Cisco ASA 5580 適応型セキュリティ アプライアン ス コマンド ライン コンフィギュレーション ガイド
システム アクセスの管理
システム アクセスの管理
発行日;2012/01/16 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

システム アクセスの管理

Telnet アクセスの許可

SSH アクセスの許可

SSH アクセスの設定

SSH クライアントの使用

ASDM 用のHTTPS アクセスの許可

HTTPS アクセスのイネーブル化

PC から ASDM へのアクセス

VPN トンネル終端インターフェイスからの異なるインターフェイス上のセキュリティ アプライアンスの管理

システム管理者用 AAA の設定

CLI および ASDM アクセスの認証の設定

特権 EXEC モードにアクセスするための認証の設定(enable コマンド)

enable コマンドの認証の設定

login コマンドによるユーザの認証

管理認可によるユーザ CLI および ASDM アクセスの制限

コマンド認可の設定

コマンド認可の概要

ローカル コマンド認可の設定

TACACS+ コマンド認可の設定

コマンド アカウンティングの設定

現在のログイン ユーザの表示

ロックアウトからの回復

ログイン バナーの設定

システム アクセスの管理

この章では、Telnet、SSH、および HTTPS(ASDM を使用)を介してシステム管理のためにadaptive security applianceにアクセスする方法について説明します。また、ユーザを認証および認可する方法とログイン バナーを作成する方法についても説明します。

この章は、次の項で構成されています。

「Telnet アクセスの許可」

「SSH アクセスの許可」

「ASDM 用のHTTPS アクセスの許可」

「VPN トンネル終端インターフェイスからの異なるインターフェイス上のセキュリティ アプライアンスの管理」

「システム管理者用 AAA の設定」

「ログイン バナーの設定」


) 管理アクセス用のadaptive security appliance インターフェイスにアクセスするために、ホスト IP アドレスを許可するアクセスリストを併せて使用する必要はありません。この章の各項で説明する手順に従って、管理アクセスだけを設定する必要があります。


Telnet アクセスの許可

adaptive security applianceは、管理目的でadaptive security applianceへの Telnet 接続を許可します。IPSec トンネル内で Telnet を使用する場合を除き、最も低いセキュリティ インターフェイスに対して Telnet を使用できません。

adaptive security applianceは、コンテキストごとに最大 5 つの同時 Telnet 接続を許可し、可能な場合は、最大 100 の接続がすべてのコンテキストの間で分割されます。

adaptive security applianceへの Telnet アクセスを設定するには、次の手順を実行します。


ステップ 1 adaptive security applianceが接続を受け入れる送信元 IP アドレスを指定するには、アドレスまたはサブネットごとに、次のコマンドを入力します。

hostname(config)# telnet source_IP_address mask source_interface
 

インターフェイスが 1 つしかない場合は、インターフェイスのセキュリティ レベルが 100 である限り、そのインターフェイスにアクセスするように Telnet を設定できます。

ステップ 2 (オプション)adaptive security applianceが Telnet セッションを切断するまでに、セッションがアイドル状態を維持する時間の長さを設定するには、次のコマンドを入力します。

hostname(config)# telnet timeout minutes
 

タイムアウトは 1 ~ 1440 分に設定します。デフォルトは 5 分です。デフォルト値では一般に短かすぎるので、実働前のテストとトラブルシューティングがすべて完了するまでは、長めに設定しておいてください。


 

たとえば、192.168.1.2 というアドレスを持つ内部インターフェイス上のホストからadaptive security applianceにアクセスするには、次のように入力します。

hostname(config)# telnet 192.168.1.2 255.255.255.255 inside
hostname(config)# telnet timeout 30
 

192.168.3.0 ネットワーク上のすべてのユーザが内部インターフェイス上のadaptive security applianceにアクセスできるようにするには、次のコマンドを入力します。

hostname(config)# telnet 192.168.3.0 255.255.255.0 inside
 

SSH アクセスの許可

adaptive security applianceは、管理目的でadaptive security applianceへの SSH 接続を許可します。adaptive security applianceは、コンテキストごとに最大 5 つの同時 SSH 接続を許可し、可能な場合は、最大 100 の接続がすべてのコンテキストの間で分割されます。

SSH は、強力な認証と暗号化機能を提供する TCP/IP など、信頼性の高いトランスポート レイヤで実行されるアプリケーションです。adaptive security applianceは SSH バージョン 1 および 2 で提供されている SSH リモート シェル機能をサポートし、DES 暗号および 3DES 暗号をサポートします。


) SSL および SSH での XML 管理はサポートされていません。


この項は、次の内容で構成されています。

「SSH アクセスの設定」

「SSH クライアントの使用」

SSH アクセスの設定

adaptive security applianceへの SSH アクセスを設定するには、次の手順を実行します。


ステップ 1 SSH に必要な RSA キー ペアを生成するには、次のコマンドを入力します。

hostname(config)# crypto key generate rsa modulus modulus_size
 

係数(ビット単位)は 512、768、1024、または 2048 です。指定するキー係数のサイズが大きいほど、RSA の生成にかかる時間は長くなります。値は 1024 にすることを推奨します。

ステップ 2 永続的なフラッシュ メモリに RSA キーを保存するには、次のコマンドを入力します。

hostname(config)# write mem
 

ステップ 3 adaptive security applianceが接続を受け入れる送信元 IP アドレスを指定するには、アドレスまたはサブネットごとに、次のコマンドを入力します。

hostname(config)# ssh source_IP_address mask source_interface
 

adaptive security applianceは、最も低いセキュリティ レベルの接続も含め、すべてのインターフェイスから SSH 接続を受け入れます。

ステップ 4 (オプション)adaptive security applianceが SSH セッションを切断するまでに、セッションがアイドル状態を維持する時間の長さを設定するには、次のコマンドを入力します。

hostname(config)# ssh timeout minutes
 

タイムアウトは 1 ~ 60 分に設定します。デフォルトは 5 分です。デフォルト値では一般に短かすぎるので、実働前のテストとトラブルシューティングがすべて完了するまでは、長めに設定しておいてください。


