Cisco ASA 5500 シリーズ コンフィギュレーション ガイド (CLIを使用) ソフトウェア バージョン8.4
ホスト名、ドメイン名、パスワード、および その他の基本設定の設定
ホスト名、ドメイン名、パスワード、およびその他の基本設定の設定
発行日;2012/05/09 | 英語版ドキュメント(2012/02/27 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

ホスト名、ドメイン名、パスワード、およびその他の基本設定の設定

ホスト名、ドメイン名、およびパスワードの設定

ログイン パスワードの変更

イネーブル・パスワードの変更

ホスト名の設定

ドメイン名の設定

日付と時刻の設定

時間帯と夏時間の日付範囲の設定

NTP サーバを使用する日付と時刻の設定

手動での日付と時刻の設定

マスター パスフレーズの設定

マスター パスフレーズに関する情報

マスター パスフレーズのライセンス要件

ガイドラインと制限事項

マスター パスフレーズの追加または変更

マスター パスフレーズのディセーブル化

マスター パスフレーズの回復

マスター パスフレーズの機能履歴

DNS サーバの設定

DNS キャッシュのモニタリング

DNS キャッシュのモニタリング コマンド

DNS キャッシュの機能履歴

ホスト名、ドメイン名、パスワード、およびその他の基本設定の設定

この章では、ASA 上で機能を果たすコンフィギュレーションに通常必要とされる基本設定を行う方法について説明します。この章は、次の項で構成されています。

「ホスト名、ドメイン名、およびパスワードの設定」

「日付と時刻の設定」

「マスター パスフレーズの設定」

「DNS サーバの設定」

ホスト名、ドメイン名、およびパスワードの設定

この項では、デバイス名とパスワードの変更方法を説明します。次の項目を取り上げます。

「ログイン パスワードの変更」

「イネーブル・パスワードの変更」

「ホスト名の設定」

「ドメイン名の設定」

ログイン パスワードの変更

ログイン パスワードは Telnet 接続と SSH 接続に使用されます。デフォルトでは、ログイン パスワードは「cisco」です。パスワードを変更するには、次のコマンドを入力します。

 

コマンド
目的
{ passwd | password } password

 

パスワードを変更します。

passwd または password と入力します。パスワードは、最大 16 文字の英数字および特殊文字で、大文字と小文字の区別があります。パスワードには、疑問符とスペースを除いて、任意の文字を使用できます。

パスワードは暗号化された形式でコンフィギュレーションに保存されるため、パスワードの入力後に元のパスワードを表示することはできません。パスワードをデフォルトの設定に戻す場合は、 no password コマンドを使用します。

イネーブル・パスワードの変更

イネーブル パスワードを使用すると、特権 EXEC モードに入ることができます。デフォルトでは、イネーブル パスワードは空白です。イネーブル パスワードを変更するには、次のコマンドを入力します。

 

コマンド
目的

enable password password

 

 

 

 

 

 

 

 

 

 
hostname(config)# passwd Pa$$w0rd

イネーブル パスワードを変更します。

password は、最大 16 文字の英数字および特殊文字からなるパスワードで、大文字と小文字は区別されます。パスワードには、疑問符とスペースを除いて、任意の文字を使用できます。

このコマンドは最高の特権レベルにパスワードを変更します。ローカル コマンド認可を設定すると、0 ~ 15 の各特権レベルにイネーブル パスワードを設定できます。

パスワードは暗号化された形式でコンフィギュレーションに保存されるため、パスワードの入力後に元のパスワードを表示することはできません。パスワードを指定せずに enable password コマンドを入力すると、パスワードはデフォルトの空白に設定されます。

 

ホスト名の設定

ASA のホスト名を設定すると、そのホスト名がコマンド ラインのプロンプトに表示されます。このホスト名によって、複数のデバイスとのセッションを確立する場合に、コマンドを入力する場所が常に把握できます。デフォルトのホスト名はプラットフォームによって異なります。

