コンソールを使用してスイッチに初めてログインするときには、デフォルトのユーザ名とパスワードであるciscoを使用する必要があります。次に、Ciscoアカウントの新しいパスワードを入力して設定するように求められます。パスワードの複雑度はデフォルトで有効になっています。選択したパスワードが十分に複雑でない場合は、別のパスワードを作成するように求められます。
パスワードはデバイスにアクセスするユーザの認証に使用されるため、単純なパスワードはセキュリティ上の問題となる可能性があります。したがって、パスワードの複雑さの要件はデフォルトで適用され、必要に応じて設定できます。
この記事では、Cisco Business Switches(CBS)250および350シリーズのコマンドラインインターフェイス(CLI)を使用して、スイッチの基本的なパスワード設定、ラインパスワード、イネーブルパスワード、サービスパスワードの回復、ユーザアカウントのパスワード複雑度ルール、およびパスワードエージング設定を定義する方法について説明します。
注:スイッチのWebベースのユーティリティを使用して、パスワードの強度と複雑度を設定することもできます。手順についてはここをクリックしてください。
次のオプションから、設定するパスワード設定を選択します。
ステップ 1:スイッチのコンソールにログインします。デフォルトのユーザ名とパスワードはciscoです。
注:使用できるコマンドやオプションは、デバイスのモデルによって異なります。この例では、CBS350スイッチを使用します。
ステップ 2:ネットワークの保護を強化するために、新しいパスワードを設定するように求められます。キーボードでYキーを押して[Yes] (はい)を選択するか、Nキーを押して[No] (いいえ)を選択します。
注:この例では、Yキーが押されています。
ステップ 3:古いパスワードを入力してから、キーボードのEnterキーを押します。
ステップ 4:新しいパスワードを入力して確認し、キーボードのEnterキーを押します。
ステップ 5:enableコマンドを使用して、特権EXECモードに入ります。スイッチの特権EXECモードで、次のように入力して、設定をスタートアップコンフィギュレーションファイルに保存します。
CBS350:copy running-config startup-configステップ 6: (任意)[ファイル [startup-config] の上書き…(Overwrite file [startup-config]…)] プロンプトが表示されたら、「はい」の場合はキーボードの [Y] 、「いいえ」の場合は [N] を押します。
これで、CLIを使用してスイッチの基本的なパスワード設定を行うことができました。
ステップ 1:スイッチのコンソールにログインします。デフォルトのユーザ名とパスワードはciscoです。新しいユーザ名またはパスワードを設定した場合は、それらのクレデンシャルを代わりに入力します。
ステップ 2:スイッチの特権EXECモードで、次のように入力してグローバルコンフィギュレーションモードに入ります。
CBS350#configure terminalステップ 3:コンソール、Telnet、セキュアシェル(SSH)などの回線上でパスワードを設定するには、次のように入力して、パスワードの回線設定モードに入ります。
CBS350(config)#line [line-name]注:この例で使用する回線はTelnetです。
ステップ 4:次のように入力して、回線のpasswordコマンドを入力します。
CBS350(config-line)#password [パスワード][暗号化]次のオプションがあります。
注:この例では、パスワードCisco123$がTelnet回線に指定されています。
ステップ5:(オプション)回線パスワードをデフォルトパスワードに戻すには、次のように入力します。
CBS350(config-line)#パスワードなし手順 6:end コマンドを入力して、スイッチの特権 EXEC モードに戻ります。
CBS350(config)#endステップ 7: (任意)スイッチの特権 EXEC モードで、次のように入力して、設定をスタートアップ コンフィギュレーション ファイルに保存します。
CBS350:copy running-config startup-configステップ 8: (任意)[ファイル [startup-config] の上書き…(Overwrite file [startup-config]…)] プロンプトが表示されたら、「はい」の場合はキーボードの [Y] 、「いいえ」の場合は [N] を押します。
これで、CLIを使用してスイッチの回線パスワードを設定できるはずです。
新しいイネーブルパスワードを設定すると、パスワードは自動的に暗号化され、実行コンフィギュレーションファイルに保存されます。パスワードの入力方法に関係なく、実行コンフィギュレーションファイルにはキーワード「encrypted」が、暗号化されたパスワードとともに表示されます。
CLIを使用してスイッチのイネーブルパスワードを設定するには、次の手順を実行します。
