Cisco ワイヤレス LAN コントローラ コンフィギュレーション ガイド リリース 7.4(統合版)
ユーザ アカウントの管理
ユーザ アカウントの管理
発行日;2013/06/17   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

ユーザ アカウントの管理

ゲスト ユーザ アカウントの設定

ゲスト アカウントの作成について

コントローラは、WLAN 上でゲスト ユーザ アクセスを提供できます。 ゲスト ユーザ アカウント作成の最初の手順では、ロビー アンバサダー アカウントとしても知られる、ロビー管理者ユーザを作成します。 このアカウントを作成すると、ロビー アンバサダーはゲスト ユーザ アカウントをコントローラ上で作成および管理できます。 ロビー アンバサダーは、限定的な設定権限を持ち、ゲスト アカウントを管理するために使用する Web ページのみにアクセスできます。

ロビー アンバサダーは、ゲスト ユーザ アカウントを利用できる時間を指定できます。 指定した時間を経過すると、ゲスト ユーザ アカウントは、自動的に無効になります。

ユーザ アカウントの管理に関する制限

ローカル ユーザ データベースは、最大エントリ数が 2048(デフォルト値)に制限されています。 データベースは、ローカル管理ユーザ(ロビー アンバサダーを含む)、ローカル ネットワーク ユーザ(ゲスト ユーザを含む)、MAC フィルタ エントリ、除外リスト エントリ、およびアクセス ポイントの許可リスト エントリで共有します。 これらを合わせて、設定されている最大値を超えることはできません。

Lobby Ambassador アカウントの作成

ロビー アンバサダー アカウントの作成(GUI)


    ステップ 1   [Management] > [Local Management Users] の順に選択して、[Local Management Users] ページを開きます。

    このページには、ローカル管理ユーザの名前やアクセス権限の一覧が表示されます。

    (注)     

    コントローラから任意のユーザ アカウントを削除するには、青いドロップダウンの矢印の上にカーソルを置いて、[Remove] を選択します。 ただし、デフォルトの管理ユーザを削除すると、GUI および CLI によるコントローラへのアクセスは両方とも禁止されます。 したがって、デフォルトのユーザを削除する前に、管理権限(ReadWrite)を持つユーザを作成しなければなりません。

    ステップ 2   [New] をクリックして、ロビー アンバサダー アカウントを作成します。 [Local Management Users > New] ページが表示されます。
    ステップ 3   [User Name] テキスト ボックスに、ロビー アンバサダー アカウントのユーザ名を入力します。
    (注)     

    管理ユーザ名は、すべて単一データベース内に保存されるため、一意である必要があります。

    ステップ 4   [Password] テキスト ボックスおよび [Confirm Password] テキスト ボックスに、ロビー アンバサダー アカウントのパスワードを入力します。
    (注)     

    パスワードは大文字と小文字が区別されます。 管理の [User Details] のパラメータの設定は、[Password Policy] ページで行う設定によって異なります。 パスワードについて、次の要件が実施されます。

    • パスワードには、小文字、大文字、数字、特殊文字のうち、3 つ以上の文字クラスが含まれる必要があります。
    • パスワード内で同じ文字を連続して 4 回以上繰り返すことはできません。
    • パスワードに管理ユーザ名やユーザ名を逆にした文字列を含めることはできません。
    • パスワードには、Cisco、oscic、admin、nimda などの単語、または 1、|、! を入れ替えたもの、0 と o を入れ替えたもの、$ と s を入れ替えたものを使用して文字の大文字と小文字を変えて作成した変化形を使用してはなりません。
    ステップ 5   [User Access Mode] ドロップダウン リストから [LobbyAdmin] を選択します。 このオプションを使用すると、ロビー アンバサダーでゲスト ユーザ アカウントを生成できます。
    (注)     

    [ReadOnly] オプションでは、読み取り専用の権限を持つアカウントを作成し、[ReadWrite] オプションでは、読み取りと書き込みの両方の権限を持つ管理アカウントを作成します。

    ステップ 6   [Apply] をクリックして、変更を確定します。 ローカル管理ユーザのリストに、新しいロビー アンバサダー アカウントが表示されます。
    ステップ 7   [Save Configuration] をクリックして、変更を保存します。

