Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用)
管理アクセスの設定
管理アクセスの設定
発行日;2012/02/06 | 英語版ドキュメント(2011/09/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

管理アクセスの設定

Telnet アクセスの許可

SSH アクセスの許可

SSH アクセスの設定

SSH クライアントの使用

での HTTPS アクセスの許可

HTTPS アクセスのイネーブル化

PC から ASDM へのアクセス

異なるインターフェイスでの VPN トンネル終端インターフェイスからのセキュリティ アプライアンスの管理

システム管理者用 AAA の設定

CLI および ASDM アクセスの認証の設定

特権 EXEC モードにアクセスするための認証の設定(enable コマンド)

enable コマンドの認証の設定

login コマンドによるユーザの認証

管理認可によるユーザ CLI および ASDM アクセスの制限

コマンド認可の設定

コマンド認可の概要

ローカル コマンド認可の設定

TACACS+ コマンド認可の設定

コマンド アカウンティングの設定

現在のログイン ユーザの表示

ロックアウトからの回復

ログイン バナーの設定

管理アクセスの設定

この章では、Telnet、SSH、および HTTPS(Adaptive Security Device Manager(ASDM)を使用)を介してシステム管理のために適応型セキュリティ アプライアンスにアクセスする方法について説明します。また、ユーザを認証および認可する方法とログイン バナーを作成する方法についても説明します。

この章には、次の項があります。

「Telnet アクセスの許可」

「SSH アクセスの許可」

「ASDM での HTTPS アクセスの許可」

「異なるインターフェイスでの VPN トンネル終端インターフェイスからのセキュリティ アプライアンスの管理」

「システム管理者用 AAA の設定」

「ログイン バナーの設定」


) また、管理アクセス用の適応型セキュリティ アプライアンス インターフェイスにアクセスする場合は、ホスト IP アドレスを許可するアクセスリストは不要です。必要なのは、この章の各項の説明に従って管理アクセスを設定することだけです。


Telnet アクセスの許可

適応型セキュリティ アプライアンスは、管理目的で適応型セキュリティ アプライアンスへの Telnet 接続を許可します。IPSec トンネル内で Telnet を使用する場合を除き、最も低いセキュリティ インターフェイスに対して Telnet は使用できません。

適応型セキュリティ アプライアンスは、コンテキストごとに最大 5 つの同時 Telnet 接続を許可し、可能な場合は、最大 100 の接続がすべてのコンテキストの間で分割されます。

適応型セキュリティ アプライアンスへの Telnet アクセスを設定するには、次の手順を実行します。


ステップ 1 適応型セキュリティ アプライアンスが接続を受け入れる送信元 IP アドレスを指定するには、アドレスまたはサブネットごとに、次のコマンドを入力します。

hostname(config)# telnet source_IP_address mask source_interface
 

インターフェイスが 1 つしかない場合は、インターフェイスのセキュリティ レベルが 100 である限り、そのインターフェイスにアクセスするように Telnet を設定することができます。

ステップ 2 (オプション)適応型セキュリティ アプライアンスが Telnet セッションを切断するまでに、セッションがアイドル状態を維持する時間の長さを設定するには、次のコマンドを入力します。

hostname(config)# telnet timeout minutes
 

タイムアウトは 1 ~ 1440 分に設定します。デフォルトは 5 分です。デフォルト値では一般に短すぎるので、実働前のテストとトラブルシューティングがすべて完了するまでは、長めに設定しておいてください。


 

たとえば、192.168.1.2 というアドレスを持つ内部インターフェイス上のホストから適応型セキュリティ アプライアンスにアクセスするには、次のように入力します。

hostname(config)# telnet 192.168.1.2 255.255.255.255 inside
hostname(config)# telnet timeout 30
 

192.168.3.0 ネットワーク上のすべてのユーザが内部インターフェイス上の適応型セキュリティ アプライアンスにアクセスできるようにするには、次のコマンドを入力します。

hostname(config)# telnet 192.168.3.0 255.255.255.0 inside
 

SSH アクセスの許可

適応型セキュリティ アプライアンスは、管理目的で適応型セキュリティ アプライアンスへの SSH 接続を許可します。適応型セキュリティ アプライアンスは、コンテキストごとに最大 5 つの同時 SSH 接続を許可し、可能な場合は、最大 100 の接続がすべてのコンテキストの間で分割されます。

SSH は、強力な認証と暗号化機能を提供する TCP/IP など、信頼性の高いトランスポート層で実行されるアプリケーションです。適応型セキュリティ アプライアンスは SSH バージョン 1 および 2 で提供されている SSH リモート シェル機能をサポートし、DES 暗号および 3DES 暗号をサポートします。


) SSL および SSH での XML 管理はサポートされていません。


この項は、次の内容で構成されています。

「SSH アクセスの設定」

「SSH クライアントの使用」

SSH アクセスの設定

適応型セキュリティ アプライアンスへの SSH アクセスを設定するには、次の手順を実行します。


ステップ 1 SSH に必要な RSA キー ペアを生成するには、次のコマンドを入力します。

hostname(config)# crypto key generate rsa modulus modulus_size
 

係数(ビット単位)は 512、768、1024、または 2048 です。指定するキー係数のサイズが大きいほど、RSA の生成にかかる時間は長くなります。値は 1024 にすることをお勧めします。

ステップ 2 永続的なフラッシュ メモリに RSA キーを保存するには、次のコマンドを入力します。

hostname(config)# write mem
 

ステップ 3 適応型セキュリティ アプライアンスが接続を受け入れる送信元 IP アドレスを指定するには、アドレスまたはサブネットごとに、次のコマンドを入力します。

hostname(config)# ssh source_IP_address mask source_interface
 

適応型セキュリティ アプライアンスは、最も低いセキュリティ レベルの接続も含め、すべてのインターフェイスから SSH 接続を受け入れます。

ステップ 4 (オプション)適応型セキュリティ アプライアンスが SSH セッションを切断するまでに、セッションがアイドル状態を維持する時間の長さを設定するには、次のコマンドを入力します。

hostname(config)# ssh timeout minutes
 

タイムアウトは 1 ~ 60 分に設定します。デフォルトは 5 分です。デフォルト値では一般に短すぎるので、実働前のテストとトラブルシューティングがすべて完了するまでは、長めに設定しておいてください。


