Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド Version 7.1(1)
システム アクセスの管理
システム アクセスの管理
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

システム アクセスの管理

Telnet アクセスの許可

SSH アクセスの許可

SSH アクセスの設定

SSH クライアントの使用

ログイン パスワードの変更

の HTTPS アクセスの許可

システム管理者の AAA

CLI アクセスの認証の設定

特権 EXEC モードにアクセスするための認証の設定

enable コマンドの認証の設定

login コマンドによるユーザの認証

コマンド認可の設定

コマンド認可の概要

ローカル コマンド認可の設定

TACACS+ コマンド認可の設定

コマンド アカウンティングの設定

現在のログイン ユーザの表示

ロックアウトからの回復

ログイン バナーの設定

システム アクセスの管理

この章では、Telnet、SSH、および HTTPS を介してシステム管理のためにセキュリティ アプライアンスにアクセスする方法について説明します。また、ユーザを認証および認可する方法とログイン バナーを作成する方法についても説明します。

次の事項について説明します。

「Telnet アクセスの許可」

「SSH アクセスの許可」

「ASDM の HTTPS アクセスの許可」

「システム管理者の AAA」

「ログイン バナーの設定」


) 管理アクセスのためにセキュリティ アプライアンス インターフェイスにアクセスする場合、ホスト IP アドレスを許可するアクセスリストは不要です。この章の各項で説明する手順に従って、管理アクセスのみ設定する必要があります。


Telnet アクセスの許可

セキュリティ アプライアンスは、管理目的でセキュリティ アプライアンスへの Telnet 接続を許可します。IPSec トンネル内で Telnet を使用する場合を除き、最も低いセキュリティ インターフェイスに対して Telnet を使用することはできません。

セキュリティ アプライアンスは、コンテキストごとに最大 5 つの同時 Telnet 接続を許可し、可能な場合は、最大 100 の接続がすべてのコンテキストの間で分割されます。

セキュリティ アプライアンスへの Telnet アクセスを設定するには、次の手順を実行します。


ステップ 1 セキュリティ アプライアンスが接続を受け入れる送信元 IP アドレスを指定するには、アドレスまたはサブネットごとに、次のコマンドを入力します。

hostname(config)# telnet source_IP_address mask source_interface
 

インターフェイスが 1 つしかない場合は、インターフェイスのセキュリティ レベルが 100 である限り、そのインターフェイスにアクセスするように Telnet を設定することができます。

ステップ 2 (オプション)セキュリティ アプライアンスが Telnet セッションを切断するまでに、セッションがアイドル状態を維持する時間の長さを設定するには、次のコマンドを入力します。

hostname(config)# telnet timeout minutes
 

タイムアウトは 1 ~ 1440 分に設定します。デフォルトは 5 分です。デフォルト値では一般に短かすぎるので、実働前のテストとトラブルシューティングがすべて完了するまでは、長めに設定しておいてください。


 

たとえば、192.168.1.2 というアドレスを持つ内部インターフェイス上のホストからセキュリティ アプライアンスにアクセスするには、次のように入力します。

hostname(config)# telnet 192.168.1.2 255.255.255.255 inside
hostname(config)# telnet timeout 30
 

192.168.3.0 ネットワーク上のすべてのユーザが内部インターフェイス上のセキュリティ アプライアンスにアクセスできるようにするには、次のコマンドを入力します。

hostname(config)# telnet 192.168.3.0 255.255.255.0 inside
 

SSH アクセスの許可

セキュリティ アプライアンスは、管理目的でセキュリティ アプライアンスへの SSH 接続を許可します。セキュリティ アプライアンスは、コンテキストごとに最大 5 つの同時 SSH 接続を許可し、可能な場合は、最大 100 の接続がすべてのコンテキストの間で分割されます。

SSH は、強力な認証と暗号化機能を提供する TCP/IP など、信頼性の高いトランスポート層で実行されるアプリケーションです。セキュリティ アプライアンスは SSH バージョン 1 および 2 で提供されている SSH リモート シェル機能をサポートし、DES 暗号および 3DES 暗号をサポートします。


) SSL および SSH での XML 管理は、PIX Version 7.0 および 7.0 ではサポートされていません。


ここでは、次の項目について説明します。

「SSH アクセスの設定」

「SSH クライアントの使用」

SSH アクセスの設定

セキュリティ アプライアンスへの SSH アクセスを設定するには、次の手順を実行します。


ステップ 1 SSH に必要な RSA キー ペアを生成するには、次のコマンドを入力します。

hostname(config)# crypto key generate rsa modulus modulus_size
 

係数(ビット単位)は 512、768、1024、または 2048 です。指定するキー係数のサイズが大きいほど、RSA の生成にかかる時間は長くなります。値は 1024 にすることを推奨します。

