Cisco ワイヤレス LAN コントローラ構成ガイド リリース 8.1
ユーザ アカウントの管理
ユーザ アカウントの管理

目次

ユーザ アカウントの管理

ゲスト ユーザ アカウントの設定

ゲスト アカウントの作成について

コントローラは、WLAN 上でゲスト ユーザ アクセスを提供できます。 ゲスト ユーザ アカウント作成の最初の手順では、ロビー アンバサダー アカウントとしても知られる、ロビー管理者ユーザを作成します。 このアカウントを作成すると、ロビー アンバサダーはゲスト ユーザ アカウントをコントローラ上で作成および管理できます。 ロビー アンバサダーは、限定的な設定権限を持ち、ゲスト アカウントを管理するために使用する Web ページのみにアクセスできます。

ロビー アンバサダーは、ゲスト ユーザ アカウントを利用できる時間を指定できます。 指定した時間を経過すると、ゲスト ユーザ アカウントは、自動的に無効になります。

ユーザ アカウントの管理に関する制限

ローカル ユーザ データベースは、最大エントリ数が 2048(デフォルト値)に制限されています。 データベースは、ローカル管理ユーザ(ロビー アンバサダーを含む)、ローカル ネットワーク ユーザ(ゲスト ユーザを含む)、MAC フィルタ エントリ、除外リスト エントリ、およびアクセス ポイントの認可リスト エントリで共有します。 これらを合わせて、設定されている最大値を超えることはできません。

Lobby Ambassador アカウントの作成

ロビー アンバサダー アカウントの作成(GUI)


    ステップ 1   [Management] > [Local Management Users] の順に選択して、[Local Management Users] ページを開きます。

    このページには、ローカル管理ユーザの名前やアクセス権限の一覧が表示されます。

    (注)     

    コントローラから任意のユーザ アカウントを削除するには、青いドロップダウンの矢印の上にカーソルを置いて、[Remove] を選択します。 ただし、デフォルトの管理ユーザを削除すると、GUI および CLI によるコントローラへのアクセスは両方とも禁止されます。 したがって、デフォルトのユーザを削除する前に、管理権限(ReadWrite)を持つユーザを作成しなければなりません。

    ステップ 2   [New] をクリックして、ロビー アンバサダー アカウントを作成します。 [Local Management Users > New] ページが表示されます。
    ステップ 3   [User Name] テキスト ボックスに、ロビー アンバサダー アカウントのユーザ名を入力します。
    (注)     

    管理ユーザ名は、すべて単一データベース内に保存されるため、一意である必要があります。

    ステップ 4   [Password] テキスト ボックスおよび [Confirm Password] テキスト ボックスに、ロビー アンバサダー アカウントのパスワードを入力します。
    (注)     

    パスワードは大文字と小文字が区別されます。 管理の [User Details] のパラメータの設定は、[Password Policy] ページで行う設定によって異なります。 パスワードについて、次の要件が実施されます。

    • パスワードには、小文字、大文字、数字、特殊文字のうち、3 つ以上の文字クラスが含まれる必要があります。

    • パスワード内で同じ文字を連続して 4 回以上繰り返すことはできません。

    • パスワードに管理ユーザ名やユーザ名を逆にした文字列を含めることはできません。

    • パスワードには、Cisco、oscic、admin、nimda や、大文字と小文字を変更したり、1、|、または ! を代用したり、o の代わりに 0 や、s の代わりに $ を使用したりするだけの変形文字列は使用しないでください。

    ステップ 5   [User Access Mode] ドロップダウン リストから [LobbyAdmin] を選択します。 このオプションを使用すると、ロビー アンバサダーでゲスト ユーザ アカウントを生成できます。
    (注)     

    [ReadOnly] オプションでは、読み取り専用の権限を持つアカウントを作成し、[ReadWrite] オプションでは、読み取りと書き込みの両方の権限を持つ管理アカウントを作成します。

    ステップ 6   [Apply] をクリックして、変更を確定します。 ローカル管理ユーザのリストに、新しいロビー アンバサダー アカウントが表示されます。
    ステップ 7   [Save Configuration] をクリックして、変更を保存します。

