Cisco ワイヤレス LAN コントローラ コンフィギュレーション ガイド、リリース 7.6
アクセス ポイントのグローバル クレデンシャルの設定
アクセス ポイントのグローバル クレデンシャルの設定

アクセス ポイントのグローバル クレデンシャルの設定

アクセス ポイントのグローバル クレデンシャルの設定について

Cisco IOS アクセス ポイントには、工場出荷時にデフォルトの enable パスワード Cisco が設定されています。 ユーザはこのパスワードを使用して、非特権モードにログインし、show コマンドおよび debug コマンドを入力することができますが、これはセキュリティに対する脅威となります。 不正アクセスを防止し、ユーザがアクセス ポイントのコンソール ポートからコンフィギュレーション コマンドを入力できるようにするには、デフォルトのイネーブル パスワードを変更する必要があります。

次に、アクセス ポイントのグローバル クレデンシャルの設定に関する注意事項を示します。
  • コントローラに現在 join している、また、今後 join するすべてのアクセス ポイントがコントローラに join するときに継承するグローバル ユーザ名、パスワード、およびイネーブル パスワードを設定することができます。 必要に応じて、このグローバル資格情報よりも優先される、独自のユーザ名、パスワード、およびイネーブル パスワードを特定のアクセス ポイントに割り当てることができます。

  • アクセス ポイントをコントローラに join すると、そのアクセス ポイントのコンソール ポート セキュリティが有効になり、コンソール ポートへログインするたびにユーザ名とパスワードの入力を要求されます。 ログインした時点では非特権モードのため、特権モードを使用するには、イネーブル パスワードを入力する必要があります。

  • コントローラで設定したグローバル資格情報はコントローラやアクセス ポイントをリブートした後も保持されます。 この情報が上書きされるのは、アクセス ポイントを、グローバル ユーザ名およびパスワードが設定された新しいコントローラに join した場合のみです。 グローバル資格情報を使って新しいコントローラを設定しなかった場合、このアクセス ポイントは最初のコントローラに設定されているグローバル ユーザ名とパスワードをそのまま保持します。

  • アクセス ポイントにより使用される資格情報は常に把握している必要があります。 そうではない場合、アクセス ポイントのコンソール ポートにログインできない可能性があります。 アクセス ポイントをデフォルトのユーザ名およびパスワード Cisco/Cisco に戻す必要がある場合は、コントローラの設定をクリアする必要があります。これにより、アクセス ポイントの設定は工場出荷時のデフォルト設定に戻ります。 コントローラの設定をクリアするには、コントローラ GUI で [Commands] > [Reset to Factory Default] > [Reset] を選択するか、またはコントローラ CLI で clear config コマンドを入力します。 アクセス ポイントの設定をクリアするには、[Wireless] > [Access Points] > [All APs] を選択して AP 名をクリックし、コントローラの GUI で [Clear All Config] をクリックするか、コントローラの CLI で clear ap config Cisco_AP コマンドを入力します。 スタティック IP アドレス以外のアクセス ポイントの設定をクリアするには、[Wireless] > [Access Points] > [All APs] を選択して AP 名をクリックし、[Clear Config Except Static IP] をクリックするか、コントローラの CLI で clear ap config ap-name keep-ip-config コマンドを入力します。 アクセス ポイントがコントローラに再 join した後、デフォルトの Cisco/Cisco のユーザ名およびパスワードを適用します。


    (注)  


    メッシュ モードにするために屋内 Cisco AP を設定したとします。 ローカル モードに Cisco AP をリセットする場合は、test mesh mode local コマンドを使用します。
  • AP ハードウェアをリセットするには、[Wireless] > [Access Points] > [All APs] を選択し、AP 名をクリックして [Reset AP Now] をクリックします。

アクセス ポイントのグローバル クレデンシャルに関する制約事項

  • コントローラ ソフトウェア機能は、1100 シリーズを除いて、Lightweight モードに変換されたすべてのアクセス ポイントでサポートされています。 VxWorks アクセス ポイントはサポートされていません。

アクセス ポイントのグローバル資格情報の設定(GUI)


    ステップ 1   [Wireless] > [Access Points] > [Global Configuration] の順に選択して、[Global Configuration]ページを開きます。
    ステップ 2   [Username] テキスト ボックスに、そのコントローラに join するすべてのアクセス ポイントが継承するユーザ名を入力します。
    ステップ 3   [Password] テキスト ボックスに、そのコントローラに join するすべてのアクセス ポイントが継承するパスワードを入力します。