    ロビー アンバサダー アカウントの作成(CLI)

    ロビー アンバサダー アカウントを作成するには、次のコマンドを使用します。

    config mgmtuser add lobbyadmin_username lobbyadmin_pwd lobby-admin


    (注)  


    lobby-adminread-only に置き換えると、読み取り専用の権限を持つアカウントを作成します。 lobby-adminread-write に置き換えると、読み取りと書き込みの両方の権限を持つ管理アカウントを作成します。


    ロビー アンバサダーとしてのゲスト ユーザ アカウントの作成(GUI)


      ステップ 1   ユーザ名とパスワードを使用して、ロビー アンバサダーとしてコントローラにログインします。 [Lobby Ambassador Guest Management] > [Guest Users List] ページが表示されます。
      ステップ 2   [New] をクリックして、ゲスト ユーザ アカウントを作成します。 [Lobby Ambassador Guest Management] > [Guest Users List > New] ページが表示されます。
      ステップ 3   [User Name] テキスト ボックスに、ゲスト ユーザの名前を入力します。 最大 24 文字を入力することができます。
      ステップ 4   次のいずれかの操作を行います。
      • このゲスト ユーザ用のパスワードを自動的に生成する場合は、[Generate Password] チェックボックスをオンにします。 生成されたパスワードは、[Password] テキスト ボックスおよび [Confirm Password] テキスト ボックスに自動的に入力されます。
      • このゲスト ユーザ用にパスワードを作成する場合は、[Generate Password] チェックボックスをオフのままにし、[Password] および [Confirm Password] の両テキスト ボックスにパスワードを入力します。
        (注)     

        パスワードは最大 24 文字まで含めることができ、大文字と小文字が区別されます。

      ステップ 5   [Lifetime] ドロップダウン リストから、このゲスト ユーザ アカウントをアクティブにする時間(日数、時間数、分数、秒数)を選択します。 4 つのテキスト ボックスの値をすべてゼロ(0)にすると、永続的なアカウントとなります。

      デフォルト:1 日

      範囲:5 分から 30 日

      (注)     

      小さい方の値、またはゲスト アカウントが作成された WLAN であるゲスト WLAN のセッション タイムアウトが、優先します。 たとえば、WLAN セッションのタイムアウトが 30 分でも、ゲスト アカウントのライフタイムが 10 分の場合、アカウントはゲスト アカウントの失効に従い、10 分で削除されます。 同様に、WLAN セッションがゲスト アカウントのライフタイムより前にタイムアウトする場合、クライアントは、再認証を要求するセッション タイムアウトを繰り返すことになります。

      (注)     

      ゼロ以外の値がライフタイムに設定されているゲスト ユーザ アカウントの値は、アカウントがアクティブになっている間、いつでも別の値に変更できます。 しかし、コントローラ GUI を使用してゲスト ユーザ アカウントを永続的なアカウントにするには、そのアカウントを一度削除した後、再度アカウントを作成しなければなりません。 必要に応じて、config netuser lifetime user_name 0 コマンドを使用すれば、アカウントを削除してから再度作成することなく、ゲスト ユーザ アカウントを永続的なアカウントにすることができます。

      ステップ 6   [WLAN SSID] ドロップダウン リストから、ゲスト ユーザが使用する SSID を選択します。 表示された WLAN だけが、レイヤ 3 の Web 認証が設定された WLAN です。
      (注)     

      潜在的な競合を阻止するために、特定のゲスト WLAN を作成することを推奨します。 ゲスト アカウントの有効期限が切れ、RADIUS サーバ上でアカウント名が競合し、両アカウントとも同じ WLAN 上にある場合、両アカウントにアソシエートしているユーザのアソシエートが解除されてから、ゲスト アカウントが削除されます。

      ステップ 7   [Description] テキスト ボックスに、ゲスト ユーザ アカウントの説明を入力します。 最大 32 文字を入力することができます。
      ステップ 8   [Apply] をクリックして、変更を確定します。 新しいゲスト ユーザ アカウントが、[Guest Users List] ページのゲスト ユーザ リストに表示されます。