ステップ 2 永続的なフラッシュ メモリに RSA キーを保存するには、次のコマンドを入力します。

hostname(config)# write mem
 

ステップ 3 セキュリティ アプライアンスが接続を受け入れる送信元 IP アドレスを指定するには、アドレスまたはサブネットごとに、次のコマンドを入力します。

hostname(config)# ssh source_IP_address mask source_interface
 

セキュリティ アプライアンスは、最も低いセキュリティ レベルの接続も含め、すべてのインターフェイスから SSH 接続を受け入れます。

ステップ 4 (オプション)セキュリティ アプライアンスが SSH セッションを切断するまでに、セッションがアイドル状態を維持する時間の長さを設定するには、次のコマンドを入力します。

hostname(config)# ssh timeout minutes
 

タイムアウトは 1 ~ 60 分に設定します。デフォルトは 5 分です。デフォルト値では一般に短かすぎるので、実働前のテストとトラブルシューティングがすべて完了するまでは、長めに設定しておいてください。


 

たとえば、RSA キーを生成し、192.168.1.2 というアドレスを持つ内部インターフェイス上のホストからセキュリティ アプライアンスにアクセスするには、次のように入力します。

hostname(config)# crypto key generate rsa modulus 1024
hostname(config)# write mem
hostname(config)# ssh 192.168.1.2 255.255.255.255 inside
hostname(config)# ssh 192.168.1.2 255.255.255.255 inside
hostname(config)# ssh timeout 30
 

192.168.3.0 ネットワーク上のすべてのユーザが内部インターフェイス上のセキュリティ アプライアンスにアクセスできるようにするには、次のコマンドを入力します。

hostname(config)# ssh 192.168.3.0 255.255.255.0 inside
 

デフォルトでは、SSH はバージョン 1 とバージョン 2 の両方を許可します。バージョン番号を指定するには、次のコマンドを入力します。

hostname(config)# ssh version version_number
 

version_number には 1 または 2 を指定します。

SSH クライアントの使用

SSH を使用してセキュリティ アプライアンス コンソールにアクセスするには、SSH クライアントでユーザ名 pix を入力し、 password コマンドで設定したログイン パスワードを入力します(「ログイン パスワードの変更」を参照してください)。

SSH セッションを開始すると、次のように SSH ユーザ認証プロンプトが表示される前に、セキュリティ アプライアンス コンソール上にドット(.)が表示されます。

hostname(config)# .
 

ドットが表示されても、SSH の機能には影響を与えません。コンソールにドットが表示されるのは、ユーザ認証が始まる前で、サーバ キーを生成する場合か、または SSH キー交換中に秘密キーを使用してメッセージを暗号化する場合です。これらのタスクには 2 分以上かかることがあります。ドットは、セキュリティ アプライアンスがビジー状態で、ハングしていないことを示す進捗インジケータです。

ログイン パスワードの変更

ログイン パスワードは Telnet 接続と SSH 接続に使用されます。デフォルトでは、ログイン パスワードは「cisco」です。パスワードを変更するには、次のコマンドを入力します。

hostname(config)# {passwd | password} password
 

passwd または password と入力します。パスワードは、最大 16 文字の英数字および特殊文字で、大文字と小文字の区別があります。パスワードには疑問符(?)とスペースを除く任意の文字を使用できます。

パスワードは暗号化された形式でコンフィギュレーションに保存されるため、パスワードの入力後に元のパスワードを表示することはできません。パスワードをデフォルト設定に戻すには、no password コマンドを使用します。

ASDM の HTTPS アクセスの許可

ASDM を使用するには、HTTPS サーバをイネーブルにし、セキュリティ アプライアンスへの HTTPS 接続を許可する必要があります。 setup コマンドを使用すると、これらのタスクがすべて完了します。この項では、ASDM アクセスを手動で設定する方法について説明します。

セキュリティ アプライアンスは、コンテキストごとに最大 5 つの同時 ASDM インスタンスを許可し、可能な場合は、最大 32 の ASDM インスタンスがすべてのコンテキストの間で許可されます。


) WebVPN と ASDM 管理を同じインターフェイス上でイネーブルにすることはできません。あるインターフェイス上で WebVPN をイネーブルにした場合、そのインターフェイスを ASDM に使用することはできません。


ASDM アクセスを設定するには、次の手順を実行します。


ステップ 1 セキュリティ アプライアンスが HTTPS 接続を受け入れる送信元 IP アドレスを指定するには、アドレスまたはサブネットごとに、次のコマンドを入力します。

hostname(config)# http source_IP_address mask source_interface
 

ステップ 2 HTTPS サーバをイネーブルにするには、次のコマンドを入力します。

hostname(config)# http server enable
 

ステップ 3 ASDM イメージのロケーションを指定するには、次のコマンドを入力します。

hostname(config)# asdm image disk0:/asdmfile
 


 

 

