ユーザ管理
ユーザ管理

ユーザ管理

ユーザ アカウント

ユーザ アカウントは、システムにアクセスするために使用されます。最大 48 個のローカル ユーザ アカウントを設定できます。各ユーザ アカウントには、一意のユーザ名とパスワードが必要です。

管理者アカウント

管理者アカウントはデフォルト ユーザ アカウントで、変更や削除はできません。このアカウントは、システム管理者またはスーパーユーザ アカウントであり、すべての権限が与えられています。admin アカウントには、デフォルトのパスワードは割り当てられません。初期システム セットアップ時にパスワードを選択する必要があります。

管理者アカウントは常にアクティブになっており、有効期限がありません。管理者アカウントを非アクティブに設定できません。

ローカル認証されたユーザ アカウント

ローカル認証されたユーザ アカウントは、シャーシを通じて直接認証され、管理者権限または AAA 権限があれば誰でも有効化または無効化できます。ローカル ユーザ アカウントを無効にすると、ユーザはログインできません。データベースは無効化されたローカル ユーザ アカウントの設定の詳細を削除しません。無効化されたローカル ユーザ アカウントを再び有効にすると、そのアカウントは、ユーザ名とパスワードを含め、既存の設定で再びアクティブになります。

リモート認証されたユーザ アカウント

リモート認証されたユーザ アカウントとは、LDAP、RADIUS、または TACACS+ を通じて認証されたユーザ アカウントのことです。

ユーザがローカル ユーザ アカウントとリモート ユーザ アカウントを同時に保持している場合は、ローカル ユーザ アカウントで定義されたロールによってリモート ユーザ アカウントのロールが上書きされます。

ユーザ アカウントの有効期限

ユーザ アカウントは、事前に定義した時間に有効期限が切れるように設定できます。有効期限に達すると、ユーザ アカウントは無効になります。

デフォルトでは、ユーザ アカウントの有効期限はありません。

ユーザ アカウントに有効期限を設定した後、有効期限なしに再設定することはできません。ただし、アカウントの有効期限を使用可能な最も遅い日付に設定することは可能です。

ユーザ名に関するガイドライン

ユーザ名は、Firepower Chassis Manager および FXOS CLI のログイン ID としても使用されます。ユーザ アカウントにログイン ID  を割り当てるときは、次のガイドラインおよび制約事項を考慮してください。

  • ログイン ID には、次を含む 1 ~ 32 の文字を含めることができます。

    • 任意の英字

    • 任意の数字

    • _(アンダースコア)

    • -(ダッシュ)

    • .(ドット)

  • ログイン ID は一意でなければなりません。

  • ログイン ID は、英文字から始まる必要があります。数字やアンダースコアなどの特殊文字から始めることはできません。

  • ログイン ID では、大文字と小文字が区別されます。

  • すべてが数字のログイン ID は作成できません。

  • ユーザ アカウントの作成後は、ログイン ID を変更できません。ユーザ アカウントを削除し、新しいユーザ アカウントを作成する必要があります。

パスワードに関するガイドライン

ローカル認証されたユーザ アカウントそれぞれにパスワードが必要です。admin または AAA 権限を持つユーザについては、ユーザ パスワードのパスワード強度チェックを実行するようにシステムを設定できます。パスワードの強度チェックが有効になっている場合は、各ユーザが強力なパスワードを使用する必要があります。

各ユーザに強力なパスワードを設定することを推奨します。ローカル認証されたユーザのパスワード強度チェックを有効にすると、Firepower eXtensible Operating System は次の要件を満たしていないパスワードを拒否します。

  • 最低 8 文字、最高 80 文字を含む。

  • 次の少なくとも 3 種類を含む。

    • 小文字

    • 大文字

    • 数字

    • 特殊文字

  • aaabbb など連続して 3 回を超えて繰り返す文字を含まない。

  • password123 など、連続する 3 つの数字を含まない。

  • ユーザ名と同一、またはユーザ名を逆にしたものではない。

  • パスワード ディクショナリ チェックに合格する。たとえば、パスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません。

