Cisco Security Manager 4.1 ユーザ ガイド
ファイアウォール デバイスでのデバイス管理 ポリシーの設定
ファイアウォール デバイスでのデバイス管理ポリシーの設定
発行日;2012/05/10 | 英語版ドキュメント(2011/03/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

ファイアウォール デバイスでのデバイス管理ポリシーの設定

セキュリティ デバイスでの AAA について

AAA の準備

ローカル データベース

デバイス管理用の AAA

ネットワーク アクセス用の AAA

VPN アクセス用の AAA

[AAA] の [Authentication] タブの設定

[Authorization] タブ

[Accounting] タブ

バナーの設定

[Boot Image/Configuration] の指定

[Images] ダイアログボックス

デバイス クロックの設定

デバイス クレデンシャルの設定

ファイアウォール デバイスでのデバイス管理ポリシーの設定

[Device Admin] セクションには、ファイアウォール デバイスのデバイス管理ポリシーを設定するページがあります。

この章は、次の内容で構成されています。

「セキュリティ デバイスでの AAA について」

「バナーの設定」

「[Boot Image/Configuration] の指定」

「デバイス クロックの設定」

「デバイス クレデンシャルの設定」

セキュリティ デバイスでの AAA について

Authentication-Authorization-Accounting(AAA; 認証、認可、アカウンティング)によって、セキュリティ アプライアンスは、ユーザがだれか(認証)、ユーザは何を実行できるか(認可)、ユーザは何を実行したか(アカウンティング)を特定できます。認証は、単独で使用することも、認可およびアカウンティングとともに使用することもできます。認可については、常に最初にユーザが認証されている必要があります。アカウンティングもまた、単独で使用することも、認証および認可とともに使用することもできます。

認証、認可、アカウンティングでは、ユーザ アクセスに関して、アクセス リストだけを使用する場合よりも、さらに高度な保護および制御が実現されます。たとえば、すべての外部ユーザに DMZ ネットワーク上のサーバにある Telnet へのアクセスを許可する ACL を作成できますが、サーバへのユーザ アクセスを制限する場合に、これらのユーザの IP アドレスが常に認識できるわけではないときには、AAA をイネーブルにして、認証されたユーザか認可されたユーザ、またはその両方だけにセキュリティ アプライアンスを通過させることができます(Telnet サーバも認証を強制します。セキュリティ アプライアンスは非認可ユーザがサーバにアクセスしようとするのを防ぎます)。

認証 :認証は、ユーザ ID に基づいてアクセスを付与します。認証は、一般的にユーザ名とパスワードからなる有効なユーザ クレデンシャルを要求することによってユーザ ID を確立します。次の項目を認証するように、セキュリティ アプライアンスを設定できます。

Telnet、SSH、HTTPS/ASDM、またはシリアル コンソールを使用した、セキュリティ アプライアンスへの管理接続

enable コマンド

認可 :認可は、ユーザが認証されたあとのユーザの能力を制御します。認可は、認証された個々のユーザが使用できるサービスおよびコマンドを制御します。認可をイネーブルにしなかった場合、認証が単独で、すべての認証済みユーザに対して同じサービス アクセスを提供します。

認可で提供される制御を必要とする場合は、広範な認証規則を設定してから、詳細な認可を設定できます。たとえば、外部ネットワーク上の任意のサーバにアクセスしようとする内部ユーザを認証してから、認可を使用して、特定のユーザがアクセスできる外部サーバを制限できます。

セキュリティ アプライアンスはユーザごとに最初の 16 個の認可要求をキャッシュします。そのため、ユーザが現在の認証セッション中に同じサービスにアクセスする場合、セキュリティ アプライアンスは要求を認可サーバに再送信しません。

アカウンティング :アカウンティングはセキュリティ アプライアンスを通過するトラフィックを追跡して、ユーザ アクティビティを記録します。このようなトラフィックの認証をイネーブルにすると、ユーザごとにトラフィックをアカウントできます。トラフィックを認証しない場合は、IP アドレスごとにトラフィックをアカウントできます。アカウンティング情報には、セッションの開始および停止時間、ユーザ名、セッション中にセキュリティ アプライアンスを通過したバイト数、使用したサービス、および各セッションの持続時間が含まれます。

