ユーザ管理
ユーザ管理

ユーザ管理

ユーザ アカウント

ユーザ アカウントは、システムにアクセスするために使用されます。最大 48 個のローカル ユーザ アカウントを設定できます。各ユーザ アカウントには、一意のユーザ名とパスワードが必要です。

管理者アカウント

管理者アカウントはデフォルト ユーザ アカウントで、変更や削除はできません。このアカウントは、システム管理者またはスーパーユーザ アカウントであり、すべての権限が与えられています。admin アカウントには、デフォルトのパスワードは割り当てられません。初期システム セットアップ時にパスワードを選択する必要があります。

管理者アカウントは常にアクティブになっており、有効期限がありません。管理者アカウントを非アクティブに設定できません。

ローカル認証されたユーザ アカウント

ローカル認証されたユーザ アカウントは、シャーシを通じて直接認証され、管理者権限または AAA 権限があれば誰でも有効化または無効化できます。ローカル ユーザ アカウントを無効にすると、ユーザはログインできません。データベースは無効化されたローカル ユーザ アカウントの設定の詳細を削除しません。無効化されたローカル ユーザ アカウントを再び有効にすると、そのアカウントは、ユーザ名とパスワードを含め、既存の設定で再びアクティブになります。

リモート認証されたユーザ アカウント

リモート認証されたユーザ アカウントとは、LDAP、RADIUS、または TACACS+ を通じて認証されたユーザ アカウントのことです。

ユーザがローカル ユーザ アカウントとリモート ユーザ アカウントを同時に保持している場合は、ローカル ユーザ アカウントで定義されたロールによってリモート ユーザ アカウントのロールが上書きされます。

ユーザ アカウントの有効期限

ユーザ アカウントは、事前に定義した時間に有効期限が切れるように設定できます。有効期限に達すると、ユーザ アカウントは無効になります。

デフォルトでは、ユーザ アカウントの有効期限はありません。

ユーザ アカウントに有効期限を設定した後、有効期限なしに再設定することはできません。ただし、アカウントの有効期限を使用可能な最も遅い日付に設定することは可能です。

ユーザ名に関するガイドライン

ユーザ名は、Firepower Chassis Manager および FXOS CLI のログイン ID としても使用されます。ユーザ アカウントにログイン ID  を割り当てるときは、次のガイドラインおよび制約事項を考慮してください。

  • ログイン ID には、次を含む 1 ~ 32 の文字を含めることができます。

    • 任意の英字

    • 任意の数字

    • _(アンダースコア)

    • -(ダッシュ)

    • .(ドット)

  • ログイン ID は一意でなければなりません。

  • ログイン ID は、英文字から始まる必要があります。数字やアンダースコアなどの特殊文字から始めることはできません。

  • ログイン ID では、大文字と小文字が区別されます。

  • すべてが数字のログイン ID は作成できません。

  • ユーザ アカウントの作成後は、ログイン ID を変更できません。ユーザ アカウントを削除し、新しいユーザ アカウントを作成する必要があります。

パスワードに関するガイドライン

ローカル認証されたユーザ アカウントそれぞれにパスワードが必要です。admin または AAA 権限を持つユーザについては、ユーザ パスワードのパスワード強度チェックを実行するようにシステムを設定できます。パスワードの強度チェックが有効になっている場合は、各ユーザが強力なパスワードを使用する必要があります。

各ユーザに強力なパスワードを設定することを推奨します。ローカル認証されたユーザのパスワード強度チェックを有効にすると、Firepower eXtensible Operating System は次の要件を満たしていないパスワードを拒否します。

  • 最低 8 文字、最高 80 文字を含む。

  • 次の少なくとも 3 種類を含む。

    • 小文字

    • 大文字

    • 数字

    • 特殊文字

  • aaabbb など連続して 3 回を超えて繰り返す文字を含まない。

  • password123 など、連続する 3 つの数字を含まない。

  • ユーザ名と同一、またはユーザ名を逆にしたものではない。

  • パスワード ディクショナリ チェックに合格する。たとえば、パスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません。

  • 次の記号を含まない。$(ドル記号)、?(疑問符)、=(等号)。

  • ローカル ユーザ アカウントおよび管理者アカウントのパスワードは空白にしない。

デフォルトのユーザ ロール

システムには、次のデフォルトのユーザ ロールが用意されています。

管理者

システム全体に対する完全な読み取りと書き込みのアクセス権。デフォルトの admin アカウントは、デフォルトでこのロールが割り当てられ、変更はできません。

読み取り専用

システム設定に対する読み取り専用アクセス権。システム状態を変更する権限はありません。

ローカル認証されたユーザのパスワードのプロファイル

パスワードのプロファイルには、ローカル認証されたユーザすべてのパスワード履歴やパスワード変更間隔プロパティが含まれます。ローカル認証されたユーザのそれぞれに異なるパスワードのプロファイルを指定することはできません。