たとえば、HTTPS サーバをイネーブルにして、192.168.1.2 というアドレスを持つ内部インターフェイス上のホストから ASDM にアクセスするには、次のように入力します。

hostname(config)# crypto key generate rsa modulus 1024
hostname(config)# write mem
hostname(config)# http server enable
hostname(config)# http 192.168.1.2 255.255.255.255 inside
 

192.168.3.0 ネットワーク上のすべてのユーザが内部インターフェイス上の ASDM にアクセスできるようにするには、次のコマンドを入力します。

hostname(config)# http 192.168.3.0 255.255.255.0 inside
 

システム管理者の AAA

この項では、システム管理者の認証とコマンド認可をイネーブルにする方法について説明します。システム管理者の AAA を設定する前に、まず「AAA サーバおよびローカル データベースのサポート」に従ってローカル データベースまたは AAA サーバを設定します。

ここでは、次の項目について説明します。

「CLI アクセスの認証の設定」

「特権 EXEC モードにアクセスするための認証の設定」

「コマンド認可の設定」

「コマンド アカウンティングの設定」

「現在のログイン ユーザの表示」

「ロックアウトからの回復」

CLI アクセスの認証の設定

CLI 認証をイネーブルにすると、セキュリティ アプライアンスはログインのためユーザ名とパスワードの入力を求めるプロンプトを表示します。情報を入力した後、ユーザ EXEC モードにアクセスできるようになります。

特権 EXEC モードに入るには、 enable コマンドまたは login コマンドを入力します(ローカル データベースを使用している場合のみ)。

イネーブル認証を設定する場合(「enable コマンドの認証の設定」を参照)は、セキュリティ アプライアンスによってユーザ名とパスワードの入力を求めるプロンプトが表示されます。イネーブル認証を設定しない場合は、 enable コマンドを入力する際にシステム イネーブル パスワードを入力します( enable password コマンドで設定)。ただし、イネーブル認証を使用しない場合、 enable コマンドを入力した後、特定のユーザとしてログインする必要はありません。ユーザ名を保持するには、イネーブル認証を使用します。

ローカル データベースを使用して認証する場合は、 login コマンドを使用できます。これにより、ユーザ名が保持されますが、認証をオンにする設定は必要ありません。


) セキュリティ アプライアンスで Telnet、SSH、または HTTP ユーザを認証できるようにするには、まず telnetssh、および http コマンドを使用してセキュリティ アプライアンスへのアクセスを設定する必要があります。これらのコマンドは、セキュリティ アプライアンスとの通信が許可された IP アドレスを識別します。


CLI にアクセスするユーザを認証するには、次のコマンドを入力します。

hostname(config)# aaa authentication {telnet | ssh | http | serial} console {LOCAL | server_group [LOCAL]}
 

http キーワードは、HTTPS を使用してセキュリティ アプライアンスにアクセスする ASDM クライアントを認証します。HTTP 認証を設定する必要があるのは、RADIUS または TACACS+ サーバを使用する場合だけです。デフォルトでは、このコマンドを設定しない場合でも、ASDM は認証にローカル データベースを使用します。

認証に TACACS+ または RADIUS サーバ グループを使用する場合は、AAA サーバが使用できないときにローカル データベースをフォールバック方式として使用するようにセキュリティ アプライアンスを設定できます。サーバ グループ名の後ろに LOCAL を指定します( LOCAL は大文字と小文字を区別します)。セキュリティ アプライアンスは、どちらの方式を使用しているかを示すプロンプトを表示しないため、ローカル データベースと AAA サーバで同じユーザ名とパスワードを使用することをお勧めします。

LOCAL だけを入力して、ローカル データベースを認証の主要方式として(フォールバックなしで)使用することもできます。

特権 EXEC モードにアクセスするための認証の設定

ユーザが enable コマンドを入力したときに AAA サーバまたはローカル データベースでそれらのユーザを認証するようにセキュリティ アプライアンスを設定することができます。あるいは、ユーザは login コマンドを入力したときにローカル データベースで自動的に認証されます。この場合も、ローカル データベース内のユーザ レベルに応じて特権 EXEC モードにアクセスします。

ここでは、次の項目について説明します。

「enable コマンドの認証の設定」

「login コマンドによるユーザの認証」

enable コマンドの認証の設定

ユーザが enable コマンドを入力したときに認証されるようにセキュリティ アプライアンスを設定できます。 enable コマンドを認証しない場合は、 enable を入力したときに、セキュリティ アプライアンスがシステム イネーブル パスワード( enable password コマンドで設定)の入力を求めるプロンプトを表示します。この場合、特定のユーザとしてログインする必要はありません。 enable コマンドに認証を適用すると、ユーザ名が保持されます。この機能は、ユーザが入力できるコマンドを判別するためにユーザ名が重要な役割を果たすコマンド認可を実行する場合に特に役立ちます。

enable コマンドを入力するユーザを認証するには、次のコマンドを入力します。

hostname(config)# aaa authentication enable console {LOCAL | server_group [LOCAL]}
 