AAA の準備

AAA サービスは、ローカル データベースまたは 1 つ以上の AAA サーバの使用に依存します。また、ローカル データベースを AAA サーバによって提供される大多数のサービスのフォールバックとして使用することもできます。AAA を実装する前に、ローカル データベースを設定し、AAA サーバ グループおよびサーバを設定する必要があります。

ローカル データベースおよび AAA サーバの設定は、セキュリティ アプライアンスにサポートさせる AAA サービスによって異なります。AAA サーバを使用するかどうかに関係なく、管理アクセスをサポートするユーザ アカウントでローカル データベースを設定して予想外のロックアウトを防いだり、また必要であれば、AAA サーバが到達不能のときにフォールバック方式を提供したりする必要があります。詳細については、「ユーザ アカウントの設定」を参照してください。

次の表に、AAA サービスのサポートの概要を AAA サーバ タイプ別およびローカル データベース別に示します。ローカル データベースは、[Platform] > [Device Admin] > [User Accounts] ページでユーザ アカウントを設定することによって管理します(「ユーザ アカウントの設定」を参照)。[Platform] > [Device Admin] > [AAA] ページを使用して、AAA サーバ グループを確立し、個々の AAA サーバをサーバ グループに追加します。

 

表 44-1 AAA サポートの概要

AAA サービス
データベース タイプ
ローカル
RADIUS
TACACS+
SDI
NT
Kerberos
LDAP
HTTP Form

認証の対象

VPN ユーザ

Yes

Yes

Yes

Yes

Yes

Yes

Yes

Yes 1

ファイアウォール セッション

Yes

Yes

Yes

No

No

No

No

No

管理者

Yes

Yes

Yes

No

No

No

No

No

認可の対象

VPN ユーザ

Yes

Yes

No

No

No

No

Yes

No

ファイアウォール セッション

No

Yes 2

Yes

No

No

No

No

No

管理者

Yes 3

No

Yes

No

No

No

No

No

アカウンティングの対象

VPN 接続

No

Yes

Yes

No

No

No

No

No

ファイアウォール セッション

No

Yes

Yes

No

No

No

No

No

管理者

No

Yes

Yes

No

No

No

No

No

1 HTTP Form プロトコルは、WebVPN ユーザだけを対象にしたシングル サインオン認証をサポートします。
2 ファイアウォール セッションでは、RADIUS 認可はユーザ固有の ACL でだけサポートされ、ユーザ固有の ACL は RADIUS 認証応答で受信または指定されます。
3 ローカル コマンド認可は、権限レベルでだけサポートされます。

ローカル データベース

セキュリティ アプライアンスにより、ユーザ アカウントを入力できるローカル データベースが保持されます。ユーザ アカウントには、最低でもユーザ名が含まれます。一般的には、パスワードおよび権限レベルを各ユーザ名に割り当てますが、パスワードは任意です。ローカル ユーザ アカウントは、[Platform] > [Device Admin] > [User Accounts] ページで管理できます(「ユーザ アカウントの設定」を参照)。

ローカル データベースを使用してコマンド認可をイネーブルにすると、セキュリティ アプライアンスは割り当て済みのユーザ権限レベルを参照して、どのコマンドが使用可能かを判断します。デフォルトでは、すべてのコマンドに権限レベル 0 またはレベル 15 のどちらかが割り当てられます。


) CLI へのアクセスは許可するが、特権モードには入れないようにするユーザをローカル データベースに追加する場合は、コマンド認可をイネーブルにする必要があります。コマンド認可がない場合、ユーザの特権レベルが 2 以上(2 がデフォルト)あると、ユーザは自身のパスワードを使用して、CLI で特権モード(およびすべてのコマンド)にアクセスできます。また、ユーザがログイン コマンドを使用できないように、コンソール アクセスに対して RADIUS または TACACS+ 認証を使用することや、システムのイネーブル パスワードを使用して特権モードにアクセスできるユーザを制御できるように、すべてのローカル ユーザをレベル 1 に設定することもできます。


ローカル データベースはネットワーク アクセス認可には使用できません。

ローカル データベースのユーザ アカウントによって、コンソールとイネーブル パスワードの認証、コマンド認可、および VPN 認証と認可のフォールバック サポートが提供されます。この動作は、セキュリティ アプライアンスからの予想外のロックアウトを防ぐように設計されています。

