Cisco ASDM ユーザ ガイド バージョン 6.0(3)
管理アクセスの設定
管理アクセスの設定
発行日;2013/07/08 | 英語版ドキュメント(2010/11/10 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

管理アクセスの設定

HTTPS/ASDM

Add/Edit HTTP Configuration

コマンドライン

バナー

CLI プロンプト

Console Timeout

セキュア シェル

Add/Edit SSH Configuration

Telnet

Add/Edit Telnet Configuration

File Access

FTP クライアント

セキュア コピー

TFTP Client

Mount Points

ICMP

Add/Edit ICMP Rule

管理インターフェイス

SNMP

SNMP ホストのアクセス エントリの追加/編集

SNMP トラップの設定

管理アクセス ルール

Add/Edit Management Access Rules

システム管理者用 AAA の設定

CLI、ASDM、および enable コマンドの認証の設定

管理許可によるユーザ CLI および ASDM アクセスの制限

コマンド許可の設定

コマンド許可の概要

ユーザ クレデンシャルの維持について

ローカル コマンド許可の設定

TACACS+ コマンド許可の設定

管理アクセス アカウンティングの設定

ロックアウトからの回復

HTTPS/ASDM

[HTTPS/ASDM] ペインは、HTTPS を使用した ASDM へのアクセスを許可されているすべてのホストまたはネットワークのアドレスを指定するテーブルを提供します。このテーブルを使用して、アクセスを許可されているホストやネットワークを追加または変更できます。

フィールド

[Interface]:デバイス マネージャへの管理アクセスが許可されている、セキュリティ アプライアンス上のインターフェイスを一覧表示します。

[IP Address]:アクセスを許可されているネットワークまたはホストの IP アドレスを一覧表示します。

[Mask]:アクセスを許可されているネットワークまたはホストに関連付けられたネットワーク マスクを一覧表示します。

[Add]:新しいホストまたはネットワークを追加するための [Add HTTP Configuration] ダイアログボックスを表示します。

[Edit]:選択したホストまたはネットワークを編集するための [Edit HTTP Configuration] ダイアログボックスを表示します。

[Delete]:選択したホストまたはネットワークを削除します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

Add/Edit HTTP Configuration

[Add/Edit HTTP Configuration] ダイアログボックスでは、HTTPS を介したセキュリティ アプライアンス デバイス マネージャへの管理アクセスを許可されるホストまたはネットワークを追加できます。

フィールド

[Interface Name]:セキュリティ アプライアンス デバイス マネージャへの管理アクセスが許可されている、セキュリティ アプライアンス上のインターフェイスを指定します。

[IP Address]:アクセスを許可されているネットワークまたはホストの IP アドレスを指定します。

[Mask]:アクセスを許可されているネットワークまたはホストに関連付けられたネットワーク マスクを指定します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

コマンドライン

この項では、コマンドライン インターフェイスの機能について説明します。次の項目を取り上げます。

「バナー」

「Console Timeout」

「セキュア シェル」

「Telnet」

バナー

[Banner] ペインでは、その日のバナー、ログイン バナー、およびセッション バナーのメッセージを設定できます。

バナーを作成するには、該当するボックスにテキストを入力します。テキスト内のスペースは保持されます。ただし、タブは ASDM インターフェイスで入力できますが、コマンドライン インターフェイスから入力することはできません。$(domain) トークンと $(hostname) トークンは、セキュリティ アプライアンスのドメイン名とホスト名に置き換えられます。

$(hostname) トークンと $(domain) トークンを使用して、特定のコンテキストで指定されたホスト名とドメイン名をエコーします。$(system) トークンを使用して、特定のコンテキストのシステム スペースで設定されているバナーをエコーします。

複数行のバナーを設定するには、追加する行ごとに 1 行のテキストを入力します。各行は、既存のバナーの末尾に追加されていきます。テキストが空の場合は、Carriage Return(CR; 復帰)がバナーに追加されます。バナーの長さについて、RAM およびフラッシュ メモリの制限以外の制限はありません。使用できるのは、改行(Enter キー、2 文字としてカウントされる)を含む ASCII 文字だけです。

Telnet または SSH を介してセキュリティ アプライアンスにアクセスしたときに、バナー メッセージを処理するのに十分なシステム メモリがなかった場合や、バナー メッセージの表示の試行時に TCP 書き込みエラーが発生した場合には、セッションが閉じます。

バナーを置換するには、該当するボックスの内容を変更し、[Apply] をクリックします。バナーをクリアするには、該当するボックスの内容をクリアし、[Apply] をクリックします。

banner コマンドは [ASDM] ペインを通じてシステム コンテキストで使用できませんが、[Tools] > [Command Line Interface] で設定できます。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

CLI プロンプト

[CLI Prompt] ペインで、CLI セッション時に使用するプロンプトをカスタマイズできます。デフォルトでは、プロンプトにセキュリティ アプライアンスのホスト名が表示されます。マルチ コンテキスト モードでは、プロンプトにコンテキスト名も表示されます。CLI プロンプトには次の項目を表示できます。

 

context

(マルチ モードのみ)現在のコンテキストの名前を表示します。

domain

ドメイン名を表示します。

hostname

ホスト名を表示します。

priority

フェールオーバー プライオリティを [pri](プライマリ)または [sec](セカンダリ)として表示します。

state

装置のトラフィック通過状態を表示します。状態に関して次の値が表示されます。

[act]:フェールオーバーがイネーブルであり、装置ではトラフィックをアクティブに通過させています。

[stby]:フェールオーバーはイネーブルです。ユニットはトラフィックを通過させていません。スタンバイ、失敗、または他の非アクティブ状態です。

[actNoFailove]:フェールオーバーはディセーブルであり、装置ではトラフィックをアクティブに通過させています。

[stbyNoFailover]:フェールオーバーはディセーブルであり、装置ではトラフィックを通過させていません。これは、スタンバイ ユニットでしきい値を上回るインターフェイス障害が発生したときに生じることがあります。

CLI プロンプトを設定するには、次の手順を実行します。


ステップ 1 プロンプトに属性を追加する場合は、[Available Prompts] リストで目的の属性をクリックし、[Add] をクリックします。プロンプトには複数の属性を追加できます。属性が [Available Prompts] リストから [Selected Prompts] リストに移動します。

ステップ 2 プロンプトから属性を削除する場合は、[Selected Prompts] リストで属性をクリックし、[Delete] をクリックします。属性が [Selected Prompts] リストから [Available Prompts] リストに移動します。

ステップ 3 コマンド プロンプトに属性が表示される順序を変更する場合は、[Selected Prompts] リストで目的の属性をクリックし、[Move Up] または [Move Down] をクリックして順序を変更します。

[CLI Prompt Preview] フィールドのペイン下部でコマンド プロンプトをプレビューできます。


 

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

Console Timeout

[Console Timeout] ペインでは、管理コンソールがアクティブな状態のままでいる期間(分単位)を指定できます。ここで指定した時間制限に到達すると、コンソールは自動的にシャット ダウンします。

[Console Timeout] フィールドに期間を入力します。タイムアウト期間を設定しない場合は 0 を入力します。デフォルト値は 0 です

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

セキュア シェル

[Secure Shell] ペインでは、SSH プロトコルを使用した管理アクセス目的でのセキュリティ アプライアンスへの接続を特定のホストまたはネットワークにだけ許可するルールを設定できます。ルールでは、特定の IP アドレスとネットマスクへの SSH アクセスが制限されます。このルールに準拠する SSH 接続試行は、AAA サーバまたは Telnet パスワードによって認証される必要があります。

[Monitoring] > [Administration] > [Secure Shell Sessions] を使用して SSH セッションをモニタできます。

フィールド

[Secure Shell] ペインには次のフィールドが表示されます。

[Allowed SSH Versions]:セキュリティ アプライアンスによって受け入れられる SSH のバージョンを制限します。デフォルトでは、SSH バージョン 1 接続および SSH バージョン 2 接続が受け入れられます。

[Timeout (minutes)]:セキュア シェル セッションがセキュリティ アプライアンスによって閉じられる前にアイドル状態でいられる時間(分単位)を 1 ~ 60 で表示します。デフォルトは 5 分です。

[SSH Access Rule]:SSH を使用してセキュリティ アプライアンスにアクセスすることを許可するホストとネットワークを表示します。このテーブルの行をダブルクリックすると、選択したエントリの [Edit SSH Configuration] ダイアログボックスが開きます。

[Interface]:SSH 接続を許可するセキュリティ アプライアンス インターフェイスの名前を表示します。

[IP Address]:指定したインターフェイスを介してこのセキュリティ アプライアンスへの接続を許可されている各ホストまたはネットワークの IP アドレスを表示します。

[Mask]:指定したインターフェイスを介してこのセキュリティ アプライアンスへの接続が許可されている各ホストまたはネットワークの IP アドレスのネットマスクを表示します。

[Add]:[Add SSH Configuration] ダイアログボックスが開きます。

[Edit]:[Edit SSH Configuration] ダイアログボックスが開きます。

[Delete]:選択した SSH アクセス ルールを削除します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

Add/Edit SSH Configuration

[Add SSH Configuration] ダイアログボックスでは、ルール テーブルに新規の SSH アクセス ルールを追加できます。[Edit SSH Configuration] ダイアログボックスでは、既存のルールを変更できます。

フィールド

[Interface]:SSH 接続を許可するセキュリティ アプライアンス インターフェイスの名前を指定します。

[IP Address]:セキュリティ アプライアンスとの SSH 接続の確立を許可されるホストまたはネットワークの IP アドレスを指定します。

[Mask]:セキュリティ アプライアンスとの SSH 接続の確立を許可されるホストまたはネットワークのネットマスク。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

Telnet

[Telnet] ペインでは、ASDM を実行している特定のホストまたはネットワークだけが Telnet プロトコルを使用してセキュリティ アプライアンスに接続できるルールを設定します。

このルールでは、セキュリティ アプライアンス インターフェイスを介した特定の IP アドレスおよびネットマスクへの管理 Telnet アクセスが制限されます。このルールに準拠する接続試行は、設定済みの AAA サーバまたは Telnet パスワードによって認証される必要があります。Telnet セッションは、[Monitoring] > [Telnet Sessions] を使用してモニタできます。