 

たとえば、RSA キーを生成し、192.168.1.2 というアドレスを持つ内部インターフェイス上のホストから適応型セキュリティ アプライアンスにアクセスするには、次のように入力します。

hostname(config)# crypto key generate rsa modulus 1024
hostname(config)# write mem
hostname(config)# ssh 192.168.1.2 255.255.255.255 inside
hostname(config)# ssh 192.168.1.2 255.255.255.255 inside
hostname(config)# ssh timeout 30
 

192.168.3.0 ネットワーク上のすべてのユーザが内部インターフェイス上の適応型セキュリティ アプライアンスにアクセスできるようにするには、次のコマンドを入力します。

hostname(config)# ssh 192.168.3.0 255.255.255.0 inside
 

デフォルトでは、SSH はバージョン 1 とバージョン 2 の両方を許可します。バージョン番号を指定するには、次のコマンドを入力します。

hostname(config)# ssh version version_number

version_number には 1 または 2 を指定します。

SSH クライアントの使用

SSH を使用して適応型セキュリティ アプライアンス コンソールにアクセスできるようにするには、SSH クライアントでユーザ名を pix と入力し、 password コマンドで設定したログイン パスワードを入力します(「ログイン パスワードの変更」を参照してください)。

SSH セッションを開始すると、次のように SSH ユーザ認証プロンプトが表示される前に、適応型セキュリティ アプライアンス コンソール上にドット(.)が表示されます。

hostname(config)# .
 

ドットが表示されても、SSH の機能には影響を与えません。コンソールにドットが表示されるのは、ユーザ認証が始まる前で、サーバ キーを生成する場合か、または SSH キー交換中に秘密キーを使用してメッセージを暗号化する場合です。これらのタスクには 2 分以上かかることがあります。ドットは、適応型セキュリティ アプライアンスがビジー状態で、ハングしていないことを示す進捗インジケータです。

ASDM での HTTPS アクセスの許可

ASDM を使用するには、HTTPS サーバをイネーブルにし、適応型セキュリティ アプライアンスへの HTTPS 接続を許可する必要があります。 setup コマンドを使用すると、これらのタスクがすべて完了します。この項では、ASDM アクセスを手動で設定し、ASDM にログインする方法について説明します。

セキュリティ アプライアンスは、コンテキストごとに最大 5 つの同時 ASDM インスタンスを許可し、可能な場合は、最大 32 の ASDM インスタンスがすべてのコンテキストの間で許可されます。

この項は、次の内容で構成されています。

「HTTPS アクセスのイネーブル化」

「PC から ASDM へのアクセス」

HTTPS アクセスのイネーブル化

ASDM アクセスを設定するには、次の手順を実行します。


ステップ 1 適応型セキュリティ アプライアンスが HTTPS 接続を受け入れる送信元 IP アドレスを指定するには、アドレスまたはサブネットごとに、次のコマンドを入力します。

hostname(config)# http source_IP_address mask source_interface
 

ステップ 2 HTTPS サーバをイネーブルにするには、次のコマンドを入力します。

hostname(config)# http server enable [port]
 

デフォルトでは、 port は 443 です。ポート番号を変更する場合は、必ず ASDM アクセス URL に新しいポートを含める必要があります。たとえば、ポート 444 に変更する場合は、次のように入力します。

https://10.1.1.1:444
 

ステップ 3 ASDM イメージのロケーションを指定するには、次のコマンドを入力します。

hostname(config)# asdm image disk0:/asdmfile
 


 

たとえば、HTTPS サーバをイネーブルにして、192.168.1.2 というアドレスを持つ内部インターフェイス上のホストが ASDM にアクセスできるようにするには、次のように入力します。

hostname(config)# crypto key generate rsa modulus 1024
hostname(config)# write mem
hostname(config)# http server enable
hostname(config)# http 192.168.1.2 255.255.255.255 inside
 

192.168.3.0 ネットワーク上のすべてのユーザが内部インターフェイス上の ASDM にアクセスできるようにするには、次のコマンドを入力します。

hostname(config)# http 192.168.3.0 255.255.255.0 inside

PC から ASDM へのアクセス

適応型セキュリティ アプライアンス ネットワーク上のサポートされる Web ブラウザで、次の URL を入力します。

https://interface_ip_address[:port]
 

透過ファイアウォール モードで、管理 IP アドレスを入力します。

異なるインターフェイスでの VPN トンネル終端インターフェイスからのセキュリティ アプライアンスの管理

IPSec VPN トンネルが 1 つのインターフェイスで終端するときに、別のインターフェイスにアクセスして適応型セキュリティ アプライアンスを管理する場合は、次のコマンドを入力します。

hostname(config)# management access management_interface
 

management_interface には、別のインターフェイスからセキュリティ アプライアンスに入るときにアクセスする管理インターフェイスの名前を指定します。

たとえば、外部インターフェイスから適応型セキュリティ アプライアンスに入る場合は、このコマンドを使用して、Telnet 経由で内部インターフェイスに接続するか、外部インターフェイスから入るときに内部インターフェイスに ping を実行できます。

管理アクセス インターフェイスは 1 つだけ定義できます。

システム管理者用 AAA の設定

この項では、システム管理者の認証とコマンド認可をイネーブルにする方法について説明します。システム管理者の AAA を設定する前に、まず「AAA サーバおよびローカル データベースのサポート」に従ってローカル データベースまたは AAA サーバを設定します。

この項は、次の内容で構成されています。

「CLI および ASDM アクセスの認証の設定」

「特権 EXEC モードにアクセスするための認証の設定(enable コマンド)」

「管理認可によるユーザ CLI および ASDM アクセスの制限」

「コマンド認可の設定」

「コマンド アカウンティングの設定」

「現在のログイン ユーザの表示」

「ロックアウトからの回復」

CLI および ASDM アクセスの認証の設定

CLI 認証をイネーブルにすると、適応型セキュリティ アプライアンスはログインのためユーザ名とパスワードの入力を求めるプロンプトを表示します。情報を入力した後、ユーザ EXEC モードにアクセスできるようになります。