フォールバック サポートを必要とするユーザについては、ローカル データベース内のユーザ名およびパスワードと、AAA サーバ上のユーザ名およびパスワードとを一致させることを推奨します。これにより、トランスペアレント フォールバック サポートが提供されます。ユーザは、サービスを提供しているのが AAA サーバなのかローカル データベースなのかを判断できないため、AAA サーバでローカル データベースのユーザ名およびパスワードとは異なるユーザ名およびパスワードを使用するということは、どちらのユーザ名およびパスワードを提供する必要があるのかがユーザにはわからないということになります。

マルチ コンテキスト モードの場合、 login コマンドを使用して CLI で個別のログインを入力できるように、システム実行スペースでユーザ名を設定できます。ただし、ローカル データベースを使用する aaa コマンドは、システム実行スペースでは設定できません。


) VPN 機能は、マルチ モードではサポートされません。


デバイス管理用の AAA

セキュリティ アプライアンスに対する次のすべての管理接続を認証できます。

Telnet

SSH

シリアル コンソール

ASDM

VPN 管理アクセス

また、イネーブル モードに入ろうとする管理者も認証できます。管理コマンドを認可できます。管理セッションおよびセッション中に発行されたコマンドのアカウンティング データをアカウンティング サーバに送信させることができます。

[Platform] > [Device Admin] > [AAA] ページを使用すると、AAA をデバイス管理用に設定できます(「セキュリティ デバイスでの AAA について」を参照)。

ネットワーク アクセス用の AAA

[Firewall] > [AAA Rules] ページを使用すると、ファイアウォールを通過するトラフィックの認証、認可、およびアカウンティングの規則を設定できます(「ファイアウォール AAA 規則の管理」を参照)。作成する規則はアクセス規則と同様ですが、定義済みのトラフィックに対して認証、認可、またはアカウンティングを行うかどうか、および AAA サービス要求を処理するためにセキュリティ アプライアンスが使用する AAA サーバ グループを指定する点だけが異なります。

VPN アクセス用の AAA

VPN アクセス用の AAA サービスには次のものがあります。

ユーザを VPN グループに割り当てるためのユーザ アカウント設定。[Platform] > [Device Admin] > [User Accounts] ページで設定します(「ユーザ アカウントの設定」を参照)。

多数のユーザ アカウントまたはトンネル グループによって参照される可能性がある VPN グループ ポリシー。[Remote Access VPN] > [RA VPN Policies] > [User Group Policy] または [Site to Site VPN] > [User Group Policy] ページで設定します。

トンネル グループ ポリシー。[Remote Access VPN] > [RA VPN Policies] > [PIX7.0/ASA Tunnel Group Policy] または [Site to Site VPN] > [PIX7.0/ASA Tunnel Group Policy] ページで設定します。

[AAA] の [Authentication] タブの設定

[AAA] ページには 3 つのタブ付きパネルがあります。[AAA] ページにナビゲートすると、[Authentication] パネルが表示されます。これらのオプションを使用して、デバイス コンソールへの権限付きアクセスを制御し、接続タイプによってアクセスを制限し、アクセス メッセージを定義します。

「[Authorization] タブ」を使用して、認証されたユーザが使用できるサービスとコマンドを制御します。

「[Accounting] タブ」を使用して、コンソール トラフィックのトラッキングをアクティブにして、ユーザ アクティビティを記録します。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから、[Platform] > [Device Admin] > [AAA] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[PIX/ASA/FWSM Platform] > [Device Admin] > [AAA] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

関連項目

「セキュリティ デバイスでの AAA について」

「ユーザ アカウントの設定」

[Authentication] タブの使用

[Authentication] タブを使用して、セキュリティ アプライアンスへの管理者アクセスの認証をイネーブルにします。[Authentication] タブでは、AAA サーバによって認証されたときにユーザに表示されるプロンプトとメッセージを設定することもできます。

コマンドを入力する前に、デバイスによってユーザ名とパスワードの入力を求められます。認証サーバがオフラインの場合は、コンソールのログイン要求がタイムアウトになるまで待機します。そのあとで、ファイアウォールのユーザ名とイネーブル パスワードでコンソールにアクセスできます。

