Cisco FXOS CLI コンフィギュレーション ガイド 1.1(4)
ユーザ管理
ユーザ管理

ユーザ管理

ユーザ アカウント

ユーザ アカウントは、システムにアクセスするために使用されます。最大 48 個のローカル ユーザ アカウントを設定できます。各ユーザ アカウントには、一意のユーザ名とパスワードが必要です。

管理者アカウント

管理者アカウントはデフォルト ユーザ アカウントであり、変更や削除はできません。このアカウントは、システム管理者またはスーパーユーザ アカウントであり、すべての権限が与えられています。admin アカウントには、デフォルトのパスワードは割り当てられません。初期システム セットアップ時にパスワードを選択する必要があります。

管理者アカウントは常にアクティブで、有効期限がありません。管理者アカウントを非アクティブに設定することはできません。

ローカル認証されたユーザ アカウント

ローカル認証されたユーザ アカウントは、シャーシによって直接認証され、admin 権限か AAA 権限を持つユーザが有効または無効にできます。ローカル ユーザ アカウントが無効になっている場合、ユーザはログインできません。無効化されたローカル ユーザ アカウントの設定の詳細はデータベースから削除されません。無効ローカル ユーザ アカウントを再度有効にすると、アカウントはユーザ名とパスワードを含め、既存のコンフィギュレーションで再びアクティブになります。

リモート認証されたユーザ アカウント

リモート認証されたユーザ アカウントとは、LDAP、RADIUS、または TACACS+ で認証されたユーザ アカウントです。

ユーザがローカル ユーザ アカウントとリモート ユーザ アカウントを同時に保持する場合、ローカル ユーザ アカウントで定義されたロールがリモート ユーザ アカウントに保持された値を上書きします。

ユーザ アカウントの有効期限

ユーザ アカウントは、事前に定義した時間に有効期限が切れるように設定できます。有効期限の時間になると、ユーザ アカウントはディセーブルになります。

デフォルトでは、ユーザ アカウントの有効期限はありません。

ユーザ アカウントに有効期限日付を設定した後は、アカウントの有効期限をなくすよう再設定できません。ただし、使用できる最新の有効期限日付でアカウントを設定することは可能です。

ユーザ名に関するガイドライン

ユーザ名は、Firepower Chassis Manager および FXOS CLI のログイン ID としても使用されます。ユーザ アカウントにログイン ID を割り当てるときは、次のガイドラインおよび制約事項を考慮してください。

  • ログイン ID には、次を含む 1 ~ 32 の文字を含めることができます。

    • 任意の英字

    • 任意の数字

    • _(アンダースコア)

    • -(ダッシュ)

    • .(ドット)

  • ログイン ID は一意である必要があります。

  • ログイン ID は、英文字で開始する必要があります。数字やアンダースコアなどの特殊文字からは開始できません。

  • ログイン ID では、大文字と小文字が区別されます。

  • すべて数字のログイン ID は作成できません。

  • ユーザ アカウントの作成後は、ログイン ID を変更できません。ユーザ アカウントを削除し、新しいユーザ アカウントを作成する必要があります。

パスワードに関するガイドライン

ローカル認証された各ユーザ アカウントにパスワードが必要です。admin 権限または AAA 権限を持つユーザは、ユーザ パスワードのパスワード強度チェックを実行するようにシステムを設定できます。パスワード強度チェックをイネーブルにすると、各ユーザが強力なパスワードを使用する必要があります。

各ユーザが強力なパスワードを設定することを推奨します。ローカル認証されたユーザのパスワード強度チェックを有効化した場合、Firepower eXtensible Operating System は次の要件を満たしていないパスワードをすべて拒否します。

  • 次の少なくとも 3 種類を含む。

    • 少なくとも 1 つの大文字の英字

    • 少なくとも 1 つの小文字の英字

    • 少なくとも 1 つの英数字以外の文字(特殊文字)

    • 数字

  • aaabbb など連続して 3 回を超えて繰り返す文字を含まない。

  • password123 のような 3 つの連続する数字を含まない。

  • ユーザ名と同一、またはユーザ名を逆にしたものではない。

  • パスワード ディクショナリ チェックに合格する。たとえば、パスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません。