マルチコンテキスト モードでは、システム実行スペースで設定したホスト名がすべてのコンテキストのコマンド ラインのプロンプトに表示されます。コンテキスト内にオプションで設定したホスト名はコマンド ラインに表示されませんが、 banner コマンドの $(hostname) トークンで使用できます。

 

コマンド
目的

hostname name

 

 

 

hostname(config)# hostname farscape

farscape(config)#

ASA またはコンテキストのホスト名を指定します。

名前には、63 文字以下の文字を使用できます。ホスト名はアルファベットまたは数字で開始および終了する必要があり、間の文字にはアルファベット、数字、またはハイフンのみを使用する必要があります。

ドメイン名の設定

ASA は、修飾子を持たない名前のサフィクスとして、ドメイン名を付加します。たとえば、ドメイン名を「example.com」に設定し、syslog サーバを修飾子を持たない名前の「jupiter」に指定した場合、セキュリティ アプライアンスによって名前は「jupiter.example.com」に修飾されます。

デフォルト ドメイン名は default.domain.invalid です。

マルチ コンテキスト モードでは、システム実行スペース内だけではなく、各コンテキストに対してドメイン名を設定できます。

 

コマンド
目的

domain-name name

 

 

 

hostname(config)# domain-name example.com

ASA のドメイン名を指定します。

たとえば、ドメインに example.com という名前を指定します。

日付と時刻の設定

この項では、日付と時刻の設定方法として、手動で行う方法と NTP サーバを使用するダイナミックな方法について説明します。手動で設定した時刻はすべて、NTP サーバから取得された時刻によって上書きされます。この項では、時間帯および夏時間の日付範囲の設定方法についても説明します。


) マルチ コンテキスト モードの場合、時間はシステム設定でだけ設定します。


この項は、次の内容で構成されています。

「時間帯と夏時間の日付範囲の設定」

「NTP サーバを使用する日付と時刻の設定」

「手動での日付と時刻の設定」

時間帯と夏時間の日付範囲の設定

デフォルトでは、時間帯は UTC(協定世界時)であり、夏時間の日付範囲は 4 月の第一日曜日の午前 2 時~ 10 月の最終日曜日の午前 2 時です。時間帯および夏時間の日付範囲を変更するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

clock timezone zone [ - ] hours [ minutes ]

 

hostname(config)# clock timezone PST -8

時間帯を設定します。

ここで、 zone 値は、時間帯を文字列で指定します。たとえば、 PST は太平洋標準時(Pacific Standard Time)を表します。

[ - ] hours 値は、UTC との時差を時間で設定します。たとえば、PST は -8 時間です。

minutes 値は、UTC との時差を分で設定します。

ステップ 2

夏時間の日付範囲をデフォルトから変更するには、次のいずれかのコマンドを入力します。定期的な日付範囲のデフォルト値は、 3 月の第二日曜日の午前 2 時~ 11 月の第一日曜日の午前 2 時です。

clock summer-time zone date { day month | month day } year hh : mm { day month | month day } year hh : mm [ offset ]

 

hostname(config)# clock summer-time PDT 1 April 2010 2:00 60

夏時間の開始日と終了日を特定の年の特定の日付に設定します。このコマンドを使用する場合は、日付を毎年再設定する必要があります。

zone 値は、時間帯を文字列で指定します。たとえば、 PDT は太平洋夏時間(Pacific Daylight Time)を表します。

day 値は、月の日付として 1 ~ 31 を設定します。標準の日付形式に応じて、月日を April 1 または 1 April のように入力できます。

month 値は、月を文字列で設定します。標準の日付形式に応じて、月日を April 1 または 1 April のように入力できます。

year 値は、4 桁で年を設定します( 2004 など)。年の範囲は 1993 ~ 2035 です。

hh:mm 値は、24 時間形式で、時間と分を設定します。

offset 値は、夏時間用に時間を変更する分数を設定します。デフォルト値は 60 分です。

clock summer-time zone recurring [ week weekday month hh : mm week weekday month hh : mm ] [ offset ]