特権 EXEC モードに入るには、 enable コマンドまたは login コマンドを入力します(ローカル データベースを使用している場合に限る)。

enable 認証を設定する場合(「enable コマンドの認証の設定」を参照)は、適応型セキュリティ アプライアンスによってユーザ名とパスワードの入力を求めるプロンプトが表示されます。 enable 認証を設定しない場合は、 enable コマンドを入力する際に、( enable password コマンドで設定した)システム イネーブル パスワードを入力します。ただし、 enable 認証を使用しない場合は、 enable コマンドを入力した後、特定のユーザとしてログインしていないことになります。ユーザ名を保持するには、 enable 認証を使用します。

ローカル データベースを使用して認証する場合は、 login コマンドを使用できます。これにより、ユーザ名が保持されますが、認証をオンにする設定は必要ありません。


) 適応型セキュリティ アプライアンスで Telnet、SSH、または HTTP ユーザを認証できるようにするには、まず telnetssh、および http コマンドを使用して適応型セキュリティ アプライアンスへのアクセスを設定する必要があります。これらのコマンドは、適応型セキュリティ アプライアンスとの通信が許可された IP アドレスを識別します。


CLI にアクセスするユーザを認証するには、次のコマンドを入力します。

hostname(config)# aaa authentication {telnet | ssh | http | serial} console {LOCAL | server_group [LOCAL]}
 

http キーワードは、HTTPS を使用して適応型セキュリティ アプライアンスにアクセスする ASDM クライアントを認証します。AAA サーバを使用する場合は、HTTP 認証だけを設定する必要があります。デフォルトでは、このコマンドを設定しない場合でも、ASDM は認証にローカル データベースを使用します。HTTP 管理認証では、AAA サーバ グループの SDI プロトコルをサポートしていません。

認証に AAA サーバ グループを使用する場合は、AAA サーバが使用できないときにローカル データベースをフォールバック方式として使用するように適応型セキュリティ アプライアンスを設定できます。サーバ グループ名の後ろに LOCAL を指定します( LOCAL は大文字と小文字を区別します)。適応型セキュリティ アプライアンスは、どちらの方式を使用しているかを示すプロンプトを表示しないため、ローカル データベースと AAA サーバで同じユーザ名とパスワードを使用することをお勧めします。

LOCAL だけを入力して、ローカル データベースを認証の主要方式として(フォールバックなしで)使用することもできます。

特権 EXEC モードにアクセスするための認証の設定(enable コマンド)

ユーザが enable コマンドを入力したときに AAA サーバまたはローカル データベースでそれらのユーザを認証するように適応型セキュリティ アプライアンスを設定することができます。あるいは、ユーザは login コマンドを入力したときにローカル データベースで自動的に認証されます。この場合も、ローカル データベース内のユーザ レベルに応じて特権 EXEC モードにアクセスします。

この項は、次の内容で構成されています。

「enable コマンドの認証の設定」

「login コマンドによるユーザの認証」

enable コマンドの認証の設定

ユーザが enable コマンドを入力したときに認証されるように、適応型セキュリティ アプライアンスを設定できます。 enable コマンドを認証しない場合は、 enable を入力したときに、適応型セキュリティ アプライアンスがシステム イネーブル パスワード( enable password コマンドで設定)の入力を求めるプロンプトを表示します。この場合、特定のユーザとしてログインする必要はありません。 enable コマンドに認証を適用すると、ユーザ名が保持されます。この機能は、ユーザが入力できるコマンドを判別するためにユーザ名が重要な役割を果たすコマンド認可を実行する場合に特に役立ちます。

enable コマンドを入力するユーザを認証するには、次のコマンドを入力します。

hostname(config)# aaa authentication enable console {LOCAL | server_group [LOCAL]}
 

ユーザ名とパスワードの入力を求めるプロンプトがユーザに対して表示されます。

認証に AAA サーバ グループを使用する場合は、AAA サーバが使用できないときにローカル データベースをフォールバック方式として使用するように適応型セキュリティ アプライアンスを設定できます。サーバ グループ名の後ろに LOCAL を指定します( LOCAL は大文字と小文字を区別します)。適応型セキュリティ アプライアンスは、どちらの方式を使用しているかを示すプロンプトを表示しないため、ローカル データベースと AAA サーバで同じユーザ名とパスワードを使用することをお勧めします。

LOCAL だけを入力して、ローカル データベースを認証の主要方式として(フォールバックなしで)使用することもできます。

login コマンドによるユーザの認証

ユーザ EXEC モードから、 login コマンドを使用してローカル データベース内のユーザ名でログインすることができます。

この機能を使用すると、ユーザは独自のユーザ名とパスワードでログインして特権 EXEC モードにアクセスすることができるので、システム イネーブル パスワードを全員に提供する必要がなくなります。ユーザがログインしたときに特権 EXEC モード(およびすべてのコマンド)へのアクセスを許可するには、ユーザ特権レベルを 2(デフォルト)~ 15 に設定します。ローカル コマンド認可を設定した場合、ユーザはその特権レベルまたはそれ以下のレベルに割り当てられたコマンドだけを入力できます。詳細については、「ローカル コマンド認可の設定」を参照してください。


注意 CLI へのアクセス権を取得できるユーザを特権 EXEC モードに入れないようにするには、そのユーザをローカル データベースに追加する際にコマンド認可を設定する必要があります。コマンド認可がない場合、ユーザは、特権レベルが 2 以上(デフォルトは 2)であれば、CLI で独自のパスワードを使用して特権 EXEC モード(およびすべてのコマンド)にアクセスすることができます。あるいは、認証処理で AAA サーバを使用するか、またはすべてのローカル ユーザをレベル 1 に設定することにより、システム イネーブル パスワードを使用して特権 EXEC モードにアクセスできるユーザを制御できます。

ローカル データベースからユーザとしてログインするには、次のコマンドを入力します。

hostname> login
 

適応型セキュリティ アプライアンスにより、ユーザ名とパスワードの入力を求めるプロンプトが表示されます。パスワードを入力すると、適応型セキュリティ アプライアンスにより、ユーザはローカル データベースで指定されている特権レベルに置かれます。

管理認可によるユーザ CLI および ASDM アクセスの制限

CLI 認証または enable 認証を設定すると、ローカル ユーザ、RADIUS、TACACS+、または LDAP ユーザ(LDAP アトリビュートを RADIUS アトリビュートにマッピングする場合)からの CLI、ASDM、または enable コマンドへのアクセスを制限できます。