 

たとえば、RSA キーを生成し、192.168.1.2 というアドレスを持つ内部インターフェイス上のホストからadaptive security applianceにアクセスするには、次のように入力します。

hostname(config)# crypto key generate rsa modulus 1024
hostname(config)# write mem
hostname(config)# ssh 192.168.1.2 255.255.255.255 inside
hostname(config)# ssh 192.168.1.2 255.255.255.255 inside
hostname(config)# ssh timeout 30
 

192.168.3.0 ネットワーク上のすべてのユーザが内部インターフェイス上のadaptive security applianceにアクセスできるようにするには、次のコマンドを入力します。

hostname(config)# ssh 192.168.3.0 255.255.255.0 inside
 

デフォルトでは、SSH はバージョン 1 とバージョン 2 の両方を許可します。バージョン番号を指定するには、次のコマンドを入力します。

hostname(config)# ssh version version_number

version_number には 1 または 2 を指定します。

SSH クライアントの使用

SSH を使用してadaptive security applianceコンソールにアクセスするには、SSH クライアントでユーザ名 pix を入力し、 password コマンドで設定したログイン パスワードを入力します(「ログイン パスワードの変更」を参照してください)。

SSH セッションを開始すると、次のように SSH ユーザ認証プロンプトが表示される前に、adaptive security appliance コンソール上にドット(.)が表示されます。

hostname(config)# .
 

ドットが表示されても、SSH の機能には影響を与えません。コンソールにドットが表示されるのは、ユーザ認証が始まる前で、サーバ キーを生成する場合か、または SSH キー交換中に秘密キーを使用してメッセージを暗号化する場合です。これらのタスクには 2 分以上かかることがあります。ドットは、adaptive security applianceがビジー状態で、ハングしていないことを示す進捗インジケータです。

ASDM 用のHTTPS アクセスの許可

ASDM を使用するには、HTTPS サーバをイネーブルにし、adaptive security applianceへの HTTPS 接続を許可する必要があります。 setup コマンドを使用すると、これらのタスクがすべて完了します。この項では、ASDM アクセスを手動で設定し、ASDM へログインする方法について説明します。

セキュリティ アプライアンスは、コンテキストごとに最大 5 つの同時 ASDM インスタンスを許可し、可能な場合は、最大 32 の ASDM インスタンスがすべてのコンテキストの間で許可されます。

この項は、次の内容で構成されています。

「HTTPS アクセスのイネーブル化」

「PC から ASDM へのアクセス」

HTTPS アクセスのイネーブル化

ASDM アクセスを設定するには、次の手順を実行します。


ステップ 1 adaptive security applianceが HTTPS 接続を受け入れる送信元 IP アドレスを指定するには、アドレスまたはサブネットごとに、次のコマンドを入力します。

hostname(config)# http source_IP_address mask source_interface
 

ステップ 2 HTTPS サーバをイネーブルにするには、次のコマンドを入力します。

hostname(config)# http server enable [port]
 

デフォルトでは、ポートは 443 です。ポート番号を変更する場合、ASDM アクセス URL に新しいポートを含めてください。たとえば、ポート 444 に変更する場合、次のように入力します。

https://10.1.1.1:444
 

ステップ 3 ASDM イメージのロケーションを指定するには、次のコマンドを入力します。

hostname(config)# asdm image disk0:/asdmfile
 


 

たとえば、HTTPS サーバをイネーブルにして、192.168.1.2 というアドレスを持つ内部インターフェイス上のホストから ASDM にアクセスするには、次のように入力します。

hostname(config)# crypto key generate rsa modulus 1024
hostname(config)# write mem
hostname(config)# http server enable
hostname(config)# http 192.168.1.2 255.255.255.255 inside
 

192.168.3.0 ネットワーク上のすべてのユーザが内部インターフェイス上の ASDM にアクセスできるようにするには、次のコマンドを入力します。

hostname(config)# http 192.168.3.0 255.255.255.0 inside

PC から ASDM へのアクセス

adaptive security appliance ネットワーク上でサポートされる Web ブラウザから、次の URL を入力します。

https://interface_ip_address[:port]
 

透過ファイアウォール モードでは、管理 IP アドレスを入力します。

VPN トンネル終端インターフェイスからの異なるインターフェイス上のセキュリティ アプライアンスの管理

IPSec VPN トンネルが 1 つのインターフェイス上で終端されているが、異なるインターフェイスへアクセスすることによってadaptive security applianceを管理する場合、次のコマンドを入力します。

hostname(config)# management access management_interface
 

ここで management_interface は、別のインターフェイスからセキュリティ アプライアンスを入力する際にアクセスする管理インターフェイスの名前を指定します。

たとえば、外部インターフェイスからadaptive security applianceを入力する場合、このコマンドは Telnet を使用して内部インターフェイスへ接続できるようにします。または外部インターフェイスから入力する際、内部インターフェイスへ ping できます。

管理アクセス インターフェイスは 1 つだけ定義できます。

システム管理者用 AAA の設定

この項では、システム管理者の認証とコマンド認可をイネーブルにする方法について説明します。システム管理者の AAA を設定する前に、まず 第 12 章「AAA サーバおよびローカル データベースのサポート」 に従ってローカル データベースまたは AAA サーバを設定します。

この項は、次の内容で構成されています。

「CLI および ASDM アクセスの認証の設定」

「特権 EXEC モードにアクセスするための認証の設定(enable コマンド)」

「管理認可によるユーザ CLI および ASDM アクセスの制限」

「コマンド認可の設定」

「コマンド アカウンティングの設定」

「現在のログイン ユーザの表示」

「ロックアウトからの回復」

CLI および ASDM アクセスの認証の設定

CLI 認証をイネーブル化する場合、adaptive security appliance ログインのためユーザ名とパスワードの入力を求めるプロンプトを表示します。情報を入力した後、ユーザ EXEC モードにアクセスできるようになります。