ユーザ名とパスワードの入力を求めるプロンプトがユーザに対して表示されます。

認証に TACACS+ または RADIUS サーバ グループを使用する場合は、AAA サーバが使用できないときにローカル データベースをフォールバック方式として使用するようにセキュリティ アプライアンスを設定できます。サーバ グループ名の後ろに LOCAL を指定します( LOCAL は大文字と小文字を区別します)。セキュリティ アプライアンスは、どちらの方式を使用しているかを示すプロンプトを表示しないため、ローカル データベースと AAA サーバで同じユーザ名とパスワードを使用することをお勧めします。

LOCAL だけを入力して、ローカル データベースを認証の主要方式として(フォールバックなしで)使用することもできます。

login コマンドによるユーザの認証

ユーザ EXEC モードから、 login コマンドを使用してローカル データベース内のユーザ名でログインすることができます。

この機能を使用すると、ユーザは独自のユーザ名とパスワードでログインして特権 EXEC モードにアクセスすることができるので、システム イネーブル パスワードを全員に提供する必要がなくなります。ユーザがログインしたときに特権 EXEC モード(およびすべてのコマンド)へのアクセスを許可するには、ユーザ特権レベルを 2(デフォルト)~ 15 に設定します。ローカル コマンド認可を設定した場合、ユーザはその特権レベルまたはそれ以下のレベルに割り当てられたコマンドだけを入力できます。詳細については、「ローカル コマンド認可の設定」を参照してください。


注意 CLI へのアクセス権を取得できるユーザを特権 EXEC モードに入れないようにするには、そのユーザをローカル データベースに追加する際にコマンド認可を設定する必要があります。コマンド認可がない場合、ユーザは、特権レベルが 2 以上(デフォルトは 2)であれば、CLI で独自のパスワードを使用して特権 EXEC モード(およびすべてのコマンド)にアクセスすることができます。あるいは、RADIUS または TACACS+ 認証を使用するか、またはすべてのローカル ユーザをレベル 1 に設定することにより、誰がシステム イネーブル パスワードで特権 EXEC モードにアクセスできるかを制御できます。

ローカル データベースからユーザとしてログインするには、次のコマンドを入力します。

hostname> login
 

セキュリティ アプライアンスにより、ユーザ名とパスワードの入力を求めるプロンプトが表示されます。パスワードを入力すると、セキュリティ アプライアンスにより、ユーザはローカル データベースで指定されている特権レベルに置かれます。

コマンド認可の設定

デフォルトでは、ログイン時に、最小限のコマンドだけが提供されるユーザ EXEC モードにアクセスできます。 enable コマンド(またはローカル データベースを使用する場合は login コマンド)を入力すると、特権 EXEC モードおよびコンフィギュレーション コマンドなどの拡張コマンドにアクセスできます。コマンドへのアクセスを制御する場合は、セキュリティ アプライアンスでコマンド認可を設定し、ユーザが使用できるコマンドを決定することができます。

ここでは、次の項目について説明します。

「コマンド認可の概要」

「ローカル コマンド認可の設定」

「TACACS+ コマンド認可の設定」

コマンド認可の概要

次の 2 つのコマンド認可方法のいずれかを使用します。

ローカル データベース:セキュリティ アプライアンスでコマンド特権レベルを設定します。ローカル ユーザが enable コマンドで認証(または login コマンドでログイン)すると、セキュリティ アプライアンスにより、そのユーザはローカル データベースで定義されている特権レベルに置かれます。その後、ユーザはそのユーザの特権レベルおよびそれ以下のレベルのコマンドにアクセスできます。


) ローカル データベース内のユーザが存在しない場合、および CLI 認証やイネーブル認証がない場合でも、ローカル コマンド認可は使用できます。代わりに、enable コマンドを入力するときにシステム イネーブル パスワードを入力すると、セキュリティ アプライアンスによってレベル 15 に置かれます。次に、すべてのレベルのイネーブル パスワードを作成します。これにより、enable n(2 ~ 15)を入力したときに、セキュリティ アプライアンスによってレベル n に置かれるようになります。これらのレベルは、ローカル コマンド認可をオンにするまで使用されません(後述の「ローカル コマンド認可の設定」を参照してください)。(enable の詳細については、『Cisco Security Appliance Command Reference』を参照してください)


TACACS+ サーバ:TACACS+ サーバで、ユーザまたはグループが CLI アクセスの認証後に使用できるコマンドを設定します。CLI でユーザが入力するコマンドはすべて TACACS+ サーバでチェックされます。

ローカル コマンド認可の設定

ローカル コマンド認可では、各ユーザが特権レベルに置かれます。各ユーザは、自分の特権レベルまたはそれ以下のレベルのコマンドを入力できます。セキュリティ アプライアンスで、コマンドを 16 の特権レベル(0 ~ 15)のいずれかに割り当てることができます。デフォルトでは、各コマンドは特権レベル 0 または 15 に割り当てられます。