) シリアル アクセスは管理認可に含まれていないため、aaa authentication serial console を設定すると、認証を行うすべてのユーザがコンソール ポートにアクセスできます。


管理認可を設定するには、次の手順を実行します。


ステップ 1 管理認可をイネーブルにするには、次のコマンドを入力します。

hostname(config)# aaa authorization exec authentication-server
 

このコマンドによって、RADIUS からの管理ユーザ特権レベルのサポートもイネーブルになります。この特権レベルは、コマンド認可でのローカル コマンドの特権レベルと併用できます。詳細については、「ローカル コマンド認可の設定」を参照してください。

ステップ 2 管理認可を与えるユーザを設定するには、AAA サーバ タイプまたはローカル ユーザごとに次の要件を確認してください。

RADIUS または LDAP(マッピングされた)ユーザ:次のいずれかの値にマッピングされる、IETF RADIUS の Service-Type 数値アトリビュートを使用します (LDAP アトリビュートをマッピングするには、「LDAP アトリビュートのマッピング」を参照してください)。

Service-Type 6(管理): aaa authentication console コマンドで指定されるすべてのサービスにフル アクセスできます。

Service-Type 7(NAS プロンプト): aaa authentication { telnet | ssh} console コマンドを設定する場合には CLI へのアクセスを許可しますが、 aaa authentication http console コマンドを設定する場合には ASDM コンフィギュレーション アクセスを拒否します。ASDM のモニタリング アクセスは許可されます。 aaa authentication enable console コマンドを使用して enable 認証を設定すると、ユーザは enable コマンドを使用して特権 EXEC モードにアクセスできません。

Service-Type 5(発信):管理アクセスを拒否します。ユーザは aaa authentication console コマンドで指定されるサービスを使用できません( serial キーワードは除外され、シリアル アクセスは許可されます)。リモート アクセス(IPSec および SSL)ユーザは、引き続きリモート アクセス セッションを認証および終了することができます。

TACACS+ ユーザ:「service=shell」で認可が要求され、サーバは PASS または FAIL で応答します。

PASS、特権レベル 1: aaa authentication console コマンドで指定されるすべてのサービスにフル アクセスできます。

PASS、特権レベル 2 以上: aaa authentication { telnet | ssh} console コマンドを設定する場合には CLI へのアクセスを許可しますが、 aaa authentication http console コマンドを設定する場合には ASDM コンフィギュレーション アクセスを拒否します。ASDM のモニタリング アクセスは許可されます。 aaa authentication enable console コマンドを使用して enable 認証を設定すると、ユーザは enable コマンドを使用して特権 EXEC モードにアクセスできません。

FAIL:管理アクセスを拒否します。ユーザは aaa authentication console コマンドで指定されるサービスを使用できません( serial キーワードは除外され、シリアル アクセスは許可されます)。

ローカル ユーザ: service-type コマンドを設定します。「ローカル データベースの設定」を参照してください。デフォルトでは、 service-type admin です。これにより、 aaa authentication console コマンドで指定されるすべてのサービスにフル アクセスできます。


 

コマンド認可の設定

コマンドへのアクセスを制御する場合は、適応型セキュリティ アプライアンスでコマンド認可を設定し、ユーザが使用できるコマンドを決定することができます。デフォルトでは、ログイン時に、最小限のコマンドだけが提供されるユーザ EXEC モードにアクセスできます。 enable コマンド(またはローカル データベースを使用する場合は login コマンド)を入力すると、特権 EXEC モードおよびコンフィギュレーション コマンドなどの拡張コマンドにアクセスできます。

この項は、次の内容で構成されています。

「コマンド認可の概要」

「ローカル コマンド認可の設定」

「TACACS+ コマンド認可の設定」

コマンド認可の概要

この項では、コマンド認可について説明します。次の項目を取り上げます。

「サポートされるコマンド認可方式」

「ユーザ クレデンシャルの維持について」

「セキュリティ コンテキストとコマンド認可」

サポートされるコマンド認可方式

次の 2 つのコマンド認可方法のいずれかを使用します。

ローカル特権レベル:適応型セキュリティ アプライアンスでコマンド特権レベルを設定します。ローカル、RADIUS、または LDAP(LDAP アトリビュートを RADIUS アトリビュートにマッピングする場合)のユーザが CLI アクセスのための認証を行うと、適応型セキュリティ アプライアンスは、ローカル データベース、RADIUS、または LDAP サーバで定義される特権レベルにそのユーザを割り当てます。ユーザは、そのユーザの特権レベル以下のコマンドにアクセスできます。すべてのユーザは、初めてログインするときに、ユーザ EXEC モード(レベル 0 または 1 のコマンド)にアクセスします。ユーザは、特権 EXEC モード(レベル 2 以上のコマンド)にアクセスするために再び enable コマンドで認証するか、 login コマンドでログイン(ローカル データベースに限る)できます。


) ローカル データベース内にユーザが存在しなくても、また CLI 認証や enable 認証がない場合でも、ローカル コマンド認可を使用できます。代わりに、enable コマンドを入力するときにシステム イネーブル パスワードを入力すると、適応型セキュリティ アプライアンスによってレベル 15 に置かれます。次に、すべてのレベルのイネーブル パスワードを作成します。これにより、enable n(2 ~ 15)を入力したときに、適応型セキュリティ アプライアンスによってレベル n に置かれるようになります。これらのレベルは、ローカル コマンド認可をオンにするまで使用されません(後述の「ローカル コマンド認可の設定」を参照してください)。(enable の詳細については、『Cisco ASA 5500 Series Command Reference』を参照してください)。


TACACS+ サーバの特権レベル:TACACS+ サーバで、ユーザまたはグループが CLI アクセスの認証後に使用できるコマンドを設定します。CLI でユーザが入力するコマンドはすべて TACACS+ サーバでチェックされます。

ユーザ クレデンシャルの維持について

ユーザが適応型セキュリティ アプライアンスにログインする場合、ユーザとパスワードを入力して認証される必要があります。適応型セキュリティ アプライアンスは、同じセッションで後ほど認証が再び必要になる場合に備えて、これらのセッション クレデンシャルを保持します。