  • 次の記号を含まない。$(ドル記号)、?(疑問符)、=(等号)。

  • ローカル ユーザ アカウントおよび管理者アカウントのパスワードは空白にしない。

デフォルトのユーザ ロール

システムには、次のデフォルトのユーザ ロールが用意されています。

管理者

システム全体に対する完全な読み取りと書き込みのアクセス権。デフォルトの admin アカウントは、デフォルトでこのロールが割り当てられ、変更はできません。

Read-Only

システム設定に対する読み取り専用アクセス権。システム状態を変更する権限はありません。

ローカル認証されたユーザのパスワードのプロファイル

パスワードのプロファイルには、ローカル認証されたユーザすべてのパスワード履歴やパスワード変更間隔プロパティが含まれます。ローカル認証されたユーザのそれぞれに異なるパスワードのプロファイルを指定することはできません。

パスワード履歴カウント

パスワード履歴カウントによって、ローカル認証されたユーザが何度も同じパスワードを再利用しないようにすることができます。このプロパティが設定されている場合、Firepower のシャーシは、ローカル認証されたユーザがこれまでに使用した最大 15 個のパスワードを保存します。パスワードは最近のものから時系列に逆順で格納され、履歴カウントがしきい値に達すると、最も古いパスワードだけが再利用可能になります。

あるパスワードが再利用可能になるまでに、ユーザはパスワード履歴カウントで設定された数だけパスワードを作成して使用する必要があります。たとえば、パスワード履歴カウントを 8 に設定した場合、ローカル認証されたユーザは最初のパスワードを 9 番目のパスワードが期限切れになった後まで、最初のパスワードを再利用できません。

デフォルトでは、パスワード履歴は 0 に設定されます。この値によって履歴カウントが無効化されるため、ユーザはいつでも以前のパスワードを使用できます。

必要に応じて、ローカル認証されたユーザのパスワード履歴カウントをクリアし、以前のパスワードの再利用を有効にできます。

パスワード変更間隔

パスワード変更間隔によって、ローカル認証されたユーザが特定の時間内に実施できるパスワード変更の回数を制限することができます。次の表で、パスワード変更間隔の 2 つの設定オプションについて説明します。

間隔の設定 説明

パスワード変更禁止(No password change allowed)

このオプションを設定すると、ローカル認証されたユーザは、パスワードを変更してから指定された時間内はパスワードを変更できなくなります。

1 ~ 745 時間の変更禁止間隔を指定できます。デフォルトでは、変更禁止間隔は 24 時間です。

たとえば、ローカル認証されたユーザが 48 時間以内にパスワードを変更できないようにするには、次のように設定します。

  • [間隔中の変更(Change During Interval)] を無効にする

  • [変更禁止間隔(No Change Interval)] を 48 に設定する

変更間隔内のパスワード変更を許可(Password changes allowed within change interval)

このオプションでは、事前に定義した時間内にローカル認証ユーザがパスワードを変更できる最大回数を指定します。

変更間隔を 1 ~ 745 時間、パスワード変更の最大回数を 0 ~ 10 に指定できます。デフォルトでは、ローカル認証されたユーザは、48 時間以内に最大 2 回パスワードを変更できます。

たとえば、ローカル認証されたユーザがパスワードを変更した後 24 時間以内に最大 1 回そのパスワードを変更できるようにするには、次のように設定します。

  • [間隔中の変更(Change During Interval)] を有効にする

  • [変更カウント(Change Count)] を 1 に設定する

  • [変更間隔(Change Interval)] を 24 に設定する

デフォルトの認証サービスの選択

手順
    ステップ 1   セキュリティ モードに入ります。

    Firepower-chassis # scope security

    ステップ 2   デフォルトの認証セキュリティ モードに入ります。

    Firepower-chassis /security # scopedefault-auth

    ステップ 3   デフォルトの認証を指定します。

    Firepower-chassis /security/default-auth # set realmauth-type

    auth-type に、次のいずれかのキーワードを指定します。

    • ldap:LDAP 認証を指定します。

    • local:ローカル認証を指定します。

    • none:ローカル ユーザがパスワードを指定せずにログインできるようにします。

    • radius:RADIUS 認証を指定します。

    • tacacs:TACACS+ 認証を指定します。

    ステップ 4   (任意)関連付けられたプロバイダー グループが存在する場合は、そのグループを指定します。

    Firepower-chassis /security/default-auth # set auth-server-groupauth-serv-group-name