ここでは、次の項目について説明します。

「ローカル コマンド認可の前提条件」

「デフォルトのコマンド特権レベル」

「コマンドへの特権レベルの割り当てと認可のイネーブル化」

「コマンド特権レベルの表示」

ローカル コマンド認可の前提条件

コマンド認可コンフィギュレーションの一部として、次のタスクを実行します。

enable 認証を設定します(「特権 EXEC モードにアクセスするための認証の設定」を参照してください)。

あるいは、設定を必要としない login コマンド(これは、認証のある enable コマンドと同じです)を使用することもできます。このオプションはイネーブル認証ほど安全ではないので、お勧めしません。

CLI 認証を使用することもできますが、必須ではありません。

ローカル データベース内の各ユーザを特権レベル 0 ~ 15 で設定します。

デフォルトのコマンド特権レベル

デフォルトでは、次のコマンドが特権レベル 0 に割り当てられます。その他のコマンドはすべてレベル 15 です。

show checksum

show curpriv

enable (イネーブル モード)

help

show history

login

logout

pager

show pager

clear pager

quit

show version

設定モード コマンドを 15 より低いレベルに移動する場合は、 configure コマンドも同じレベルに移動してください。このようにしないと、ユーザはコンフィギュレーション モードに入ることができません。

すべての特権レベルを表示する方法は、「コマンド特権レベルの表示」を参照してください。

コマンドへの特権レベルの割り当てと認可のイネーブル化

コマンドを新しい特権レベルに割り当て、認可をイネーブル化するには、次の手順を実行します。


ステップ 1 特権レベルにコマンドを割り当てるには、次のコマンドを入力します。

hostname(config)# privilege [show | clear | cmd] level level [mode {enable | cmd}] command command
 

再割り当てする各コマンドに対してこのコマンドを繰り返します。

このコマンド内のオプションについては、次の情報を参照してください。

show | clear | cmd :これらのオプション キーワードを使用すると、コマンドの show、clear、または configure 形式に対してのみ特権を設定できます。コマンドの configure 形式は、通常、未修正コマンド( show または clear プレフィックスなしで)または no 形式として、コンフィギュレーションの変更を引き起こす形式です。これらのキーワードのいずれかを使用しない場合は、コマンドのすべての形式が影響を受けます。

level level :0 ~ 15 のレベル。

mode { enable | configure }:ユーザ EXEC/特権 EXEC モードおよびコンフィギュレーション モードでコマンドを入力することができ、そのコマンドが各モードで異なるアクションを実行する場合は、それらのモードの特権レベルを個別に設定することができます。

enable :ユーザ EXEC モードと特権 EXEC モードの両方を指定します。

configure configure terminal コマンドを使用してアクセスされるコンフィギュレーション モードを指定します。

command command :設定しているコマンド。設定できるのは、 main コマンドの特権レベルだけです。たとえば、すべての aaa コマンドのレベルを設定することはできますが、
aaa authentication コマンドと aaa authorization コマンドのレベルを別個に設定することはできません。

また、サブコマンドの特権レベルをメイン コマンドと別に設定することもできません。たとえば、 context コマンドを設定することはできますが、 context コマンドから設定を継承する allocate-interface コマンドを設定することはできません。

ステップ 2 ローカル コマンド認可をイネーブルにするには、次のコマンドを入力します。

hostname(config)# aaa authorization command LOCAL
 

コマンド特権レベルを設定しても、このコマンドでコマンド認可をイネーブルにしない限り、コマンド認可は実行されません。


 

たとえば、 filter コマンドには次の形式があります。

filter configure オプションで表されます)

show running-config filter

clear configure filter

特権レベルを形式ごとに個別に設定することができます。または、このオプションを省略してすべての形式に同じ特権レベルを設定することもできます。たとえば、次のように、各形式を個別に設定します。

hostname(config)# privilege show level 5 command filter
hostname(config)# privilege clear level 10 command filter
hostname(config)# privilege cmd level 10 command filter
 

または、すべての filter コマンドを同じレベルに設定することもできます。

hostname(config)# privilege level 5 command filter
 

show privilege コマンドは、形式を分けて表示します。

次の例では、 mode キーワードの使用方法を示します。 enable コマンドはユーザ EXEC モードから入力する必要がありますが、コンフィギュレーション モードでアクセスできる enable password コマンドには最も高い特権レベルが必要です。

hostname(config)# privilege cmd level 0 mode enable command enable
hostname(config)# privilege cmd level 15 mode cmd command enable
hostname(config)# privilege show level 15 mode cmd command enable
 