次のコンフィギュレーションが設定されている場合、ユーザはログイン時にローカル サーバだけで認証されればよいことになります。その後に続く認可では、保存されたクレデンシャルが使用されます。また、特権レベル 15 のパスワードの入力を求めるプロンプトが表示されます。特権モードを出るときに、ユーザは再び認証されます。ユーザのクレデンシャルは特権モードでは保持されません。

ローカル サーバは、ユーザ アクセスの認証を行うように設定されます。

特権レベル 15 のコマンド アクセスは、パスワードを要求するように設定されます。

ユーザのアカウントは、シリアル認可専用(コンソールまたは ASDM へのアクセスなし)として設定されます。

ユーザのアカウントは、特権レベル 15 のコマンド アクセス用に設定されます。

次の表に、適応型セキュリティ アプライアンスでのクレデンシャルの使用方法を示します。

必要なクレデンシャル
ユーザ名とパスワードによる認証
シリアル
認可
特権モード コマンド認可
特権
モード終了認可

ユーザ名

あり

なし

なし

あり

パスワード

あり

なし

なし

あり

特権モードのパスワード

なし

なし

あり

なし

セキュリティ コンテキストとコマンド認可

マルチ セキュリティ コンテキストでコマンド認可を実装する場合の重要な考慮点を次に示します。

AAA 設定は、コンテキストごとに分離しており、コンテキスト間で共有されることはありません。

コマンド認可を設定する場合は、各セキュリティ コンテキストを別々に設定する必要があります。これにより、さまざまなセキュリティ コンテキストで異なるコマンド認可を強化することができます。

セキュリティ コンテキストを切り替える場合、管理者は、ログイン時に指定したユーザ名で許可されるコマンドが新しいコンテキスト セッションでは異なる可能性があることや、新しいコンテキストではコマンド認可がまったく設定されていない可能性があることを念頭に置いてください。コマンド認可がセキュリティ コンテキストによって異なる場合があることを管理者が理解していないと、混乱が生じる可能性があります。この動作は、次の仕組みによってさらに複雑になります。

changeto コマンドによって開始された新しいコンテキスト セッションでは、前のコンテキスト セッションで使用されていたユーザ名に関係なく、管理者 ID として必ずデフォルトの「enable_15」というユーザ名が使用されます。これにより、enable_15 ユーザに対してコマンド認可が設定されていない場合や、enable_15 ユーザの認可が前のコンテキスト セッションでのユーザの認可と異なる場合に、混乱が生じる可能性があります。

これは、発行される各コマンドを特定の管理者に正確に関連付けることができる場合に限り有効となる、コマンド アカウンティングにも影響します。 changeto コマンドの使用が許可されているすべての管理者は enable_15 ユーザ名を他のコンテキストで使用できるため、enable_15 ユーザ名でログインしたユーザをコマンド アカウンティング レコードで簡単に特定できるとは限りません。コンテキストごとに異なるアカウンティング サーバを使用する場合は、enable_15 ユーザ名を使用していたユーザを追跡するために数台のサーバのデータを相関させる必要が生じます。

コマンド認可を設定する場合は、次の点を考慮します。

changeto コマンドの使用が許可されている管理者は、実質的に、他のコンテキストそれぞれで enable_15 ユーザに許可されているすべてのコマンドを使用する許可を持ちます。

コンテキストごとに別々にコマンドを認可する場合は、 changeto コマンドの使用許可を持つ管理者に対しても拒否されるコマンドが enable_15 ユーザ名でも拒否されることを、各コンテキストで確認してください。

セキュリティ コンテキストを切り替える場合、管理者は特権 EXEC モードを終了し、 enable コマンドを再度入力して、必要とするユーザ名を使用できます。


) システム実行スペースでは AAA コマンドがサポートされないため、システム実行スペースではコマンド認可を使用できません。


ローカル コマンド認可の設定

ローカル コマンド認可を使用して、コマンドを 16 の特権レベル(0 ~ 15)の 1 つに割り当てることができます。デフォルトでは、各コマンドは特権レベル 0 または 15 に割り当てられます。各ユーザを特定の特権レベルに定義でき、各ユーザは定義された特権レベル以下のコマンドを入力できます。適応型セキュリティ アプライアンスは、ローカル データベース、RADIUS サーバ、または LDAP サーバ(LDAP アトリビュートを RADIUS アトリビュートにマッピングする場合。「LDAP アトリビュートのマッピング」を参照)で定義されるユーザ特権レベルをサポートします。

この項は、次の内容で構成されています。

「ローカル コマンド認可の前提条件」

「デフォルトのコマンド特権レベル」

「コマンドへの特権レベルの割り当てと認可のイネーブル化」

「コマンド特権レベルの表示」

ローカル コマンド認可の前提条件

コマンド認可コンフィギュレーションの一部として、次のタスクを実行します。

enable 認証を設定します (「特権 EXEC モードにアクセスするための認証の設定(enable コマンド)」を参照してください)。

enable 認証は、ユーザが enable コマンドにアクセスした後にユーザ名を保持するためには不可欠です。

あるいは、設定を必要としない login コマンド(これは、認証されている enable コマンドと同じでローカル データベースの場合に限る)を使用することもできます。このオプションは enable 認証ほど安全ではないため、お勧めしません。

CLI 認証を使用することもできますが、必須ではありません。

次に示すユーザ タイプごとの前提条件を確認してください。

ローカル データベース ユーザ:ローカル データベース内の各ユーザの特権レベルを 0 ~ 15 で設定します。

ローカル データベースを設定するには、「ローカル データベースの設定」を参照してください。

RADIUS ユーザ:ユーザの Cisco VSA CVPN3000-Privilege-Level を、0 ~ 15 の値で設定します。

LDAP ユーザ:ユーザを特権レベル 0 ~ 15 の間で設定し、次に 「LDAP アトリビュートのマッピング」の説明に従って、LDAP アトリビュートを Cisco VAS CVPN3000-Priviledge-Level にマッピングします。

デフォルトのコマンド特権レベル

デフォルトでは、次のコマンドが特権レベル 0 に割り当てられます。その他のコマンドはすべてレベル 15 です。

show checksum

show curpriv

enable

help

show history

login

logout

pager

show pager

clear pager

quit

show version

設定モード コマンドを 15 より低いレベルに移動する場合は、 configure コマンドも同じレベルに移動してください。このようにしないと、ユーザはコンフィギュレーション モードに入ることができません。