    ステップ 5   (任意) このドメインのユーザに許可する更新要求間隔の最大時間数を指定します。

    Firepower-chassis /security/default-auth # set refresh-periodseconds

    60 ~ 172800 の整数を指定します。デフォルトは 600 秒です。

    この時間制限を超えると、Firepower eXtensible Operating System は Web セッションを非アクティブであると見なしますが、セッションの終了は行いません。

    ステップ 6   (任意) Firepower eXtensible Operating System が Web セッションを終了したと見なすまでの、最後の更新要求後からの最大経過時間を指定します。

    Firepower-chassis /security/default-auth # set session-timeoutseconds

    60 ~ 172800 の整数を指定します。デフォルトは 7200 秒です。

    (注)     

    RADIUS または TACACS+ レルムに対して二要素認証を設定する場合は、リモート ユーザが頻繁に再認証する必要がないよう、セッションの更新時間およびセッションのタイムアウト時間を増やすことを検討してください。

    ステップ 7   (任意) レルムの二要素認証に認証方式を設定します。

    Firepower-chassis /security/default-auth # set use-2-factor yes

    (注)     

    二要素認証は、RADIUS および TACACS+ レルムにのみ適用されます。

    ステップ 8   トランザクションをシステムの設定に対して確定します。

    commit-buffer


    次の例では、デフォルトの認証を RADIUS に設定し、デフォルトの認証プロバイダー グループを provider1 に設定し、二要素認証を有効にし、更新間隔を 7200 秒(2 時間)に設定し、セッションのタイムアウト時間を 28800 秒(8 時間)に設定し、二要素認証を有効にします。その後で、トランザクションを確定します。

    Firepower-chassis# scope security
    Firepower-chassis /security # scope default-auth
    Firepower-chassis /security/default-auth # set realm radius
    Firepower-chassis /security/default-auth* # set auth-server-group provider1
    Firepower-chassis /security/default-auth* # set use-2-factor yes
    Firepower-chassis /security/default-auth* # set refresh-period 7200
    Firepower-chassis /security/default-auth* # set session-timeout 28800
    Firepower-chassis /security/default-auth* # commit-buffer
    Firepower-chassis /security/default-auth # 
    

    リモート ユーザのロール ポリシーの設定

    デフォルトでは、LDAP、RADIUS、または TACACS プロトコルを使用してリモート サーバから Firepower Chassis Manager または FXOS CLI にログインしているすべてのユーザに読み取り専用アクセス権が付与されます。セキュリティ上の理由から、確立されたユーザ ロールに一致するユーザへのアクセスを制限するのが望ましい場合があります。

    リモート ユーザのロール ポリシーは、次の方法で設定できます。
    assign-default-role

    ユーザがログインしようとしたときにリモート認証プロバイダーが認証情報付きのユーザ ロールを提供しなかった場合、そのユーザは読み取り専用ユーザ ロールでのログインが許可されます。

    これはデフォルトの動作です。

    no-login

    ユーザがログインしようとしたときにリモート認証プロバイダーが認証情報付きのユーザ ロールを提供しなかった場合は、アクセスが拒否されます。

    手順
      ステップ 1   セキュリティ モードに入ります。

      Firepower-chassis # scopesecurity

      ステップ 2   ユーザ ロールに基づいて Firepower Chassis Manager および FXOS CLI へのユーザ アクセスを制限するかどうかを指定します。

      Firepower-chassis /security # set remote-user default-role {assign-default-role | no-login}

      ステップ 3   トランザクションをシステムの設定に対して確定します。

      Firepower-chassis /security # commit-buffer


      次に、リモート ユーザのロール ポリシーを設定し、トランザクションを確定する例を示します。
      Firepower-chassis# scope security
      Firepower-chassis /security # set remote-user default-role no-login
      Firepower-chassis /security* # commit-buffer
      Firepower-chassis /security #

      ローカル認証されたユーザのパスワード強度チェックの有効化

      パスワードの強度チェックが有効になっている場合、Firepower eXtensible Operating System では、強力なパスワードのガイドラインを満たしていないパスワードを選択できません(パスワードに関するガイドライン を参照)。