 

hostname(config)# clock summer-time PDT recurring first Monday April 2:00 60

夏時間の開始日と終了日を、年の特定の日付ではなく、月の日時の形式で指定します。

このコマンドによって定期的な日付範囲が設定されるため、毎年変更する必要はありません。

zone 値は、時間帯を文字列で指定します。たとえば、 PDT は太平洋夏時間(Pacific Daylight Time)を表します。

week 値は、月の特定の週を 1 から 4 までの整数で指定するか、 first または last という単語で指定します。たとえば、日付が 5 週目に当たる場合は、 last を指定します。

weekday 値は、 Monday Tuesday Wednesday などのように曜日を指定します。

month 値は、月を文字列で設定します。

hh:mm 値は、24 時間形式で、時間と分を設定します。

offset 値は、夏時間用に時間を変更する分数を設定します。デフォルト値は 60 分です。

NTP サーバを使用する日付と時刻の設定

NTP サーバから日付と時刻を取得するには、次の手順を実行します。

手順の詳細

 

コマンド
目的

ステップ 1

ntp authenticate

NTP サーバに関する認証をイネーブルにします。

ステップ 2

ntp trusted-key key_id

 

hostname(config)# ntp trusted-key 1

認証キー ID が信頼できるキーであると指定します。この信頼できるキーは、NTP サーバに関する認証に必要です。

ここで、 key_id は 1 ~ 4294967295 の数字です。複数のサーバで使用できるように複数の信頼できるキーを入力できます。

ステップ 3

ntp authentication-key key_id md5 key

 

hostname(config)# ntp authentication-key 1 md5 aNiceKey

NTP サーバで認証を行うためのキーを設定します。

ここで、 key_id には、 ntp trusted-key コマンドを実行してステップ 2 で設定した ID を指定し、key には最大 32 文字の文字列を指定します。

ステップ 4

ntp server ip_address [ key key_id ] [source interface_name] [ prefer ]

 

hostname(config)# ntp server 10.1.1.1 key 1 prefer

NTP サーバを指定します。

ここで、 key_id には、ステップ 2 ntp trusted-key コマンドを実行して設定した ID を指定します。

source interface_name には、ルーティング テーブル内のデフォルトのインターフェイスを使用しない場合に、NTP パケットを転送する発信インターフェイスを指定します。マルチ コンテキスト モードではシステムにインターフェイスが含まれないため、管理コンテキストに定義されているインターフェイス名を指定します。

prefer キーワードは、精度が類似する複数のサーバがある場合に、この NTP サーバを優先サーバに設定します。NTP では、どのサーバの精度が最も高いかを判断するためのアルゴリズムを使用し、そのサーバに同期します。サーバの精度に差がない場合は、 prefer キーワードにどのサーバを使用するかを指定します。ただし、優先サーバよりも精度が大幅に高いサーバがある場合、ASA では、精度の高いそのサーバを使用します。たとえば、ASA では、優先サーバの stratum 3 の代わりに、サーバ stratum 2 を使用します。

複数のサーバを識別できます。ASA では、最も正確なサーバを使用します。

手動での日付と時刻の設定

 

コマンド
目的

clock set hh : mm : ss { month day | day month } year

 

hostname# clock set 20:54:00 april 1 2004

日付と時刻を手動で設定します。

ここで、 hh : mm : ss には、24 時間形式で、時間、分、秒を設定します。たとえば、午後 8 時 54 分は 20:54:00 のように設定します。

day 値は、月の日付として 1 ~ 31 を設定します。標準の日付形式に応じて、月日を april 1 または 1 april のように入力できます。

month 値は、月を設定します。標準の日付形式に応じて、月日を april 1 または 1 april のように入力できます。

year 値は、4 桁で年を設定します( 2004 など)。年の範囲は 1993 ~ 2035 です。

デフォルトの時間帯は UTC です。 clock timezone コマンドを使用して clock set コマンドを入力した後に時間帯を変更した場合、時間は自動的に新しい時間帯に調整されます。