パスワード履歴カウント

パスワード履歴カウントによって、ローカル認証されたユーザが何度も同じパスワードを再利用しないようにすることができます。このプロパティが設定されている場合、Firepower のシャーシは、ローカル認証されたユーザがこれまでに使用した最大 15 個のパスワードを保存します。パスワードは最近のものから時系列に逆順で格納され、履歴カウントがしきい値に達すると、最も古いパスワードだけが再利用可能になります。

あるパスワードが再利用可能になるまでに、ユーザはパスワード履歴カウントで設定された数だけパスワードを作成して使用する必要があります。たとえば、パスワード履歴カウントを 8 に設定した場合、ローカル認証されたユーザは最初のパスワードを 9 番目のパスワードが期限切れになった後まで、最初のパスワードを再利用できません。

デフォルトでは、パスワード履歴は 0 に設定されます。この値によって履歴カウントが無効化されるため、ユーザはいつでも以前のパスワードを使用できます。

必要に応じて、ローカル認証されたユーザのパスワード履歴カウントをクリアし、以前のパスワードの再利用を有効にできます。

パスワード変更間隔

パスワード変更間隔によって、ローカル認証されたユーザが特定の時間内に実施できるパスワード変更の回数を制限することができます。次の表で、パスワード変更間隔の 2 つの設定オプションについて説明します。

間隔の設定 説明

パスワード変更禁止(No password change allowed)

このオプションを設定すると、ローカル認証されたユーザは、パスワードを変更してから指定された時間内はパスワードを変更できなくなります。

1 ~ 745 時間の変更禁止間隔を指定できます。デフォルトでは、変更禁止間隔は 24 時間です。

たとえば、ローカル認証されたユーザが 48 時間以内にパスワードを変更できないようにするには、次のように設定します。

  • [間隔中の変更(Change During Interval)] を無効にする

  • [変更禁止間隔(No Change Interval)] を 48 に設定する

変更間隔内のパスワード変更を許可(Password changes allowed within change interval)

このオプションでは、事前に定義した時間内にローカル認証ユーザがパスワードを変更できる最大回数を指定します。

変更間隔を 1 ~ 745 時間、パスワード変更の最大回数を 0 ~ 10 に指定できます。デフォルトでは、ローカル認証されたユーザは、48 時間以内に最大 2 回パスワードを変更できます。

たとえば、ローカル認証されたユーザがパスワードを変更した後 24 時間以内に最大 1 回そのパスワードを変更できるようにするには、次のように設定します。

  • [間隔中の変更(Change During Interval)] を有効にする

  • [変更カウント(Change Count)] を 1 に設定する

  • [変更間隔(Change Interval)] を 24 に設定する

ユーザ設定の構成

手順
    ステップ 1   [システム(System)] > [ユーザ管理(User Management)] を選択します。
    ステップ 2   [Settings] タブをクリックします。
    ステップ 3   次のフィールドに必要な情報を入力します。
    名前 説明

    [デフォルトの認証(Default Authentication)] フィールド

    リモート ログイン中にユーザが認証されるデフォルトの方法。次のいずれかになります。

    • [ローカル(Local)]:ユーザ アカウントは Firepower のシャーシでローカルに定義する必要があります。

    • [Radius]:ユーザ アカウントは、Firepower のシャーシに指定された RADIUS サーバで定義する必要があります。

    • [TACACS]:ユーザ アカウントは、Firepower のシャーシに指定された TACACS+ サーバで定義する必要があります。

    • [LDAP]:ユーザ アカウントは、Firepower のシャーシに指定された LDAP/MS-AD サーバで定義する必要があります。

    • [なし(None)]:ユーザ アカウントが Firepower のシャーシにローカルである場合、ユーザがリモートでログインするときにパスワードは必要ありません。