) コンフィギュレーション ファイルにはそれより多く含まれますが、シングルコンテキスト モードで同時にアクティブになれる Telnet セッションは 5 つのみです。マルチコンテキスト モードでは、コンテキストごとに 5 つの Telnet セッションのみがアクティブになれます。


フィールド

[Telnet] ペインには次のフィールドが表示されます。

Telnet ルール テーブル:

[Interface]:Telnet 接続を許可するセキュリティ アプライアンス インターフェイス(ASDM を実行している PC またはワークステーションがあるインターフェイス)の名前を表示します。

[IP Address]:指定したインターフェイスを介してこのセキュリティ アプライアンスへの接続を許可されている各ホストまたはネットワークの IP アドレスを表示します。


) これは、セキュリティ アプライアンス インターフェイスの IP アドレスではありません。


[Netmask]:指定したインターフェイスを介してこのセキュリティ アプライアンスへの接続を許可されている各ホストまたはネットワークの IP アドレスのネットマスクを表示します。


) これは、セキュリティ アプライアンス インターフェイスの IP アドレスではありません。


[Timeout]:Telnet セッションがセキュリティ アプライアンスによって閉じられる前にアイドル状態でいられる時間(分単位)を 1 ~ 60 で表示します。デフォルトは 5 分です。

[Add]:[Add Telnet Configuration] ダイアログボックスが開きます。

[Edit]:[Edit Telnet Configuration] ダイアログボックスが開きます。

[Delete]:選択したアイテムを削除します。

[Apply]:ASDM での変更内容をセキュリティ アプライアンスに送信し、実行コンフィギュレーションに適用します。[Save] をクリックすると、実行コンフィギュレーションのコピーがフラッシュ メモリに書き込まれます。実行コンフィギュレーションのコピーをフラッシュ メモリ、TFTP サーバ、またはフェールオーバー スタンバイ装置に書き込むには、[File] メニューを使用します。

[Reset]:変更内容を破棄して、変更前に表示されていた情報、または [Refresh] や [Apply] を最後にクリックした時点の表示情報に戻します。リセット後、[Refresh] を使用して、現在の実行コンフィギュレーションの情報が表示されていることを確認します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

Add/Edit Telnet Configuration

Telnet ルールの追加

Telnet ルール テーブルにルールを追加するには、次の手順を実行します。

1. [Add] ボタンをクリックし、[Telnet] > [Add] ダイアログボックスを開きます。

2. [Interface] をクリックし、セキュリティ アプライアンス インターフェイスをルール テーブルに追加します。

3. [IP Address] ボックスに、このセキュリティ アプライアンス インターフェイスを介した Telnet アクセスを許可する、ASDM を実行中のホストの IP アドレスを入力します。


) これは、セキュリティ アプライアンス インターフェイスの IP アドレスではありません。


4. [Mask] リストで、Telnet アクセスを許可する IP アドレスのネットマスクを選択または入力します。


) これは、セキュリティ アプライアンス インターフェイスの IP アドレスのマスクではありません。


5. 前のペインに戻るには、次をクリックします。

[OK]:変更内容を受け入れて、前のペインに戻ります。

[Cancel]:変更内容を破棄して、前のペインに戻ります。

[Help]:詳細情報を表示します。

Telnet ルールの編集

Telnet ルール テーブルのルールを編集するには、次の手順を実行します。

1. [Edit] をクリックし、[Telnet] > [Edit] ダイアログボックスを開きます。

2. [Interface] をクリックし、ルール テーブルからセキュリティ アプライアンス インターフェイスを選択します。

3. [IP Address] フィールドに、このセキュリティ アプライアンス インターフェイスを介した Telnet アクセスを許可する、ASDM を実行中のホストの IP アドレスを入力します。


) これは、セキュリティ アプライアンス インターフェイスの IP アドレスではありません。


4. [Mask] リストで、Telnet アクセスを許可する IP アドレスのネットマスクを選択または入力します。


) これは、セキュリティ アプライアンス インターフェイスの IP アドレスのマスクではありません。


5. 前のウィンドウに戻るには、次のいずれかのボタンをクリックします。

[OK]:変更内容を受け入れて、前のペインに戻ります。

[Cancel]:変更内容を破棄して、前のペインに戻ります。

[Help]:詳細情報を表示します。

Telnet ルールの削除

Telnet テーブルからルールを削除するには、次の手順を実行します。

1. Telnet ルール テーブルからルールを選択します。

2. [Delete] をクリックします。

変更の適用

[Add]、[Edit]、または [Delete] を使用してテーブルに加えた変更内容は、実行コンフィギュレーションにただちに適用されるわけではありません。変更内容を適用または廃棄するには、次のいずれかのボタンをクリックします。

1. [Apply]:ASDM での変更内容をセキュリティ アプライアンスに送信し、実行コンフィギュレーションに適用します。 [Save] をクリックすると、実行コンフィギュレーションのコピーがフラッシュ メモリに書き込まれます。実行コンフィギュレーションのコピーをフラッシュ メモリ、TFTP サーバ、またはフェールオーバー スタンバイ装置に書き込むには、[File] メニューを使用します。

2. [Reset]:変更内容を破棄して、変更前に表示されていた情報、または [Refresh] [Apply] を最後にクリックした時点の表示情報に戻します。 リセット後、[Refresh] を使用して、現在の実行コンフィギュレーションの情報が表示されていることを確認します。

フィールド

[Interface Name]:セキュリティ アプライアンスへの Telnet アクセスを許可するインターフェイスを選択します。

[IP Address]:セキュリティ アプライアンスへの Telnet 接続が許可されたホストまたはネットワークの IP アドレスを入力します。

[Mask]:セキュリティ アプライアンスへの Telnet 接続が許可されたホストまたはネットワークのサブネット マスクを入力します。

[OK]:変更内容を受け入れて、前のペインに戻ります。

[Cancel]:変更内容を破棄して、前のペインに戻ります。

[Help]:詳細情報を表示します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

File Access

この項では、ファイル アクセス機能について説明します。次の項目を取り上げます。

「FTP クライアント」

「セキュア コピー」

「TFTP Client」

「Mount Points」

FTP クライアント

[FTP Mode] ペインでは、FTP モードをアクティブまたはパッシブとして設定できます。セキュリティ アプライアンスでは、FTP サーバとの間で、イメージ ファイルやコンフィギュレーション ファイルのアップロードおよびダウンロードを実行できます。パッシブ FTP では、クライアントは制御接続およびデータ接続の両方を開始します。パッシブ モードではデータ接続の受け入れ側となるサーバは、今回の特定の接続においてリッスンするポート番号を応答として返します。

フィールド

[Specify FTP mode as passive]:FTP モードをアクティブまたはパッシブとして設定します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

セキュア コピー

[Secure Copy] ペインでは、セキュリティ アプライアンスのセキュア コピー サーバをイネーブルにできます。SSH によるセキュリティ アプライアンスへのアクセスを許可されたクライアントだけが、セキュア コピー接続を確立できます。

制限事項

セキュア コピー サーバのこの実装には、次の制限があります。

サーバはセキュア コピーの接続を受け入れまたは終了できますが、開始はできません。

サーバにはディレクトリ サポートがありません。そのため、リモート クライアント アクセスでセキュリティ アプライアンスの内部ファイル参照はできません。

サーバではバナーがサポートされません。

サーバではワイルドカードがサポートされません。

SSH バージョン 2 接続をサポートするには、セキュリティ アプライアンスのライセンスに VPN-3DES-AES 機能が必要です。

フィールド

[Enable Secure Copy Server]:セキュリティ アプライアンスのセキュア コピー サーバをイネーブルにするには、このチェックボックスをオンにします。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

TFTP Client

このペインでは、セキュリティ アプライアンスが TFTP クライアントとして機能するように設定できます。


) このペインでサーバにファイルを書き込むことはありません。このペインでセキュリティ アプライアンスを TFTP クライアントで使用できるように設定してから、[File] > [Save Running Configuration to TFTP Server] をクリックします。


TFTP サーバとセキュリティ アプライアンス

TFTP は、単純なクライアント/サーバ ファイル転送プロトコルで、RFC783 および RFC1350 Rev. 2 で規定されています。このペインでセキュリティ アプライアンスを TFTP クライアント として設定すると、その実行コンフィギュレーション ファイルのコピーを TFTP サーバ へ転送できるようになります。設定は、[File] > [Save Running Configuration to TFTP Client or Tools] > [Command Line Interface] で行います。これにより、コンフィギュレーション ファイルをバックアップし、それらを複数のセキュリティ アプライアンスにプロパゲートできます。

このペインでは、TFTP クライアントの IP アドレスを指定する場合は configure net コマンドを使用し、実行コンフィギュレーション ファイルが書き込まれるサーバのインターフェイスおよびパスまたはファイル名を指定する場合は、 tftp-server コマンドを使用します。この情報が実行コンフィギュレーションに適用されると、ASDM の [File] > [Save Running Configuration to TFTP client] で copy コマンドを使用してファイル転送を実行できます。

セキュリティ アプライアンスでサポートされる TFTP クライアントは 1 つだけです。TFTP クライアントのフル パスは、[Configuration] > [Device Management] > [Management Access] > [File Access] > [TFTP Client] で指定します。この設定を行えば、それ以降は CLI の configure net コマンドおよび copy コマンドで、コロン(:)を使用した IP アドレスを指定できます。ただし、セキュリティ アプライアンスと TFTP クライアントの通信に必要となる中間デバイスの認証や設定は、この機能とは別に行われます。

show tftp-client コマンドで、現在のコンフィギュレーションに含まれている tftp-client コマンド ステートメントを一覧表示できます。 no tftp client コマンドで、クライアントへのアクセスをディセーブルにします。

フィールド

[TFTP] ペインには次のフィールドがあります。

[Enable]:コンフィギュレーション内の TFTP クライアント設定を選択およびイネーブルにする場合にクリックします。

[Interface Name]:これらの TFTP クライアント設定を使用するセキュリティ アプライアンス インターフェイスの名前を選択します。

[IP Address]:TFTP サーバの IP アドレスを入力します。

[Path]:TFTP クライアントのパスを入力します。先頭にスラッシュ(/)を付け、最後にファイル名を指定します。ここに実行コンフィギュレーション ファイルが書き込まれます。