      手順
        ステップ 1   セキュリティ モードに入ります。

        Firepower-chassis # scopesecurity

        ステップ 2   パスワードの強度チェックを有効にするか、または無効にするかを指定します。

        Firepower-chassis /security # set enforce-strong-password {yes | no}


        次に、パスワード強度チェックを有効にする例を示します。

        Firepower-chassis# scope security 
        Firepower-chassis /security # set enforce-strong-password yes 
        Firepower-chassis /security* # commit-buffer
        Firepower-chassis /security # 

        変更間隔のパスワード変更の最大数の設定

        手順
          ステップ 1   セキュリティ モードに入ります。

          Firepower-chassis # scopesecurity

          ステップ 2   パスワード プロファイル セキュリティ モードに入ります。

          Firepower-chassis /security # scope password-profile

          ステップ 3   ローカル認証されたユーザが指定された時間内に実行できるパスワード変更の回数を制限します。

          Firepower-chassis /security/password-profile # set change-during-interval enable

          ステップ 4   ローカル認証されたユーザが変更間隔の間に自分のパスワードを変更できる最大回数を指定します。

          Firepower-chassis /security/password-profile # set change-count pass-change-num

          この値は、0 ~ 10 の範囲で自由に設定できます。

          ステップ 5   [変更カウント(Change Count)] フィールドで指定したパスワード変更回数が適用される最大時間数を指定します。

          Firepower-chassis /security/password-profile # set change-interval num-of-hours

          この値は、1 ~ 745 時間の範囲で自由に設定できます。

          たとえば、このフィールドが 48 に設定され、[変更カウント(Change Count)] フィールドが 2 に設定されている場合、ローカル認証されたユーザは 48 時間以内に 2 回を超えるパスワード変更を実行することはできません。

          ステップ 6   トランザクションをシステムの設定に対して確定します。

          Firepower-chassis /security/password-profile # commit-buffer


          次の例は、[間隔中の変更(Change During Interval)] オプションを有効にし、変更回数を 5 回、変更間隔を 72 時間に設定し、トランザクションを確定する例を示します。

          Firepower-chassis # scope security
          Firepower-chassis /security # scope password-profile
          Firepower-chassis /security/password-profile # set change-during-interval enable
          Firepower-chassis /security/password-profile* # set change-count 5
          Firepower-chassis /security/password-profile* # set change-interval 72
          Firepower-chassis /security/password-profile* # commit-buffer
          Firepower-chassis /security/password-profile # 

          パスワードの変更禁止間隔の設定

          手順
            ステップ 1   セキュリティ モードに入ります。

            Firepower-chassis # scopesecurity

            ステップ 2   パスワード プロファイル セキュリティ モードに入ります。

            Firepower-chassis /security # scope password-profile

            ステップ 3   間隔中の変更機能を無効にします。

            Firepower-chassis /security/password-profile # set change-during-interval disable

            ステップ 4   ローカル認証されたユーザが、新しく作成されたパスワードを変更する前に待機する最小時間数を指定します。

            Firepower-chassis /security/password-profile # set no-change-interval min-num-hours

            この値は、1 ~ 745 時間の範囲で自由に設定できます。

            この間隔は、[間隔中の変更(Change During Interval)] プロパティが [無効(Disable)] に設定されていない場合は無視されます。

            ステップ 5   トランザクションをシステムの設定に対して確定します。

            Firepower-chassis /security/password-profile # commit-buffer


            次に、間隔中の変更オプションを無効にし、変更禁止間隔を 72 時間に設定し、トランザクションを確定する例を示します。

            Firepower-chassis # scope security
            Firepower-chassis /security # scope password-profile
            Firepower-chassis /security/password-profile # set change-during-interval disable
            Firepower-chassis /security/password-profile* # set no-change-interval 72
            Firepower-chassis /security/password-profile* # commit-buffer
            Firepower-chassis /security/password-profile # 