特権 EXEC モードに入るには、 enable コマンドまたは login コマンドを入力します(ローカル データベースを使用している場合だけ)。

イネーブル 認証を設定する場合(「enable コマンドの認証の設定」を参照)は、adaptive security applianceによってユーザ名とパスワードの入力を求めるプロンプトが表示されます。 イネーブル 認証を設定しない場合は、 enable コマンドを入力する際にシステム イネーブル パスワードを入力します( enable password コマンドで設定)。ただし、 イネーブル 認証を使用しない場合、 enable コマンドを入力した後、特定のユーザとしてログインする必要はありません。ユーザ名を保持するには、 イネーブル 認証を使用します。

ローカル データベースを使用して認証する場合は、 login コマンドを使用できます。これにより、ユーザ名が保持されますが、認証をオンにする設定は必要ありません。


) adaptive security applianceで Telnet、SSH、または HTTP ユーザを認証できるようにするには、まず telnetssh、および http コマンドを使用してadaptive security applianceへのアクセスを設定する必要があります。これらのコマンドは、adaptive security applianceとの通信が許可された IP アドレスを識別します。


CLI にアクセスするユーザを認証するには、次のコマンドを入力します。

hostname(config)# aaa authentication {telnet | ssh | http | serial} console {LOCAL | server_group [LOCAL]}
 

http キーワードは、HTTPS を使用して ASDM にアクセスするadaptive security appliance クライアントを認証します。HTTP 認証を設定する必要があるのは、AAA サーバを使用する場合だけです。デフォルトでは、このコマンドを設定しない場合でも、ASDM は認証にローカル データベースを使用します。HTTP 管理認証では、AAA サーバ グループ用の SDI プロトコルをサポートしていません。

認証に AAA サーバ グループを使用する場合は、AAA サーバが使用できないときにローカル データベースをフォールバック方式として使用するようにadaptive security applianceを設定できます。サーバ グループ名の後ろに LOCAL を指定します( LOCAL は大文字と小文字を区別します)。adaptive security applianceは、どちらの方式を使用しているかを示すプロンプトを表示しないため、ローカル データベースと AAA サーバで同じユーザ名とパスワードを使用することをお勧めします。

LOCAL だけを入力して、ローカル データベースを認証の主要方式として(フォールバックなしで)使用することもできます。

特権 EXEC モードにアクセスするための認証の設定(enable コマンド)

ユーザが enable コマンドを入力したときに AAA サーバまたはローカル データベースでそれらのユーザを認証するようにadaptive security applianceを設定できます。あるいは、ユーザは login コマンドを入力したときにローカル データベースで自動的に認証されます。この場合も、ローカル データベース内のユーザ レベルに応じて特権 EXEC モードにアクセスします。

この項は、次の内容で構成されています。

「enable コマンドの認証の設定」

「login コマンドによるユーザの認証」

enable コマンドの認証の設定

ユーザが enable コマンドを入力したときに認証されるようにadaptive security applianceを設定できます。 enable コマンドを認証しない場合は、 enable を入力したときに、adaptive security applianceがシステム イネーブル パスワード( enable password コマンドで設定)の入力を求めるプロンプトを表示します。この場合、特定のユーザとしてログインする必要はありません。 enable コマンドに認証を適用すると、ユーザ名が保持されます。この機能は、ユーザが入力できるコマンドを判別するためにユーザ名が重要な役割を果たすコマンド認可を実行する場合に特に役立ちます。

enable コマンドを入力するユーザを認証するには、次のコマンドを入力します。

hostname(config)# aaa authentication enable console {LOCAL | server_group [LOCAL]}
 

ユーザ名とパスワードの入力を求めるプロンプトがユーザに対して表示されます。

認証に AAA サーバ グループを使用する場合は、AAA サーバが使用できないときにローカル データベースをフォールバック方式として使用するようにadaptive security applianceを設定できます。サーバ グループ名の後ろに LOCAL を指定します( LOCAL は大文字と小文字を区別します)。adaptive security applianceは、どちらの方式を使用しているかを示すプロンプトを表示しないため、ローカル データベースと AAA サーバで同じユーザ名とパスワードを使用することをお勧めします。

LOCAL だけを入力して、ローカル データベースを認証の主要方式として(フォールバックなしで)使用することもできます。

login コマンドによるユーザの認証

ユーザ EXEC モードから、 login コマンドを使用してローカル データベース内のユーザ名でログインできます。

この機能を使用すると、ユーザは独自のユーザ名とパスワードでログインして特権 EXEC モードにアクセスすることができるので、システム イネーブル パスワードを全員に提供する必要がなくなります。ユーザがログインしたときに特権 EXEC モード(およびすべてのコマンド)へのアクセスを許可するには、ユーザ特権レベルを 2(デフォルト)~ 15 に設定します。ローカル コマンド認可を設定した場合、ユーザはその特権レベルまたはそれ以下のレベルに割り当てられたコマンドだけを入力できます。詳細については、「ローカル コマンド認可の設定」を参照してください。


注意 CLI へのアクセス権を取得できるユーザを特権 EXEC モードに入れないようにするには、そのユーザをローカル データベースに追加する際にコマンド認可を設定する必要があります。コマンド認可がない場合、ユーザは、特権レベルが 2 以上(デフォルトは 2)であれば、CLI で独自のパスワードを使用して特権 EXEC モード(およびすべてのコマンド)にアクセスできます。あるいは、認証に AAA サーバを使用するか、またはすべてのローカル ユーザをレベル 1 に設定することにより、誰がシステム イネーブル パスワードで特権 EXEC モードにアクセスできるかを制御できます。