    現在コントローラに join している、また、今後 join するアクセス ポイントを含む、すべてのアクセス ポイントがコントローラに join するときに継承するグローバル ユーザ名、パスワード、および enable パスワードを設定することができます。 このグローバル資格情報よりも優先される、独自のユーザ名、パスワード、および enable パスワードを特定のアクセス ポイントに割り当てることができます。 次に、パスワードに適用される要件を示します。

    • パスワードには、小文字、大文字、数字、特殊文字のうち、3 つ以上の文字クラスが含まれる必要があります。

    • パスワード内で同じ文字を連続して 4 回以上繰り返すことはできません。

    • パスワードには、管理ユーザ名やユーザ名を逆にした文字列を含めることはできません。

    • パスワードには、Cisco、ocsic、admin、nimda などの単語や、大文字と小文字の変更、1、|、または ! の代用、または o を 0、s を $ などで代用した バリアントを含めることはできません。

    ステップ 4   [Enable Password] テキスト ボックスに、コントローラに join するすべてのアクセス ポイントに継承される enable パスワードを入力します。
    ステップ 5   [Apply] をクリックして、グローバル ユーザ名、パスワード、および enable パスワードを、コントローラに現在 join しているアクセス ポイント、および今後 join するすべてのアクセス ポイントに送信します。
    ステップ 6   [Save Configuration] をクリックして、変更を保存します。
    ステップ 7   (任意)次の手順で、特定のアクセス ポイントに対するグローバル資格情報を無効にし、このアクセス ポイントに独自のユーザ名、パスワード、および enable パスワードを割り当てます。
    1. [Access Points] > [All APs] の順に選択して、[All APs] ページを開きます。
    2. グローバル資格情報を無効にするアクセス ポイントの名前をクリックします。
    3. [Credentials] タブを選択します。 [All APs > Details for]([Credentials])ページが表示されます。
    4. [Override Global Credentials] チェックボックスをオンにし、このアクセス ポイントがコントローラからグローバル ユーザ名、パスワード、enable パスワードを継承しないようにします。 デフォルト値はオフです。
    5. [Username]、[Password]、および [Enable Password] テキスト ボックスに、このアクセス ポイントに割り当てる独自のユーザ名、パスワード、および enable パスワードを入力します。
      (注)     

      入力した情報は、コントローラやアクセス ポイントをリブートした後や、アクセス ポイントが新しいコントローラに join された場合でも保持されます。

    6. [Apply] をクリックして、変更を確定します。
    7. [Save Configuration] をクリックして、変更を保存します。
      (注)     

      このアクセス ポイントで、コントローラのグローバル資格情報を強制的に使用する必要がある場合は、[Over-ride Global Credentials] チェックボックスをオフにします。


    アクセス ポイントのグローバル資格情報の設定(CLI)


      ステップ 1   次のコマンドを入力して、コントローラに現在 join しているアクセス ポイント、および今後 join するすべてのアクセス ポイントについて、グローバル ユーザ名、パスワード、および enable パスワードを設定します。 config ap mgmtuser add username user password password enablesecret enable_password all
      ステップ 2   (任意)次のコマンドを入力して、特定のアクセス ポイントに対するグローバル資格情報を無効にし、このアクセス ポイントに独自のユーザ名、パスワード、および enable パスワードを割り当てます。 config ap mgmtuser add username user password password enablesecret enable_password Cisco_AP

      このコマンドに入力した資格情報は、コントローラやアクセス ポイントをリブートした後や、アクセス ポイントが新しいコントローラに join された場合でも保持されます。

      (注)     

      このアクセス ポイントで、コントローラのグローバル資格情報を強制的に使用する必要がある場合は、config ap mgmtuser delete Cisco_AP コマンドを入力します。 このコマンドの実行後、「AP reverted to global username configuration」というメッセージが表示されます。

      ステップ 3   save config コマンドを入力して、変更を保存します。
      ステップ 4   次のコマンドを入力して、コントローラに join するすべてのアクセス ポイントに対して、グローバル資格情報が設定されていることを確認します。

      show ap summary

      (注)     

      グローバル資格情報が設定されていない場合、[Global AP User Name] テキスト ボックスには「Not Configured」と表示されます。

      特定のアクセス ポイントの概要を表示するには、アクセス ポイント名を指定します。 また、アクセス ポイントのフィルタリングを行うときは、ワイルドカード検索を使用できます。

      ステップ 5   次のコマンドを入力して、特定のアクセス ポイントのグローバル資格情報の設定を表示します。 show ap config general Cisco_AP
      (注)     

      アクセス ポイントの名前では、大文字と小文字が区別されます。

      (注)     

      [AP User Mode] テキスト ボックスには、グローバル資格情報を使用するようにこのアクセス ポイントが設定されている場合は「Automatic」と表示され、このアクセス ポイントに対してグローバル資格情報が無効にされている場合は「Customized」と表示されます。