次の例では、 mode キーワードを使用する追加コマンドである configure コマンドを示します。

hostname(config)# privilege show level 5 mode cmd command configure
hostname(config)# privilege clear level 15 mode cmd command configure
hostname(config)# privilege cmd level 15 mode cmd command configure
hostname(config)# privilege cmd level 15 mode enable command configure

この最後の行は、configure terminal コマンドに対するものです。


コマンド特権レベルの表示

次のコマンドを使用すると、コマンドの特権レベルを表示できます。

すべてのコマンドを表示するには、次のコマンドを入力します。

hostname(config)# show running-config all privilege all
 

特定のレベルのコマンドを表示するには、次のコマンドを入力します。

hostname(config)# show running-config privilege level level
 

level は 0 ~ 15 の整数です。

特定のコマンドのレベルを表示するには、次のコマンドを入力します。

hostname(config)# show running-config privilege command command
 

たとえば、 show running-config all privilege all コマンドの場合、システムは特権レベルに対する各 CLI コマンドの現在の割り当てを表示します。次に、このコマンドの出力例を示します。

hostname(config)# show running-config all privilege all
privilege show level 15 command aaa
privilege clear level 15 command aaa
privilege configure level 15 command aaa
privilege show level 15 command aaa-server
privilege clear level 15 command aaa-server
privilege configure level 15 command aaa-server
privilege show level 15 command access-group
privilege clear level 15 command access-group
privilege configure level 15 command access-group
privilege show level 15 command access-list
privilege clear level 15 command access-list
privilege configure level 15 command access-list
privilege show level 15 command activation-key
privilege configure level 15 command activation-key
....
 

次のコマンドを使用すると、特権レベル 10 のコマンド割り当てが表示されます。

hostname(config)# show running-config privilege level 10
privilege show level 10 command aaa
 

次のコマンドを使用すると、 access-list コマンドのコマンド割り当てが表示されます。

hostname(config)# show running-config privilege command access-list
privilege show level 15 command access-list
privilege clear level 15 command access-list
privilege configure level 15 command access-list
 

TACACS+ コマンド認可の設定

TACACS+ コマンド認可をイネーブルにし、ユーザが CLI でコマンドを入力すると、セキュリティ アプライアンスはそのコマンドとユーザ名を TACACS+ サーバに送信し、コマンドが認可されているかどうかを判別します。

TACACS+ サーバでコマンド認可を設定するときは、設定どおりに動作することを確認するまで、コマンド認可機能の設定を保存しないでください。誤ってロックアウトされた場合は、通常、セキュリティ アプライアンスを再起動することによってアクセスを回復できます。それでもロックアウトされたままの場合は、「ロックアウトからの回復」を参照してください。

使用している TACACS+ システムが完全に安定していて、高い信頼性があることを確認してください。通常、必要なレベルの信頼性を得るには、完全冗長の TACACS+ サーバ システムと、セキュリティ アプライアンスに対する完全な冗長接続が確立されていることが必要です。たとえば、TACACS+ サーバ プールに、インターフェイス 1 に接続されたサーバと、インターフェイス 2 に接続された別のサーバを組み込みます。また、TACACS+ サーバを使用できない場合は、ローカル コマンド認可をフォールバック方式として設定できます。この場合は、「コマンド認可の設定」に従ってローカル ユーザとコマンド特権レベルを設定する必要があります。

ここでは、次の項目について説明します。

「TACACS+ コマンド認可の前提条件」

「TACACS+ サーバでのコマンドの設定」

「TACACS+ コマンド認可のイネーブル化」

TACACS+ コマンド認可の前提条件

コマンド認可コンフィギュレーションの一部として、次のタスクを実行します。

CLI 認証を設定する(「ローカル コマンド認可の設定」を参照)。

enable 認証を設定する(「特権 EXEC モードにアクセスするための認証の設定」を参照)。

TACACS+ サーバでのコマンドの設定

グループまたは個々のユーザの共有プロファイル コンポーネントとしての Cisco Secure Access Control サーバ(ACS)TACACS+ サーバでコマンドを設定できます。サードパーティの TACACS+ サーバの場合は、コマンド認可サポートの詳細については、ご使用のサーバのマニュアルを参照してください。

Cisco Secure ACS バージョン 3.1 でコマンドを設定する場合は、次のガイドラインを参照してください。

セキュリティ アプライアンスは、「シェル」コマンドとして認可するコマンドを送信し、TACACS+ サーバでシェル コマンドとしてコマンドを設定します。


) Cisco Secure ACS には、「pix-shell」と呼ばれるコマンド タイプが含まれている場合があります。このタイプはセキュリティ アプライアンス コマンド認可に使用しないでください。


コマンドの最初のワードは、メイン コマンドと見なされます。その他のワードはすべて引数と見なされます。これは、 permit または deny の後に置く必要があります。

たとえば、 show running-configuration aaa-server コマンドを許可するには、
show running-configuration をコマンド ボックスに追加し、 permit aaa-server を引数ボックスに入力します。