    ロビー アンバサダー アカウントの作成(CLI)

    ロビー アンバサダー アカウントを作成するには、次のコマンドを使用します。

    config mgmtuser add lobbyadmin_username lobbyadmin_pwd lobby-admin


    (注)  


    lobby-adminread-only に置き換えると、読み取り専用の権限を持つアカウントを作成します。 lobby-adminread-write に置き換えると、読み取りと書き込みの両方の権限を持つ管理アカウントを作成します。


    ロビー アンバサダーとしてのゲスト ユーザ アカウントの作成(GUI)


      ステップ 1   ユーザ名とパスワードを使用して、ロビー アンバサダーとしてコントローラにログインします。 [Lobby Ambassador Guest Management > Guest Users List] ページが表示されます。
      ステップ 2   [New] をクリックして、ゲスト ユーザ アカウントを作成します。 [Lobby Ambassador Guest Management > Guest Users List > New] ページが表示されます。
      ステップ 3   [User Name] テキスト ボックスに、ゲスト ユーザの名前を入力します。 最大 24 文字を入力することができます。
      ステップ 4   次のいずれかの操作を行います。
      • このゲスト ユーザ用のパスワードを自動的に生成する場合は、[Generate Password] チェックボックスをオンにします。 生成されたパスワードは、[Password] テキスト ボックスおよび [Confirm Password] テキスト ボックスに自動的に入力されます。

      • このゲスト ユーザ用にパスワードを作成する場合は、[Generate Password] チェックボックスをオフのままにし、[Password] および [Confirm Password] の両テキスト ボックスにパスワードを入力します。

        (注)     

        パスワードは最大 24 文字まで含めることができ、大文字と小文字が区別されます。

      ステップ 5   [Lifetime] ドロップダウン リストから、このゲスト ユーザ アカウントをアクティブにする時間(日数、時間数、分数、秒数)を選択します。 4 つのテキスト ボックスの値をすべてゼロ(0)にすると、永続的なアカウントとなります。

      デフォルト:1 日

      範囲:5 分から 30 日

      (注)     

      小さい方の値、またはゲスト アカウントが作成された WLAN であるゲスト WLAN のセッション タイムアウトが、優先します。 たとえば、WLAN セッションのタイムアウトが 30 分でも、ゲスト アカウントのライフタイムが 10 分の場合、アカウントはゲスト アカウントの失効に従い、10 分で削除されます。 同様に、WLAN セッションがゲスト アカウントのライフタイムより前にタイムアウトする場合、クライアントは、再認証を要求するセッション タイムアウトを繰り返すことになります。

      (注)     

      ゼロ以外の値がライフタイムに設定されているゲスト ユーザ アカウントの値は、アカウントがアクティブになっている間、いつでも別の値に変更できます。 しかし、コントローラ GUI を使用してゲスト ユーザ アカウントを永続的なアカウントにするには、そのアカウントを一度削除した後、再度アカウントを作成しなければなりません。 必要に応じて、config netuser lifetime user_name 0 コマンドを使用すれば、アカウントを削除してから再度作成することなく、ゲスト ユーザ アカウントを永続的なアカウントにすることができます。

      ステップ 6   [WLAN SSID] ドロップダウン リストから、ゲスト ユーザが使用する SSID を選択します。 表示された WLAN だけが、レイヤ 3 の Web 認証が設定された WLAN です。
      (注)     

      潜在的な競合を阻止するために、特定のゲスト WLAN を作成することを推奨します。 ゲスト アカウントの有効期限が切れ、RADIUS サーバ上でアカウント名が競合し、両アカウントとも同じ WLAN 上にある場合、両アカウントにアソシエートしているユーザのアソシエートが解除されてから、ゲスト アカウントが削除されます。

      ステップ 7   [Description] テキスト ボックスに、ゲスト ユーザ アカウントの説明を入力します。 最大 32 文字を入力することができます。
      ステップ 8   [Apply] をクリックして、変更を確定します。 新しいゲスト ユーザ アカウントが、[Guest Users List] ページのゲスト ユーザ リストに表示されます。