このコマンドはハードウェア チップ内の時間を設定しますが、コンフィギュレーション ファイル内の時間は保存しません。この時間はリブート後も保持されます。他の clock コマンドとは異なり、このコマンドは特権 EXEC コマンドです。クロックをリセットするには、 clock set コマンドの新しい時刻を設定する必要があります。

マスター パスフレーズの設定

この項では、マスター パスフレーズを設定する方法について説明します。次の項目を取り上げます。

「マスター パスフレーズに関する情報」

「マスター パスフレーズのライセンス要件」

「ガイドラインと制限事項」

「マスター パスフレーズの追加または変更」

「マスター パスフレーズのディセーブル化」

「マスター パスフレーズの回復」

「マスター パスフレーズの機能履歴」

マスター パスフレーズに関する情報

マスター パスフレーズ機能を利用すると、プレーン テキスト パスワードを暗号化された形式で安全に保存できます。マスター パスフレーズは、機能を変更することなく、すべてのパスワードを一般的に暗号化またはマスキングするために使用するキーです。この機能を活かしたパスワードには、次のものがあります。

OSPF

EIGRP

VPN ロード バランシング

VPN (リモート アクセスおよびサイトツーサイト)

フェールオーバー

AAA サーバ

ロギング

共有ライセンス

その他多数...

マスター パスフレーズのライセンス要件

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングル コンテキスト モードとマルチ コンテキスト モードでサポートされています。

マスター パスフレーズの追加または変更

この項では、マスター パスフレーズ機能の設定方法について説明します。

前提条件

フェールオーバーがイネーブルであっても、フェールオーバー共有キーが設定されていない場合に、マスター パスフレーズを変更すると、エラー メッセージが表示されます。このメッセージには、マスター パスフレーズの変更がプレーン テキストとして送信されないよう、フェールオーバー共有キーを入力する必要があることが示されます。

この手順を実行できるのは、HTTPS を介したコンソール、SSH、ASDM などによるセキュア セッションにおいてのみです。

手順の詳細

 

コマンド
目的

ステップ 1

key config-key password-encryption [ new_passphrase [ old_passphrase ]]

 
hostname(config)# key config-key password-encryption
Old key: bumblebee
New key: haverford
Confirm key: haverford
 

暗号キーの生成に使用するパスフレーズを 8 ~ 128 文字の長さで設定します。パスフレーズには、バック スペースと二重引用符を除くすべての文字を使用できます。

コマンドに新しいパスフレーズを入力しないと、入力を求めるプロンプトが表示されます。

パスフレーズを変更する際は、現在のパスフレーズも入力する必要があります。

インタラクティブ プロンプトの例については、「例」を参照してください。

(注) パスワードがコマンド履歴バッファに記録されないよう、パスワードの入力にはインタラクティブ プロンプトを使用することをお勧めします。

暗号化されたパスワードがプレーン テキスト パスワードに変換されるため、no key config-key password-encrypt コマンドの使用には注意が必要です。パスワードの暗号化がサポートされていないソフトウェア バージョンにダウングレードするときは、このコマンドの no 形式を使用できます。

ステップ 2

password encryption aes
 
hostname(config)# password encryption aes

パスワードの暗号化をイネーブルにします。パスワードの暗号化が有効になり、マスター パスワードが使用可能になると、ただちにすべてのユーザ パスワードが暗号化されます。実行コンフィギュレーションには、パスワードは暗号化された形式で表示されます。

パスワードの暗号化をイネーブルにしたときに、パスフレーズが設定されていないと、パスフレーズが将来的に使用可能になるものとしてコマンドは正常に実行されます。

後から no password encryption aes コマンドを使用してパスワードの暗号化をディセーブルにすると、暗号化された既存のパスワードは変更されず、マスター パスフレーズが存在する限り、暗号化されたパスワードはアプリケーションによって必要に応じて復号化されます。