TFTP クライアントのパスの例: /tftpboot/ セキュリティ アプライアンス /config3


) パスの先頭には必ずスラッシュ(/)を付けます。


詳細情報

TFTP の詳細については、使用しているソフトウェア バージョンのセキュリティ アプライアンスの技術マニュアルを参照してください。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

Mount Points

[Mount Points] テーブルには、現在ファイル アクセス用に設定されている共通インターネット ファイル システム(CIFS)およびファイル転送プロトコル(FTP)のマウント ポイントが表示されます。

マウント ポイントを追加、変更、または削除するには、次のいずれかの操作を実行します。

マウント ポイントを追加するには、[Add] > [CIFS Mount Point] または [Add] > [FTP Mount Point] を選択します。パラメータの詳細については、「[Add or Edit FTP Mount Point] ダイアログボックスのフィールド」または「[Add or Edit FTP Mount Point] ダイアログボックスのフィールド」を参照してください。

マウント ポイントを変更するには、テーブルでエントリを選択し、[Edit] をクリックします。エントリをダブルクリックして、そのエントリを編集することもできます。パラメータの詳細については、「[Add or Edit FTP Mount Point] ダイアログボックスのフィールド」または「[Add or Edit FTP Mount Point] ダイアログボックスのフィールド」を参照してください。

マウント ポイントを削除するには、削除するエントリを選択し、[Delete] をクリックします。


) [Delete] ボタンをクリックすると、ダイアログが表示されることなく、選択したマウント ポイントがただちにテーブルから削除され、指定したファイル システムにアクセスできなくなります。


適用とリセット。フィールド値に対して行った追加や変更はただちに画面に反映されますが、それをコンフィギュレーションに保存するには [Apply] をクリックする必要があります。

[Add or Edit CIFS Mount Point] ダイアログボックスのフィールド

[Add or Edit CIFS Mount Point] ダイアログボックスには次のフィールドが表示されます。

[Enable mount point]:選択したマウント ポイントへのアクセスをイネーブルまたはディセーブルにします。このオプションをオンにすると、セキュリティ アプライアンスの CIFS ファイル システムが UNIX ファイル ツリーにアタッチされます。反対に、オフにするとマウント ポイントがデタッチされます。

[Mount-Point Name]:既存のファイル システムの名前を入力するか変更します。

[Server Name or IP Address]:CIFS サーバの事前定義済みの名前(またはドット付き 10 進数形式の IP アドレス)を入力します。

[Share Name]:CIFS サーバ内のファイル データにアクセスするためのサーバ共有(フォルダ)の名前を入力します。

[NT Domain Name]:事前定義済みの Windows NT ドメイン名を入力します。最大 63 文字が許可されます。

[User Name]:ファイル システムのマウントを許可されているユーザの名前を入力します。

[Password]:ファイル システムをマウントするために許可されているパスワードを入力します。

[Confirm Password]:許可されているパスワードを再入力します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

 

[Add or Edit FTP Mount Point] ダイアログボックスのフィールド

[Add or Edit FTP Mount Point] ダイアログボックスには次のフィールドがあります。

[Enable mount point]:選択したマウント ポイントへのアクセスをイネーブルまたはディセーブルにします。このオプションをオンにすると、セキュリティ アプライアンスの FTP ファイル システムが UNIX ファイル ツリーにアタッチされます。反対に、チェックボックスをオフにするとマウント ポイントがデタッチされます。

[Mount-Point Name]:既存の FTP ファイル システムの名前を入力するか変更します。

[Server Name or IP Address]:FTP ファイル システム サーバの事前定義済みの名前(またはドット付き 10 進数形式の IP アドレス)を入力します。

[Mode]:FTP マウント オプションの FTP 転送モードを [Passive] または [Active] から選択します。FTP 転送モードの詳細については、 FTP クライアントを参照してください。

[Path To Mount]:FTP ファイル サーバへのディレクトリ パス名を入力します。スペースは使用できません。

[User Name]:ファイル システムのマウントを許可されているユーザの名前を入力します。

[Password]:ファイル システムをマウントするために許可されているパスワードを入力します。

[Confirm Password]:許可されているパスワードを再入力します。


) FTP マウント ポイントの場合、FTP サーバには UNIX のディレクトリ リスト スタイルが必要です。Microsoft FTP サーバには、デフォルトで MS-DOS ディレクトリ リスト スタイルがあります。


モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

--

--

ICMP

[ICMP Rules] ペインでは、ICMP ルールを一覧表示するテーブルを表示し、セキュリティ アプライアンスへの ICMP アクセスを許可または拒否されるすべてのホストまたはネットワークのアドレスを指定します。このテーブルを使用して、セキュリティ アプライアンスへの ICMP メッセージの送信を許可または禁止するホストやネットワークを追加または変更することができます。

ICMP ルール リストでは、セキュリティ アプライアンス インターフェイス上で終了する ICMP トラフィックを制御します。ICMP コントロール リストが設定されていない場合、セキュリティ アプライアンスは外部インターフェイスを含め任意のインターフェイスで終了するすべての ICMP トラフィックを受け付けます。ただし、セキュリティ アプライアンスはデフォルトではブロードキャスト アドレスに送信される ICMP エコー要求に応答しません。


) [Security Policy] ペインを使用して、セキュリティ アプライアンス経由で保護されたインターフェイス上の宛先にルーティングされる ICMP トラフィックのアクセス ルールを設定します。


ICMP の到達不能メッセージ タイプ(type 3)の権限は、常に許可にすることをお勧めします。ICMP 到達不能メッセージが拒否されると、ICMP パス MTU ディスカバリがディセーブルになり、IPSec および PPTP トラフィックが停止する可能性があります。パス MTU ディスカバリの詳細については、RFC 1195 および RFC 1435 を参照してください。

ICMP コントロール リストが設定されている場合、セキュリティ アプライアンスでは最初に一致した条件を ICMP トラフィックに適用し、暗黙的にすべてを拒否します。つまり、最初に一致したエントリが許可エントリである場合、ICMP パケットは引き続き処理されます。最初に一致したエントリが拒否エントリであるか、エントリに一致しない場合、セキュリティ アプライアンスによって ICMP パケットは破棄され、syslog メッセージが生成されます。例外は、ICMP コントロール リストが設定されていない場合です。その場合、 permit ステートメントがあるものと見なされます。

フィールド

[Interface]:ICMP アクセスが許可されるセキュリティ アプライアンスのインターフェイスを一覧表示します。

[Action]:指定したネットワークまたはホストからの ICMP 受信メッセージを許可するかまたは拒否するかを表示します。

[IP Address]:アクセスを許可または拒否するネットワークまたはホストの IP アドレスを一覧表示します。

[Mask]:アクセスを許可されているネットワークまたはホストに関連付けられたネットワーク マスクを一覧表示します。

[ICMP Type]:ルールを適用する ICMP メッセージのタイプを一覧表示します。 表 13-1 に、サポートされる ICMP タイプの値を一覧表示します。

[Add]:新しい ICMP ルールをテーブルの最後に追加するための [Add ICMP Rule] ダイアログボックスを表示します。

[Insert Before]:ICMP ルールを現在選択されているルールの前に追加します。

[Insert After]:ICMP ルールを現在選択されているルールの後に追加します。

[Edit]:選択したホストまたはネットワークを編集するための [Edit ICMP Rule] ダイアログボックスを表示します。

[Delete]:選択したホストまたはネットワークを削除します。

 

表 13-1 ICMP タイプのリテラル

ICMP タイプ
リテラル

0

echo-reply

3

unreachable

4

source-quench

5

redirect

6

alternate-address

8

echo

9

router-advertisement

10

router-solicitation

11

time-exceeded

12

parameter-problem

13

timestamp-request

14

timestamp-reply

15

information-request

16

information-reply

17

mask-request

18

mask-reply

31

conversion-error

32

mobile-redirect

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

Add/Edit ICMP Rule

[Add/Edit ICM Rule] ダイアログボックスでは、ICMP ルールの追加または変更ができます。ICMP ルールでは、セキュリティ アプライアンスへの ICMP アクセスが許可または拒否されるすべてのホストまたはネットワークのアドレスを指定します。

フィールド

[ICMP Type]:ルールを適用する ICMP メッセージのタイプを指定します。 表 13-2 に、サポートされる ICMP タイプの値を一覧表示します。

[Interface]:ICMP アクセスが許可されるセキュリティ アプライアンスのインターフェイスを指定します。

[IP Address]:アクセスを許可または拒否するネットワークまたはホストの IP アドレスを指定します。

[Any Address]:指定したインターフェイスで受信されたすべてのアドレスにアクションを適用します。

[Mask]:アクセスを許可されているネットワークまたはホストに関連付けられたネットワーク マスクを指定します。

[Action]:指定したネットワークまたはホストからの ICMP メッセージを許可するかまたは拒否するかを指定します。

[Permit]:指定したホストまたはネットワークおよびインターフェイスからの ICMP メッセージを許可します。

[Deny]:指定したホストまたはネットワークおよびインターフェイスからの ICMP メッセージをドロップします。

 

表 13-2 ICMP タイプのリテラル

ICMP タイプ
リテラル

0

echo-reply

3

unreachable

4

source-quench

5

redirect

6

alternate-address

8

echo

9

router-advertisement

10

router-solicitation

11

time-exceeded

12

parameter-problem

13

timestamp-request

14

timestamp-reply

15

information-request

16

information-reply

17

mask-request

18

mask-reply

31

conversion-error

32

mobile-redirect

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

管理インターフェイス

[Management Interface] ペインでは、高度なセキュリティ インターフェイスの管理インターフェイスをイネーブルまたはディセーブルにすることができ、これにより、セキュリティ アプライアンスの管理機能を実行できます。管理インターフェイスをイネーブルにすると、IPSec VPN トンネルを介して固定 IP アドレスを持つ内部インターフェイスで ASDM を実行できます。この機能は、VPN がセキュリティ アプライアンスで設定されており、外部インターフェイスが動的に割り当てられた IP アドレスを使用している場合に使用します。たとえば、この機能は、VPN クライアントを使用して自宅からセキュリティ アプライアンスに対する安全なアクセスおよび管理を行う場合に役立ちます。

フィールド

[Management Interface]:セキュリティ アプライアンスの管理に使用するインターフェイスを指定します。[None] は管理インターフェイスをディセーブルにし、これがデフォルトです。管理インターフェイスをイネーブルにする場合は、最も高いセキュリティを設定したインターフェイス(内部インターフェイス)を選択します。管理インターフェイスは、一度に 1 つのインターフェイスのみでイネーブルにすることができます。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