すべての特権レベルを表示する方法は、「コマンド特権レベルの表示」を参照してください。

コマンドへの特権レベルの割り当てと認可のイネーブル化

コマンドを新しい特権レベルに割り当て、認可をイネーブル化するには、次の手順を実行します。


ステップ 1 特権レベルにコマンドを割り当てるには、次のコマンドを入力します。

hostname(config)# privilege [show | clear | cmd] level level [mode {enable | cmd}] command command
 

再割り当てする各コマンドに対してこのコマンドを繰り返します。

このコマンド内のオプションについては、次の情報を参照してください。

show | clear | cmd :これらのオプション キーワードを使用すると、コマンドの show、clear、または configure 形式に対してだけ特権を設定できます。コマンドの configure 形式は、通常、未修正コマンド( show または clear プレフィックスなしで)または no 形式として、コンフィギュレーションの変更を引き起こす形式です。これらのキーワードのいずれかを使用しない場合は、コマンドのすべての形式が影響を受けます。

level level :0 ~ 15 のレベル。

mode { enable | configure }:ユーザ EXEC/特権 EXEC モードおよびコンフィギュレーション モードでコマンドを入力することができ、そのコマンドが各モードで異なるアクションを実行する場合は、それらのモードの特権レベルを個別に設定することができます。

enable :ユーザ EXEC モードと特権 EXEC モードの両方を指定します。

configure configure terminal コマンドを使用してアクセスされるコンフィギュレーション モードを指定します。

command command :設定しているコマンド。設定できるのは、 main コマンドの特権レベルだけです。たとえば、すべての aaa コマンドのレベルを設定できますが、 aaa authentication コマンドと aaa authorization コマンドのレベルを個別に設定できません。

ステップ 2 RADIUS からの管理ユーザ特権レベルをサポートするには、次のコマンドを入力します。

hostname(config)# aaa authorization exec authentication-server
 

このコマンドを入力しない場合、適応型セキュリティ アプライアンスは、ローカル データベース ユーザの特権レベルだけをサポートし、他のタイプのユーザをすべてデフォルトでレベル 15 に割り当てます。

このコマンドは、ローカル、RADIUS、LDAP(マッピング済み)、および TACACS+ の各ユーザの管理認可もイネーブルにします。詳細については、「管理認可によるユーザ CLI および ASDM アクセスの制限」を参照してください。

ステップ 3 ローカル コマンドの特権レベルは、ローカル データベース、RADIUS サーバ、または LDAP サーバ(マッピングされたアトリビュートを持つ)のユーザの特権レベルと比較して検査できます。ローカル コマンドの特権レベルをイネーブルにするには、次のコマンドを入力します。

hostname(config)# aaa authorization command LOCAL
 

コマンド特権レベルを設定する場合は、このコマンドでコマンド認可を設定しない限り、コマンド認可は実行されません。


 

たとえば、 filter コマンドには次の形式があります。

filter configure オプションで表されます)

show running-config filter

clear configure filter

特権レベルを形式ごとに個別に設定することができます。または、このオプションを省略してすべての形式に同じ特権レベルを設定することもできます。たとえば、次のように、各形式を個別に設定します。

hostname(config)# privilege show level 5 command filter
hostname(config)# privilege clear level 10 command filter
hostname(config)# privilege cmd level 10 command filter
 

または、すべての filter コマンドを同じレベルに設定することもできます。

hostname(config)# privilege level 5 command filter
 

show privilege コマンドは、形式を分けて表示します。

次の例では、 mode キーワードの使用方法を示します。 enable コマンドはユーザ EXEC モードから入力する必要がありますが、コンフィギュレーション モードでアクセスできる enable password コマンドには最も高い特権レベルが必要です。

hostname(config)# privilege cmd level 0 mode enable command enable
hostname(config)# privilege cmd level 15 mode cmd command enable
hostname(config)# privilege show level 15 mode cmd command enable
 

次の例では、 mode キーワードを使用する追加コマンドである configure コマンドを示します。

hostname(config)# privilege show level 5 mode cmd command configure
hostname(config)# privilege clear level 15 mode cmd command configure
hostname(config)# privilege cmd level 15 mode cmd command configure
hostname(config)# privilege cmd level 15 mode enable command configure

この最後の行は、configure terminal コマンドで使用します。


コマンド特権レベルの表示

次のコマンドを使用すると、コマンドの特権レベルを表示できます。

すべてのコマンドを表示するには、次のコマンドを入力します。

hostname(config)# show running-config all privilege all
 

特定のレベルのコマンドを表示するには、次のコマンドを入力します。

hostname(config)# show running-config privilege level level
 

level は 0 ~ 15 の整数です。

特定のコマンドのレベルを表示するには、次のコマンドを入力します。

hostname(config)# show running-config privilege command command
 

たとえば、 show running-config all privilege all コマンドの場合、システムは特権レベルに対する各 CLI コマンドの現在の割り当てを表示します。次に、このコマンドの出力例を示します。

hostname(config)# show running-config all privilege all
privilege show level 15 command aaa
privilege clear level 15 command aaa
privilege configure level 15 command aaa
privilege show level 15 command aaa-server
privilege clear level 15 command aaa-server
privilege configure level 15 command aaa-server
privilege show level 15 command access-group
privilege clear level 15 command access-group
privilege configure level 15 command access-group
privilege show level 15 command access-list
privilege clear level 15 command access-list
privilege configure level 15 command access-list
privilege show level 15 command activation-key
privilege configure level 15 command activation-key
....
 