ローカル データベースからユーザとしてログインするには、次のコマンドを入力します。

hostname> login
 

adaptive security applianceにより、ユーザ名とパスワードの入力を求めるプロンプトが表示されます。パスワードを入力すると、adaptive security applianceにより、ユーザはローカル データベースで指定されている特権レベルに置かれます。

管理認可によるユーザ CLI および ASDM アクセスの制限

CLI または enable 認証を設定する場合、CLI、ASDM、または enable コマンドへのアクセスから、ローカル ユーザ、RADIUS、TACACS+、または LDAP ユーザ(LDAP 属性を RADIUS 属性へマッピングしている場合)を制限できます。


) シリアル アクセスは管理認可に含まれないため、aaa authentication serial console を設定する場合、認証を行うユーザはコンソール ポートへアクセスできます。


管理認可を設定するには、次の手順を実行します。


ステップ 1 管理認可をイネーブルにするには、次のコマンドを入力します。

hostname(config)# aaa authorization exec authentication-server
 

このコマンドは RADIUS からの管理ユーザ特権レベルのサポートもイネーブル化し、コマンド認可のためのローカル コマンド特権レベルとともに使用できます。詳細については、「ローカル コマンド認可の設定」を参照してください。

ステップ 2 管理認可のユーザを設定するには、各 AAA サーバ タイプまたはローカル ユーザに対する次の要件を参照してください。

RADIUS または LDAP(マッピング)ユーザ:次の値の 1 つに対してサービス タイプ属性を設定します (LDAP 属性をマッピングするには、「LDAP アトリビュート マッピング」を参照)。

サービス タイプ 6(管理用): aaa authentication console コマンドで指定されたサービスへの完全アクセスを許可します。

サービス タイプ 7(NAS プロンプト): aaa authentication { telnet | ssh} console コマンドを設定する場合、CLI へのアクセスを許可しますが、 aaa authentication http console コマンドを設定する場合、ASDM コンフィギュレーション アクセスを拒否します。ASDM モニタリング アクセスは許可されます。 aaa authentication enable console コマンドで enable 認証を設定する場合、ユーザは enable コマンドを使用して特権 EXEC モードにアクセスできません。

サービス タイプ 5(発信):管理アクセスを拒否します。ユーザは aaa authentication console コマンドによって指定されたサービスを使用できません( serial キーワードを除く。シリアル アクセスは許可)。リモート アクセス(IPSec および SSL)ユーザはリモート アクセス セッションを認証および終了できます。

TACACS+ ユーザ:認可は「service=shell」で要求され、サーバは PASS または FAIL で応答します。

PASS、特権レベル 1: aaa authentication console コマンドによって指定されたサービスへの完全アクセスを許可します。

PASS、特権レベル 2 以上: aaa authentication { telnet | ssh} console コマンドを設定する場合、CLI へのアクセスを許可しますが、 aaa authentication http console コマンドを設定する場合、ASDM コンフィギュレーション アクセスを拒否します。ASDM モニタリング アクセスは許可されます。 aaa authentication enable console コマンドで enable 認証を設定する場合、ユーザは enable コマンドを使用して特権 EXEC モードにアクセスできません。

FAIL:管理アクセスを拒否します。ユーザは aaa authentication console コマンドによって指定されたサービスを使用できません( serial キーワードを除く。シリアル アクセスは許可)。

ローカル ユーザ: service-type コマンドを設定します。「ローカル データベースの設定」を参照してください。デフォルトでは、 service-type admin で、 aaa authentication console コマンドによって指定されたサービスへの完全アクセスが許可されます。


 

コマンド認可の設定

コマンドへのアクセスを制御する場合は、adaptive security applianceでコマンド認可を設定し、ユーザが使用できるコマンドを決定できます。デフォルトでは、ログイン時に、最小限のコマンドだけが提供されるユーザ EXEC モードにアクセスできます。 enable コマンド(またはローカル データベースを使用する場合は login コマンド)を入力すると、特権 EXEC モードおよびコンフィギュレーション コマンドなどの拡張コマンドにアクセスできます。

この項は、次の内容で構成されています。

「コマンド認可の概要」

「ローカル コマンド認可の設定」

「TACACS+ コマンド認可の設定」

コマンド認可の概要

この項ではコマンド認可について説明し、次の項目を取り上げます。

「サポートされるコマンド認可方法」

「セキュリティ コンテキストおよびコマンド認可」

サポートされるコマンド認可方法

次の 2 つのコマンド認可方法のいずれかを使用します。

ローカル特権レベル:adaptive security applianceのコマンド特権レベルを設定します。ローカル、RADIUS、または LDAP(LDAP 属性を RADIUS 属性へマッピングする場合)ユーザが CLI アクセスのための認証を受けると、adaptive security applianceはユーザをローカル データベース、RADIUS、または LDAP サーバによって定義されている特権レベルに置きます。ユーザはそのユーザの特権レベルおよびそれ以下のレベルのコマンドにアクセスできます。すべてのユーザは、最初のログイン時にユーザ EXEC モードにアクセスします(レベル 0 または 1 のコマンド)。ユーザは特権 EXEC モード(レベル 2 以上のコマンド)にアクセスするには enable コマンドで再度認証する必要があります。または login コマンドでログインできます(ローカル データベースだけ)。


) ローカル データベース内のユーザが存在しない場合、および CLI 認証やイネーブル認証がない場合でも、ローカル コマンド認可は使用できます。代わりに、enable コマンドを入力するときにシステム イネーブル パスワードを入力すると、adaptive security applianceによってレベル 15 に置かれます。これにより、enable n(2 ~ 15)を入力したときに、adaptive security applianceによってレベル n に置かれるようになります。これらのレベルは、ローカル コマンド認可をオンにするまで使用されません(後述の「ローカル コマンド認可の設定」を参照してください)。(enable の詳細については、『Cisco ASA 5580 Adaptive Security Appliance Command Reference 』を参照してください)