ステップ 3

write memory

 
hostname(config)# write memory

マスター パスフレーズのランタイム値と結果のコンフィギュレーションを保存します。そうしないと、以前保存するときに暗号化しなかった場合に、スタートアップ コンフィギュレーションでパスワードが可視のままになる場合があります。

さらに、マルチモードでは、システム コンテキスト コンフィギュレーション内のマスター パスフレーズが変更されます。その結果、すべてのコンテキスト内のパスワードが影響を受けます。すべてのユーザ コンテキストではなく、システム コンテキスト モードで write memory コマンドを入力しないと、ユーザ コンテキストで暗号化されたパスワードは失効する可能性があります。または、システム コンテキストで write memory all コマンドを使用して、すべてのコンフィギュレーションを保存します。

次の設定例には、以前のキーがありません。

hostname (config)# key config-key password-encryption 12345678
 

次の設定例には、キーがすでに存在しています。

Hostname (config)# key config-key password-encryption 23456789
Old key: 12345678
hostname (config)#
 

次の設定例では、ユーザは対話形式の入力を求めていますが、キーはすでに存在しています。 key config-key password-encryption コマンドを入力して Enter キーを押し、インタラクティブ モードに入ると、[Old key]、[New key]、および [Confirm key] のプロンプトが画面に表示されます。

hostname (config)# key config-key password-encryption
Old key: 12345678
New key: 23456789
Confirm key: 23456789
 

次の例では、ユーザは対話形式の入力を求めていますが、キーは存在しません。インタラクティブ モードに入ると、[New key] および [Confirm key] のプロンプトが表示されます。

hostname (config)# key config-key password-encryption
New key: 12345678
Confirm key: 12345678

マスター パスフレーズのディセーブル化

マスター パスフレーズをディセーブルにすると、暗号化されたパスワードがプレーン テキスト パスワードに戻ります。暗号化されたパスワードをサポートしていない以前のソフトウェア バージョンにダウングレードする場合は、パスフレーズを削除しておくと便利です。

前提条件

ディセーブルにする現在のマスター パスフレーズがわかっていなければなりません。パスフレーズが不明の場合は、「マスター パスフレーズの回復」を参照してください。

この手順を実行できるのは、HTTPS を介したコンソール、SSH、ASDM などによるセキュア セッションにおいてのみです。

手順の詳細

マスター パスフレーズの回復

コマンド
目的

ステップ 1

no key config-key password-encryption [ old_passphrase ]]

 
hostname(config)# no key config-key password-encryption
 
Warning! You have chosen to revert the encrypted passwords to plain text. This operation will expose passwords in the configuration and therefore exercise caution while viewing, storing, and copying configuration.
 
Old key: bumblebee

マスター パスフレーズを削除します。

コマンドにパスフレーズを入力しないと、入力を求めるプロンプトが表示されます。

ステップ 2

write memory

 

 
hostname(config)# write memory

マスター パスフレーズのランタイム値と結果のコンフィギュレーションを保存します。パスフレーズを含む不揮発性メモリは消去され、0xFF パターンで上書きされます。

マルチ モードでは、システム コンテキスト コンフィギュレーション内のマスター パスフレーズが変更されます。その結果、すべてのコンテキスト内のパスワードが影響を受けます。すべてのユーザ コンテキストではなく、システム コンテキスト モードで write memory コマンドを入力しないと、ユーザ コンテキストで暗号化されたパスワードは失効する可能性があります。または、システム コンテキストで write memory all コマンドを使用して、すべてのコンフィギュレーションを保存します。

マスター パスフレーズは回復できません。

マスター パスフレーズをなくした場合や不明な場合は、write erase コマンドに続けて reload コマンドを使用すると削除できます。これにより、暗号化されたパスワードを含むコンフィギュレーションと一緒にマスター キーが削除されます。

マスター パスフレーズの機能履歴

表 10-1 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。

 

表 10-1 マスター パスフレーズの機能履歴

機能名
プラットフォーム リリース
機能情報

マスター パスフレーズ

8.3(1)