フィールド リファレンス

 

表 44-2 [Authentication] タブ

要素
説明
[Require AAA Authentication to allow use of privileged commands]

[Enable]

ファイアウォール上で EXEC モードでのアクセスをユーザに許可するために、AAA サーバからの認証を要求します。このオプションは、ファイアウォール コンソールへのアクセス試行を 3 回まで許可します。この数を超えた場合、アクセス拒否メッセージが表示されます。

オンにすると、[Server Group] フィールドがイネーブルになります。

[Server Group]

ユーザ認証のために接続する AAA サーバの名前を入力または選択します。

[Use LOCAL when server group fails]

選択したサーバで障害が発生した場合に、バックアップとしてローカル データベースを使用するには、このチェックボックスをオンにします([Server Group] を指定しないと、このオプションはイネーブルにはなりません)。

[Require AAA Authorization for the following types of connections]

認可を必要とする接続を選択します。各タイプで、ファイアウォール コンソールへのアクセス試行は 3 回まで許可されます。この数を超えた場合、アクセス拒否メッセージが表示されます。

次の接続オプションをそれぞれ個別に選択します。

[HTTP]:ユーザがファイアウォール コンソールへの HTTPS 接続を開始するときに AAA 認証を必要とします。

[Serial]:ユーザがシリアル コンソール ケーブルを介してファイアウォール コンソールへの接続を開始するときに AAA 認証を必要とします。

[SSH]:ユーザがコンソールへの Secure Shell(SSH; セキュア シェル)接続を開始するときに AAA 認証を必要とします。

[Telnet]:ユーザがファイアウォール コンソールへの Telnet 接続を開始するときに AAA 認証を必要とします。

選択した各接続で、[Server Group] を指定して、ローカル データベースをバックアップとして使用するかどうかを指定します。

[Server Group]:ユーザ認証のために接続する AAA サーバの名前を入力または選択します。

[Use LOCAL when server group fails]:選択したサーバに障害が発生した場合に、ローカル データベースをバックアップとして使用するには、このチェックボックスをオンにします。([Server Group] を指定しないと、このオプションはイネーブルにはなりません)。

[Authentication Prompts]

[Login Prompt]

セキュリティ アプライアンスにログインするときにユーザに表示されるプロンプトを入力します。

[Accepted Message]

正常に認証されたときに表示されるメッセージを入力します。

[Rejected Message]

何らかの理由で認証が失敗したときに表示されるメッセージを入力します。

[Rejected Message for Invalid Credentials]

不明または無効なクレデンシャルを入力したために認証が失敗したときに表示されるメッセージを入力します。

FWSM 3.2 以降のデバイスでのみ使用できます。

[Rejected Message for Expired Password]

期限が切れたパスワードを入力したために認証が失敗したときに表示されるメッセージを入力します。

FWSM 3.2 以降のデバイスでのみ使用できます。

[Maximum Local Authentication Failed Attempts]

アカウントがロックされる前に、デバイスがローカル データベースでユーザの認証を試行する回数を指定します。有効な値は 1 ~ 16 です。

ASA/PIX 7.01 以降と FWSM 3.11 以降のデバイスでのみ使用できます。

[Authorization] タブ

[Authorization] タブでは、ファイアウォール コマンドにアクセスするための認可を設定できます。

ナビゲーション パス

[Authorization] タブには [AAA] ページからアクセスできます。「[AAA] の [Authentication] タブの設定」を参照してください。

関連項目

「セキュリティ デバイスでの AAA について」

「[Accounting] タブ」

フィールド リファレンス

 

表 44-3 [Authorization] タブ

要素
説明

[Enable Authorization for Command Access]

ファイアウォール コマンドにアクセスするために認可を必要とします。

[Server Group]

認可に使用するサーバ グループを指定します。

[Use LOCAL when server group fails]

選択したサーバ グループで障害が発生した場合に、LOCAL サーバ グループを使用します。

[Accounting] タブ

[Accounting] タブを使用して、ファイアウォール デバイスへのアクセスおよびデバイス上のコマンドへのアクセスのアカウンティングをイネーブルにします。

ナビゲーション パス

[Accounting] タブには [AAA] ページからアクセスできます。「[AAA] の [Authentication] タブの設定」を参照してください。

関連項目

「セキュリティ デバイスでの AAA について」

「[Authorization] タブ」

フィールド リファレンス

 