TACACS+ サーバ特権レベル:TACACS+ サーバ上で、ユーザまたはグループが CLI アクセス認証後に使用できるコマンドを設定します。CLI でユーザが入力するコマンドはすべて TACACS+ サーバでチェックされます。

セキュリティ コンテキストおよびコマンド認可

複数のセキュリティ コンテキストでのコマンド認可を実装する場合、考慮すべき重要な点を次に示します。

AAA 設定はコンテキストごとに別々であり、コンテキスト間で共有されません。

コマンド認可の設定時に、各セキュリティ コンテキストを別々に設定する必要があります。これにより、異なるセキュリティ コンテキストに対して異なるコマンド認可を指定できます。

セキュリティ コンテキストを切り替えると、管理者はログイン時に指定されたユーザ名に対して許可されたコマンドが次のコンテキスト セッションでは異なる、またはコマンド認可が新しいコンテキストで設定されない可能性があることに注意する必要があります。コマンド認可がセキュリティ コンテキスト間で異なることを理解していない場合、管理者を混乱させる可能性があります。この動作は、次の点でさらに複雑になります。

changeto コマンドで開始された新しいコンテキスト セッションは、以前のコンテキスト セッションで使用されていたユーザ名にかかわらず、デフォルトの「enable_15」ユーザ名を管理者 ID として使用します。この動作は、コマンド認可が enable_15 ユーザに対して設定されていない、または認可が enable_15 ユーザと以前のコンテキスト セッションのユーザとで異なる場合、混乱を招く可能性があります。

この動作はまた、発行された各コマンドを特定の管理者へ正しく関連付けられる場合にだけ有用なコマンド アカウンティングにも影響します。 changeto コマンドを使用する権限のあるすべての管理者は他のコンテキストで enable_15 ユーザ名を使用できるため、コマンド アカウンティング レコードは enable_15 ユーザ名でログインしたユーザを容易に識別できない可能性があります。各コンテキストに対して異なるアカウンティング サーバを使用する場合、enable_15 ユーザ名を使用したユーザをトラッキングするには、複数サーバからのデータを関連付ける必要があります。

コマンド認可を設定する際、次のことを考慮してください。

changeto コマンドを使用する権限のある管理者は、その他の各コンテキストで enable_15 ユーザに対して許可されたすべてのコマンドを使用する権限を持ちます。

コンテキストごとに異なるコマンドを認可する場合、各コンテキストで enable_15 ユーザ名が、 changeto コマンドの使用を許可されている管理者に対して拒否されているコマンドの使用を拒否されるようにしてください。

セキュリティ コンテキストを切り替えると、管理者は特権 EXEC モードを終了し、 enable コマンドを再入力して必要なユーザ名を使用できます。


) システム実行スペースは AAA コマンドをサポートしないため、コマンド認可はシステム実行スペースでは使用できません。


ローカル コマンド認可の設定

ローカル コマンド認可で、コマンドを 16 の特権レベル(0 ~ 15)のいずれかに割り当てることができます。デフォルトでは、各コマンドは特権レベル 0 または 15 に割り当てられます。各ユーザを特定の特権レベルになるよう定義することができ、各ユーザは特権レベル以下のコマンドを入力できます。adaptive security applianceはローカル データベース、RADIUS サーバ、または LDAP サーバ(LDAP 属性を RADIUS 属性にマッピングしている場合。「LDAP アトリビュート マッピング」を参照してください。)で定義されたユーザ特権レベルをサポートしています 。

この項は、次の内容で構成されています。

「ローカル コマンド認可の前提条件」

「デフォルトのコマンド特権レベル」

「コマンドへの特権レベルの割り当てと認可のイネーブル化」

「コマンド特権レベルの表示」

ローカル コマンド認可の前提条件

コマンド認可コンフィギュレーションの一部として、次のタスクを実行します。

enable 認証を設定します(「特権 EXEC モードにアクセスするための認証の設定(enable コマンド)」を参照してください)。

enable 認証は、ユーザが enable コマンドへアクセスした後でユーザ名を維持するのに不可欠です。

あるいは、設定を必要としない login コマンド(認証のある enable コマンドと同じで、ローカル データベースだけ)を使用することもできます。このオプションは イネーブル 認証ほど安全ではないので、お勧めしません。

CLI 認証を使用することもできますが、必須ではありません。

各ユーザ タイプの次の前提条件を参照してください。

ローカル データベース ユーザ:ローカル データベース内の各ユーザを特権レベル 0 ~ 15 で設定します。

ローカル データベースを設定するには、「ローカル データベースの設定」を参照してください。

RADIUS ユーザ:ユーザを Cisco VSA CVPN3000-Privilege-Level を 0 ~ 15 の値で設定します。

LDAP ユーザ:ユーザを特権レベル 0 ~ 15 で設定し、「LDAP アトリビュート マッピング」に従って LDAP 属性を Cisco VAS CVPN3000-Privilege-Level へマッピングします。

デフォルトのコマンド特権レベル

デフォルトでは、次のコマンドが特権レベル 0 に割り当てられます。その他のコマンドはすべてレベル 15 です。

show checksum

show curpriv

enable

help

show history

login

logout

pager

show pager

clear pager

quit

show version

設定モード コマンドを 15 より低いレベルに移動する場合は、 configure コマンドも同じレベルに移動してください。このようにしないと、ユーザはコンフィギュレーション モードに入ることができません。

すべての特権レベルを表示する方法は、「コマンド特権レベルの表示」を参照してください。

コマンドへの特権レベルの割り当てと認可のイネーブル化

コマンドを新しい特権レベルに割り当て、認可をイネーブル化するには、次の手順を実行します。


ステップ 1 特権レベルにコマンドを割り当てるには、次のコマンドを入力します。

hostname(config)# privilege [show | clear | cmd] level level [mode {enable | cmd}] command command
 