  • 次の記号を含まない。$(ドル記号)、?(疑問符)、=(等号)。

  • ローカル ユーザ アカウントおよび admin アカウントの場合は空白にしない。

デフォルト ユーザ ロール

システムには、次のデフォルトのユーザ ロールが用意されています。

Administrator

システム全体に対する完全な読み取りと書き込みのアクセス権。デフォルトの admin アカウントは、デフォルトでこのロールが割り当てられ、変更はできません。

Read-Only

システム設定に対する読み取り専用アクセス権。システム状態を変更する権限はありません。

ローカル認証されたユーザのパスワード プロファイル

パスワード プロファイルには、ローカル認証されたすべてのユーザのパスワード履歴やパスワード変更間隔プロパティが含まれます。ローカル認証されたユーザのそれぞれに異なるパスワード プロファイルを指定することはできません。

パスワード履歴カウント

パスワード履歴のカウントにより、ローカル認証されたユーザが何度も同じパスワードを再利用しないようにすることができます。このプロパティが設定されている場合、Firepower シャーシは、ローカル認証されたユーザが以前に使用したパスワードを最大 15 個まで保存します。パスワードは最近のものから時系列の逆順で格納され、履歴カウントがしきい値に達した場合に、最も古いパスワードだけを再利用可能にします。

あるパスワードが再利用可能になる前に、ユーザはパスワード履歴カウントで設定された数のパスワードを作成して使用する必要があります。たとえば、パスワード履歴カウントを 8 に設定した場合、ローカル認証されたユーザは最初のパスワードを 9 番目のパスワードが期限切れになった後まで、最初のパスワードを再利用できません。

デフォルトでは、パスワード履歴は 0 に設定されます。この値は、履歴のカウントをディセーブルにし、ユーザはいつでも前のパスワードを使用できます。

必要に応じて、ローカル認証されたユーザについてパスワード履歴カウントをクリアし、以前のパスワードの再利用をイネーブルにできます。

パスワード変更間隔

パスワード変更間隔は、ローカル認証されたユーザが特定の時間内に行えるパスワード変更回数を制限することができます。次の表で、パスワード変更間隔の 2 つの設定オプションについて説明します。

間隔の設定 説明

パスワード変更不許可

このオプションでは、ローカル認証されたユーザは、パスワードの変更後、指定された時間内にはパスワードを変更できません。

1 ~ 745 時間の変更禁止間隔を指定できます。デフォルトでは、変更禁止間隔は 24 時間です。

たとえば、ローカル認証されたユーザが 48 時間の間パスワードを変更できないようにする場合、次のように設定します。

  • [Change During Interval] をディセーブルに

  • [No Change Interval] を 48 に

変更間隔内のパスワード変更許可

このオプションは、ローカル認証されたユーザのパスワードを事前に定義された時間内に変更できる最大回数を指定します。

変更間隔を 1 ~ 745 時間で、パスワード変更の最大回数を 0 ~ 10 で指定できます。デフォルトでは、ローカル認証されたユーザに対して、48 時間間隔内で最大 2 回のパスワード変更が許可されます。

たとえば、ローカル認証されたユーザがパスワードを変更した後 24 時間以内に 1 回まで変更できるようにする場合、次のように設定します。

  • [Change During Interval] をイネーブルに

  • [Change Count] を 1 に

  • [Change Interval] を 24 に

デフォルト認証サービスの選択

手順
    ステップ 1   セキュリティ モードを開始します。

    Firepower-chassis # scope security

    ステップ 2   デフォルト認証セキュリティ モードを開始します。

    Firepower-chassis /security # scopedefault-auth

    ステップ 3   デフォルト認証を指定します。

    Firepower-chassis /security/default-auth # set realmauth-type

    auth-type は、次のキーワードのいずれかです。

    • ldap:LDAP 認証を指定します

    • local:ローカル認証を指定します

    • none:ローカル ユーザはパスワードを指定せずにログインできます

    • radius:RADIUS 認証を指定します

    • tacacs:TACACS+ 認証を指定します

    ステップ 4   (任意)関連付けられたプロバイダー グループを指定します(存在する場合)。

    Firepower-chassis /security/default-auth # set auth-server-groupauth-serv-group-name