      このページから、すべてのゲスト ユーザ アカウント、それぞれの WLAN SSID およびライフタイムを表示できます。 また、ゲスト ユーザ アカウントを編集、または削除することができます。 ゲスト ユーザ アカウントを削除する場合、ゲスト WLAN を使用し、そのアカウントのユーザ名を使用してログインしているクライアントはすべて削除されます。

      ステップ 9   新しいゲスト ユーザ アカウントを作成するには、この手順を繰り返します。

      ゲスト ユーザ アカウントの表示

      ゲスト アカウントの表示(GUI)

      コントローラ GUI を使用してゲスト ユーザ アカウントを表示するには、[Security] > [AAA] > [Local Net Users] を選択します。 [Local Net Users] ページが表示されます。

      このページから、すべてのローカル ネット ユーザ アカウント(ゲスト ユーザ アカウントを含む)を表示し、必要に応じて編集または削除することができます。 ゲスト ユーザ アカウントを削除する場合、ゲスト WLAN を使用し、そのアカウントのユーザ名を使用してログインしているクライアントはすべて削除されます。

      ゲスト アカウントの表示(CLI)

      コントローラ CLI を使用して、すべてのローカル ネット ユーザ アカウント(ゲスト ユーザ アカウントを含む)を表示するには、次のコマンドを入力します。

      show netuser summary

      管理者のユーザ名とパスワードの設定

      管理者のユーザ名とパスワードの設定について

      管理者のユーザ名とパスワードを設定しておくと、権限のないユーザによるコントローラの設定変更や設定情報の表示を防ぐことができます。 この項では、初期設定とパスワード リカバリの手順を説明します。

      ユーザ名とパスワードの設定(GUI)


        ステップ 1   [Management] > [Local Management Users] を選択します。
        ステップ 2   [New] をクリックします。
        ステップ 3   ユーザ名およびパスワードを入力し、パスワードを確認します。

        ユーザ名とパスワードは大文字と小文字が区別されます。いずれも、最大 24 文字の ASCII 文字列を使用できます。 ユーザ名とパスワードにスペースを使用することはできません。

        ステップ 4   [User Access Mode] として、次のいずれかを選択します。
        • ReadOnly

        • ReadWrite

        • LobbyAdmin

        ステップ 5   [Apply] をクリックします。

        ユーザ名とパスワードの設定(CLI)


          ステップ 1   次のいずれかのコマンドを入力して、ユーザ名とパスワードを設定します。
          • config mgmtuser add username password read-write:ユーザ名とパスワードのペアを作成して読み取りと書き込みの権限を付与します。

          • config mgmtuser add username password read-only:ユーザ名とパスワードのペアを作成して読み取り専用権限を付与します。

            ユーザ名とパスワードは大文字と小文字が区別されます。いずれも、最大 24 文字の ASCII 文字列を使用できます。 ユーザ名とパスワードにスペースを使用することはできません。

            (注)     

            既存のユーザ名のパスワードを変更する場合は、config mgmtuser password username new_password コマンドを入力します。

          ステップ 2   次のコマンドを入力して、設定されているユーザのリストを表示します。

          show mgmtuser


          パスワードの回復

          はじめる前に

          コンソール ポートを介してコントローラ CLI にアクセスしていることを確認します。


            ステップ 1   コントローラのブート後に、「User」というプロンプトが表示されたら Restore-Password を入力します。
            (注)     

            セキュリティ上の理由により、入力したテキストはコントローラ コンソールには表示されません。

            ステップ 2   「Enter User Name」というプロンプトが表示されたら、新しいユーザ名を入力します。
            ステップ 3   「Enter Password」というプロンプトが表示されたら、新しいパスワードを入力します。
            ステップ 4   「Re-enter Password」というプロンプトが表示されたら、新しいパスワードを再入力します。 入力した内容が検証されて、データベースに保存されます。
            ステップ 5   「User」というプロンプトが再び表示されたら、新しいユーザ名を入力します。
            ステップ 6   「Password」というプロンプトが表示されたら、新しいパスワードを入力します。 新しいユーザ名とパスワードでコントローラにログインした状態になります。