ステップ 1:スイッチのコンソールにログインします。デフォルトのユーザ名とパスワードはciscoです。新しいユーザ名またはパスワードを設定した場合は、それらのクレデンシャルを代わりに入力します。
ステップ 2:スイッチの特権EXECモードで、次のように入力してグローバルコンフィギュレーションモードに入ります。
CBS350#configure terminalステップ 3:スイッチの特定のユーザアクセスレベルでローカルパスワードを設定するには、次のように入力します。
CBS350(config)#enable password [レベル特権レベル] [非暗号化パスワード|暗号化暗号化パスワード]次のオプションがあります。
– 読み取り専用CLIアクセス(1):ユーザはGUIにアクセスできず、デバイス設定を変更しないCLIコマンドにのみアクセスできます。
– 読み取り/制限付き書き込みCLIアクセス(7):ユーザはGUIにアクセスできず、デバイス設定を変更する一部のCLIコマンドにしかアクセスできません。詳細については、『CLI Reference Guide』を参照してください。
– 読み取り/書き込み管理アクセス(15):ユーザはGUIにアクセスでき、デバイスを設定できます。
CBS350(config)#enable password level 7 Cisco123$注:この例では、パスワードCisco123$がレベル7ユーザアカウントに設定されています。
注:この例では、パスワードCisco123$が使用されています。
注:この例で使用する暗号化パスワードは6f43205030a2f3a1e243873007370fabです。これは、Cisco123$の暗号化バージョンです。
注:上記の例では、イネーブルパスワードCisco123$がレベル7アクセスに設定されています。
ステップ4:(オプション)ユーザパスワードをデフォルトパスワードに戻すには、次のように入力します。
CBS350(config)#no enable passwordステップ 5:exitコマンドを入力して、スイッチの特権EXECモードに戻ります。
CBS350(config)#exitステップ 6: (任意)スイッチの特権 EXEC モードで、次のように入力して、設定をスタートアップ コンフィギュレーション ファイルに保存します。
CBS350:copy running-config startup-configステップ 7: (任意)[ファイル [startup-config] の上書き…(Overwrite file [startup-config]…)] プロンプトが表示されたら、「はい」の場合はキーボードの [Y] 、「いいえ」の場合は [N] を押します。
これで、CLIを使用してスイッチのイネーブルパスワードを設定できるはずです。
サービスパスワードの回復メカニズムでは、次の条件を満たすデバイスのコンソールポートへの物理的なアクセスが提供されます。
サービスパスワードの回復はデフォルトで有効になっています。次の手順に従って、CLIを使用してスイッチのサービスパスワード回復設定を行います。
ステップ 1:スイッチのコンソールにログインします。デフォルトのユーザ名とパスワードはciscoです。新しいユーザ名またはパスワードを設定した場合は、それらのクレデンシャルを代わりに入力します。
ステップ 2:スイッチの特権EXECモードで、次のように入力してグローバルコンフィギュレーションモードに入ります。
CBS350#configure terminalステップ3:(オプション)スイッチのパスワード回復設定を有効にするには、次のように入力します。
CBS350#service password-recoveryステップ4:(オプション)スイッチのパスワード回復設定を無効にするには、次のコマンドを入力します。
CBS350#no service password-recoveryステップ5:(オプション)次のプロンプトが表示されたら、キーボードのYesの場合はYを、Noの場合はNを押します。
注:この例では、Yキーが押されています。
手順 6:exitコマンドを入力して、スイッチの特権EXECモードに戻ります。
CBS350(config)#exitステップ 7: (任意)スイッチの特権 EXEC モードで、次のように入力して、設定をスタートアップ コンフィギュレーション ファイルに保存します。
CBS350:copy running-config startup-configステップ 8: (任意)[ファイル [startup-config] の上書き…(Overwrite file [startup-config]…)] プロンプトが表示されたら、「はい」の場合はキーボードの [Y] 、「いいえ」の場合は [N] を押します。
これで、CLIを使用してスイッチのパスワード回復設定を行うことができました。
スイッチのパスワード複雑度設定により、パスワードの複雑度規則が有効になります。この機能を有効にした場合、新しいパスワードは次のデフォルト設定に従う必要があります。
特定のコマンドを使用して、上記のパスワードの複雑度の属性を制御できます。以前に他の複雑度設定を設定している場合は、それらの設定が使用されます。
この機能はデフォルトで有効になっています。次の手順に従って、CLIを使用してスイッチのパスワードの複雑度を設定します。