    ステップ 5   (任意) このドメインのユーザに許可する更新要求間隔の最大時間数を指定します。

    Firepower-chassis /security/default-auth # set refresh-periodseconds

    60 ~ 172800 の整数を指定します。デフォルトは 600 秒です。

    この時間制限を超えると、Firepower eXtensible Operating System は Web セッションを非アクティブであると見なしますが、セッションの終了は行いません。

    ステップ 6   (任意) 最後の更新要求から Firepower eXtensible Operating System が Web セッションが終了したと見なすまでの最大経過時間を指定します。

    Firepower-chassis /security/default-auth # set session-timeoutseconds

    60 ~ 172800 の整数を指定します。デフォルト値は 7200 秒です。

    (注)     

    RADIUS または TACACS+ レルムに対して二要素認証を設定する場合は、リモート ユーザが頻繁に再認証する必要がないよう、セッションの更新時間およびセッションのタイムアウト時間を増やすことを検討してください。

    ステップ 7   (任意) 認証方式をレルムの二要素認証に設定します。

    Firepower-chassis /security/default-auth # set use-2-factor yes

    (注)     

    二要素認証は、RADIUS および TACACS+ レルムにのみ適用されます。

    ステップ 8   トランザクションをシステム設定にコミットします。

    commit-buffer


    次の例では、デフォルトの認証を RADIUS に設定し、デフォルトの認証プロバイダー グループを provider1 に設定し、二要素認証をイネーブルにし、更新間隔を 7200 秒(2 時間)に設定し、セッションのタイムアウト間隔を 28800 秒(8 時間)に設定し、二要素認証をイネーブルにします。そして、トランザクションをコミットします。

    Firepower-chassis# scope security
    Firepower-chassis /security # scope default-auth
    Firepower-chassis /security/default-auth # set realm radius
    Firepower-chassis /security/default-auth* # set auth-server-group provider1
    Firepower-chassis /security/default-auth* # set use-2-factor yes
    Firepower-chassis /security/default-auth* # set refresh-period 7200
    Firepower-chassis /security/default-auth* # set session-timeout 28800
    Firepower-chassis /security/default-auth* # commit-buffer
    Firepower-chassis /security/default-auth # 
    

    リモート ユーザのロール ポリシーの設定

    デフォルトでは、LDAP、RADIUS、または TACACS プロトコルを使用してリモート サーバから Firepower Chassis Manager または FXOS CLI にログインするすべてのユーザに読み取り専用アクセス権が付与されます。セキュリティ上の理由から、確立されたユーザ ロールに一致するユーザにアクセスを制限することが望ましい場合があります。

    リモート ユーザのロール ポリシーは、次の方法で設定できます。
    assign-default-role

    ユーザがログインを試みたときに、リモート認証プロバイダーが認証情報を含むユーザ ロールを提供しないと、ユーザは読み取り専用ユーザ ロールでログインすることができます。

    これはデフォルトの動作です。

    no-login

    ユーザがログインを試みたときに、リモート認証プロバイダーが認証情報を含むユーザ ロールを提供しないと、アクセスは拒否されます。

    手順
      ステップ 1   セキュリティ モードを開始します。

      Firepower-chassis # scopesecurity

      ステップ 2   Firepower Chassis Manager および FXOS CLI へのユーザ アクセスをユーザ ロールに基づいて制限するかどうかを指定します。

      Firepower-chassis /security # set remote-user default-role {assign-default-role | no-login}

      ステップ 3   トランザクションをシステム設定にコミットします。

      Firepower-chassis /security # commit-buffer


      次の例では、リモート ユーザのロール ポリシーを設定し、トランザクションをコミットします。
      Firepower-chassis# scope security
      Firepower-chassis /security # set remote-user default-role no-login
      Firepower-chassis /security* # commit-buffer
      Firepower-chassis /security #

      ローカル認証されたユーザへのパスワード強度チェックの有効化

      パスワード強度チェックが有効化になっている場合、Firepower eXtensible Operating System では、強力なパスワードのガイドラインを満たしていないパスワードを選択できません(パスワードに関するガイドラインを参照)。