      このページから、すべてのゲスト ユーザ アカウント、それぞれの WLAN SSID およびライフタイムを表示できます。 また、ゲスト ユーザ アカウントを編集、または削除することができます。 ゲスト ユーザ アカウントを削除する場合、ゲスト WLAN を使用し、そのアカウントのユーザ名を使用してログインしているクライアントはすべて削除されます。

      ステップ 9   新しいゲスト ユーザ アカウントを作成するには、この手順を繰り返します。

      ゲスト ユーザ アカウントの表示

      ゲスト アカウントの表示(GUI)

      コントローラ GUI を使用してゲスト ユーザ アカウントを表示するには、[Security] > [AAA] > [Local Net Users] を選択します。 [Local Net Users] ページが表示されます。

      このページから、すべてのローカル ネット ユーザ アカウント(ゲスト ユーザ アカウントを含む)を表示し、必要に応じて編集または削除することができます。 ゲスト ユーザ アカウントを削除する場合、ゲスト WLAN を使用し、そのアカウントのユーザ名を使用してログインしているクライアントはすべて削除されます。

      ゲスト アカウントの表示(CLI)

      コントローラ CLI を使用して、すべてのローカル ネット ユーザ アカウント(ゲスト ユーザ アカウントを含む)を表示するには、次のコマンドを入力します。

      show netuser summary

      管理者のユーザ名とパスワードの設定

      管理者のユーザ名とパスワードの設定について

      管理者のユーザ名とパスワードを設定しておくと、権限のないユーザによるコントローラの設定変更や設定情報の表示を防ぐことができます。 この項では、初期設定とパスワード リカバリの手順を説明します。

      ユーザ名とパスワードの設定(GUI)


        ステップ 1   [Management] > [Local Management Users] を選択します。
        ステップ 2   [New] をクリックします。
        ステップ 3   ユーザ名およびパスワードを入力し、パスワードを確認します。

        ユーザ名とパスワードは大文字と小文字が区別されます。いずれも、最大 24 文字の ASCII 文字列を使用できます。 ユーザ名とパスワードにスペースを使用することはできません。

        ステップ 4   [User Access Mode] として、次のいずれかを選択します。
        • ReadOnly
        • ReadWrite
        • LobbyAdmin
        ステップ 5   [Apply] をクリックします。

        ユーザ名とパスワードの設定(CLI)


          ステップ 1   次のいずれかのコマンドを入力して、ユーザ名とパスワードを設定します。
          • config mgmtuser add username password read-write:ユーザ名とパスワードのペアを作成して読み取りと書き込みの権限を付与します。
          • config mgmtuser add username password read-only:ユーザ名とパスワードのペアを作成して読み取り専用権限を付与します。 ユーザ名とパスワードは大文字と小文字が区別されます。いずれも、最大 24 文字の ASCII 文字列を使用できます。 ユーザ名とパスワードにスペースを使用することはできません。
            (注)     

            既存のユーザ名のパスワードを変更する場合は、config mgmtuser password username new_password コマンドを入力します。

          ステップ 2   次のコマンドを入力して、設定されているユーザのリストを表示します。

          show mgmtuser


          パスワードの回復


            ステップ 1   コントローラのブート後に、「User」というプロンプトが表示されたら Restore-Password を入力します。
            (注)     

            セキュリティ上の理由により、入力したテキストはコントローラ コンソールには表示されません。

            ステップ 2   「Enter User Name」というプロンプトが表示されたら、新しいユーザ名を入力します。
            ステップ 3   「Enter Password」というプロンプトが表示されたら、新しいパスワードを入力します。
            ステップ 4   「Re-enter Password」というプロンプトが表示されたら、新しいパスワードを再入力します。 入力した内容が検証されて、データベースに保存されます。
            ステップ 5   「User」というプロンプトが再び表示されたら、新しいユーザ名を入力します。
            ステップ 6   「Password」というプロンプトが表示されたら、新しいパスワードを入力します。 新しいユーザ名とパスワードでコントローラにログインした状態になります。

            SNMP v3 ユーザのデフォルト値の変更

            SNMP v3 ユーザのデフォルト値の変更について

            SNMP v3 ユーザのユーザ名、認証パスワード、およびプライバシー パスワードに対するコントローラのデフォルト値は、「default」が使用されています。 これらの標準値を使用すると、セキュリティ上のリスクが発生します。 したがって、これらの値を変更することを強く推奨します。