SNMP

[SNMP] ペインでは、セキュリティ アプライアンスを簡易ネットワーク管理プロトコル(SNMP)管理ステーションからモニタできるように設定できます。

SNMP は、PC またはワークステーションで実行されるネットワーク管理ステーションが、スイッチ、ルータ、セキュリティ アプライアンスなど、さまざまなタイプのデバイスのヘルスとステータスをモニタする標準的な方法を定義します。

SNMP の用語

管理ステーション:PC またはワークステーションで実行されるネットワーク管理ステーションです。SNMP プロトコルを使用して、管理対象デバイス上の標準データベースを管理します。管理ステーションでは、ハードウェア障害など注意が必要なイベントのメッセージも受信できます。

エージェント:SNMP コンテキストでは、管理ステーションがクライアント、セキュリティ アプライアンスで動作する SNMP エージェントがサーバになります。

OID:SNMP 標準は、管理ステーションが SNMP エージェントでネットワーク デバイスを一意に識別したり、モニタおよび表示される情報のソースをユーザに示したりできるように、システム オブジェクト ID(OID)を割り当てます。

MIB:エージェントは管理情報データベース(MIB)と呼ばれる標準データ構造を保持します。これが管理ステーションに蓄積されます。MIB は、パケット、接続、エラー カウンタ、バッファの使用状況、フェールオーバー ステータスなどの情報を収集します。通常のネットワーク デバイスで使用される一般的なプロトコルとハードウェア規格用の MIB に加えて、MIB は製品ごとに定義されています。SNMP 管理ステーションでは、MIB を参照したり、特定のフィールドだけを要求したりできます。一部のアプリケーションでは、管理の目的で MIB データを修正できます。

トラップ:エージェントはアラーム条件もモニタします。リンク アップ、リンク ダウン、syslog イベントなど、トラップに定義したアラーム条件が発生すると、エージェントは指定された管理ステーションに通知(SNMP トラップとも呼ばれます)をただちに送信します。

SNMP

Cisco MIB ファイルおよび OID については、 http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml を参照してください。OID は、次の URL からダウンロードすることもできます。 ftp://ftp.cisco.com/pub/mibs/oid/oid.tar.gz

MIB のサポート

セキュリティ アプライアンスは、次の SNMP MIB サポートを提供しています。


) セキュリティ アプライアンスは、Cisco syslog MIB のブラウジングはサポートしません。


MIB-II のシステム グループとインターフェイス グループをブラウジングできます。MIB のブラウジングはトラップの送信とは違います。ブラウジングとは、管理ステーションから MIB ツリーの snmpget や snmpwalk を実行し、値を決定することです。

Cisco MIB および Cisco Memory Pool MIB を使用できます。

セキュリティ アプライアンスは、次の Cisco MIB をサポートしていません。

cfwSecurityNotification NOTIFICATION-TYPE

cfwContentInspectNotification NOTIFICATION-TYPE

cfwConnNotification NOTIFICATION-TYPE

cfwAccessNotification NOTIFICATION-TYPE

cfwAuthNotification NOTIFICATION-TYPE

cfwGenericNotification NOTIFICATION-TYPE

SNMP CPU 使用状況

セキュリティ アプライアンスは、SNMP を利用する CPU 使用状況のモニタリングをサポートしています。この機能により、ネットワーク管理者は、HP OpenView などの SNMP 管理ソフトウェアを使用してセキュリティ アプライアンスの CPU 使用率をモニタし、キャパシティ プランニングを行うことができます。

この機能は、Cisco Process MIB(CISCO-PROCESS-MIB.my)の cpmCPUTotalTable のサポート機能によって組み込まれています。MIB には他に 2 つのテーブル(cpmProcessTable および cpmProcessExtTable)がありますが、今回のリリースではサポートされていません。

cpmCPUTotalTable の各行には、各 CPU のインデックスと次のオブジェクトが含まれます。

 

MIB オブジェクト名
説明

cpmCPUTotalPhysicalIndex

このオブジェクトの値は 0 になります。Entity MIB の entPhysicalTable をセキュリティ アプライアンスの SNMP エージェントがサポートしていないためです。

cpmCPUTotalIndex

このオブジェクトの値は 0 になります。Entity MIB の entPhysicalTable をセキュリティ アプライアンスの SNMP エージェントがサポートしていないためです。

cpmCPUTotal5sec

直前 5 秒間の CPU 全体のビジー率。

cpmCPUTotal1min

直前 1 分間の CPU 全体のビジー率。

cpmCPUTotal5min

直前 5 分間の CPU 全体のビジー率。


) 現在のすべてのセキュリティ アプライアンス ハードウェア プラットフォームは単一 CPU だけサポートしているため、セキュリティ アプライアンスが返す cpmCPUTotalTable は 1 行だけで、インデックスは常に 1 になります。


直前の 3 要素の値は、 show cpu usage コマンドの出力値と同じです。

次の新しい MIB オブジェクトが cpmCPUTotalTable にありますが、セキュリティ アプライアンスではサポートされていません。

cpmCPUTotal5secRev

cpmCPUTotal1minRev

cpmCPUTotal5minRev

フィールド

[Community string (default)]:セキュリティ アプライアンスへの要求送信時に SNMP 管理ステーションが使用するパスワードを入力します。SNMP コミュニティ ストリングは、SNMP 管理ステーションと管理対象のネットワーク ノード間の共有秘密キーです。セキュリティ アプライアンスでは、パスワードを基にして、受信する SNMP 要求が有効かどうかの判断が行われます。パスワードは、大文字と小文字が区別され、最大 32 文字です。スペースは使用できません。デフォルトは「public」です。SNMPv2c では、管理ステーションごとに、別々のコミュニティ ストリングを設定できます。コミュニティ ストリングがどの管理ステーションにも設定されていない場合、ここで設定した値がデフォルトとして使用されます。

[Contact]:セキュリティ アプライアンスのシステム管理者の名前を入力します。テキストは、大文字と小文字が区別され、最大 127 文字です。スペースを使用できますが、複数のスペースを入力しても 1 つのスペースになります。

[Security Appliance Location]:セキュリティ アプライアンスの場所を指定します。テキストは、大文字と小文字が区別され、最大 127 文字です。スペースを使用できますが、複数のスペースを入力しても 1 つのスペースになります。

[Listening Port]:SNMP トラフィックが送信されるポートを指定します。デフォルトは 161 です。

[Configure Traps]:SNMP トラップを利用して通知するイベントを設定します。

[SNMP Management Stations] ボックス:

[Interface]:SNMP 管理ステーションが存在するセキュリティ アプライアンスのインターフェイスの名前を表示します。

[IP Address]:セキュリティ アプライアンスがトラップ イベントを送信し、要求またはポーリングを受信する SNMP 管理ステーションの IP アドレスを表示します。

[Community string]:管理ステーションのコミュニティ ストリングを指定しない場合、[Community String (default)] フィールドに設定された値が使用されます。

[SNMP Version]:管理ステーションに設定されている SNMP のバージョンを表示します。

[Poll/Trap]:この管理ステーションと通信する方法を表示します(ポーリングのみ、トラップのみ、またはトラップとポーリングの両方)。ポーリングとは、管理ステーションからの定期的な要求をセキュリティ アプライアンスが待機することを意味します。トラップを設定すると、発生した syslog イベントが送信されます。

[UDP Port]:SNMP ホストの UDP ポートです。デフォルトはポート 162 です。

[Add]:次のフィールドが含まれた [Add SNMP Host Access Entry] が開きます。

[Interface Name]:管理ステーションが存在するインターフェイスを選択します。

[IP Address]:管理ステーションの IP アドレスを指定します。

[Server Poll/Trap Specification]:[Poll] と [Trap] のいずれかまたは両方を選択します。

[UDP Port]:SNMP ホストの UDP ポートです。このフィールドでは、SNMP ホストの UDP ポートのデフォルト値である 162 を上書きできます。

[Help]:詳細情報を表示します。

[Edit]:[Add] と同じフィールドが含まれた [Edit SNMP Host Access Entry] ダイアログボックスが開きます。

[Delete]:選択したアイテムを削除します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

SNMP ホストのアクセス エントリの追加/編集

SNMP 管理ステーションの追加

SNMP 管理ステーションを追加するには、次の手順をします。

1. [Add] をクリックして、[SNMP Host Access Entry] ダイアログボックスを開きます。

2. [Interface Name] で、SNMP 管理ステーションが存在するインターフェイスを選択します。

3. 管理ステーションの IP アドレスを [IP Address] に入力します。

4. SNMP ホストの UDP ポートを入力します。デフォルト値は 162 です。

5. SNMP ホストのコミュニティ ストリング パスワードを入力します。管理ステーションのコミュニティ ストリングを指定しない場合、[SNMP Configuration] 画面の [Community String (default)] フィールドに設定した値が使用されます。

6. [Poll] と [Trap] のいずれかまたは両方をクリックして選択します。

7. 前のペインに戻るには、次をクリックします。

[OK]:変更内容を受け入れて、前のペインに戻ります。

[Cancel]:変更内容を破棄して、前のペインに戻ります。

[Help]:詳細情報を表示します。

SNMP 管理ステーションの編集

SNMP 管理ステーションを編集するには、次の手順を実行します。

1. [SNMP] ペインで、SNMP 管理ステーション テーブルのリスト項目を選択します。

2. [Edit] をクリックして、[Edit SNMP Host Access Entry] を開きます。

3. [Interface Name] で、SNMP 管理ステーションが存在するインターフェイスを選択します。

4. 管理ステーションの IP アドレスを [IP Address] に入力します。

5. SNMP ホストのコミュニティ ストリング パスワードを入力します。管理ステーションのコミュニティ ストリングを指定しない場合、[SNMP Configuration] 画面の [Community String (default)] フィールドに設定した値が使用されます。

