルにします。ローカル コマンドの特権レベルを使用すると、ローカル データベース、RADIUS サーバ、または LDAP サーバ(マッピングされた属性を持つ)のユーザの特権レベルと比較して検査できます。

コマンド特権レベルを設定する場合は、このコマンドでコマンド許可を設定しない限り、コマンド許可は実行されません。

filter コマンドの形式は次のとおりです。

filter configure オプションで表されます)

show running-config filter

clear configure filter

特権レベルを形式ごとに個別に設定することができます。または、このオプションを省略してすべての形式に同じ特権レベルを設定することもできます。次は、各形式を個別に設定する方法の例です。

hostname(config)# privilege show level 5 command filter
hostname(config)# privilege clear level 10 command filter
hostname(config)# privilege cmd level 10 command filter
 

また、次の例では、すべての filter コマンドを同じレベルに設定する例を示します。

hostname(config)# privilege level 5 command filter
 

show privilege コマンドは、形式を分けて表示します。

次の例では、 mode キーワードの使用方法を示します。 enable コマンドは、ユーザ EXEC モードから入力する必要があります。一方、 enable password コマンドは、コンフィギュレーション モードでアクセスでき、最も高い特権レベルが必要です。

hostname(config)# privilege cmd level 0 mode enable command enable
hostname(config)# privilege cmd level 15 mode cmd command enable
hostname(config)# privilege show level 15 mode cmd command enable
 

次に、 mode キーワードを使用して、 configure コマンドにレベルを設定する例を示します。

hostname(config)# privilege show level 5 mode cmd command configure
hostname(config)# privilege clear level 15 mode cmd command configure
hostname(config)# privilege cmd level 15 mode cmd command configure
hostname(config)# privilege cmd level 15 mode enable command configure

この最後の行は、configure terminal コマンドで使用します。


ローカルのコマンド特権レベルの表示

次のコマンドを使用すると、コマンドの特権レベルを表示できます。

 

コマンド
目的

show running-config all privilege all

すべてのコマンドを表示します。

show running-config privilege level level

特定のレベルのコマンドを表示します。 level は 0 ~ 15 の整数です。

show running-config privilege command command

特定のコマンドのレベルを表示します。

show running-config all privilege all コマンドの場合、ASA はある特権レベルに対する各 CLI コマンドの現在の割り当てを表示します。次に、このコマンドの出力例を示します。

hostname(config)# show running-config all privilege all
privilege show level 15 command aaa
privilege clear level 15 command aaa
privilege configure level 15 command aaa
privilege show level 15 command aaa-server
privilege clear level 15 command aaa-server
privilege configure level 15 command aaa-server
privilege show level 15 command access-group
privilege clear level 15 command access-group
privilege configure level 15 command access-group
privilege show level 15 command access-list
privilege clear level 15 command access-list
privilege configure level 15 command access-list
privilege show level 15 command activation-key
privilege configure level 15 command activation-key
....
 

次の例では、特権レベル 10 に対するコマンド割り当てを表示します。

hostname(config)# show running-config privilege level 10
privilege show level 10 command aaa
 

次の例では、 access-list コマンドに対するコマンド割り当てを表示します。

hostname(config)# show running-config privilege command access-list
privilege show level 15 command access-list
privilege clear level 15 command access-list
privilege configure level 15 command access-list

TACACS+ サーバでのコマンドの設定

グループまたは個々のユーザの共有プロファイル コンポーネントとしての Cisco Secure Access Control Server(ACS)TACACS+ サーバでコマンドを設定できます。サードパーティの TACACS+ サーバの場合は、コマンド許可サポートの詳細については、ご使用のサーバのマニュアルを参照してください。

Cisco Secure ACS バージョン 3.1 でコマンドを設定する場合は、次のガイドラインを参照してください。

ASA は、「シェル」コマンドとして許可するコマンドを送信し、TACACS+ サーバでシェル コマンドとしてコマンドを設定します。


) Cisco Secure ACS には、「pix-shell」と呼ばれるコマンド タイプが含まれている場合があります。このタイプは ASA コマンド許可に使用しないでください。


コマンドの最初のワードは、メイン コマンドと見なされます。その他のワードはすべて引数と見なされます。これは、 permit または deny の後に置く必要があります。

たとえば、 show running-configuration aaa-server コマンドを許可するには、コマンド フィールドに show running-configuration を追加し、引数フィールドに permit aaa-server を入力します。

[Permit Unmatched Args] チェックボックスを選択すると、明示的に拒否していないすべてのコマンド引数を許可できます。

たとえば、特定の show コマンドを設定するだけで、すべての show コマンドが許可されます。CLI の使用法を示す疑問符や省略形など、コマンドの変形をすべて予想する必要がなくなるので、この方法を使用することを推奨します。

enable help など、単一ワードのコマンドについては、そのコマンドに引数がない場合でも、一致しない引数を許可する 必要があります

引数を拒否するには、その引数の前に deny を入力します。

たとえば、 enable コマンドを許可し、 enable password コマンドを許可しない場合には、コマンド フィールドに enable を入力し、引数フィールドに deny password を入力します。 enable だけが許可されるように、必ず、[Permit Unmatched Args] チェックボックスをオンにしてください。