            SNMP v3 ユーザのデフォルト値の変更

            SNMP v3 ユーザのデフォルト値の変更について

            SNMP v3 ユーザのユーザ名、認証パスワード、およびプライバシー パスワードに対するコントローラのデフォルト値は、「default」が使用されています。 これらの標準値を使用すると、セキュリティ上のリスクが発生します。 したがって、これらの値を変更することを強く推奨します。


            (注)  


            SNMP v3 は時間に依存しています。 コントローラの時間および時間帯を正確に設定してください。


            SNMP v3 ユーザのデフォルト値の変更(GUI)


              ステップ 1   [Management] > [SNMP] > [SNMP V3 Users] の順に選択して [SNMP V3 Users] ページを開きます。
              ステップ 2   [User Name] カラムに「default」が表示されている場合は、そのユーザの青いドロップダウン矢印の上にカーソルを置き、[Remove] を選択してその SNMP v3 ユーザを削除します。
              ステップ 3   新しい SNMP v3 ユーザを追加するには、[New] をクリックします。 [SNMP V3 Users > New] ページが表示されます。
              ステップ 4   [User Profile Name] テキスト ボックスに、一意の名前を入力します。 「default」は入力しないでください。
              ステップ 5   [Access Mode] ドロップダウン リストから [Read Only] または [Read/Write] を選択して、このユーザのアクセス レベルを指定します。 デフォルト値は [Read Only] です。
              ステップ 6   [Authentication Protocol] ドロップダウン リストで、認証方式を [None]、[HMAC-MD5](Hashed Message Authentication Coding-Message Digest 5)、および [HMAC-SHA](Hashed Message Authentication Coding-Secure Hashing Algorithm)の中から選択します。 デフォルト値は [HMAC-SHA] です。
              ステップ 7   [Auth Password] テキスト ボックスと [Confirm Auth Password] テキスト ボックスに、認証に使用する共有秘密キーを入力します。 文字と数字の両方を含む少なくとも 12 文字を入力する必要があります。
              ステップ 8   [Privacy Protocol] ドロップダウン リストで、暗号化方式を [None]、[CBC-DES](Cipher Block Chaining-Digital Encryption Standard)、および [CFB-AES-128](Cipher Feedback Mode-Advanced Encryption Standard-128)の中から選択します。 デフォルト値は [CFB-AES-128] です。
              (注)     

              CBC-DES 暗号化または CFB-AES-128 暗号化を設定するには、ステップ 6 で認証プロトコルとして [HMAC-MD5] または [HMAC-SHA] を選択しておく必要があります。

              ステップ 9   [Priv Password] テキスト ボックスと [Confirm Priv Password] テキスト ボックスに、暗号化に使用する共有秘密キーを入力します。 文字と数字の両方を含む少なくとも 12 文字を入力する必要があります。
              ステップ 10   [Apply] をクリックします。
              ステップ 11   [Save Configuration] をクリックします。
              ステップ 12   コントローラをリブートすると、追加した SNMP v3 ユーザが有効になります。

              SNMP v3 ユーザのデフォルト値の変更(CLI)


                ステップ 1   次のコマンドを入力して、このコントローラに対する SNMP v3 ユーザの最新のリストを表示します。

                show snmpv3user

                ステップ 2   [SNMP v3 User Name] カラムに「default」と表示されている場合は、次のコマンドを入力してこのユーザを削除します。

                config snmp v3user delete username

                username パラメータが SNMP v3 ユーザ名です(この場合は「default」)。

                ステップ 3   次のコマンドを入力して、新しい SNMP v3 ユーザを作成します。

                config snmp v3user create username {ro | rw} {none | hmacmd5 | hmacsha} {none | des | aescfb128} auth_key encrypt_key