6. SNMP ホストの UDP ポートを入力します。デフォルト値は 162 です。

7. [Poll] と [Trap] のいずれかまたは両方をクリックして選択します。

8. SNMP のバージョンを選択します。

9. 前のペインに戻るには、次をクリックします。

[OK]:変更内容を受け入れて、前のペインに戻ります。

[Cancel]:変更内容を破棄して、前のペインに戻ります。

[Help]:詳細情報を表示します。

SNMP 管理ステーションの削除

テーブルから SNMP 管理ステーションを削除するには、次の手順を実行します。

1. [SNMP] ペインで、SNMP 管理ステーション テーブルから項目を選択します。

2. [Delete] をクリックします。

フィールド

[Interface name]:SNMP ホストが存在するインターフェイスを選択します。

[IP Address]:SNMP ホストの IP アドレスを入力します。

[UDP Port]:SNMP アップデートを送信する UDP ポートを入力します。デフォルト値は 162 です。

[Community String]:SNMP サーバのコミュニティ ストリングを入力します。

[SNMP Version]:SNMP のバージョンを選択します。

Server Port/Trap Specification

[Poll]:ポーリング情報を送信する場合に選択します。ポーリングとは、管理ステーションからの定期的な要求をセキュリティ アプライアンスが待機することを意味します。

[Trap]:トラップ情報を送信する場合に選択します。トラップを設定すると、発生した syslog イベントが送信されます。

[OK]:変更内容を受け入れて、前のペインに戻ります。

[Cancel]:変更内容を破棄して、前のペインに戻ります。

[Help]:詳細情報を表示します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

SNMP トラップの設定

トラップ

トラップは参照とは異なります。生成されるリンク アップ イベント、リンク ダウン イベント、syslog イベントなど、特定のイベントに対する管理対象デバイスから管理ステーションへの割り込み「コメント」です。

セキュリティ アプライアンスの SNMP オブジェクト ID(OID)が、セキュリティ アプライアンスから送信される SNMP イベント トラップに表示されます。セキュリティ アプライアンスでは、SNMP イベント トラップおよび SNMP mib-2.system.sysObjectID にシステム OID が提供されます。

セキュリティ アプライアンスで実行される SNMP サービスでは、次の 2 つの異なる機能を実行します。

管理ステーション(SNMP クライアントとも呼ばれます)からの SNMP 要求に応答します。

セキュリティ アプライアンスからのトラップ(イベント通知)を受信するように登録されている管理ステーションまたはその他のデバイスにトラップを送信します。

セキュリティ アプライアンスは、次に示す 3 種類のトラップをサポートします。

firewall

generic

syslog

トラップの設定

次のフィールドが含まれる [SNMP Trap Configuration] を開きます。

[Standard SNMP Traps]:送信する標準トラップを選択します。

[Authentication]:認証標準トラップをイネーブルにします。

[Cold Start]:コールド スタート標準トラップをイネーブルにします。

[Link Up]:リンク アップ標準トラップをイネーブルにします。

[Link Down]:リンク ダウン標準トラップをイネーブルにします。

Entity MIB Notifications

[FRU Insert]:現場交換可能ユニット(FRU)が挿入された場合のトラップ通知をイネーブルにします。

[FRU Remove]:現場交換可能ユニット(FRU)が削除された場合のトラップ通知をイネーブルにします。

[Configuration Change]:ハードウェア変更が行われた場合のトラップ通知をイネーブルにします。

[IPSec Traps]:IPSec トラップをイネーブルにします。

[Start]:IPSec 開始時のトラップをイネーブルにします。

[Stop]:IPSec 停止時のトラップをイネーブルにします。

[Remote Access Traps]:リモート アクセス トラップをイネーブルにします。

[Session threshold exceeded]:リモート アクセス セッション試行数が、設定されているしきい値を超過した場合のトラップをイネーブルにします。

[Enable Syslog traps]:SNMP 管理ステーションへの syslog メッセージの送信をイネーブルにします。

[OK]:変更内容を受け入れて、前のペインに戻ります。

[Cancel]:変更内容を破棄して、前のペインに戻ります。

[Help]:詳細情報を表示します。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

管理アクセス ルール

[Management Access Rules] ペインでは、インターフェイスに関連付けられるアクセス ルールを定義できます。特定のピア(または複数のピア)との間で送受信されるトラフィックを許可または拒否するために使用されるのがアクセス ルールです。それに対して、管理アクセス ルールは、to-the-box トラフィックのアクセス コントロールに使用されます。

たとえば、管理アクセス ルールを使用することにより、IKE サービス拒否攻撃を検出するだけでなく、それらをブロックすることもできます。

フィールド

注:テーブル カラムの幅はカーソルを使用して調整できます。カーソルをカラムの線に重ね、二重矢印になるまで移動します。カラムの線をクリックして、目的のサイズになるまでドラッグします。

[Add]:新しい管理アクセス ルールを追加します。

[Edit]:管理アクセス ルールを編集します。

[Delete]:管理アクセス ルールを削除します。

[Move Up]:ルールを上に移動します。ルールは、このテーブルに表示される順序で評価されるため、重複したルールがある場合は、それらを表示する順序に注意が必要です。

[Move Down]:ルールを下に移動します。

[Cut]:ルールを切り取ります。

[Copy]:ルールのパラメータをコピーします。[Paste] ボタンを使用すれば、それと同じパラメータを持つルールを新たに作成できます。

[Paste]:ルールからコピーしたパラメータまたは切り取ったパラメータがあらかじめ入力された状態の [Add/Edit Rule] ダイアログボックスが表示されます。このダイアログボックスでは、それらのパラメータを修正して新しいルールを作成し、それをテーブルに追加できます。[Paste] ボタンをクリックすると、選択したルールのすぐ前にそのルールが追加されます。[Paste] ドロップダウン リストから [Paste After] 項目を選択すると、選択したルールのすぐ後にそのルールが追加されます。

次に、[Management Access Rules] テーブルのカラムについて説明します。これらのカラムの内容を編集する場合は、テーブル行をダブルクリックします。ルールは、実行順に表示されます。ルールを右クリックすると、上記のボタンで選択できるすべてオプションのほか、[Insert] 項目および [Insert After] 項目が表示されます。[Insert] 項目を指定すると、選択したルールのすぐ前に新しいルールが挿入され、[Insert After] 項目を指定すると、選択したルールのすぐ後に新しいルールが挿入されます。

[No]:ルールの評価順序を示します。

[Enabled]:ルールがイネーブルかディセーブルかを示します。

[Source]:[Destination Type] フィールドで指定された宛先に対してトラフィックを許可または拒否する送信元の IP アドレス、ネットワーク オブジェクト グループ、インターフェイス IP、または any を指定します。アドレス カラムには、単語 any が付いたインターフェイス名が表示される場合があります(inside: any など)。これは、内部インターフェイスのすべてのホストが、このルールの影響を受けるという意味です。

[Service]:ルールで指定されるサービスまたはプロトコルを表示します。

[Action]:ルールに適用されるアクション([Permit] または [Deny])が表示されます。

[Logging] アクセス リストのロギングをイネーブルにしている場合、このカラムには、ロギング レベル、およびログ メッセージ間の間隔が秒数で表示されます。

[Time]:ルールが適用される時間範囲が表示されます。

[Description]:ルールを追加したときに入力した説明が表示されます。 暗黙のルールには、「Implicit outbound rule」という説明が含まれます。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

Add/Edit Management Access Rules

[Add/Edit Management Access Rule] ダイアログボックスでは、新しい管理ルールの作成、または既存の管理ルールの変更ができます。

[Interface]:ルールを適用するインターフェイスを指定します。

[Action]:新しいルールのアクション タイプを指定します。[Permit] と [Deny] のいずれかを選択します。

[Permit]:一致するすべてのトラフィックを許可します。

[Deny]:一致するすべてのトラフィックを拒否します。

[Source]:[Destination] フィールドで指定された宛先に対してトラフィックを許可または拒否する送信元の IP アドレス、ネットワーク オブジェクト グループ、インターフェイス IP、または any を指定します。

[...]:既存の IP アドレス オブジェクト、IP 名、ネットワーク オブジェクト グループ、またはそれらすべてを選択、追加、編集、削除、または検索できます。

[Destination]:[Source Type] フィールドで指定された送信元に対してトラフィックを許可または拒否する宛先の IP アドレス、ネットワーク オブジェクト グループ、インターフェイス IP、または any を指定します。

[...]:既存の IP アドレス オブジェクト、IP 名、ネットワーク オブジェクト グループ、またはそれらすべてを選択、追加、編集、削除、または検索できます。

[Service]:サービスのリストからポート番号、ポートの範囲、またはウェルノウン サービス名やグループを指定する場合にこのオプションを選択します。

[...]:事前に設定したリストで、既存のサービスを選択、追加、編集、削除、または検索できます。

[Description]:(任意)管理アクセス ルールの説明を入力します。

[Enable Logging]:アクセス リストのロギングをイネーブルにします。

[Logging Level]:デフォルトの値をそのまま使用するか、または [Emergency]、[Alert]、[Critical]、[Error]、[Warning]、[Notification]、[Informational]、[Debugging] のいずれかを指定します。

[More Options]:ルールの追加設定オプションを表示します。

[Enable Rule]:ルールをイネーブルまたはディセーブルにします。

[Traffic Direction]:どちらの方向のトラフィックにルールを適用するかを指定します。[Incoming] と [Outgoing] のいずれかを選択できます。

[Source Service]:送信元のプロトコルとサービスを指定します(TCP または UDP サービスに限る)。

[...]:事前に設定したリストで、送信元サービスを選択、追加、編集、削除、または検索できます。

[Logging Interval]:ロギングが設定されている場合、ロギング間隔を秒単位で指定します。

[Time Range]:このルールに定義されている時間範囲をドロップダウン リストから指定します。

[...]:事前に設定したリストで、時間範囲を選択、追加、編集、削除、または検索できます。

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

モード

次の表は、この機能を使用できるモードを示したものです。

 

ファイアウォール モード
セキュリティ コンテキスト
ルーテッド
透過
シングル
マルチ
コンテキスト
システム

--

システム管理者用 AAA の設定

この項では、システム管理者の認証とコマンド許可をイネーブルにする方法について説明します。システム管理者の AAA を設定する前に、まずローカル データベースまたは AAA サーバを設定する必要があります(「ローカル データベースの設定」または「AAA サーバ グループおよびサーバの識別」を参照)。