コマンドラインでコマンドを省略形で入力した場合、ASAはプレフィックスとメイン コマンドを完全なテキストに展開しますが、その他の引数は入力したとおりに TACACS+ サーバに送信します。

たとえば、 sh log と入力すると、ASAは完全なコマンド show logging を TACACS+ サーバに送信します。一方、 sh log mess と入力すると、ASAは展開されたコマンド show logging message ではなく、 show logging mess を TACACS+ サーバに送信します。省略形を予想して同じ引数に複数のスペルを設定できます。

すべてのユーザに対して次の基本コマンドを許可することをお勧めします。

show checksum

show curpriv

enable

help

show history

login

logout

pager

show pager

clear pager

quit

show version

TACACS+ コマンド許可の設定

TACACS+ コマンド許可をイネーブルにし、ユーザが CLI でコマンドを入力すると、ASAはそのコマンドとユーザ名を TACACS+ サーバに送信し、コマンドが許可されているかどうかを判別します。

TACACS+ コマンド許可をイネーブルにする前に、TACACS+ サーバで定義されたユーザとしてASAにログインしていること、およびASAの設定を続けるために必要なコマンド許可があることを確認してください。たとえば、すべてのコマンドが許可された管理ユーザとしてログインする必要があります。このようにしないと、意図せずロックアウトされる可能性があります。

意図したとおりに機能することが確認できるまで、コンフィギュレーションを保存しないでください。間違いによりロック アウトされた場合、通常はASAを再起動することによってアクセスを回復できます。それでもロックアウトされたままの場合は、「ロックアウトからの回復」を参照してください。

TACACS+ システムが完全に安定して信頼できることを確認します。必要な信頼性レベルについて、通常は、完全冗長 TACACS+ サーバ システムとASAへの完全冗長接続が必要です。たとえば、TACACS+ サーバ プールに、インターフェイス 1 に接続された 1 つのサーバとインターフェイス 2 に接続された別のサーバを含めます。TACACS+ サーバが使用できない場合にフォールバック方式としてローカル コマンド許可を設定することもできます。この場合は、「コマンド許可の設定」で説明されている手順に従ってローカル ユーザとコマンド特権レベルを設定する必要があります。

TACACS+ コマンド許可を設定するには、次のコマンドを入力します。

手順の詳細

 

コマンド
目的

aaa authorization command tacacs+_server_group [ LOCAL ]

 

hostname(config)# aaa authorization command group_1 LOCAL

TACACS+ サーバを使用してコマンド許可を実行します。

TACACS+ サーバを使用できない場合は、ローカル データベースをフォールバック方式として使用するようにASAを設定できます。フォールバックをイネーブルにするには、サーバ グループ名の後ろに LOCAL を指定します( LOCAL は大文字と小文字を区別します)。ASAは、どちらの方式を使用しているかを示すプロンプトを表示しないため、ローカル データベースと TACACS+ サーバで同じユーザ名とパスワードを使用することをお勧めします。必ずローカル データベースのユーザ(を参照)とコマンド特権レベル(「ローカル コマンド許可の設定」を参照)を設定してください。

管理アクセス アカウンティングの設定

CLI で show コマンド以外のコマンドを入力する場合、アカウンティング メッセージを TACACS+ アカウンティング サーバに送信できます。ユーザがログインするとき、ユーザが enable コマンドを入力するとき、またはユーザがコマンドを発行するときのアカウンティングを設定できます。

コマンド アカウンティングに使用できるサーバは、TACACS+ だけです。

管理アクセスおよびイネーブル コマンド アカウンティングを設定するには、次の手順を実行します。

手順の詳細

 

 
コマンド
目的

ステップ 1

aaa accounting { serial | telnet | ssh | enable } console server-tag

 

hostname(config)# aaa accounting telnet console group_1

管理アクセスに対する AAA アカウンティングのサポートをイネーブルにします。

有効なサーバ グループ プロトコルは RADIUS と TACACS+ です。

ステップ 2

aaa accounting command [ privilege level ] server-tag

 

hostname(config)# aaa accounting command privilege 15 group_1

コマンド アカウンティングをイネーブルにします。TACACS+ サーバだけがコマンド アカウンティングをサポートします。

privilege level は最小特権レベルで、 server-tag は、ASA がコマンド アカウンティング メッセージを送信する TACACS+ サーバ グループの名前です。

現在のログイン ユーザの表示

現在のログイン ユーザを表示するには、次のコマンドを入力します。

hostname# show curpriv
 

次に、 show curpriv コマンドの出力例を示します。

hostname# show curpriv
Username: admin
Current privilege level: 15
Current Mode/s: P_PRIV
 

表 43-1 に、 show curpriv コマンドの出力の説明を示します。

 