            パスワード履歴カウントの設定

            手順
              ステップ 1   セキュリティ モードに入ります。

              Firepower-chassis # scopesecurity

              ステップ 2   パスワード プロファイル セキュリティ モードに入ります。

              Firepower-chassis /security # scope password-profile

              ステップ 3   ローカル認証されたユーザが、以前に使用していたパスワードを再利用できるまでに作成する必要がある一意のパスワードの数を指定します。

              Firepower-chassis /security/password-profile # set history-count num-of-passwords

              この値は、0 ~ 15 の範囲で自由に設定できます。

              デフォルトでは、[履歴(History Count)] フィールドは 0 に設定されます。これにより、履歴カウントが無効になるため、ユーザはいつでも以前に使用していたパスワードを再利用できます。

              ステップ 4   トランザクションをシステムの設定に対して確定します。

              Firepower-chassis /security/password-profile # commit-buffer


              次に、パスワード履歴カウントを設定し、トランザクションを確定する例を示します。

              Firepower-chassis # scope security
              Firepower-chassis /security # scope password-profile
              Firepower-chassis /security/password-profile # set history-count 5
              Firepower-chassis /security/password-profile* # commit-buffer
              Firepower-chassis /security/password-profile # 

              ローカル ユーザ アカウントの作成

              手順
                ステップ 1   セキュリティ モードに入ります。

                Firepower-chassis# scope security

                ステップ 2   ユーザ アカウントを作成します。

                Firepower-chassis /security # create local-user local-user-name

                ステップ 3   ローカル ユーザ アカウントを有効にするか、または無効にするかを指定します。

                Firepower-chassis /security/local-user # set account-status {active| inactive}

                ステップ 4   ユーザ アカウントのパスワードを設定します。

                Firepower-chassis /security/local-user # set password

                パスワード password を入力します。

                パスワード password を確認します。

                ステップ 5   (任意)ユーザの名を指定します。

                Firepower-chassis /security/local-user # set firstname first-name

                ステップ 6   (任意)ユーザの姓を指定します。

                Firepower-chassis /security/local-user # set lastname last-name

                ステップ 7   (任意)ユーザ アカウントが期限切れになる日付を指定します。month 引数は、月の英名の最初の 3 文字です。

                Firepower-chassis /security/local-user # set expiration month day-of-month year

                (注)     

                ユーザ アカウントに有効期限を設定した後、有効期限なしに再設定することはできません。ただし、アカウントの有効期限を使用可能な最も遅い日付に設定することは可能です。

                ステップ 8   (任意)ユーザの電子メール アドレスを指定します。

                Firepower-chassis /security/local-user # set email email-addr

                ステップ 9   (任意)ユーザの電話番号を指定します。

                Firepower-chassis /security/local-user # set phone phone-num

                ステップ 10   (任意)パスワードレス アクセスに使用する SSH キーを指定します。

                Firepower-chassis /security/local-user # set sshkey ssh-key

                ステップ 11   トランザクションを確定します。

                Firepower-chassis security/local-user # commit-buffer


                次の例は、kikipopo という名前のユーザ アカウントを作成し、ユーザ アカウントをイネーブルにし、foo12345 にパスワードを設定し、トランザクションをコミットします。

                Firepower-chassis# scope security
                Firepower-chassis /security # create local-user kikipopo
                Firepower-chassis /security/local-user* # set account-status active
                Firepower-chassis /security/local-user* # set password
                Enter a password:
                Confirm the password:
                Firepower-chassis /security/local-user* # commit-buffer
                Firepower-chassis /security/local-user # 
                
                

                次の例は、lincey という名前のユーザ アカウントを作成し、ユーザ アカウントをイネーブルにし、パスワードレス アクセス用の OpenSSH キーを設定し、トランザクションをコミットします。

                Firepower-chassis# scope security
                Firepower-chassis /security # create local-user lincey
                Firepower-chassis /security/local-user* # set account-status active
                Firepower-chassis /security/local-user* #  set sshkey "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAuo9VQ2CmWBI9/S1f30klCWjnV3lgdXMzO0WUl5iPw85lkdQqap+NFuNmHcb4K
                iaQB8X/PDdmtlxQQcawclj+k8f4VcOelBxlsGk5luq5ls1ob1VOIEwcKEL/h5lrdbNlI8y3SS9I/gGiBZ9ARlop9LDpD
                m8HPh2LOgyH7Ei1MI8="
                Firepower-chassis /security/local-user* # commit-buffer
                Firepower-chassis /security/local-user # 
                