                値は次のとおりです。

                • username は、SNMP v3 ユーザ名です。

                • ro は読み取り専用モード、rw は読み書きモードです。

                • nonehmacmd5、および hmacsha は、認証プロトコル オプションです。

                • nonedes、および aescfb128 は、プライバシー プロトコル オプションです。

                • auth_key は、認証用の共有秘密キーです。

                • encrypt_key は、暗号化用の共有秘密キーです。

                  usernameauth_key、および encrypt_key の各パラメータに「default」と入力しないでください。

                ステップ 4   save config コマンドを入力します。
                ステップ 5   追加した SNMP v3 ユーザを有効にするために、reset system コマンドを入力して、コントローラをリブートします。

                証明書署名要求の生成


                  ステップ 1   OpenSSL のアプリケーションをインストールして開きます。
                  ステップ 2   次のコマンドを入力します。
                  OpenSSL> req -new -newkey rsa:1024 -nodes -keyout mykey.pem -out myreq.pem
                  
                  

                  コントローラは最大 2048 ビットのキー サイズをサポートします。

                  (注)      正しい共通名を指定する必要があります。 証明書の作成に使用されるホスト名(共通名)が、コントローラの仮想インターフェイス IP に対するドメイン ネーム システム(DNS)のホスト名エントリに一致することを確認します。 この名前は、DNS にも存在する必要があります。 また、VIP インターフェイスへの変更後には、この変更を反映するためにシステムをリブートする必要があります。

                  コマンド投入後に、国、州、都市などの情報を入力するように促されます。

                  以下に類似した情報が表示されます。

                  
                  OpenSSL> req -new -newkey rsa:1024 -nodes -keyout mykey.pem -out myreq.pem
                  Loading 'screen' into random state - done
                  Generating a 1024 bit RSA private key
                  ................................................................++++++
                  ...................................................++++++
                  writing new private key to 'mykey.pem'
                  -----
                  You are about to be asked to enter information that will be incorporated
                  into your certificate request.
                  What you are about to enter is what is called a Distinguished Name or a DN.
                  There are quite a few fields but you can leave some blank
                  For some fields there will be a default value,
                  If you enter '.', the field will be left blank.
                  -----
                  Country Name (2 letter code) [AU]:US
                  State or Province Name (full name) [Some-State]:CA
                  Locality Name (eg, city) []:San Jose
                  Organization Name (eg, company) [Internet Widgits Pty Ltd]:ABC
                  Organizational Unit Name (eg, section) []:CDE
                  Common Name (eg, YOUR name) []:XYZ.ABC
                  Email Address []:Test@abc.com
                  
                  
                  Please enter the following 'extra' attributes
                  to be sent with your certificate request
                  A challenge password []:Test123
                  An optional company name []:
                  OpenSSL> 
                  
                  
                  

                  すべての必要な詳細を入力すると、2 つのファイルが生成されます。

                  • 名前 mykey.pem を含む新しい秘密キー
                  • 名前 myreq.pem を含む CSR
                  ステップ 3   証明書署名要求(CSR)の情報をコピーして CA の登録ツールに貼り付けます。 サードパーティ CA に CSR を送信すると、サードパーティ CA は証明書にデジタル署名して、電子メールで署名付き証明書チェーンを返します。 チェーン証明書の場合、CA から証明書のチェーン全体を受信します。 上記の例のように中間証明書が 1 つのみであれば、CA から次の 3 種類の証明書を受信します。
                  • ルート証明書(.pem)
                  • 中間証明書(.pem)
                  • デバイス証明書(.pem)
                  (注)      証明書が SHA1 暗号化との Apache 互換であることを確認します。
                  ステップ 4   3 つすべての証明書を取得したら、次の順序で各 .pem ファイルの内容をコピーして別のファイルに貼り付けます。
                  ------BEGIN CERTIFICATE------
                  *Device cert*
                  ------END CERTIFICATE------
                  ------BEGIN CERTIFICATE------
                  *Intermediate CA cert *
                  ------END CERTIFICATE--------
                  ------BEGIN CERTIFICATE------
                  *Root CA cert *
                  ------END CERTIFICATE------
                  