この項では、次のトピックについて取り上げます。

「CLI、ASDM、および enable コマンドの認証の設定」

「管理許可によるユーザ CLI および ASDM アクセスの制限」

「コマンド許可の設定」

「管理アクセス アカウンティングの設定」

「ロックアウトからの回復」

CLI、ASDM、および enable コマンドの認証の設定

CLI 認証をイネーブルにすると、セキュリティ アプライアンスはログインのためユーザ名とパスワードの入力を求めるプロンプトを表示します。情報を入力した後、ユーザ EXEC モードにアクセスできるようになります。

特権 EXEC モードを開始するには、 enable コマンドまたは login コマンドを入力します(ローカル データベースのみを使用している場合)。

イネーブル 認証を設定した場合、セキュリティ アプライアンスではユーザ名とパスワードの入力を求めるプロンプトが表示されます。 enable 認証を設定しない場合は、 enable コマンドを入力する際に、( enable password コマンドで設定した)システム イネーブル パスワードを入力します。ただし、 enable 認証を使用しない場合は、 enable コマンドを入力した後、特定のユーザとしてログインしていないことになります。ユーザ名を保持するには、 enable 認証を使用します。

ローカル データベースを使用する認証の場合、 login コマンドを使用できます。このコマンドでは、ユーザ名は維持されますが、認証をオンにするコンフィギュレーションは必要ありません。


) セキュリティ アプライアンスで Telnet ユーザ、SSH ユーザ、または HTTP ユーザを認証できるようにするには、まずセキュリティ アプライアンスへのアクセスを設定する必要があります(「セキュア シェル」「Telnet」、または「HTTPS/ASDM」を参照)。これらのペインでは、セキュリティ アプライアンスとの通信が許可される IP アドレスを指定します。


CLI、ASDM、または イネーブル 認証を設定するには、次の手順を実行します。


ステップ 1 enable コマンドを使用するユーザを認証する場合は、[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authentication] に移動し、次のように設定を行います。

a. [Enable] チェックボックスを選択します。

b. [Server Group] ドロップダウン リストから、サーバ グループ名または LOCAL データベースを選択します。

c. (任意)AAA サーバを選択する場合は、AAA サーバが使用不可になった場合のフォールバック方式としてローカル データベースが使用されるようにセキュリティ アプライアンスを設定できます。[Use LOCAL when server group fails] チェックボックスをオンにします。ローカル データベースでは AAA サーバと同じユーザ名およびパスワードを使用することを推奨します。これは、セキュリティ アプライアンスのプロンプトでは、いずれの方式が使用されているかが示されないためです。

ステップ 2 CLI または ASDM にアクセスするユーザを認証する場合は、[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authentication] に移動し、次のように設定を行います。

a. 次のチェックボックスをオンにします(複数可)。

[HTTP/ASDM]:HTTPS を使用してASDMにアクセスする セキュリティ アプライアンス クライアントを認証します。AAA サーバを使用する場合は、HTTP 認証だけを設定する必要があります。デフォルトでは、このコマンドを設定しなくても、ASDM によってローカル データベースが認証に使用されます。HTTP 管理認証では、AAA サーバ グループの SDI プロトコルをサポートしていません。

[Serial]:コンソール ポートを使用してセキュリティ アプライアンスにアクセスするユーザを認証します。

[SSH]:SSH を使用してセキュリティ アプライアンスにアクセスするユーザを認証します。

[Telnet]:Telnet を使用してセキュリティ アプライアンスにアクセスするユーザを認証します。

b. 対応するチェックボックスをオンにしたサービスごとに、[Server Group] ドロップダウン リストから、サーバ グループ名または LOCAL データベースを選択します。

c. (任意)AAA サーバを選択する場合は、AAA サーバが使用不可になった場合のフォールバック方式としてローカル データベースが使用されるようにセキュリティ アプライアンスを設定できます。[Use LOCAL when server group fails] チェックボックスをオンにします。ローカル データベースでは AAA サーバと同じユーザ名およびパスワードを使用することを推奨します。これは、セキュリティ アプライアンスのプロンプトでは、いずれの方式が使用されているかが示されないためです。

ステップ 3 [Apply] をクリックします。


 

管理許可によるユーザ CLI および ASDM アクセスの制限

CLI 認証または enable 認証を設定すると、ローカル ユーザ、RADIUS、TACACS+、または LDAP ユーザ(LDAP 属性を RADIUS 属性にマッピングする場合)からの CLI、ASDM、または enable コマンドへのアクセスを制限できます。


) 管理許可にはシリアル アクセスは含まれないため、[Authentication] > [Serial] オプションをイネーブルにすると、認証されたユーザはすべて、コンソール ポートにアクセスできます。


管理許可を設定するには、次の手順を実行します。


ステップ 1 管理許可をイネーブルにする場合は、[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authorization] に移動し、[Perform authorization for exec shell access] > [Enable] チェックボックスをオンにします。

このオプションを選択すると、RADIUS の管理ユーザ特権レベルのサポートもイネーブルになります。管理ユーザ特権レベルは、ローカル コマンド特権レベルと組み合わせて、コマンド許可に使用できます。詳細については、「ローカル コマンド許可の設定」を参照してください。

ステップ 2 ユーザを管理認証対象に設定するには、次の各 AAA サーバ タイプまたはローカル ユーザの要件を参照してください。

RADIUS または LDAP(マッピングされた)ユーザ:次の値のいずれかについて、Service-Type 属性を設定します

[admin]:[Authentication] タブのオプションで指定されたすべてのサービスへのフル アクセスを許可します。

[nas-prompt]:Telnet 認証または SSH 認証のオプションを設定した場合は CLI へのアクセスを許可し、HTTP オプションを設定した場合は ASDM コンフィギュレーション アクセスを拒否します。ASDM モニタリング アクセスは許可します。[Enable] オプションで イネーブル 認証を設定した場合、ユーザは enable コマンドを使用して特権 EXEC モードにアクセスできません。

[remote-access]:管理アクセスを拒否します。ユーザは、[Authentication] タブのオプションで指定されたいずれのサービスも使用できません([Serial] オプションは除きます。つまり、シリアル アクセスは許可されます)。

TACACS+ ユーザ:「service=shell」で許可が要求され、サーバは PASS または FAIL で応答します。

PASS(特権レベル 1):[Authentication] タブのオプションで指定されたすべてのサービスへのフル アクセスを許可します。

PASS(特権レベル 2 以上):Telnet 認証または SSH 認証のオプションを設定した場合は CLI へのアクセスを許可し、HTTP オプションを設定した場合は ASDM コンフィギュレーション アクセスを拒否します。ASDM モニタリング アクセスは許可します。[Enable] オプションで イネーブル 認証を設定した場合、ユーザは enable コマンドを使用して特権 EXEC モードにアクセスできません。

FAIL:管理アクセスを拒否します。ユーザは、[Authentication] タブのオプションで指定されたいずれのサービスも使用できません([Serial] オプションは除きます。つまり、シリアル アクセスは許可されます)。

ローカル ユーザ:[Access Restriction] オプションを設定します。「[Add/Edit User Account] > [Identity]」を参照してください。アクセス制限のデフォルト値は [Full Access] です。この場合は、[Authentication] タブのオプションで指定されたすべてのサービスに対して、フル アクセスが許可されます。


 

コマンド許可の設定

コマンドへのアクセスを制御する場合、セキュリティ アプライアンスではコマンド許可を設定でき、ユーザが使用できるコマンドを決定できます。デフォルトでは、ログインするとユーザ EXEC モードにアクセスでき、最低限のコマンドだけが提供されます。 enable コマンド(または、ローカル データベースを使用するときは login コマンド)を入力すると、特権 EXEC モードおよびコンフィギュレーション コマンドを含む高度なコマンドにアクセスできます。

この項では、次のトピックについて取り上げます。

「コマンド許可の概要」

「ローカル コマンド許可の設定」

「TACACS+ コマンド許可の設定」

コマンド許可の概要

この項では、コマンド許可について説明します。次の項目を取り上げます。

「サポートされるコマンド許可方式」

「ユーザ クレデンシャルの維持について」

「セキュリティ コンテキストとコマンド許可」

サポートされるコマンド許可方式

次の 2 つのコマンド許可方式のいずれかを使用できます。

ローカル特権レベル:セキュリティ アプライアンスでコマンド特権レベルを設定します。ローカル ユーザ、RADIUS ユーザ、または LDAP ユーザ(LDAP 属性を RADIUS 属性にマッピングする場合)を CLI アクセスについて認証する場合、セキュリティ アプライアンスはそのユーザをローカル データベース、RADIUS、または LDAP サーバで定義されている特権レベルに所属させます。ユーザは、その特権レベル以下のコマンドにアクセスできます。すべてのユーザは、初めてログインするときに、ユーザ EXEC モード(レベル 0 または 1 のコマンド)にアクセスします。ユーザは、特権 EXEC モード(レベル 2 以上のコマンド)にアクセスするために再び enable コマンドで認証するか、 login コマンドでログイン(ローカル データベースに限る)できます。


) ローカル データベース内にユーザが存在しなくても、また CLI 認証や enable 認証がない場合でも、ローカル コマンド許可を使用できます。代わりに、enable コマンドを入力するときにシステム イネーブル パスワードを入力すると、セキュリティ アプライアンスによってレベル 15 に置かれます。次に、すべてのレベルのイネーブル パスワードを作成します。これにより、enable n(2 ~ 15)を入力したときに、セキュリティ アプライアンスによってレベル n に置かれるようになります。これらのレベルは、ローカル コマンド許可をオンにするまで使用されません(後述の「ローカル コマンド許可の設定」を参照してください)。(enable の詳細については、『Cisco Security Appliance Command Reference』を参照してください)


TACACS+ サーバ特権レベル:TACACS+ サーバで、ユーザまたはグループが CLI アクセスについて認証した後で使用できるコマンドを設定します。CLI でユーザが入力するすべてのコマンドは、TACACS+ サーバでチェックされます。

ユーザ クレデンシャルの維持について

ユーザがセキュリティ アプライアンスにログインする場合、ユーザとパスワードを入力して認証される必要があります。セキュリティ アプライアンスは、同じセッションで後ほど認証が再び必要になる場合に備えて、これらのセッション クレデンシャルを保持します。