    リモート ユーザの設定

    リモート ユーザのロール ポリシー

    ユーザがログインしようとしたときに、リモート認証プロバイダーが認証情報を使用してユーザ ロールを指定しない場合のアクションを制御します。

    • [デフォルト ロールの割り当て(Assign Default Role)]:ユーザは、読み取り専用ユーザ ロールでログインできます。

    • [ログイン禁止(No-Login)]:ユーザ名とパスワードが正しい場合でも、ユーザはシステムにログインできません。

    ローカル ユーザの設定

    [パスワード強度チェック(Password Strength Check)] チェックボックス

    オンにすると、すべてのローカル ユーザ パスワードは、次のパスワード セキュリティの要件に準拠する必要があります。

    • 最低 8 文字、最高 80 文字を含む。

    • 次の少なくとも 3 種類を含む。

      • 小文字

      • 大文字

      • 数字

      • 特殊文字

    • aaabbb など連続して 3 回を超えて繰り返す文字を含まない。

    • password123 など、連続する 3 つの数字を含まない。

    • ユーザ名と同一、またはユーザ名を逆にしたものではない。

    • パスワード ディクショナリ チェックに合格する。たとえば、パスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません。

    • 次の記号を含まない。$(ドル記号)、?(疑問符)、=(等号)。

    • ローカル ユーザ アカウントおよび admin アカウントのパスワードは空白にしない。

    [履歴カウント(History Count)] フィールド

    以前に使用したパスワードを再使用できるようになるまでに、ユーザが作成する必要がある一意のパスワードの数。履歴カウントは、最も新しいパスワードが最初に表示される時系列とは逆の順番で表示され、履歴カウントのしきい値に到達した場合に、最も古いパスワードのみを使用できるようになります。

    この値は、0 ~ 15 の範囲で自由に設定できます。

    [履歴(History Count)] フィールドを 0 に設定すると履歴カウントが無効になるため、ユーザはいつでも以前に使用していたパスワードを再利用できます。

    [間隔中の変更(Change During Interval)] フィールド

    ローカル認証されたユーザが自分のパスワードを変更するタイミングを制御します。ここに表示される値は次のとおりです。

    • [有効(Enable)]:ローカル認証されたユーザは、[変更間隔(Change Interval)] および [変更カウント(Change Count)] の設定に基づいてパスワードを変更できます。

    • [無効(Disable)]:ローカル認証されたユーザは、[変更禁止間隔(No Change Interval)] で指定した期間はパスワードを変更できません。

    [変更間隔(Change Interval)] フィールド

    [変更カウント(Change Count)] フィールドで指定したパスワード変更回数が適用される最大時間数。

    この値は、1 ~ 745 時間の範囲で自由に設定できます。

    たとえば、このフィールドが 48 に設定され、[変更カウント(Change Count)] フィールドが 2 に設定されている場合、ローカル認証されたユーザは 48 時間以内に 2 回を超えるパスワード変更を実行することはできません。

    [変更カウント(Change Count)] フィールド

    ローカル認証されたユーザが変更間隔の間に自分のパスワードを変更できる最大回数。

    この値は、0 ~ 10 の範囲で自由に設定できます。

    [変更禁止間隔(No Change Interval)] フィールド

    ローカル認証されたユーザが、新しく作成されたパスワードを変更する前に待機する最小時間数。

    この値は、1 ~ 745 時間の範囲で自由に設定できます。

    この間隔は、[間隔中の変更(Change During Interval)] プロパティが [無効(Disable)] に設定されていない場合は無視されます。

    ステップ 4   [保存(Save)] をクリックします。

    ローカル ユーザ アカウントの作成

    手順
      ステップ 1   [システム(System)] > [ユーザ管理(User Management)] を選択します。
      ステップ 2   [ローカル ユーザ(Local Users)] タブをクリックします。
      ステップ 3   [ユーザの追加(Add User)] をクリックし、[ユーザの追加(Add User)] ダイアログボックスを表示します。
      ステップ 4   ユーザに関して要求される情報を使用して、次のフィールドに値を入力します。
      名前 説明

      [ユーザ名(User Name)] フィールド

      このアカウントにログインするときに使用されるアカウント名。このアカウントは一意であるとともに、ユーザ アカウントに関する次のガイドラインと制約事項を満たしている必要があります。

      • ログイン ID には、次を含む 1 ~ 32 の文字を含めることができます。

        • 任意の英字

        • 任意の数字

        • _(アンダースコア)

        • -(ダッシュ)

        • .(ドット)