表 43-1 show curpriv コマンド出力の説明

フィールド
説明

Username

ユーザ名。デフォルト ユーザとしてログインすると、名前は enable_1(ユーザ EXEC)または enable_15(特権 EXEC)になります。

Current privilege level

レベルの範囲は 0 ~ 15 です。ローカル コマンド許可を設定してコマンドを中間特権レベルに割り当てない限り、使用されるレベルはレベル 0 と 15 だけです。

Current Mode/s

使用可能なアクセス モードは次のとおりです。

P_UNPR:ユーザ EXEC モード(レベル 0 と 1)

P_PRIV:特権 EXEC モード(レベル 2 ~ 15)

P_CONF:コンフィギュレーション モード

ロックアウトからの回復

状況によっては、コマンド許可や CLI 認証をオンにすると、ASA CLI からロックアウトされる場合があります。通常は、ASAを再起動することによってアクセスを回復できます。ただし、すでにコンフィギュレーションを保存した場合は、ロックアウトされたままになる可能性があります。 表 43-2 に、一般的なロックアウト条件と回復方法を示します。

 

表 43-2 CLI 認証およびコマンド許可のロックアウト シナリオ

機能
ロックアウト条件
説明
対応策:シングル モード
対応策:マルチ モード

ローカル CLI 認証

ローカル データベース内にユーザが存在しない。

ローカル データベース内にユーザが存在しない場合は、ログインできず、ユーザの追加もできません。

ログインし、パスワードと aaa コマンドをリセットします。

スイッチからASAへのセッションを接続します。システム実行スペースから、コンテキストに切り替えてユーザを追加することができます。

TACACS+ コマンド許可

TACACS+ CLI 認証

RADIUS CLI 認証

サーバがダウンしているか到達不能で、フォールバック方式を設定していない。

サーバが到達不能である場合は、ログインもコマンドの入力もできません。

1. ログインし、パスワードと AAA コマンドをリセットします。

2. サーバがダウンしたときにロックアウトされないように、ローカル データベースをフォールバック方式として設定します。

1. ASAでネットワーク コンフィギュレーションが正しくないためサーバが到達不能である場合は、スイッチからASAへのセッションを接続します。システム実行スペースから、コンテキストに切り替えてネットワークを再設定することができます。

2. サーバがダウンしたときにロックアウトされないように、ローカル データベースをフォールバック方式として設定します。

TACACS+ コマンド許可

十分な特権のないユーザまたは存在しないユーザとしてログインした。

コマンド許可がイネーブルになりますが、ユーザはこれ以上コマンドを入力できなくなります。

TACACS+ サーバのユーザ アカウントを修正します。

TACACS+ サーバへのアクセス権がなく、ASAをすぐに設定する必要がある場合は、メンテナンス パーティションにログインして、パスワードと aaa コマンドをリセットします。

スイッチからASAへのセッションを接続します。システム実行スペースから、コンテキストに切り替えてコンフィギュレーションの変更を完了することができます。また、TACACS+ コンフィギュレーションを修正するまでコマンド許可をディセーブルにすることもできます。

ローカル コマンド許可

十分な特権のないユーザとしてログインしている。

コマンド許可がイネーブルになりますが、ユーザはこれ以上コマンドを入力できなくなります。

ログインし、パスワードと aaa コマンドをリセットします。

スイッチからASAへのセッションを接続します。システム実行スペースから、コンテキストに切り替えてユーザ レベルを変更することができます。

管理アクセスの機能履歴

表 43-3 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。

 

表 43-3 管理アクセスの機能履歴

機能名
プラットフォーム リリース
機能情報

管理アクセス

7.0(1)

この機能が導入されました。

次のコマンドを導入しました。

show running-config all privilege all、show running-config privilege level、show running-config privilege command、telnet、telnet timeout、ssh、ssh timeout、http、http server enable、asdm image disk、banner、console timeout、icmp、ipv6 icmp、management access、aaa authentication console、aaa authentication enable console、aaa authentication telnet | ssh console、service-type、login、privilege、aaa authentication exec authentication-server、aaa authentication command LOCAL、aaa accounting serial | telnet | ssh | enable console、show curpriv、aaa accounting command privilege

 

SSH のセキュリティ機能の向上。SSH のデフォルトのユーザ名はサポートされなくなりました。

8.4(2)

8.4(2) 以降では、pix または asa ユーザ名とログイン パスワードで SSH を使用して ASA に接続することができなくなりました。SSH を使用するには、 aaa authentication ssh console LOCAL コマンド(CLI)または [Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authentication (ASDM)] を使用して AAA 認証を設定し、次に username コマンド(CLI)または [Configuration] > [Device Management] > [Users/AAA] > [User Accounts (ASDM)] を使用してローカル ユーザを定義する必要があります。ローカル データベースの代わりに AAA サーバを認証に使用する場合、ローカル認証もバックアップの手段として設定しておくことをお勧めします。

マルチ コンテキスト モードの ASASM において、スイッチからの Telnet 認証および仮想コンソール認証をサポートしました。

8.5(1)

マルチ コンテキスト モードのスイッチから ASASM への接続はシステム実行スペースに接続しますが、これらの接続を制御するために管理コンテキストでの認証を設定できます。