Permit Unmatched Args チェックボックスを選択することによって、明示的に拒否していないコマンドのすべての引数を許可することができます。

たとえば、特定の show コマンドを設定するだけで、すべての show コマンドが許可されます。CLI の使用法を示す ? や省略形など、コマンドの変形をすべて予想する必要がなくなるので、この方法を使用することをお勧めします(図33-1 を参照)。

図33-1 関連するすべてのコマンドの許可

 

enable help など、単一ワードのコマンドについては、そのコマンドに引数がない場合でも、一致しない引数を許可する必要があります(図33-2 を参照)。

図33-2 単一ワードのコマンドの許可

 

引数を拒否するには、その引数の前に deny を入力します。

たとえば、 enable を許可し、 enable password を許可しない場合は、コマンド ボックスに enable と入力し、引数ボックスに deny password と入力します。 enable だけが許可されるように、Permit Unmatched Args チェックボックスを選択してください(図33-3 を参照)。

図33-3 引数の拒否

 

コマンドラインでコマンドを省略形で入力した場合、セキュリティ アプライアンスはプレフィックスとメイン コマンドを完全なテキストに展開しますが、その他の引数は入力したとおりに TACACS+ サーバに送信します。

たとえば、 sh log と入力すると、セキュリティ アプライアンスは完全なコマンド show logging を TACACS+ サーバに送信します。一方、 sh log mess と入力すると、セキュリティ アプライアンスは展開されたコマンド show logging message ではなく、 show logging mess を TACACS+ サーバに送信します。省略形を予想して同じ引数に複数のスペルを設定することができます(図33-4 を参照)。

図33-4 省略形の指定

 

すべてのユーザに対して次の基本コマンドを許可することをお勧めします。

show checksum

show curpriv

enable

help

show history

login

logout

pager

show pager

clear pager

quit

show version

TACACS+ コマンド認可のイネーブル化

TACACS+ コマンド認可をイネーブルにする前に、TACACS+ サーバで定義されたユーザとしてセキュリティ アプライアンスにログインしていること、およびセキュリティ アプライアンスの設定を続けるために必要なコマンド認可があることを確認してください。たとえば、すべてのコマンドが認可された管理ユーザとしてログインする必要があります。このようにしないと、意図せずロックアウトされる可能性があります。

TACACS+ サーバを使用したコマンド認可を実行するには、次のコマンドを入力します。

hostname(config)# aaa authorization command tacacs+_server_group [LOCAL]
 

TACACS+ サーバを使用できない場合は、ローカル データベースをフォールバック方式として使用するようにセキュリティ アプライアンスを設定できます。フォールバックをイネーブルにするには、サーバ グループ名の後ろに LOCAL を指定します( LOCAL は大文字と小文字を区別します)。セキュリティ アプライアンスは、どちらの方式を使用しているかを示すプロンプトを表示しないため、ローカル データベースと TACACS+ サーバで同じユーザ名とパスワードを使用することをお勧めします。必ずローカル データベースのユーザ(「コマンド認可の設定」を参照)とコマンド特権レベル(「ローカル コマンド認可の設定」を参照)を設定してください。

コマンド アカウンティングの設定

管理セッション中にシステム管理者によって発行されたコマンドに対して、TACACS+ サーバ アカウンティング記録を送信するようにセキュリティ アプライアンスを設定することができます。指定する特権レベルを最小にすると、セキュリティ アプライアンスがアカウンティングするコマンドを制限できます。セキュリティ アプライアンスは、最初の特権レベル未満のコマンドはアカウンティングしません。

コマンドのアカウンティングをイネーブルにするには、次のように、 aaa accounting command コマンドを使用します。

hostname(config)# aaa accounting command [ privilege level ] server-tag
 

level は、最小の特権レベルで、 server-tag は、セキュリティ アプライアンスがコマンド アカウンティング メッセージを送信する TACACS+ サーバ グループの名前です。TACACS+ サーバ グループはすでに設定済みである必要があります。AAA サーバ グループを設定する方法の詳細については、「AAA サーバ グループおよびサーバの識別」を参照してください。

現在のログイン ユーザの表示

現在のログイン ユーザを表示するには、次のコマンドを入力します。

hostname# show curpriv
 

次の show curpriv コマンドの出力例を参照してください。各フィールドの説明については、下記を参照してください。

hostname# show curpriv
Username : admin
Current privilege level : 15
Current Mode/s : P_PRIV
 

表33-1 は、 show curpriv コマンドの出力について説明しています。

 

表33-1 show curpriv の表示の説明

フィールド
説明

Username

ユーザ名。デフォルト ユーザとしてログインすると、名前は enable_1(ユーザ EXEC)または enable_15(特権 EXEC)になります。

Current privilege level

0 ~ 15 のレベル。ローカル コマンド認可を設定してコマンドを中間特権レベルに割り当てない限り、使用されるレベルはレベル 0 と 15 だけです。

Current Mode/s

アクセス モードを表示します。

P_UNPR:ユーザ EXEC モード(レベル 0 と 1)