再割り当てする各コマンドに対してこのコマンドを繰り返します。

このコマンド内のオプションについては、次の情報を参照してください。

show | clear | cmd :これらのオプション キーワードを使用すると、コマンドの show、clear、または configure 形式に対してだけ特権を設定できます。コマンドの configure 形式は、通常、未修正コマンド( show または clear プレフィックスなしで)または no 形式として、コンフィギュレーションの変更を引き起こす形式です。これらのキーワードのいずれかを使用しない場合は、コマンドのすべての形式が影響を受けます。

level level :0 ~ 15 のレベル。

mode { enable | configure }:ユーザ EXEC/特権 EXEC モードおよびコンフィギュレーション モードでコマンドを入力することができ、そのコマンドが各モードで異なるアクションを実行する場合は、それらのモードの特権レベルを個別に設定できます。

enable :ユーザ EXEC モードと特権 EXEC モードの両方を指定します。

configure configure terminal コマンドを使用してアクセスされるコンフィギュレーション モードを指定します。

command command :設定しているコマンド。設定できるのは、 main コマンドの特権レベルだけです。たとえば、すべての aaa コマンドのレベルを設定することはできますが、 aaa authentication コマンドと aaa authorization コマンドのレベルを別個に設定できません。

ステップ 2 RADIUS から管理ユーザ特権レベルをサポートするには、次のコマンドを入力します。

hostname(config)# aaa authorization exec authentication-server
 

このコマンドを使用しない場合、adaptive security applianceだけがローカル データベース ユーザの特権レベルをサポートし、その他すべてのユーザ タイプをレベル 15 にデフォルト設定します。

このコマンドはまた、ローカル、RADIUS、LDAP(マッピング)、および TACACS+ ユーザの管理認可をイネーブル化します。詳細については、「管理認可によるユーザ CLI および ASDM アクセスの制限」を参照してください。

ステップ 3 ローカル コマンド特権レベルの使用をイネーブル化して、ローカル データベース、RADIUS サーバ、または LDAP サーバ(属性がマッピングされている場合)でユーザの特権レベルに対して確認できるようにするには、次のコマンドを入力します。

hostname(config)# aaa authorization command LOCAL
 

コマンド特権レベルを設定すると、このコマンドでコマンド認可を設定しない限り、コマンド認可は実行されません。


 

たとえば、 filter コマンドには次の形式があります。

filter configure オプションで表されます)

show running-config filter

clear configure filter

特権レベルを形式ごとに個別に設定できます。または、このオプションを省略してすべての形式に同じ特権レベルを設定することもできます。たとえば、次のように、各形式を個別に設定します。

hostname(config)# privilege show level 5 command filter
hostname(config)# privilege clear level 10 command filter
hostname(config)# privilege cmd level 10 command filter
 

または、すべての filter コマンドを同じレベルに設定することもできます。

hostname(config)# privilege level 5 command filter
 

show privilege コマンドは、形式を分けて表示します。

次の例では、 mode キーワードの使用方法を示します。 enable コマンドはユーザ EXEC モードから入力する必要がありますが、コンフィギュレーション モードでアクセスできる enable password コマンドには最も高い特権レベルが必要です。

hostname(config)# privilege cmd level 0 mode enable command enable
hostname(config)# privilege cmd level 15 mode cmd command enable
hostname(config)# privilege show level 15 mode cmd command enable
 

次の例では、 mode キーワードを使用する追加コマンドである configure コマンドを示します。

hostname(config)# privilege show level 5 mode cmd command configure
hostname(config)# privilege clear level 15 mode cmd command configure
hostname(config)# privilege cmd level 15 mode cmd command configure
hostname(config)# privilege cmd level 15 mode enable command configure

この最後の行は、configure terminal コマンドに対するものです。


コマンド特権レベルの表示

次のコマンドを使用すると、コマンドの特権レベルを表示できます。

すべてのコマンドを表示するには、次のコマンドを入力します。

hostname(config)# show running-config all privilege all
 

特定のレベルのコマンドを表示するには、次のコマンドを入力します。

hostname(config)# show running-config privilege level level
 

level は 0 ~ 15 の整数です。

特定のコマンドのレベルを表示するには、次のコマンドを入力します。

hostname(config)# show running-config privilege command command
 

たとえば、 show running-config all privilege all コマンドの場合、システムは特権レベルに対する各 CLI コマンドの現在の割り当てを表示します。次に、このコマンドの出力例を示します。

hostname(config)# show running-config all privilege all
privilege show level 15 command aaa
privilege clear level 15 command aaa
privilege configure level 15 command aaa
privilege show level 15 command aaa-server
privilege clear level 15 command aaa-server
privilege configure level 15 command aaa-server
privilege show level 15 command access-group
privilege clear level 15 command access-group
privilege configure level 15 command access-group
privilege show level 15 command access-list
privilege clear level 15 command access-list
privilege configure level 15 command access-list
privilege show level 15 command activation-key
privilege configure level 15 command activation-key
....
 

次のコマンドを使用すると、特権レベル 10 のコマンド割り当てが表示されます。

hostname(config)# show running-config privilege level 10
privilege show level 10 command aaa
 

次のコマンドを使用すると、 access-list コマンドのコマンド割り当てが表示されます。

hostname(config)# show running-config privilege command access-list
privilege show level 15 command access-list
privilege clear level 15 command access-list
privilege configure level 15 command access-list

TACACS+ コマンド認可の設定

TACACS+ コマンド認可をイネーブルにし、ユーザが CLI でコマンドを入力すると、adaptive security applianceはそのコマンドとユーザ名を TACACS+ サーバに送信し、コマンドが認可されているかどうかを判別します。

TACACS+ サーバでコマンド認可を設定するときは、設定どおりに動作することを確認するまで、コマンド認可機能の設定を保存しないでください。誤ってロックアウトされた場合は、通常、adaptive security applianceを再起動することによってアクセスを回復できます。それでもロックアウトされたままの場合は、「ロックアウトからの回復」を参照してください。