次のコマンドを使用すると、特権レベル 10 のコマンド割り当てが表示されます。

hostname(config)# show running-config privilege level 10
privilege show level 10 command aaa
 

次のコマンドを使用すると、 access-list コマンドのコマンド割り当てが表示されます。

hostname(config)# show running-config privilege command access-list
privilege show level 15 command access-list
privilege clear level 15 command access-list
privilege configure level 15 command access-list

TACACS+ コマンド認可の設定

TACACS+ コマンド認可をイネーブルにし、ユーザが CLI でコマンドを入力すると、適応型セキュリティ アプライアンスはそのコマンドとユーザ名を TACACS+ サーバに送信し、コマンドが認可されているかどうかを判別します。

TACACS+ サーバでコマンド認可を設定するときは、設定どおりに動作することを確認するまで、コマンド認可機能の設定を保存しないでください。誤ってロックアウトされた場合は、通常、適応型セキュリティ アプライアンスを再起動することによってアクセスを回復できます。それでもロックアウトされたままの場合は、「ロックアウトからの回復」を参照してください。

使用している TACACS+ システムが完全に安定していて、高い信頼性があることを確認してください。通常、必要なレベルの信頼性を得るには、完全冗長の TACACS+ サーバ システムと、適応型セキュリティ アプライアンスに対する完全な冗長接続が確立されていることが必要です。たとえば、TACACS+ サーバ プールに、インターフェイス 1 に接続されたサーバと、インターフェイス 2 に接続された別のサーバを組み込みます。また、TACACS+ サーバを使用できない場合は、ローカル コマンド認可をフォールバック方式として設定できます。この場合は、「コマンド認可の設定」に従ってローカル ユーザとコマンド特権レベルを設定する必要があります。

この項は、次の内容で構成されています。

「TACACS+ コマンド認可の前提条件」

「TACACS+ サーバでのコマンドの設定」

「TACACS+ コマンド認可のイネーブル化」

TACACS+ コマンド認可の前提条件

コマンド認可コンフィギュレーションの一部として、次のタスクを実行します。

CLI 認証を設定する(「ローカル コマンド認可の設定」を参照)。

enable 認証を設定する(「特権 EXEC モードにアクセスするための認証の設定(enable コマンド)」を参照)。

TACACS+ サーバでのコマンドの設定

グループまたは個々のユーザの共有プロファイル コンポーネントとしての Cisco Secure Access Control Server(ACS)TACACS+ サーバでコマンドを設定できます。サードパーティの TACACS+ サーバの場合は、コマンド認可サポートの詳細については、ご使用のサーバのマニュアルを参照してください。

Cisco Secure ACS バージョン 3.1 でコマンドを設定する場合は、次のガイドラインを参照してください。

適応型セキュリティ アプライアンスは、「シェル」コマンドとして認可するコマンドを送信し、TACACS+ サーバでシェル コマンドとしてコマンドを設定します。


) Cisco Secure ACS には、「pix-shell」と呼ばれるコマンド タイプが含まれている場合があります。このタイプは適応型セキュリティ アプライアンス コマンド認可に使用しないでください。


コマンドの最初のワードは、メイン コマンドと見なされます。その他のワードはすべて引数と見なされます。これは、 permit または deny の後に置く必要があります。

たとえば、 show running-configuration aaa-server コマンドを許可するには、 show running-configuration をコマンド ボックスに追加し、 permit aaa-server を引数ボックスに入力します。

Permit Unmatched Args チェックボックスを選択することによって、明示的に拒否していないコマンドのすべての引数を許可することができます。

たとえば、特定の show コマンドを設定するだけで、すべての show コマンドが許可されます。CLI の使用法を示す ? や省略形など、コマンドの変形をすべて予想する必要がなくなるので、この方法を使用することをお勧めします(図 37-1 を参照)。

図 37-1 関連するすべてのコマンドの許可

 

enable help など、単一ワードのコマンドについては、そのコマンドに引数がない場合でも、一致しない引数を許可する 必要があります図 37-2 を参照)。

図 37-2 単一ワードのコマンドの許可

 

引数を拒否するには、その引数の前に deny を入力します。

たとえば、 enable を許可し、 enable password を許可しない場合は、コマンド ボックスに enable と入力し、引数ボックスに deny password と入力します。 enable だけが許可されるように、Permit Unmatched Args チェックボックスを選択してください(図 37-3 を参照)。

図 37-3 引数の拒否

 

コマンドラインでコマンドを省略形で入力した場合、適応型セキュリティ アプライアンスはプレフィックスとメイン コマンドを完全なテキストに展開しますが、その他の引数は入力したとおりに TACACS+ サーバに送信します。

たとえば、 sh log と入力すると、適応型セキュリティ アプライアンスは完全なコマンド show logging を TACACS+ サーバに送信します。一方、 sh log mess と入力すると、適応型セキュリティ アプライアンスは展開されたコマンド show logging message ではなく、 show logging mess を TACACS+ サーバに送信します。省略形を予想して同じ引数に複数のスペルを設定できます(図 37-4 を参照)。

図 37-4 省略形の指定

 

すべてのユーザに対して次の基本コマンドを許可することをお勧めします。

show checksum

show curpriv

enable

help

show history

login

logout

pager

show pager

clear pager

quit

show version

TACACS+ コマンド認可のイネーブル化

TACACS+ コマンド認可をイネーブルにする前に、TACACS+ サーバで定義されたユーザとして適応型セキュリティ アプライアンスにログインしていること、および適応型セキュリティ アプライアンスの設定を続けるために必要なコマンド認可があることを確認してください。たとえば、すべてのコマンドが認可された管理ユーザとしてログインする必要があります。このようにしないと、意図せずロックアウトされる可能性があります。

TACACS+ サーバを使用したコマンド認可を実行するには、次のコマンドを入力します。

hostname(config)# aaa authorization command tacacs+_server_group [LOCAL]
 

TACACS+ サーバを使用できない場合は、ローカル データベースをフォールバック方式として使用するように適応型セキュリティ アプライアンスを設定できます。フォールバックをイネーブルにするには、サーバ グループ名の後ろに LOCAL を指定します( LOCAL は大文字と小文字を区別します)。適応型セキュリティ アプライアンスは、どちらの方式を使用しているかを示すプロンプトを表示しないため、ローカル データベースと TACACS+ サーバで同じユーザ名とパスワードを使用することをお勧めします。必ずローカル データベースのユーザ(「コマンド認可の設定」を参照)とコマンド特権レベル(「ローカル コマンド認可の設定」を参照)を設定してください。

コマンド アカウンティングの設定

CLI で show コマンド以外のコマンドを入力するときには、TACACS+ アカウンティング サーバにアカウンティング メッセージを送信できます。 privilege コマンドを使用してコマンド特権レベルをカスタマイズする場合(「コマンドへの特権レベルの割り当てと認可のイネーブル化」を参照)は、最小特権レベルを指定することによって、適応型セキュリティ アプライアンスがアカウンティングを行うコマンドを制限できます。適応型セキュリティ アプライアンスは、その最小特権レベル未満のコマンドにはアカウンティングを行いません。