P_PRIV:特権 EXEC モード(レベル 2 ~ 15)

P_CONF:コンフィギュレーション モード

ロックアウトからの回復

状況によっては、コマンド認可や CLI 認証をオンにすると、セキュリティ アプライアンス CLI からロックアウトされる場合があります。通常は、セキュリティ アプライアンスを再起動することによってアクセスを回復できます。ただし、すでにコンフィギュレーションを保存した場合は、ロックアウトされたままになる可能性があります。 表33-2 に、一般的なロックアウト条件と回復方法を示します。

 

表33-2 CLI 認証およびコマンド認可のロックアウト シナリオ

機能
ロックアウト条件
説明
対応策:シングルモード
対応策:マルチモード

ローカル CLI 認証

ローカル データベース内にユーザが存在しない。

ローカル データベース内にユーザが存在しない場合は、ログインできず、ユーザの追加もできません。

ログインし、パスワードと aaa コマンドをリセットします。

スイッチからセキュリティ アプライアンスへのセッションを接続します。システム実行スペースから、コンテキストに切り替えてユーザを追加することができます。

TACACS+ コマンド認可

TACACS+ CLI 認証

RADIUS CLI 認証

サーバがダウンしているか到達不能で、フォールバック方式を設定していない。

サーバが到達不能である場合は、ログインもコマンドの入力もできません。

1. ログインし、パスワードと AAA コマンドをリセットします。

2. サーバがダウンしたときにロックアウトされないように、ローカル データベースをフォールバック方式として設定します。

1. セキュリティ アプライアンスでネットワーク コンフィギュレーションが正しくないためサーバが到達不能である場合は、スイッチからセキュリティ アプライアンスへのセッションを接続します。システム実行スペースから、コンテキストに切り替えてネットワークを再設定することができます。

2. サーバがダウンしたときにロックアウトされないように、ローカル データベースをフォールバック方式として設定します。

TACACS+ コマンド認可

十分な特権のないユーザまたは存在しないユーザとしてログインした。

コマンド認可がイネーブルになりますが、ユーザはこれ以上コマンドを入力できなくなります。

TACACS+ サーバのユーザ アカウントを修正します。

TACACS+ サーバへのアクセス権がなく、セキュリティ アプライアンスをすぐに設定する必要がある場合は、メンテナンス パーティションにログインして、パスワードと aaa コマンドをリセットします。

スイッチからセキュリティ アプライアンスへのセッションを接続します。システム実行スペースから、コンテキストに切り替えてコンフィギュレーションの変更を完了することができます。また、TACACS+ コンフィギュレーションを修正するまでコマンド認可をディセーブルにすることもできます。

ローカル コマンド認可

十分な特権のないユーザとしてログインしている。

コマンド認可がイネーブルになりますが、ユーザはこれ以上コマンドを入力できなくなります。

ログインし、パスワードと aaa コマンドをリセットします。

スイッチからセキュリティ アプライアンスへのセッションを接続します。システム実行スペースから、コンテキストに切り替えてユーザ レベルを変更することができます。

ログイン バナーの設定

ユーザがセキュリティ アプライアンスに接続し、ユーザがログインする前または特権 EXEC モードに入る前に表示されるメッセージを設定できます。

ログイン バナーを設定するには、システム実行スペースまたはコンテキスト内で次のコマンドを入力します。

hostname(config)# banner {exec | login | motd} text
 

ユーザが最初に接続したとき(「今日のお知らせ」( motd ))、ユーザがログインしたとき( login )、ユーザが特権 EXEC モードにアクセスしたとき( exec )のいずれかに表示するバナーを追加します。ユーザがセキュリティ アプライアンスに接続すると、まず「今日のお知らせ」バナーが表示され、その後にログイン バナーとプロンプトが表示されます。ユーザがセキュリティ アプライアンスに正常にログインすると、exec バナーが表示されます。

バナー テキストには、スペースは許可されますが、タブは CLI を使用して入力できません。セキュリティ アプライアンスのホスト名またはドメイン名は、 $(hostname) ストリングと $(domain) ストリングを組み込むことによって動的に追加できます。システム コンフィギュレーションでバナーを設定する場合は、コンテキスト コンフィギュレーションで $(system) ストリングを使用することによって、コンテキスト内でそのバナー テキストを使用できます。

複数の行を追加する場合は、各行の前に banner コマンドを置きます。

たとえば、「今日のお知らせ」バナーを追加するには、次のように入力します。

hostname(config)# banner motd Welcome to $(hostname).
hostname(config)# banner motd Contact me at admin@example.com for any
hostname(config)# banner motd issues.