使用している TACACS+ システムが完全に安定していて、高い信頼性があることを確認してください。通常、必要なレベルの信頼性を得るには、完全冗長の TACACS+ サーバ システムと、adaptive security applianceに対する完全な冗長接続が確立されていることが必要です。たとえば、TACACS+ サーバ プールに、インターフェイス 1 に接続されたサーバと、インターフェイス 2 に接続された別のサーバを組み込みます。また、TACACS+ サーバを使用できない場合は、ローカル コマンド認可をフォールバック方式として設定できます。この場合は、「コマンド認可の設定」に従ってローカル ユーザとコマンド特権レベルを設定する必要があります。

この項は、次の内容で構成されています。

「TACACS+ コマンド認可の前提条件」

「TACACS+ サーバでのコマンドの設定」

「TACACS+ コマンド認可のイネーブル化」

TACACS+ コマンド認可の前提条件

コマンド認可コンフィギュレーションの一部として、次のタスクを実行します。

CLI 認証を設定する(「ローカル コマンド認可の設定」を参照)。

enable 認証を設定する(「特権 EXEC モードにアクセスするための認証の設定(enable コマンド)」を参照)。

TACACS+ サーバでのコマンドの設定

グループまたは個々のユーザの共有プロファイル コンポーネントとしての Cisco Secure Access Control サーバ(ACS)TACACS+ サーバでコマンドを設定できます。サードパーティの TACACS+ サーバの場合は、コマンド認可サポートの詳細については、ご使用のサーバのマニュアルを参照してください。

Cisco Secure ACS バージョン 3.1 でコマンドを設定する場合は、次のガイドラインを参照してください。

adaptive security applianceは、「シェル」コマンドとして認可するコマンドを送信し、TACACS+ サーバでシェル コマンドとしてコマンドを設定します。


) Cisco Secure ACS には、「pix-shell」と呼ばれるコマンド タイプが含まれている場合があります。このタイプはadaptive security appliance コマンド認可に使用しないでください。


コマンドの最初のワードは、メイン コマンドと見なされます。その他のワードはすべて引数と見なされます。これは、 permit または deny の後に置く必要があります。

たとえば、 show running-configuration aaa-server コマンドを許可するには、 show running-configuration をコマンド ボックスに追加し、 permit aaa-server を引数ボックスに入力します。

[ Permit Unmatched Args ] チェックボックスを選択することによって、明示的に拒否していないコマンドのすべての引数を許可できます。

たとえば、特定の show コマンドを設定するだけで、すべての show コマンドが許可されます。CLI の使用法を示す ? や省略形など、コマンドの変形をすべて予想する必要がなくなるので、この方法を使用することをお勧めします(図 37-1 を参照)。

図 37-1 関連するすべてのコマンドの許可

 

enable help など、単一ワードのコマンドについては、そのコマンドに引数がない場合でも、一致しない引数を許可する必要があります(図 37-2 を参照)。

図 37-2 単一ワードのコマンドの許可

 

引数を拒否するには、その引数の前に deny を入力します。

たとえば、 enable を許可し、 enable password を許可しない場合は、コマンド ボックスに enable と入力し、引数ボックスに deny password と入力します。 enable だけが許可されるように、[Permit Unmatched Args] チェックボックスを選択してください(図 37-3 を参照)。

図 37-3 引数の拒否

 

コマンドラインでコマンドを省略形で入力した場合、adaptive security applianceはプレフィックスとメイン コマンドを完全なテキストに展開しますが、その他の引数は入力したとおりに TACACS+ サーバに送信します。

たとえば、 sh log と入力すると、adaptive security applianceは完全なコマンド show logging を TACACS+ サーバに送信します。一方、 sh log mess と入力すると、adaptive security applianceは展開されたコマンド show logging message ではなく、 show logging mess を TACACS+ サーバに送信します。省略形を予想して同じ引数に複数のスペルを設定できます(図 37-4 を参照)。

図 37-4 省略形の指定

 

すべてのユーザに対して次の基本コマンドを許可することをお勧めします。

show checksum

show curpriv

enable

help

show history

login

logout

pager

show pager

clear pager

quit

show version

TACACS+ コマンド認可のイネーブル化

TACACS+ コマンド認可をイネーブルにする前に、TACACS+ サーバで定義されたユーザとしてadaptive security applianceにログインしていること、およびadaptive security applianceの設定を続けるために必要なコマンド認可があることを確認してください。たとえば、すべてのコマンドが認可された管理ユーザとしてログインする必要があります。このようにしないと、意図せずロックアウトされる可能性があります。

TACACS+ サーバを使用したコマンド認可を実行するには、次のコマンドを入力します。

hostname(config)# aaa authorization command tacacs+_server_group [LOCAL]
 

TACACS+ サーバを使用できない場合は、ローカル データベースをフォールバック方式として使用するようにadaptive security applianceを設定できます。フォールバックをイネーブルにするには、サーバ グループ名の後ろに LOCAL を指定します( LOCAL は大文字と小文字を区別します)。adaptive security applianceは、どちらの方式を使用しているかを示すプロンプトを表示しないため、ローカル データベースと TACACS+ サーバで同じユーザ名とパスワードを使用することをお勧めします。必ずローカル データベースのユーザ(「コマンド認可の設定」を参照)とコマンド特権レベル(「ローカル コマンド認可の設定」を参照)を設定してください。

コマンド アカウンティングの設定

CLI で show 以外のコマンドを入力する場合、アカウンティング メッセージを TACACS+ アカウンティング サーバに送信できます。 privilege コマンドを使用して、コマンド特権レベルをカスタマイズする場合(「コマンドへの特権レベルの割り当てと認可のイネーブル化」を参照)、最小の特権レベルを指定することにより、adaptive security applianceがアカウンティングするコマンドを制限できます。adaptive security applianceは、最初の特権レベル未満のコマンドはアカウンティングしません。