ステップ 1:スイッチのコンソールにログインします。デフォルトのユーザ名とパスワードはciscoです。新しいユーザ名またはパスワードを設定した場合は、それらのクレデンシャルを代わりに入力します。
ステップ 2:スイッチの特権EXECモードで、次のように入力してグローバルコンフィギュレーションモードに入ります。
CBS350#configure terminalステップ3:(オプション)スイッチでパスワードの複雑度設定を有効にするには、次のように入力します。
CBS350(config)#passwords complexity enableステップ4:(オプション)スイッチでパスワードの複雑度設定を無効にするには、次のように入力します。
CBS350(config)#no passwords complexity enableステップ5:(オプション)パスワードの最小要件を設定するには、次のように入力します。
CBS350(config)#passwords complexity [min-length number] [min-classes number] [not-current] [no-repeat number] [not-username] [not manufacturer-name]次のオプションがあります。
注:これらのコマンドを実行しても、他の設定は消去されません。パスワードの複雑さの設定は、トグルとしてのみ機能します。
注:この例では、パスワードの複雑度は9文字以上に設定されており、ユーザ名を繰り返したり逆にしたりすることはできません。また、パスワードを現在のパスワードと同じにすることはできません。
手順 6:exitコマンドを入力して、スイッチの特権EXECモードに戻ります。
CBS350(config)#exitステップ 7: (任意)スイッチの特権 EXEC モードで、次のように入力して、設定をスタートアップ コンフィギュレーション ファイルに保存します。
CBS350:copy running-config startup-configステップ 8: (任意)[ファイル [startup-config] の上書き…(Overwrite file [startup-config]…)] プロンプトが表示されたら、「はい」の場合はキーボードの [Y] 、「いいえ」の場合は [N] を押します。
これで、CLIを使用してスイッチのパスワードの複雑度設定を行うことができました。
スイッチのCLIでパスワードの構成設定を表示するには、パスワードの構成設定の表示に進みます。
エージングは、特権レベル15を持つローカルデータベースのユーザと、特権レベル15のイネーブルパスワードを設定したユーザにのみ関係します。デフォルト設定は180日です。
次の手順に従って、CLIを使用してスイッチのパスワードの複雑度を設定します。
ステップ 1:スイッチのコンソールにログインします。デフォルトのユーザ名とパスワードはciscoです。新しいユーザ名またはパスワードを設定した場合は、それらのクレデンシャルを代わりに入力します。
ステップ 2:スイッチの特権EXECモードで、次のように入力してグローバルコンフィギュレーションモードに入ります。
CBS350#configure terminalステップ 3:スイッチのパスワードエージング設定を指定するには、次のように入力します。
CBS350(config)#passwords aging [days]注:この例では、パスワードエージングが60日に設定されています。
ステップ4:(オプション)スイッチでパスワードエージングを無効にするには、次のように入力します。
CBS350(config)#no passwords aging 0ステップ5:(オプション)パスワードエージングをデフォルト設定に戻すには、次のように入力します。
CBS350(config)#no passwords aging [days]手順 6:exitコマンドを入力して、スイッチの特権EXECモードに戻ります。
CBS350(config)#exitステップ 7: (任意)スイッチの特権 EXEC モードで、次のように入力して、設定をスタートアップ コンフィギュレーション ファイルに保存します。
CBS350:copy running-config startup-configステップ 8: (任意)[ファイル [startup-config] の上書き…(Overwrite file [startup-config]…)] プロンプトが表示されたら、「はい」の場合はキーボードの [Y] 、「いいえ」の場合は [N] を押します。
これで、CLIを使用してスイッチのパスワードエージング設定を行うことができました。
スイッチのCLIでパスワードの構成設定を表示するには、パスワードの構成設定の表示に進みます。
エージングは、特権レベル15を持つローカルデータベースのユーザと、特権レベル15のイネーブルパスワードを設定したユーザにのみ関係します。デフォルト設定は180日です。
ステップ 1:スイッチの特権EXECモードで、次のコマンドを入力します。
CBS350(config)#show passwords configuration