表 44-4 [Accounting] タブ

要素
説明
[Require AAA Accounting for privileged commands]

[Enable]

選択すると、コンソールによる管理アクセス用の特権モードの開始と終了を示すアカウンティング レコードの生成がイネーブルになります。

[Server Group]

アカウンティング レコードが送信されるサーバか、RADIUS または TACACS+ サーバのグループを指定します。

[Require AAA Accounting for the following types of connections]

[Connection type]

アカウンティング レコードを生成する接続タイプを指定します。

[HTTP]:HTTP で作成される管理セッションの確立と終了を示すアカウンティング レコードの生成をイネーブルまたはディセーブルにします。有効なサーバ グループ プロトコルは、RADIUS および TACACS+ です。

[Serial]:コンソールへのシリアル インターフェイス経由で確立される管理セッションの確立と終了を示すアカウンティング レコードの生成をイネーブルまたはディセーブルにします。有効なサーバ グループ プロトコルは、RADIUS および TACACS+ です。

[SSH]:SSH で作成される管理セッションの確立と終了を示すアカウンティング レコードの生成をイネーブルまたはディセーブルにします。有効なサーバ グループ プロトコルは、RADIUS および TACACS+ です。

[Telnet]:Telnet で作成される管理セッションの確立と終了を示すアカウンティング レコードの生成をイネーブルまたはディセーブルにします。有効なサーバ グループ プロトコルは、RADIUS および TACACS+ です。

[Server Group]

アカウンティング レコードが送信されるサーバか、RADIUS または TACACS+ サーバのグループを指定します。

[Require Accounting for command access]

[Enable]

選択すると、管理者/ユーザによって入力されたコマンドのアカウンティング レコードの生成がイネーブルになります。

[Server Group]

アカウンティング レコードが送信されるサーバか RADIUS または TACACS+ サーバのグループを選択できるドロップダウン メニューが表示されます。

[Privilege Level]

アカウンティング レコードを生成するために、コマンドに関連付けられている必要がある最小権限レベル。デフォルトの権限レベルは 0 です。

バナーの設定

[Banner] ページを使用して、セキュリティ アプライアンスまたは共有ポリシーの [Session (exec)]、[Login]、および [Message-of-the-Day (motd)] のバナーを指定できます。


) バナーでトークン $(hostname) または $(domain) を使用すると、これらはセキュリティ アプライアンスのホスト名またはドメイン名に置き換えられます。コンテキスト設定で $(system) トークンを入力した場合、コンテキストはシステム設定で設定されているバナーを使用します。


バナー テキストのスペースは保持されますが、タブは入力できません。バナーに複数行を作成するには、追加する行ごとに個別のテキスト行を入力します。これで、それぞれの行が既存バナーの最後に付加されます。行が空の場合は、Carriage Return(CR; 復帰)がバナーに追加されます。

メモリおよびフラッシュ メモリの制限以外に、バナーの長さに制限はありません。使用できるのは、改行(Enter キーを押す)を含む ASCII 文字だけです。改行は 2 文字としてカウントされます。Telnet または SSH を介してセキュリティ アプライアンスにアクセスしたときに、バナー メッセージを処理するのに十分なシステム メモリがなかった場合や、バナー メッセージの表示を試行して TCP 書き込みエラーが発生した場合には、セッションが閉じます。

関連項目

「ファイアウォール デバイスでのサーバ アクセスの設定」


ステップ 1 バナーを設定するには、[Banner] ページにアクセスします。

(デバイス ビュー)デバイス ポリシー セレクタから、[Platform] > [Device Admin] > [Banner] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[PIX/ASA/FWSM Platform] > [Device Admin] > [Banner] を選択します。ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

ステップ 2 [Session (exec) Banner] フィールドに、イネーブル プロンプトを表示する前にバナーとして表示するテキストを入力します。

ステップ 3 [Login Banner] フィールドに、Telnet を使用したセキュリティ アプライアンスへのアクセス時に、パスワード ログイン プロンプトの前にバナーとして表示するテキストを入力します。