コマンド アカウンティングをイネーブルにするには、次のコマンドを入力します。

hostname(config)# aaa accounting command [privilege level] server-tag
 

level は最小特権レベルで、 server-tag は、適応型セキュリティ アプライアンスがコマンド アカウンティング メッセージを送信する TACACS+ サーバ グループの名前です。TACACS+ サーバ グループのコンフィギュレーションはあらかじめ存在している必要があります。AAA サーバ グループを設定する方法の詳細については、「AAA サーバ グループおよびサーバの識別」を参照してください。

現在のログイン ユーザの表示

現在のログイン ユーザを表示するには、次のコマンドを入力します。

hostname# show curpriv
 

次の show curpriv コマンドの出力例を参照してください。各フィールドの説明については、下記を参照してください。

hostname# show curpriv
Username : admin
Current privilege level : 15
Current Mode/s : P_PRIV
 

表 37-1 は、 show curpriv コマンドの出力について説明しています。

 

表 37-1 show curpriv の表示の説明

フィールド
説明

Username

ユーザ名。デフォルト ユーザとしてログインすると、名前は enable_1(ユーザ EXEC)または enable_15(特権 EXEC)になります。

Current privilege level

0 ~ 15 のレベル。ローカル コマンド認可を設定してコマンドを中間特権レベルに割り当てない限り、使用されるレベルはレベル 0 と 15 だけです。

Current Mode/s

アクセス モードを表示します。

P_UNPR:ユーザ EXEC モード(レベル 0 と 1)

P_PRIV:特権 EXEC モード(レベル 2 ~ 15)

P_CONF:コンフィギュレーション モード

ロックアウトからの回復

状況によっては、コマンド認可や CLI 認証をオンにすると、適応型セキュリティ アプライアンス CLI からロックアウトされる場合があります。通常は、適応型セキュリティ アプライアンスを再起動することによってアクセスを回復できます。ただし、すでにコンフィギュレーションを保存した場合は、ロックアウトされたままになる可能性があります。 表 37-2 に、一般的なロックアウト条件と回復方法を示します。

 

表 37-2 CLI 認証およびコマンド認可のロックアウト シナリオ

機能
ロックアウト条件
説明
対応策:シングルモード
対応策:マルチモード

ローカル CLI 認証

ローカル データベース内にユーザが存在しない。

ローカル データベース内にユーザが存在しない場合は、ログインできず、ユーザの追加もできません。

ログインし、パスワードと aaa コマンドをリセットします。

スイッチから適応型セキュリティ アプライアンスへのセッションを接続します。システム実行スペースから、コンテキストに切り替えてユーザを追加することができます。

TACACS+ コマンド認可

TACACS+ CLI 認証

RADIUS CLI 認証

サーバがダウンしているか到達不能で、フォールバック方式を設定していない。

サーバが到達不能である場合は、ログインもコマンドの入力もできません。

1. ログインし、パスワードと AAA コマンドをリセットします。

2. サーバがダウンしたときにロックアウトされないように、ローカル データベースをフォールバック方式として設定します。

1. 適応型セキュリティ アプライアンスでネットワーク コンフィギュレーションが正しくないためサーバが到達不能である場合は、スイッチから適応型セキュリティ アプライアンスへのセッションを接続します。システム実行スペースから、コンテキストに切り替えてネットワークを再設定することができます。

2. サーバがダウンしたときにロックアウトされないように、ローカル データベースをフォールバック方式として設定します。

TACACS+ コマンド認可

十分な特権のないユーザまたは存在しないユーザとしてログインした。

コマンド認可がイネーブルになりますが、ユーザはこれ以上コマンドを入力できなくなります。

TACACS+ サーバのユーザ アカウントを修正します。

TACACS+ サーバへのアクセス権がなく、適応型セキュリティ アプライアンスをすぐに設定する必要がある場合は、メンテナンス パーティションにログインして、パスワードと aaa コマンドをリセットします。

スイッチから適応型セキュリティ アプライアンスへのセッションを接続します。システム実行スペースから、コンテキストに切り替えてコンフィギュレーションの変更を完了することができます。また、TACACS+ コンフィギュレーションを修正するまでコマンド認可をディセーブルにすることもできます。

ローカル コマンド認可

十分な特権のないユーザとしてログインしている。

コマンド認可がイネーブルになりますが、ユーザはこれ以上コマンドを入力できなくなります。

ログインし、パスワードと aaa コマンドをリセットします。

スイッチから適応型セキュリティ アプライアンスへのセッションを接続します。システム実行スペースから、コンテキストに切り替えてユーザ レベルを変更することができます。

ログイン バナーの設定

ユーザが適応型セキュリティ アプライアンスに接続し、ユーザがログインする前または特権 EXEC モードに入る前に表示されるメッセージを設定できます。

ログイン バナーを設定するには、システム実行スペースまたはコンテキスト内で次のコマンドを入力します。

hostname(config)# banner {exec | login | motd} text
 

ユーザが最初に接続したとき(「今日のお知らせ」( motd ))、ユーザがログインしたとき( login )、ユーザが特権 EXEC モードにアクセスしたとき( exec )のいずれかに表示するバナーを追加します。ユーザが適応型セキュリティ アプライアンスに接続すると、まず「今日のお知らせ」バナーが表示され、その後にログイン バナーとプロンプトが表示されます。ユーザが適応型セキュリティ アプライアンスに正常にログインすると、exec バナーが表示されます。

バナー テキストには、スペースは許可されますが、タブは CLI を使用して入力できません。適応型セキュリティ アプライアンスのホスト名またはドメイン名は、 $(hostname) 文字列と $(domain) 文字列を組み込むことによって動的に追加できます。システム コンフィギュレーションでバナーを設定する場合は、コンテキスト コンフィギュレーションで $(system) 文字列を使用することによって、コンテキスト内でそのバナー テキストを使用できます。

複数の行を追加する場合は、各行の前に banner コマンドを置きます。

たとえば、「今日のお知らせ」バナーを追加するには、次のように入力します。

hostname(config)# banner motd Welcome to $(hostname).
hostname(config)# banner motd Contact me at admin@example.com for any
hostname(config)# banner motd issues.