      手順
        ステップ 1   セキュリティ モードを開始します。

        Firepower-chassis # scopesecurity

        ステップ 2   パスワード強度チェックを有効化するかディセーブルにするかを指定します。

        Firepower-chassis /security # set enforce-strong-password {yes | no}


        次に、パスワード強度チェックをイネーブルにする例を示します。

        Firepower-chassis# scope security 
        Firepower-chassis /security # set enforce-strong-password yes 
        Firepower-chassis /security* # commit-buffer
        Firepower-chassis /security # 

        変更間隔のパスワード変更の最大数の設定

        手順
          ステップ 1   セキュリティ モードを開始します。

          Firepower-chassis # scopesecurity

          ステップ 2   パスワード プロファイル セキュリティ モードを開始します。

          Firepower-chassis /security # scope password-profile

          ステップ 3   ローカル認証されたユーザが指定した時間内にパスワードを変更できる回数を制限します。

          Firepower-chassis /security/password-profile # set change-during-interval enable

          ステップ 4   ローカル認証されたユーザが、[Change Interval] の間に自分のパスワードを変更できる最大回数を指定します。

          Firepower-chassis /security/password-profile # set change-count pass-change-num

          この値は、0 ~ 10 から自由に設定できます。

          ステップ 5   [Change Count] フィールドで指定したパスワード変更回数が適用される最大時間数を指定します。

          Firepower-chassis /security/password-profile # set change-interval num-of-hours

          この値は、1 ~ 745 時間から自由に設定できます。

          たとえば、このフィールドが 48 に設定され、[Change Count] フィールドが 2 に設定されている場合、ローカル認証されたユーザは 48 時間以内に 2 回を超えるパスワード変更を実行することはできません。

          ステップ 6   トランザクションをシステム設定にコミットします。

          Firepower-chassis /security/password-profile # commit-buffer


          次の例は、change during interval オプションをイネーブルにし、変更回数を 5 回、変更間隔を 72 時間に設定し、トランザクションをコミットします。

          Firepower-chassis # scope security
          Firepower-chassis /security # scope password-profile
          Firepower-chassis /security/password-profile # set change-during-interval enable
          Firepower-chassis /security/password-profile* # set change-count 5
          Firepower-chassis /security/password-profile* # set change-interval 72
          Firepower-chassis /security/password-profile* # commit-buffer
          Firepower-chassis /security/password-profile # 

          パスワードの変更禁止間隔の設定

          手順
            ステップ 1   セキュリティ モードを開始します。

            Firepower-chassis # scopesecurity

            ステップ 2   パスワード プロファイル セキュリティ モードを開始します。

            Firepower-chassis /security # scope password-profile

            ステップ 3   間隔中の変更機能をディセーブルにします。

            Firepower-chassis /security/password-profile # set change-during-interval disable

            ステップ 4   ローカル認証されたユーザが、新しく作成したパスワードを変更する前に待機する最小時間数を指定します。

            Firepower-chassis /security/password-profile # set no-change-interval min-num-hours

            この値は、1 ~ 745 時間から自由に設定できます。

            この間隔は、[Change During Interval] プロパティが [Disable] に設定されていない場合、無視されます。

            ステップ 5   トランザクションをシステム設定にコミットします。

            Firepower-chassis /security/password-profile # commit-buffer


            次に、間隔中の変更オプションをディセーブルにし、変更禁止間隔を 72 時間に設定し、トランザクションをコミットする例を示します。

            Firepower-chassis # scope security
            Firepower-chassis /security # scope password-profile
            Firepower-chassis /security/password-profile # set change-during-interval disable
            Firepower-chassis /security/password-profile* # set no-change-interval 72
            Firepower-chassis /security/password-profile* # commit-buffer
            Firepower-chassis /security/password-profile # 

            パスワード履歴カウントの設定

            手順
              ステップ 1   セキュリティ モードを開始します。

              Firepower-chassis # scopesecurity

              ステップ 2   パスワード プロファイル セキュリティ モードを開始します。

              Firepower-chassis /security # scope password-profile

              ステップ 3   ローカル認証されたユーザが、以前に使用したパスワードを再利用できるようになるまでに、作成する必要がある一意のパスワードの数を指定します

              Firepower-chassis /security/password-profile # set history-count num-of-passwords