ステップ 4 [Message-of-the-Day (motd) Banner] フィールドに、Message-of-the-Day バナーとして表示するテキストを入力します。

ステップ 5 バナーを置換するには、該当するボックスの内容を変更します。

ステップ 6 バナーを削除するには、該当するボックスの内容をクリアします。


 

[Boot Image/Configuration] の指定

[Boot Image/Configuration] ページを使用して、起動時にセキュリティ アプライアンスが使用する設定ファイルを指定します。Adaptive Security Device Manager(ASDM)の設定ファイルへのパスも指定できます。

ブート イメージの場所を指定しない場合、内部フラッシュ メモリ上にある最初の有効なイメージがシステムの起動に選択されます。


) このページは ASA および PIX 7.0 以降のデバイスでのみ使用できます。


ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから、[Platform] > [Device Admin] > [Boot Image/Configuration] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[PIX/ASA/FWSM Platform] > [Device Admin] > [Boot Image/Configuration] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

フィールド リファレンス

 

表 44-5 [Boot Image/Configuration] ページ

要素
説明

[Boot Config Location]

システムがロードされるときに使用する設定ファイルのパスと名前を入力します。ASA では、次のいずれかの構文構成子を使用できます。

disk0:/ [ path/ ] filename

値「disk0」は内部フラッシュ カードを示します。 disk0 の代わりに flash を使用することもできます。これらはエイリアス関係にあります。

flash:/ [ path/ ] filename

disk1: /[ path/ ] filename

値「disk1」は外部フラッシュ カードを示します。

PIX デバイスでは、次のような「flash」構文のみを使用できます。

flash:/ [ path/ ] filename

[ASDM Image Location]

ASDM セッションの開始時に使用される ASDM ソフトウェア イメージの場所と名前(ASDM を使用して ASA と PIX の両方のデバイスをモニタできます)。

PIX デバイスでは、[Boot Config Location] と同様、「flash」構文のみを使用できます。

ASA では、[Boot Config Location] と同様、「disk0」、「flash」、「disk1」の構成子を使用できます。さらに、次のようにして TFTP サーバ上のイメージ ファイルを指定できます。

tftp:// [ user [ :password ]@] server [ :port ]/[ path/ ] filename

[Boot Images] テーブル

このテーブルには、定義した代替の設定ファイルがすべて一覧で表示されます。設定ファイルは 4 個まで定義できます。[Boot Config Location] フィールドでプライマリ ファイルを指定しなかった場合や指定したファイルが使用できない場合、このリストで最初に使用できるイメージが使用されます。

これは Security Manager の標準のテーブルです。「テーブルの使用」で説明されているとおり、テーブルの下の上矢印ボタン、下矢印ボタン、[Add Row]、[Edit Row]、および [Delete Row] ボタンを使用して、これらのエントリを管理します。

[Add Row] と [Edit Row] のボタンでは、「[Images] ダイアログボックス」を開きます。これは代替の設定ファイルへのパスを追加および編集するために使用します。

(注) ASA では、このテーブルの最初のエントリだけが TFTP サーバ上の ASDM 設定ファイルを参照できます。このデバイスが TFTP サーバに到達できない場合、リストにある次のイメージ ファイルをロードしようとします。

[Images] ダイアログボックス

[Images] ダイアログボックスを使用して、[Boot Image/Configuration] ページにある [Boot Images] テーブルの設定ファイルのエントリを追加または編集します。

ナビゲーション パス

[Images] ダイアログボックスには、[Boot Image/Configuration] ページからアクセスできます。詳細については、「[Boot Image/Configuration] の指定」を参照してください。

フィールド リファレンス

[Images] ダイアログボックスにはフィールドが 1 つあります。このフィールドは、次のように、ブート イメージまたは設定ファイルへのパスを定義するために使用します。

 

表 44-6 [Images] ダイアログボックス

要素
説明

[Image File]