次のコンフィギュレーションが設定されている場合、ユーザはログイン時にローカル サーバだけで認証されればよいことになります。その後に続く許可では、保存されたクレデンシャルが使用されます。また、特権レベル 15 のパスワードの入力を求めるプロンプトが表示されます。特権モードを出るときに、ユーザは再び認証されます。ユーザのクレデンシャルは特権モードでは保持されません。

ローカル サーバは、ユーザ アクセスの認証を行うように設定されます。

特権レベル 15 のコマンド アクセスは、パスワードを要求するように設定されます。

ユーザのアカウントは、シリアル許可専用(コンソールまたは ASDM へのアクセスなし)として設定されます。

ユーザのアカウントは、特権レベル 15 のコマンド アクセス用に設定されます。

次の表に、セキュリティ アプライアンスでのクレデンシャルの使用方法を示します。

必要なクレデンシャル
ユーザ名とパスワードによる認証
シリアル
許可
特権モード コマンド許可
特権
モード終了許可

ユーザ名

Yes

No

No

Yes

パスワード

Yes

No

No

Yes

特権モードのパスワード

No

No

Yes

No

セキュリティ コンテキストとコマンド許可

マルチ セキュリティ コンテキストでコマンド許可を実装する場合の重要な考慮点を次に示します。

AAA 設定はコンテキストごとに個別であり、コンテキスト間で共有されません。

コマンド許可を設定する場合は、各セキュリティ コンテキストを別々に設定する必要があります。これにより、異なるセキュリティ コンテキストに対して異なるコマンド許可を実行できます。

セキュリティ コンテキストを切り替える場合、管理者は、ログイン時に指定したユーザ名で許可されるコマンドが新しいコンテキスト セッションでは異なる可能性があることや、新しいコンテキストではコマンド許可がまったく設定されていない可能性があることを念頭に置いてください。コマンド許可がセキュリティ コンテキストによって異なる場合があることを管理者が理解していないと、混乱が生じる可能性があります。この動作は、次の仕組みによってさらに複雑になります。

changeto コマンドによって開始された新しいコンテキスト セッションでは、前のコンテキスト セッションで使用されたユーザ名に関係なく、管理者 ID として常にデフォルトの「enable_15」ユーザ名が使用されます。これにより、enable_15 ユーザに対してコマンド許可が設定されていない場合や、enable_15 ユーザの許可が前のコンテキスト セッションでのユーザの許可と異なる場合に、混乱が生じる可能性があります。

これは、発行される各コマンドを特定の管理者に正確に関連付けることができる場合に限り有効となる、コマンド アカウンティングにも影響します。 changeto コマンドの使用が許可されているすべての管理者は enable_15 ユーザ名を他のコンテキストで使用できるため、enable_15 ユーザ名でログインしたユーザをコマンド アカウンティング レコードで簡単に特定できるとは限りません。コンテキストごとに異なるアカウンティング サーバを使用する場合は、enable_15 ユーザ名を使用していたユーザを追跡するために数台のサーバのデータを相関させる必要が生じます。

コマンド許可を設定する場合は、次の点を考慮します。

changeto コマンドの使用が許可されている管理者は、実質的に、他のコンテキストそれぞれで enable_15 ユーザに許可されているすべてのコマンドを使用する許可を持ちます。

コンテキストごとに別々にコマンドを許可する場合は、 changeto コマンドの使用許可を持つ管理者に対しても拒否されるコマンドが enable_15 ユーザ名でも拒否されることを、各コンテキストで確認してください。

セキュリティ コンテキストを切り替える場合、管理者は特権 EXEC モードを終了し、再度 enable コマンドを入力して必要なユーザ名を使用できます。


) システム実行スペースでは AAA コマンドがサポートされないため、システム実行スペースではコマンド許可を使用できません。


ローカル コマンド許可の設定

ローカル コマンド許可を使用して、コマンドを 16 の特権レベル(0 ~ 15)の 1 つに割り当てることができます。デフォルトでは、各コマンドは特権レベル 0 または 15 に割り当てられます。各ユーザを特定の特権レベルに定義でき、各ユーザは定義された特権レベル以下のコマンドを入力できます。セキュリティ アプライアンスは、ローカル データベース、RADIUS サーバ、または LDAP サーバ(LDAP 属性を RADIUS 属性にマッピングする場合)で定義されたユーザ特権レベルをサポートしています。「LDAP 属性マップの設定」を参照してください。

この項では、次のトピックについて取り上げます。

「ローカル コマンド許可の前提条件」

「デフォルトのコマンド特権レベル」

「コマンドへの特権レベルの割り当てと許可のイネーブル化」

ローカル コマンド許可の前提条件

コマンド許可コンフィギュレーションの一部として、次のタスクを実行します。

enable 認証を設定します (「CLI、ASDM、および enable コマンドの認証の設定」を参照)。

enable 認証は、ユーザが enable コマンドにアクセスした後にユーザ名を保持するためには不可欠です。

あるいは、設定を必要としない login コマンド(これは、認証されている enable コマンドと同じでローカル データベースの場合に限る)を使用することもできます。このオプションは enable 認証ほど安全ではないため、お勧めしません。

CLI 認証を使用することもできますが、必須ではありません。

次に示すユーザ タイプごとの前提条件を確認してください。

ローカル データベース ユーザ:ローカル データベース内の各ユーザの特権レベルを 0 ~ 15 で設定します。

ローカル データベースを設定するには、「ローカル データベースの設定」を参照してください。

RADIUS ユーザ:ユーザの Cisco VSA CVPN3000-Privilege-Level を、0 ~ 15 の値で設定します。

LDAP ユーザ:ユーザを特権レベル 0 ~ 15 の間で設定し、次に「LDAP 属性マップの設定」の説明に従って、LDAP 属性を Cisco VAS CVPN3000-Priviledge-Level にマッピングします。

デフォルトのコマンド特権レベル

デフォルトでは、次のコマンドが特権レベル 0 に割り当てられます。その他のすべてのコマンドは、レベル 15 です。

show checksum

show curpriv

enable

help

show history

login

logout

pager

show pager

clear pager

quit

show version

コンフィギュレーション モード コマンドを 15 より低いレベルに移動する場合は、 configure コマンドも同じレベルに移動してください。このようにしないと、ユーザはコンフィギュレーション モードに入ることができません。

コマンドへの特権レベルの割り当てと許可のイネーブル化

コマンドを新しい特権レベルに割り当て、許可をイネーブル化するには、次の手順を実行します。


ステップ 1 コマンド許可をイネーブルにする場合は、[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authorization] に移動し、[Enable authorization for command access] > [Enable] チェックボックスをオンにします。

ステップ 2 [Server Group] ドロップダウン リストから、[LOCAL] を選択します。

ステップ 3 ローカル コマンド許可をイネーブルにすると、オプションで、特権レベルを個々のコマンドまたはコマンド グループに手動で割り当てたり、事前定義済みユーザ アカウント特権をイネーブルにしたりできます。

事前定義済みユーザ アカウント特権を使用する場合は、[Set ASDM Defined User Roles] をクリックします。

[ASDM Defined User Roles Setup] ダイアログボックスに、コマンドとそのレベルが表示されます。[Yes] をクリックすると、事前定義済みユーザ アカウント特権を使用できるようになります。事前定義済みユーザ アカウント特権には、[Admin](特権レベル 15、すべての CLI コマンドへのフル アクセス権)、[Read Only](特権レベル 5、読み取り専用アクセス権)、[Monitor Only](特権レベル 3、[Monitoring] セクションへのアクセス権のみ)があります。

コマンド レベルを手動で設定する場合は、[Configure Command Privileges] ボタンをクリックします。

[Command Privileges Setup] ダイアログボックスが表示されます。[Command Mode] ドロップダウン リストから [--All Modes--] を選択すると、すべてのコマンドを表示できます。代わりに、コンフィギュレーション モードを選択し、そのモードで使用可能なコマンドを表示することもできます。たとえば、[context] を選択すると、コンテキスト コンフィギュレーション モードで使用可能なすべてのコマンドを表示できます。コンフィギュレーション モードだけでなく、ユーザ EXEC モードや特権 EXEC モードでも入力が可能で、かつモードごとに異なるアクションが実行されるようなコマンドを使用する場合は、これらのモードに対して別個に特権レベルを設定できます。

[Variant] カラムには、[show]、[clear]、または [cmd] が表示されます。特権は、コマンドの show 形式、clear 形式、または configure 形式に対してのみ設定できます。コマンドの configure 形式は、通常、未修正コマンド( show または clear プレフィックスなしで)または no 形式として、コンフィギュレーションの変更を引き起こす形式です。

コマンドのレベルを変更する場合は、コマンドをダブルクリックするか、[Edit] をクリックします。レベルは 0 ~ 15 の範囲で設定できます。設定できるのは、 main コマンドの特権レベルだけです。たとえば、すべての aaa コマンドのレベルを設定できますが、 aaa authentication コマンドと aaa authorization コマンドのレベルを個別に設定できません。

表示されているすべてのコマンドのレベルを変更する場合は、[Select All] をクリックした後に、[Edit] をクリックします。

[OK] をクリックして変更内容を確定します。

ステップ 4 RADIUS の管理ユーザ特権レベルをサポートする場合は、[Perform authorization for exec shell access] > [Enable] チェックボックスをオンにします。

このオプションを設定しないと、セキュリティ アプライアンスではローカル データベース ユーザの特権レベルだけがサポートされ、他のタイプのユーザにはデフォルトのレベル 15 がそのまま適用されます。

また、このオプションを設定すると、ローカル ユーザ、RADIUS ユーザ、LDAP(マッピング済み)ユーザ、および TACACS+ ユーザに対する管理許可がイネーブルになります。詳細については、「管理許可によるユーザ CLI および ASDM アクセスの制限」を参照してください。

ステップ 5 [Apply] をクリックします。


 

TACACS+ コマンド許可の設定

TACACS+ コマンド許可をイネーブルにし、ユーザが CLI でコマンドを入力すると、セキュリティ アプライアンスはそのコマンドとユーザ名を TACACS+ サーバに送信し、コマンドが許可されているかどうかを判別します。

TACACS+ サーバによるコマンド許可を設定するときは、意図したとおりに機能することが確認できるまで、コンフィギュレーションを保存しないでください。間違いによりロック アウトされた場合、通常はセキュリティ アプライアンスを再起動することによってアクセスを回復できます。それでもロックアウトされたままの場合は、「ロックアウトからの回復」を参照してください。