      • ログイン ID は一意でなければなりません。

      • ログイン ID は、英文字から始まる必要があります。数字やアンダースコアなどの特殊文字から始めることはできません。

      • ログイン ID では、大文字と小文字が区別されます。

      • すべてが数字のログイン ID は作成できません。

      • ユーザ アカウントの作成後は、ログイン ID を変更できません。ユーザ アカウントを削除し、新しいユーザ アカウントを作成する必要があります。

      ユーザを保存した後は、ログイン ID を変更できません。ユーザ アカウントを削除し、新しいユーザ アカウントを作成する必要があります。

      [名(First Name)] フィールド

      ユーザの名。このフィールドには、32 文字までの値を入力できます。

      [姓(Last Name)] フィールド

      ユーザの姓。このフィールドには、32 文字までの値を入力できます。

      [電子メール(Email)] フィールド

      ユーザの電子メール アドレス。

      [電話番号(Phone Number)] フィールド

      ユーザの電話番号。

      [パスワード(Password)] フィールド

      このアカウントに関連付けられているパスワード。パスワード強度チェックを有効にした場合は、ユーザ パスワードを強固なものにする必要があります。Firepower eXtensible Operating System は次の要件を満たしていないパスワードを拒否します。

      • 最低 8 文字、最高 80 文字を含む。

      • 次の少なくとも 3 種類を含む。

        • 小文字

        • 大文字

        • 数字

        • 特殊文字

      • aaabbb など連続して 3 回を超えて繰り返す文字を含まない。

      • password123 など、連続する 3 つの数字を含まない。

      • ユーザ名と同一、またはユーザ名を逆にしたものではない。

      • パスワード ディクショナリ チェックに合格する。たとえば、パスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません。

      • 次の記号を含まない。$(ドル記号)、?(疑問符)、=(等号)。

      • ローカル ユーザ アカウントおよび admin アカウントのパスワードは空白にしない。

      [パスワードの確認(Confirm Password)] フィールド

      確認のためのパスワードの再入力。

      [アカウント ステータス(Account Status)] フィールド

      ステータスが [アクティブ(Active)] に設定されている場合、ユーザはこのログイン ID とパスワードを使用して Firepower Chassis ManagerFXOS CLI にログインできます。

      [ユーザロール(User Role)] ドロップダウン リスト

      ユーザ アカウントに割り当てる権限を表すロールです。

      管理

      システム全体に対する完全な読み取りと書き込みのアクセス権。デフォルトの admin アカウントは、デフォルトでこのロールが割り当てられ、変更はできません。

      読み取り専用

      システム設定に対する読み取り専用アクセス権。システム状態を変更する権限はありません。

      [アカウントの期限(Account Expires)] チェックボックス

      オンにすると、このアカウントは [有効期限(Expiration Date)] フィールドで指定した日付に期限切れになり、それ以降は使用できなくなります。

      (注)     

      ユーザ アカウントに有効期限を設定した後、有効期限なしに再設定することはできません。ただし、アカウントの有効期限を使用可能な最も遅い日付に設定することは可能です。

      [有効期限(Expiry Date)] フィールド

      アカウントの期限が切れる日付です。日付の形式は yyyy-mm-dd です。

      このフィールドの終端にあるカレンダー アイコンをクリックするとカレンダーが表示されるので、それを使用して期限日を選択できます。

      ステップ 5   [追加(Add)] をクリックします。

      ローカル ユーザ アカウントの削除

      手順
        ステップ 1   [システム(System)] > [ユーザ管理(User Management)] を選択します。
        ステップ 2   [ローカル ユーザ(Local Users)] タブをクリックします。
        ステップ 3   削除するユーザ アカウントの行で、[削除(Delete)]をクリックします。
        ステップ 4   [Confirm] ダイアログボックスで、[Yes] をクリックします。

        ローカル ユーザ アカウントのアクティブ化または非アクティブ化

        ローカル ユーザ アカウントをアクティブ化または非アクティブ化できるのは、管理者または AAA の権限を持つユーザのみです。

        手順
          ステップ 1   [システム(System)] > [ユーザ管理(User Management)] を選択します。
          ステップ 2   [ローカル ユーザ(Local Users)] タブをクリックします。
          ステップ 3   アクティブ化または非アクティブ化するユーザ アカウントの行で、[編集(Edit)](鉛筆アイコン)をクリックします。
          ステップ 4   [ユーザの編集(Edit User] ダイアログボックスで、次のいずれかの操作を実行します。
          • ユーザ アカウントをアクティブ化するには、[アカウント ステータス(Account Status)] フィールドで [アクティブ(Active)] オプション ボタンをクリックします。

          • ユーザ アカウントを非アクティブ化するには、[アカウント ステータス(Account Status)] フィールドで [非アクティブ(Inactive)] オプション ボタンをクリックします。

          admin ユーザ アカウントは常にアクティブに設定されます。変更はできません。

          ステップ 5   [保存(Save)] をクリックします。