順番に並べられた [Boot Images] リストに追加する設定ファイルのパスと名前を入力します。

PIX デバイスでは、次のような「flash」構文のみを使用できます。

flash:/ [ path/ ] filename

ASA では、次のいずれかの構文構成子を使用できます。

disk0:/ [ path/ ] filename

値「disk0」は内部フラッシュ カードを示します。 disk0 の代わりに flash を使用することもできます。これらはエイリアス関係にあります。

flash:/ [ path/ ] filename

disk1: /[ path/ ] filename

値「disk1」は外部フラッシュ カードを示します。

さらに、ASA では次のようにして TFTP サーバ上の ASDM イメージ ファイルを指定できます。

tftp:// [ user [ :password ]@] server [ :port ]/[ path/ ] filename

指定できる TFTP の場所は 1 箇所だけです。また、この場所は [Boot Image/Configuration] ページにある [Boot Images] テーブルの一番上に表示されている必要があります。

デバイス クロックの設定

[Clock] ページを使用して、選択したデバイスに日時を設定します。


) マルチコンテキスト モードの場合、時刻はシステム コンテキストでのみ設定します。


NTP サーバを使用してダイナミックに時刻を設定するには、「[NTP] ページ」を参照してください。NTP サーバから取得された時刻は、[Clock] ページで手動で設定された時刻を上書きします。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから、[Platform] > [Device Admin] > [Clock] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[PIX/ASA/FWSM Platform] > [Device Admin] > [Clock] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。

フィールド リファレンス

 

表 44-7 [Clock] ページ

要素
説明

[Device Time Zone]

デバイスのタイム ゾーンを選択します。これらのオプションは、Greenwich Mean Time(GMT; グリニッジ標準時)との時差に従って表されます。

(注) デバイスでタイム ゾーンを変更すると、取り付けられているいずれかの Security Services Module(SSM; セキュリティ サービス モジュール)への接続がドロップすることがあります。

[Daylight Savings Time (Summer Time)]

夏時間のオプションを選択します。また、必要に応じて、夏時間を適用するタイミングと方法を指定します。

[None]:夏時間を自動的に修正しない場合は、このオプションを選択します。

[Set by Date]:特定の年の夏時間の開始日時と終了日時を指定する場合は、このオプションを選択します。このオプションを使用する場合、日付を毎年リセットする必要があります。

[Set by Day]:夏時間を開始および終了する月、週、日を使用して、夏時間の開始日および終了日を指定する場合、このオプションを選択します。このオプションを使用すると、日付の範囲が自動更新されるように設定できるため、毎年変更する必要はありません。

[Set by Date]

[Start] セクションと [End] セクションには、次の 3 つのパラメータが表示されます。2 つのセットを使用して、夏時間を開始する日時と終了する日時を定義します。

Date

夏時間を開始する日時と終了する日付を MMM DD YYYY 形式(Jul 15 2011 など)で入力します。カレンダー アイコンをクリックして、ポップアップ カレンダーから日付を選択することもできます。

[Hour]

夏時間の開始時間(時間)または終了時間(時間)を 00 ~ 23 から選択します。

[Minute]

夏時間の開始時間(分)または終了時間(分)を 00 ~ 59 から選択します。

[Set by Day]

[Specify Recurring Time]

このチェックボックスをオンにすると、[Start] と [End] のパラメータがイネーブルになります。これらのパラメータは、夏時間の開始時間と終了時間の日付を毎年変更する必要がないように、自動更新するために使用します。

[Start] セクションと [End] セクションには、次の 5 つのパラメータが表示されます。2 つのセットを使用して、夏時間を開始する日時と終了する日時を定義します。

[Month]

夏時間が開始または終了する月を選択します。

[Week]

夏時間が開始または終了する週を選択します。週に対応する数値を 1 ~ 4 の範囲で選択できます。または、[first] または [last] を選択して、月の最初の週または最後の週を指定できます。たとえば、日付が第 5 週の途中にあたる場合は、[last] を指定します。

[Weekday]

夏時間が開始または終了する曜日を選択します。

[Hour]

夏時間の開始時間(時間)または終了時間(時間)を 0 ~ 23 から選択します。

[Minute]

夏時間の開始時間(分)または終了時間(分)を 00 ~ 59 から選択します。

デバイス クレデンシャルの設定

[Credentials] ページを使用して、このデバイスに接続するときに Security Manager が使用するユーザ クレデンシャルを指定します。デバイスで [Enable Password] および [Telnet/SSH Password] を変更することもできます。