              この値は、0 ~ 15 から自由に設定できます。

              デフォルトでは、[History Count] フィールドは 0 に設定されます。これは、履歴カウントをディセーブルにし、ユーザはいつでも前に使用されたパスワードを再使用できます。

              ステップ 4   トランザクションをシステム設定にコミットします。

              Firepower-chassis /security/password-profile # commit-buffer


              次の例は、パスワード履歴カウントを設定し、トランザクションをコミットします。

              Firepower-chassis # scope security
              Firepower-chassis /security # scope password-profile
              Firepower-chassis /security/password-profile # set history-count 5
              Firepower-chassis /security/password-profile* # commit-buffer
              Firepower-chassis /security/password-profile # 

              ローカル ユーザ アカウントの作成

              手順
                ステップ 1   セキュリティ モードを開始します。

                Firepower-chassis# scope security

                ステップ 2   ユーザ アカウントを作成します。

                Firepower-chassis /security # create local-user local-user-name

                ステップ 3   ローカル ユーザ アカウントを有効化するかディセーブルにするかを指定します。

                Firepower-chassis /security/local-user # set account-status {active| inactive}

                ステップ 4   ユーザ アカウントのパスワードを設定します。

                Firepower-chassis /security/local-user # set password

                パスワードを入力します。password

                パスワードを確認します。password

                ステップ 5   (任意)ユーザの名を指定します。

                Firepower-chassis /security/local-user # set firstname first-name

                ステップ 6   (任意)ユーザの姓を指定します。

                Firepower-chassis /security/local-user # set lastname last-name

                ステップ 7   (任意)ユーザ アカウントが期限切れになる日付を指定します。month 引数は、月の英名の最初の 3 文字です。

                Firepower-chassis /security/local-user # set expiration month day-of-month year

                (注)     

                ユーザ アカウントに有効期限日付を設定した後は、アカウントの有効期限をなくすよう再設定できません。ただし、使用できる最新の有効期限日付でアカウントを設定することは可能です。

                ステップ 8   (任意)ユーザの電子メール アドレスを指定します。

                Firepower-chassis /security/local-user # set email email-addr

                ステップ 9   (任意)ユーザの電話番号を指定します。

                Firepower-chassis /security/local-user # set phone phone-num

                ステップ 10   (任意)パスワードレス アクセス用の SSH キーを指定します。

                Firepower-chassis /security/local-user # set sshkey ssh-key

                ステップ 11   トランザクションをコミットします。

                Firepower-chassis security/local-user # commit-buffer


                次の例は、kikipopo という名前のユーザ アカウントを作成し、ユーザ アカウントをイネーブルにし、foo12345 にパスワードを設定し、トランザクションをコミットします。

                Firepower-chassis# scope security
                Firepower-chassis /security # create local-user kikipopo
                Firepower-chassis /security/local-user* # set account-status active
                Firepower-chassis /security/local-user* # set password
                Enter a password:
                Confirm the password:
                Firepower-chassis /security/local-user* # commit-buffer
                Firepower-chassis /security/local-user # 
                
                

                次の例は、lincey という名前のユーザ アカウントを作成し、ユーザ アカウントをイネーブルにし、パスワードレス アクセス用の OpenSSH キーを設定し、トランザクションをコミットします。

                Firepower-chassis# scope security
                Firepower-chassis /security # create local-user lincey
                Firepower-chassis /security/local-user* # set account-status active
                Firepower-chassis /security/local-user* #  set sshkey "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAuo9VQ2CmWBI9/S1f30klCWjnV3lgdXMzO0WUl5iPw85lkdQqap+NFuNmHcb4K
                iaQB8X/PDdmtlxQQcawclj+k8f4VcOelBxlsGk5luq5ls1ob1VOIEwcKEL/h5lrdbNlI8y3SS9I/gGiBZ9ARlop9LDpD
                m8HPh2LOgyH7Ei1MI8="
                Firepower-chassis /security/local-user* # commit-buffer
                Firepower-chassis /security/local-user # 
                