TACACS+ システムが完全に安定して信頼できることを確認します。必要な信頼性レベルについて、通常は、完全冗長 TACACS+ サーバ システムとセキュリティ アプライアンスへの完全冗長接続が必要です。たとえば、TACACS+ サーバ プールに、インターフェイス 1 に接続された 1 つのサーバとインターフェイス 2 に接続された別のサーバを含めます。TACACS+ サーバが使用できない場合にフォールバック方式としてローカル コマンド許可を設定することもできます。この場合は、「コマンド許可の設定」に従ってローカル ユーザとコマンド特権レベルを設定する必要があります。

この項では、次のトピックについて取り上げます。

「TACACS+ コマンド許可の前提条件」

「TACACS+ サーバでのコマンドの設定」

「TACACS+ コマンド許可のイネーブル化」

TACACS+ コマンド許可の前提条件

CLI および イネーブル 認証を設定します(「CLI、ASDM、および enable コマンドの認証の設定」を参照)。

TACACS+ サーバでのコマンドの設定

グループまたは個々のユーザの共有プロファイル コンポーネントとしての Cisco Secure Access Control Server(ACS)TACACS+ サーバでコマンドを設定できます。サードパーティの TACACS+ サーバの場合は、コマンド許可サポートの詳細については、ご使用のサーバのマニュアルを参照してください。

Cisco Secure ACS バージョン 3.1 でコマンドを設定する場合は、次のガイドラインを参照してください。

セキュリティ アプライアンスは、「シェル」コマンドとして許可するコマンドを送信し、TACACS+ サーバでシェル コマンドとしてコマンドを設定します。


) Cisco Secure ACS には、「pix-shell」と呼ばれるコマンド タイプが含まれている場合があります。このタイプはセキュリティ アプライアンス コマンド許可に使用しないでください。


コマンドの最初のワードは、メイン コマンドと見なされます。その他のワードはすべて引数と見なされます。これは、 permit または deny の後に置く必要があります。

たとえば、 show running-configuration aaa-server コマンドを許可するには、 show running-configuration をコマンド ボックスに追加し、 permit aaa-server を引数ボックスに入力します。

[Permit Unmatched Args]チェックボックスを選択することによって、明示的に拒否していないコマンドのすべての引数を許可することができます。

たとえば、特定の show コマンドを設定するだけで、すべての show コマンドが許可されます。CLI の使用法を示す ? や省略形など、コマンドの変形をすべて予想する必要がなくなるので、この方法を使用することをお勧めします(図 13-1 を参照)。

図 13-1 関連するすべてのコマンドの許可

 

enable help など、単一ワードのコマンドについては、そのコマンドに引数がない場合でも、一致しない引数を許可する 必要があります図 13-2 を参照)。

図 13-2 単一ワードのコマンドの許可

 

引数を拒否するには、その引数の前に deny を入力します。

たとえば、 enable を許可し、 enable password を許可しない場合は、コマンド ボックスに enable と入力し、引数ボックスに deny password と入力します。 enable だけが許可されるように、[Permit Unmatched Args]チェックボックスを選択してください(図 13-3 を参照)。

図 13-3 引数の拒否

 

コマンドラインでコマンドを省略形で入力した場合、セキュリティ アプライアンスはプレフィックスとメイン コマンドを完全なテキストに展開しますが、その他の引数は入力したとおりに TACACS+ サーバに送信します。

たとえば、 sh log と入力すると、セキュリティ アプライアンスは完全なコマンド show logging を TACACS+ サーバに送信します。一方、 sh log mess と入力すると、セキュリティ アプライアンスは展開されたコマンド show logging message ではなく、 show logging mess を TACACS+ サーバに送信します。省略形を予想して同じ引数に複数のスペルを設定できます(図 13-4 を参照)。

図 13-4 省略形の指定

 

すべてのユーザに対して次の基本コマンドを許可することをお勧めします。

show checksum

show curpriv

enable

help

show history

login

logout

pager

show pager

clear pager

quit

show version

TACACS+ コマンド許可のイネーブル化

TACACS+ コマンド許可をイネーブルにする前に、TACACS+ サーバで定義されたユーザとしてセキュリティ アプライアンスにログインしていること、およびセキュリティ アプライアンスの設定を続けるために必要なコマンド許可があることを確認してください。たとえば、すべてのコマンドが許可された管理ユーザとしてログインする必要があります。このようにしないと、意図せずロックアウトされる可能性があります。

TACACS+ コマンド許可を設定するには、次の手順を実行します。


ステップ 1 TACACS+ サーバを使用したコマンド許可を実行する場合は、[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authorization] に移動し、[Enable authorization for command access] > [Enable] チェックボックスをオンにします。

ステップ 2 [Server Group] ドロップダウン リストから、AAA サーバ グループ名を選択します。

ステップ 3 (任意)AAA サーバが使用不可になった場合のフォールバック方式としてローカル データベースが使用されるようにセキュリティ アプライアンスを設定できます。[Use LOCAL when server group fails] チェックボックスをオンにします。ローカル データベースでは AAA サーバと同じユーザ名およびパスワードを使用することを推奨します。これは、セキュリティ アプライアンスのプロンプトでは、いずれの方式が使用されているかが示されないためです。

ステップ 4 [Apply] をクリックします。


 

管理アクセス アカウンティングの設定

管理アクセスのアカウンティングをイネーブルにするには、次の手順を実行します。


ステップ 1 最初にセキュリティ アプライアンスで認証したユーザだけを計上できるので、「CLI、ASDM、および enable コマンドの認証の設定」を使用して認証を設定します。

ステップ 2 ユーザが enable コマンドを入力した場合にそのユーザのアカウンティングをイネーブルにするには、次の手順を実行します。

a. [Configuration] > [Device Management] > [Users/AAA] >[AAA Access] > [Accounting] に移動し、[Require accounting to allow accounting of user activity] > [Enable] チェックボックスをオンにします。

b. [Server Group] ドロップダウン リストから、RADIUS サーバ グループまたは TACACS+ サーバ グループの名前を選択します。

ステップ 3 ユーザが Telnet、SSH、またはシリアル コンソールを使用してセキュリティ アプライアンスにアクセスした場合にそのユーザのアカウンティングをイネーブルにするには、次の手順を実行します。

a. [Require accounting for the following types of connections] 領域で、[Serial]、[SSH]、[Telnet] の中から目的のチェックボックスをオンにします(複数可)。

b. 接続タイプごとに、[Server Group] ドロップダウン リストから RADIUS サーバ グループまたは TACACS+ サーバ グループの名前を選択します。

ステップ 4 コマンド アカウンティングを設定するには、次の手順を実行します。

a. [Require command accounting] 領域で、[Enable] チェックボックスをオンにします。

b. [Server Group] ドロップダウン リストから、TACACS+ サーバ グループの名前を選択します。RADIUS はサポートされていません。

CLI で show コマンド以外のコマンドを入力する場合、アカウンティング メッセージを TACACS+ アカウンティング サーバに送信できます。

c. [Command Privilege Setup] ダイアログボックスを使用してコマンド特権レベルをカスタマイズする際(「コマンドへの特権レベルの割り当てと許可のイネーブル化」を参照)、[Privilege level] ドロップダウン リストで最小特権レベルを指定することで、セキュリティ アプライアンスのアカウンティング対象となるコマンドを制限できます。最小特権レベルよりも下のコマンドは、セキュリティ アプライアンスで処理の対象となりません。

ステップ 5 [Apply] をクリックします。


 

ロックアウトからの回復

状況によっては、コマンド許可や CLI 認証をオンにすると、セキュリティ アプライアンス CLI からロックアウトされる場合があります。通常は、セキュリティ アプライアンスを再起動することによってアクセスを回復できます。ただし、すでにコンフィギュレーションを保存した場合は、ロックアウトされたままになる可能性があります。 表 13-3 に、一般的なロックアウト条件と回復方法を示します。

 

表 13-3 CLI 認証およびコマンド許可のロックアウト シナリオ

機能
ロックアウト条件
説明
対応策:シングル モード
対応策:マルチ モード

ローカル CLI 認証

ローカル データベース内にユーザが存在しない。

ローカル データベース内にユーザが存在しない場合は、ログインできず、ユーザの追加もできません。

ログインし、パスワードと aaa コマンドをリセットします。

スイッチからセキュリティ アプライアンスへのセッションを接続します。システム実行スペースから、コンテキストに切り替えてユーザを追加することができます。

TACACS+ コマンド許可

TACACS+ CLI 認証

RADIUS CLI 認証

サーバがダウンしているか到達不能で、フォールバック方式を設定していない。

サーバが到達不能である場合は、ログインもコマンドの入力もできません。

1. ログインし、パスワードと AAA コマンドをリセットします。

2. サーバがダウンしたときにロックアウトされないように、ローカル データベースをフォールバック方式として設定します。

1. セキュリティ アプライアンスでネットワーク コンフィギュレーションが正しくないためサーバが到達不能である場合は、スイッチからセキュリティ アプライアンスへのセッションを接続します。システム実行スペースから、コンテキストに切り替えてネットワークを再設定することができます。

2. サーバがダウンしたときにロックアウトされないように、ローカル データベースをフォールバック方式として設定します。

TACACS+ コマンド許可

十分な特権のないユーザまたは存在しないユーザとしてログインした。

コマンド許可がイネーブルになりますが、ユーザはこれ以上コマンドを入力できなくなります。

TACACS+ サーバのユーザ アカウントを修正します。

TACACS+ サーバへのアクセス権がなく、セキュリティ アプライアンスをすぐに設定する必要がある場合は、メンテナンス パーティションにログインして、パスワードと aaa コマンドをリセットします。

スイッチからセキュリティ アプライアンスへのセッションを接続します。システム実行スペースから、コンテキストに切り替えてコンフィギュレーションの変更を完了することができます。また、TACACS+ コンフィギュレーションを修正するまでコマンド許可をディセーブルにすることもできます。

ローカル コマンド許可

十分な特権のないユーザとしてログインしている。

コマンド許可がイネーブルになりますが、ユーザはこれ以上コマンドを入力できなくなります。

ログインし、パスワードと aaa コマンドをリセットします。

スイッチからセキュリティ アプライアンスへのセッションを接続します。システム実行スペースから、コンテキストに切り替えてユーザ レベルを変更することができます。