コマンド アカウンティングをイネーブルにするには、次のコマンドを入力します。

hostname(config)# aaa accounting command [privilege level] server-tag
 

level は、最小の特権レベルで、 server-tag は、adaptive security applianceがコマンド アカウンティング メッセージを送信する TACACS+ サーバ グループの名前です。TACACS+ サーバ グループはすでに設定済みである必要があります。AAA サーバ グループを設定する方法の詳細については、「AAA サーバ グループおよびサーバの識別」を参照してください。

現在のログイン ユーザの表示

現在のログイン ユーザを表示するには、次のコマンドを入力します。

hostname# show curpriv
 

次の show curpriv コマンドの出力例を参照してください。各フィールドの説明については、下記を参照してください。

hostname# show curpriv
Username : admin
Current privilege level : 15
Current Mode/s : P_PRIV
 

表 37-1 は、 show curpriv コマンドの出力について説明しています。

 

表 37-1 show curpriv の表示の説明

フィールド
説明

[Username]

ユーザ名。デフォルト ユーザとしてログインすると、名前は enable_1(ユーザ EXEC)または enable_15(特権 EXEC)になります。

Current privilege level

0 ~ 15 のレベル。ローカル コマンド認可を設定してコマンドを中間特権レベルに割り当てない限り、使用されるレベルはレベル 0 と 15 だけです。

Current Mode/s

アクセス モードを表示します。

P_UNPR:ユーザ EXEC モード(レベル 0 と 1)

P_PRIV:特権 EXEC モード(レベル 2 ~ 15)

P_CONF:コンフィギュレーション モード

ロックアウトからの回復

状況によっては、コマンド認可や CLI 認証をオンにすると、adaptive security appliance CLI からロックアウトされる場合があります。通常は、adaptive security applianceを再起動することによってアクセスを回復できます。ただし、すでにコンフィギュレーションを保存した場合は、ロックアウトされたままになる可能性があります。 表 37-2 に、一般的なロックアウト条件と回復方法を示します。

 

表 37-2 CLI 認証およびコマンド認可のロックアウト シナリオ

機能
ロックアウト条件
説明
対応策:シングルモード
対応策:マルチモード

ローカル CLI 認証

ローカル データベース内にユーザが存在しない。

ローカル データベース内にユーザが存在しない場合は、ログインできず、ユーザの追加もできません。

ログインし、パスワードと aaa コマンドをリセットします。

スイッチからadaptive security applianceへのセッションを接続します。システム実行スペースから、コンテキストに切り替えてユーザを追加できます。

TACACS+ コマンド認可

TACACS+ CLI 認証

RADIUS CLI 認証

サーバがダウンしているか到達不能で、フォールバック方式を設定していない。

サーバが到達不能である場合は、ログインもコマンドの入力もできません。

1. ログインし、パスワードと AAA コマンドをリセットします。

2. サーバがダウンしたときにロックアウトされないように、ローカル データベースをフォールバック方式として設定します。

1. adaptive security applianceでネットワーク コンフィギュレーションが正しくないためサーバが到達不能である場合は、スイッチからadaptive security applianceへのセッションを接続します。システム実行スペースから、コンテキストに切り替えてネットワークを再設定できます。

2. サーバがダウンしたときにロックアウトされないように、ローカル データベースをフォールバック方式として設定します。

TACACS+ コマンド認可

十分な特権のないユーザまたは存在しないユーザとしてログインした。

コマンド認可がイネーブルになりますが、ユーザはこれ以上コマンドを入力できなくなります。

TACACS+ サーバのユーザ アカウントを修正します。

TACACS+ サーバへのアクセス権がなく、adaptive security applianceをすぐに設定する必要がある場合は、メンテナンス パーティションにログインして、パスワードと aaa コマンドをリセットします。

スイッチからadaptive security applianceへのセッションを接続します。システム実行スペースから、コンテキストに切り替えてコンフィギュレーションの変更を完了できます。また、TACACS+ コンフィギュレーションを修正するまでコマンド認可をディセーブルにすることもできます。

ローカル コマンド認可

十分な特権のないユーザとしてログインしている。

コマンド認可がイネーブルになりますが、ユーザはこれ以上コマンドを入力できなくなります。

ログインし、パスワードと aaa コマンドをリセットします。

スイッチからadaptive security applianceへのセッションを接続します。システム実行スペースから、コンテキストに切り替えてユーザ レベルを変更できます。

ログイン バナーの設定

ユーザがadaptive security applianceに接続し、ユーザがログインする前または特権 EXEC モードに入る前に表示されるメッセージを設定できます。

ログイン バナーを設定するには、システム実行スペースまたはコンテキスト内で次のコマンドを入力します。

hostname(config)# banner {exec | login | motd} text
 

ユーザが最初に接続したとき(「今日のお知らせ」( motd ))、ユーザがログインしたとき( login )、ユーザが特権 EXEC モードにアクセスしたとき( exec )のいずれかに表示するバナーを追加します。ユーザがadaptive security applianceに接続すると、まず「今日のお知らせ」バナーが表示され、その後にログイン バナーとプロンプトが表示されます。ユーザがadaptive security applianceに正常にログインすると、exec バナーが表示されます。

バナー テキストには、スペースは許可されますが、タブは CLI を使用して入力できません。adaptive security applianceのホスト名またはドメイン名は、 $(hostname) ストリングと $(domain) ストリングを組み込むことによって動的に追加できます。システム コンフィギュレーションでバナーを設定する場合は、コンテキスト コンフィギュレーションで $(system) ストリングを使用することによって、コンテキスト内でそのバナー テキストを使用できます。

複数の行を追加する場合は、各行の前に banner コマンドを置きます。

たとえば、「今日のお知らせ」バナーを追加するには、次のように入力します。

hostname(config)# banner motd Welcome to $(hostname).
hostname(config)# banner motd Contact me at admin@example.com for any
hostname(config)# banner motd issues.