            (注)  


            SNMP v3 は時間に依存しています。 コントローラの時間および時間帯を正確に設定してください。


            SNMP v3 ユーザのデフォルト値の変更(GUI)


              ステップ 1   [Management] > [SNMP] > [SNMP V3 Users] の順に選択して [SNMP V3 Users] ページを開きます。
              ステップ 2   [User Name] カラムに「default」が表示されている場合は、そのユーザの青いドロップダウン矢印の上にカーソルを置き、[Remove] を選択してその SNMP v3 ユーザを削除します。
              ステップ 3   新しい SNMP v3 ユーザを追加するには、[New] をクリックします。 [SNMP V3 Users > New] ページが表示されます。
              ステップ 4   [User Profile Name] テキスト ボックスに、一意の名前を入力します。 「default」は入力しないでください。
              ステップ 5   [Access Mode] ドロップダウン リストから [Read Only] または [Read/Write] を選択して、このユーザのアクセス レベルを指定します。 デフォルト値は [Read Only] です。
              ステップ 6   [Authentication Protocol] ドロップダウン リストで、認証方式を [None]、[HMAC-MD5](Hashed Message Authentication Coding-Message Digest 5)、および [HMAC-SHA](Hashed Message Authentication Coding-Secure Hashing Algorithm)の中から選択します。 デフォルト値は [HMAC-SHA] です。
              ステップ 7   [Auth Password] テキスト ボックスと [Confirm Auth Password] テキスト ボックスに、認証に使用する共有秘密キーを入力します。 文字と数字の両方を含む少なくとも 12 文字を入力する必要があります。
              ステップ 8   [Privacy Protocol] ドロップダウン リストで、暗号化方式を [None]、[CBC-DES](Cipher Block Chaining-Digital Encryption Standard)、および [CFB-AES-128](Cipher Feedback Mode-Advanced Encryption Standard-128)の中から選択します。 デフォルト値は [CFB-AES-128] です。
              (注)     

              CBC-DES 暗号化または CFB-AES-128 暗号化を設定するには、ステップ 6 で認証プロトコルとして [HMAC-MD5] または [HMAC-SHA] を選択しておく必要があります。

              ステップ 9   [Priv Password] テキスト ボックスと [Confirm Priv Password] テキスト ボックスに、暗号化に使用する共有秘密キーを入力します。 文字と数字の両方を含む少なくとも 12 文字を入力する必要があります。
              ステップ 10   [Apply] をクリックします。
              ステップ 11   [Save Configuration] をクリックします。
              ステップ 12   コントローラをリブートすると、追加した SNMP v3 ユーザが有効になります。

              SNMP v3 ユーザのデフォルト値の変更(CLI)


                ステップ 1   次のコマンドを入力して、このコントローラに対する SNMP v3 ユーザの最新のリストを表示します。

                show snmpv3user

                ステップ 2   [SNMP v3 User Name] カラムに「default」と表示されている場合は、次のコマンドを入力してこのユーザを削除します。

                config snmp v3user delete username

                username パラメータが SNMP v3 ユーザ名です(この場合は「default」)。

                ステップ 3   次のコマンドを入力して、新しい SNMP v3 ユーザを作成します。

                config snmp v3user create username {ro | rw} {none | hmacmd5 | hmacsha} {none | des | aescfb128} auth_key encrypt_key

                値は次のとおりです。

                • username は、SNMP v3 ユーザ名です。
                • ro は読み取り専用モード、rw は読み書きモードです。
                • nonehmacmd5、および hmacsha は、認証プロトコル オプションです。
                • nonedes、および aescfb128 は、プライバシー プロトコル オプションです。
                • auth_key は、認証用の共有秘密キーです。
                • encrypt_key は、暗号化用の共有秘密キーです。 usernameauth_key、および encrypt_key の各パラメータに「default」と入力しないでください。
                ステップ 4   save config コマンドを入力します。
                ステップ 5   追加した SNMP v3 ユーザを有効にするために、reset system コマンドを入力して、コントローラをリブートします。