                  
                  ステップ 5   ファイルを All-certs.pem という名前で保存します。
                  ステップ 6   All-certs.pem 証明書を、CSR とともに生成した秘密キー(デバイス証明書の秘密キー、この例では mykey.pem)と組み合わせて、final.pem という名前でファイルを保存します。
                  ステップ 7   次のコマンドを入力して、All-certs.pem ファイルおよび final.pem ファイルを作成します。
                  openssl> pkcs12 -export -in All-certs.pem -inkey mykey.pem 
                         -out All-certs.p12 -clcerts -passin pass:check123 
                         -passout pass:check123
                    
                  openssl> pkcs12 -in All-certs.p12 -out final.pem 
                         -passin pass:check123 -passout pass:check123
                  
                  
                  final.pem ファイルをコントローラにダウンロードする必要があります。
                  (注)      -passin および -passout パラメータのパスワードを入力する必要があります。 -passout パラメータに対して設定されたパスワードは、コントローラに設定されている certpassword パラメータに一致する必要があります。 上記の例では、-passin-passout の両方のパラメータに対して設定されるパスワードは check123 です。

                  次の作業

                  CLI または GUI を使用してコントローラに final.pem ファイルをダウンロードします。

                  サードパーティ証明書のダウンロード(GUI)


                    ステップ 1   デバイス証明書 final.pem を TFTP サーバのデフォルト ディレクトリにコピーします。
                    ステップ 2   [Security] > [Web Auth] > [Certificate] を選択して、[Web Authentication Certificate] ページを開きます。
                    ステップ 3   [Download SSL Certificate] チェックボックスをオンにして、Download SSL Certificate From Server パラメータを表示します。
                    ステップ 4   [Server IP Address] テキスト ボックスに、TFTP サーバの IP アドレスを入力します。
                    ステップ 5   [File Path] テキスト ボックスに、証明書のディレクトリ パスを入力します。
                    ステップ 6   [File Name] テキスト ボックスに、証明書の名前を入力します。
                    ステップ 7   [Certificate Password] テキスト ボックスに、証明書の保護に使用されたパスワードを入力します。
                    ステップ 8   [Apply] をクリックします。
                    ステップ 9   ダウンロードが完了したら、[Commands] > [Reboot] の順に選択して、[Save and Reboot] をクリックします。
                    ステップ 10   変更を確定してコントローラをリブートするために [OK] をクリックします。

                    サードパーティ証明書のダウンロード(CLI)


                      ステップ 1   final.pem ファイルを TFTP サーバ上のデフォルト ディレクトリに移動します。 次のコマンドを入力して、ダウンロードの設定を変更します。
                       
                      (Cisco Controller) > transfer download mode tftp
                      (Cisco Controller) > transfer download datatype webauthcert
                      (Cisco Controller) > transfer download serverip <TFTP server IP address>
                      (Cisco Controller) > transfer download path <absolute TFTP server path to the update file>
                      (Cisco Controller) > transfer download filename final.pem
                      
                      
                      ステップ 2   オペレーティング システムが SSL キーと証明書を復号化できるように .pem ファイルのパスワードを入力します。
                      (Cisco Controller) > transfer download certpassword password
                      
                      
                      (注)      certpassword の値が、CSR を生成する -passout パラメータと同じであることを確認します。
                      ステップ 3   次のコマンドを入力して、証明書およびキーのダウンロードを開始します。 transfer download start

                      例:
                      (Cisco Controller) > transfer download start
                       
                      Mode............................................. TFTP
                      Data Type........................................ Site Cert
                      TFTP Server IP................................... 10.77.244.196
                      TFTP Packet Timeout.............................. 6
                      TFTP Max Retries................................. 10
                      TFTP Path........................................./
                      TFTP Filename.................................... final.pem
                       
                      This may take some time.
                      Are you sure you want to start? (y/N) y
                       
                      TFTP EAP Dev cert transfer starting.
                       
                      Certificate installed.
                      Reboot the switch to use new certificate.
                      
                      
                      ステップ 4   コントローラをリブートします。