                

                次の例は、jforlenz という名前のユーザ アカウントを作成し、ユーザ アカウントをイネーブルにし、パスワードレス アクセス用のセキュア SSH キーを設定し、トランザクションをコミットします。

                Firepower-chassis# scope security
                Firepower-chassis /security # create local-user jforlenz
                Firepower-chassis /security/local-user* # set account-status active
                Firepower-chassis /security/local-user* #  set sshkey
                Enter lines one at a time. Enter ENDOFBUF to finish. Press ^C to abort.
                User's SSH key:
                > ---- BEGIN SSH2 PUBLIC KEY ----
                >AAAAB3NzaC1yc2EAAAABIwAAAIEAuo9VQ2CmWBI9/S1f30klCWjnV3lgdXMzO0WUl5iPw8
                >5lkdQqap+NFuNmHcb4KiaQB8X/PDdmtlxQQcawclj+k8f4VcOelBxlsGk5luq5ls1ob1VO
                >IEwcKEL/h5lrdbNlI8y3SS9I/gGiBZ9ARlop9LDpDm8HPh2LOgyH7Ei1MI8=
                > ---- END SSH2 PUBLIC KEY ----
                > ENDOFBUF
                Firepower-chassis /security/local-user* # commit-buffer
                Firepower-chassis /security/local-user # 
                

                ローカル ユーザ アカウントの削除

                手順
                  ステップ 1   セキュリティ モードを開始します。

                  Firepower-chassis# scope security

                  ステップ 2   ローカルユーザ アカウントを削除します。

                  Firepower-chassis /security # delete local-userlocal-user-name

                  ステップ 3   トランザクションをシステム設定にコミットします。

                  Firepower-chassis /security #commit-buffer


                  次に、foo というユーザ アカウントを削除し、トランザクションをコミットする例を示します。

                  Firepower-chassis# scope security
                  Firepower-chassis /security # delete local-user foo
                  Firepower-chassis /security* # commit-buffer
                  Firepower-chassis /security # 
                  

                  ローカル ユーザ アカウントのアクティブ化または非アクティブ化

                  ローカル ユーザ アカウントをアクティブ化または非アクティブ化できるのは、admin 権限または AAA 権限を持つユーザのみです。

                  手順
                    ステップ 1   セキュリティ モードを開始します。

                    Firepower-chassis# scope security

                    ステップ 2   アクティブ化または非アクティブ化するユーザに対してローカルユーザ セキュリティ モードを開始します。

                    Firepower-chassis /security # scope local-userlocal-user-name

                    ステップ 3   ローカル ユーザ アカウントをアクティブ化するか非アクティブ化するかを指定します。

                    Firepower-chassis /security/local-user # set account-status {active | inactive}

                    (注)     

                    admin ユーザ アカウントは常にアクティブに設定されます。変更はできません。


                    次に、accounting というローカル ユーザ アカウントをイネーブルにする例を示します。

                    Firepower-chassis# scope security
                    Firepower-chassis /security # scope local-user accounting
                    Firepower-chassis /security/local-user # set account-status active
                    

                    ローカル認証されたユーザのパスワード履歴のクリア

                    手順
                      ステップ 1   セキュリティ モードを開始します。

                      Firepower-chassis # scopesecurity

                      ステップ 2   指定したユーザ アカウントに対してローカル ユーザ セキュリティ モードを開始します。

                      Firepower-chassis /security # scope local-user user-name

                      ステップ 3   指定したユーザ アカウントのパスワード履歴をクリアします。

                      Firepower-chassis /security/local-user # clear password-history

                      ステップ 4   トランザクションをシステム設定にコミットします。

                      Firepower-chassis /security/local-user # commit-buffer


                      次の例は、パスワード履歴カウントを設定し、トランザクションをコミットします。

                      Firepower-chassis # scope security
                      Firepower-chassis /security # scope local-user admin
                      Firepower-chassis /security/local-user # clear password-history
                      Firepower-chassis /security/local-user* # commit-buffer
                      Firepower-chassis /security/local-user #