                

                次の例は、jforlenz という名前のユーザ アカウントを作成し、ユーザ アカウントを有効にし、パスワードレス アクセス用のセキュア SSH キーを設定し、トランザクションを確定します。

                Firepower-chassis# scope security
                Firepower-chassis /security # create local-user jforlenz
                Firepower-chassis /security/local-user* # set account-status active
                Firepower-chassis /security/local-user* #  set sshkey
                Enter lines one at a time. Enter ENDOFBUF to finish. Press ^C to abort.
                User's SSH key:
                > ---- BEGIN SSH2 PUBLIC KEY ----
                >AAAAB3NzaC1yc2EAAAABIwAAAIEAuo9VQ2CmWBI9/S1f30klCWjnV3lgdXMzO0WUl5iPw8
                >5lkdQqap+NFuNmHcb4KiaQB8X/PDdmtlxQQcawclj+k8f4VcOelBxlsGk5luq5ls1ob1VO
                >IEwcKEL/h5lrdbNlI8y3SS9I/gGiBZ9ARlop9LDpDm8HPh2LOgyH7Ei1MI8=
                > ---- END SSH2 PUBLIC KEY ----
                > ENDOFBUF
                Firepower-chassis /security/local-user* # commit-buffer
                Firepower-chassis /security/local-user # 
                

                ローカル ユーザ アカウントの削除

                手順
                  ステップ 1   セキュリティ モードに入ります。

                  Firepower-chassis# scope security

                  ステップ 2   ローカル ユーザ アカウントを削除します。

                  Firepower-chassis /security # delete local-userlocal-user-name

                  ステップ 3   トランザクションをシステムの設定に対して確定します。

                  Firepower-chassis /security #commit-buffer


                  次に、foo というユーザ アカウントを削除し、トランザクションを確定する例を示します。

                  Firepower-chassis# scope security
                  Firepower-chassis /security # delete local-user foo
                  Firepower-chassis /security* # commit-buffer
                  Firepower-chassis /security # 
                  

                  ローカル ユーザ アカウントのアクティブ化または非アクティブ化

                  ローカル ユーザ アカウントをアクティブ化または非アクティブ化できるのは、管理者または AAA の権限を持つユーザのみです。

                  手順
                    ステップ 1   セキュリティ モードに入ります。

                    Firepower-chassis# scope security

                    ステップ 2   アクティブ化または非アクティブ化するユーザのローカル ユーザ セキュリティ モードに入ります。

                    Firepower-chassis /security # scope local-userlocal-user-name

                    ステップ 3   ローカル ユーザ アカウントをアクティブ化するか、または非アクティブ化するかを指定します。

                    Firepower-chassis /security/local-user # set account-status {active | inactive}

                    (注)     

                    admin ユーザ アカウントは常にアクティブに設定されます。変更はできません。


                    次に、accounting というローカル ユーザ アカウントを有効にする例を示します。

                    Firepower-chassis# scope security
                    Firepower-chassis /security # scope local-user accounting
                    Firepower-chassis /security/local-user # set account-status active
                    

                    ローカル認証されたユーザのパスワード履歴のクリア

                    手順
                      ステップ 1   セキュリティ モードに入ります。

                      Firepower-chassis # scopesecurity

                      ステップ 2   指定されたユーザ アカウントのローカル ユーザ セキュリティ モードに入ります。

                      Firepower-chassis /security # scope local-user user-name

                      ステップ 3   指定されたユーザ アカウントのパスワード履歴をクリアします。

                      Firepower-chassis /security/local-user # clear password-history

                      ステップ 4   トランザクションをシステムの設定に対して確定します。

                      Firepower-chassis /security/local-user # commit-buffer


                      次に、パスワード履歴カウントを設定し、トランザクションを確定する例を示します。

                      Firepower-chassis # scope security
                      Firepower-chassis /security # scope local-user admin
                      Firepower-chassis /security/local-user # clear password-history
                      Firepower-chassis /security/local-user* # commit-buffer
                      Firepower-chassis /security/local-user #