この機能が導入されました。

key config-key password-encryption コマンド、 password encryption aes コマンド、 clear configure password encryption aes コマンド、 show running-config password encryption aes コマンド、 show password encryption コマンドが導入されました。

パスワード暗号化の可視性

8.4(1)

show password encryption コマンドが変更されました。

DNS サーバの設定

一部の ASA 機能では、ドメイン名で外部サーバにアクセスするために DNS サーバを使用する必要があります。たとえば、ボットネット トラフィック フィルタ機能では、ダイナミック データベース サーバにアクセスして、スタティック データベースのエントリを解決するために DNS サーバが必要です。他の機能( ping コマンドや traceroute コマンドなど)では、トレースルートのために ping する名前を入力できます。ASA では、は、DNS サーバと通信してこの名前を解決できます。名前は、多くの SSL VPN コマンドおよび certificate コマンドでもサポートされます。


) ASA では、機能に応じて DNS サーバの使用が限定的にサポートされます。たとえば、ほとんどのコマンドでは、IP アドレスを入力する必要があります。名前を使用できるのは、名前と IP アドレスを関連付けるように name コマンドを手動で設定し、names コマンドを使用して名前の使用をイネーブルにした場合だけです。


ダイナミック DNS の詳細については、「DDNS の設定」を参照してください。

前提条件

DNS ドメイン ルックアップをイネーブルにするすべてのインターフェイスに対して適切なルーティングを設定し、DNS サーバに到達できるようにしてください。ルーティングの詳細については、「ルーティングに関する情報」を参照してください。

手順の詳細

 

コマンド
目的

ステップ 1

dns domain-lookup interface_name
 

hostname(config)# dns domain-lookup inside

サポートされているコマンドに対してネーム ルックアップを実行するために、ASA が DNS サーバに DNS 要求を送信できるようにします。

ステップ 2

dns server-group DefaultDNS
 
hostname(config)# dns server-group DefaultDNS

ASA が from-the-box 要求に使用する DNS サーバ グループを指定します。

PN トンネル グループ用に他の DNS サーバ グループを設定できます。詳細については、『 Cisco ASA 5500 Series Command Reference 』の tunnel-group コマンドを参照してください。

ステップ 3

name-server ip_address [ip_address2] [...] [ip_address6]
 
hostname(config-dns-server-group)# name-server 10.1.1.5 192.168.1.67 209.165.201.6

1 つまたは複数の DNS サーバを指定します。同じコマンドで 6 つの IP アドレスすべてをスペースで区切って入力するか、各コマンドを別々に入力できます。ASA では、応答を受信するまで各 DNS サーバを順に試します。

DNS キャッシュのモニタリング

ASA 特定のクライアントレス SSL VPN および certificate コマンドに送信された外部 DNS クエリーの DNS 情報にローカル キャッシュを提供します。各 DNS 変換要求は、ローカル キャッシュで最初に検索されます。ローカル キャッシュに情報がある場合、結果の IP アドレスが戻されます。ローカル キャッシュで要求を解決できない場合、設定されているさまざまな DNS サーバに DNS クエリーが送信されます。外部 DNS サーバによって要求が解決された場合、結果の IP アドレスと、対応するホスト名が一緒にローカル キャッシュに格納されます。

DNS キャッシュのモニタリング コマンド

DNS キャッシュ機能をモニタするには、次のコマンドを入力します。

 

コマンド
目的

show dns-hosts

 

Show the DNS キャッシュを表示します。これには、DNS サーバからダイナミックに学習したエントリと、name コマンドを使用して手動で入力された名前および IP アドレスが含まれています。

DNS キャッシュの機能履歴

表 2 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。

 

表 2 Smart Call Home の機能履歴

機能名
プラットフォーム リリース
機能情報

DNS キャッシュ

7.0(1)

DNS キャッシュには、応答が格納されます。これにより、DNS サーバでより迅速にクエリー応答できます。