このユーザ名とパスワードの組み合わせを使用すると、HTTP、HTTPS、Telnet または SSH セッションを使用してセキュリティ アプライアンスに接続する場合に、EXEC モードでデバイスにログインできます。Telnet セッションおよび SSH セッション専用に個別のパスワードを指定することもできます(さらに、[Device Properties] ウィンドウの「[Device Credentials] ページ」では、HTTP/HTTPS 接続用の個別のクレデンシャルを定義できます)。

[Enable Password] を使用すると、ログイン後に特権 EXEC モードにアクセスできます。


ヒント このページの [Username]、[Password]、[Enable Password] は、[Device Properties] ウィンドウの [Credentials] 設定にリンクされています。これらのパラメータを更新して、その変更をデバイスに展開すると、Security Manager は [Device Properties] に定義されている既存のクレデンシャルを使用してデバイスにログインし、変更を展開します。変更が正常に展開されると、これらの設定に一致するように [Device Properties] のクレデンシャルが更新されます。[Device Properties] の [Credentials] の詳細については、「[Device Credentials] ページ」を参照してください。

ナビゲーション パス

(デバイス ビュー)デバイス ポリシー セレクタから、[Platform] > [Device Admin] > [Credentials] を選択します。

(ポリシー ビュー)ポリシー タイプ セレクタから、[PIX/ASA/FWSM Platform] > [Device Admin] > [Credentials] を選択します。共有ポリシー セレクタから既存のポリシーを選択するか、または新しいポリシーを作成します。


警告 各デバイスには複数のユーザ アカウントが存在できるため、共有のクレデンシャル ポリシーを複数のデバイスに適用すると、各デバイスの [Enable Password] だけが更新されます。共有ポリシーに指定されている [Username] と [Password](または [Telnet/SSH Password])は適用されません。AAA や TACACS+ などの外部認証が設定されていない限り、PIX/ASA/FWSM デバイスには [Enable Password] だけでもアクセスできます。外部認証が設定されている場合は [Enable Password] だけでは不十分です。この場合、外部認証を使用する各デバイスで [Username]、[Password]、[Enable Password] を手動で更新する必要があります。


関連項目

「ユーザ アカウントの設定」

フィールド リファレンス

 

表 44-8 [Credentials] ページ

要素
説明

[Username]

デバイスにログインするためのユーザ名を入力します。名前は 4 文字以上である必要があります。最大は 64 文字です。エントリは、大文字と小文字が区別されます。

[Password]

[Confirm]

指定した [Username] でデバイス(ユーザ EXEC モード)にログインするためのパスワードを指定します。このパスワードは 3 文字以上である必要があります。最大は 32 文字です。エントリは、大文字と小文字が区別されます。

[Confirm] フィールドにユーザ パスワードもう一度入力します。

(注) 8 文字以上の長さのパスワードを推奨します。

[Privilege Level]

このユーザの特権レベルを選択します。使用可能な値は 1 ~ 15 です。レベル 1 では、EXEC モードのアクセスのみが許可されます。ログインのデフォルト レベルである 15 では、特権 EXEC モードのアクセスが許可されます。つまり、イネーブル モードにアクセスできます。他のレベルは、明示的にデバイスで定義する必要があります。

[Enable Password]

[Confirm]

[Enable Password] を指定すると、このユーザはログイン後に特権 EXEC モードにアクセスできます。このパスワードは 3 文字以上である必要があります。最大は 32 文字です。エントリは、大文字と小文字が区別されます。

[Confirm] フィールドにイネーブル パスワードをもう一度入力します。

(注) イネーブル アクセスのユーザ認証を設定する場合は、ユーザごとに専用のパスワードを指定します。このパスワードは使用しません)。詳細については、「[AAA] の [Authentication] タブの設定」を参照してください。

[Telnet/SSH Password]

[Confirm]

Telnet セッションまたは SSH セッション経由でデバイスに接続するときに、EXEC モードにアクセスするためのパスワードを指定できます。このパスワードは 3 文字以上である必要があります。最大は 32 文字です。エントリは、大文字と小文字が区別されます。

[Confirm] フィールドに Telnet または SSH のパスワードもう一度入力します。

(注) Telnet または SSH アクセスのユーザ認証を設定する場合は、ユーザごとに専用のパスワードを指定します。このパスワードは使用しません。詳細については、「[AAA] の [Authentication] タブの設定」を参照してください。