管理アクセス

この章では、Telnet、SSH、および HTTPS（ASDM を使用）経由でシステム管理を行うために Cisco ASA にアクセスする方法と、ユーザを認証および許可する方法、ログインバナーを作成する方法について説明します。

管理リモートアクセスの設定

ここでは、ASDM 用の ASA アクセス、Telnet または SSH、およびログインバナーなどのその他のパラメータの設定方法について説明します。

HTTPS（ASDM）、Telnet、または SSH の ASA アクセス

この項では、ASDM および CSM、Telnet、または SSH など、HTTPS に ASA アクセスを設定する方法について説明します。次のガイドラインを参照してください。

ASA インターフェイスに管理アクセスの目的でアクセスするには、ホスト IP アドレスを許可するアクセスルールは必要ありません。必要なのは、この章の各項の説明に従って管理アクセスを設定することだけです。ただし、HTTP リダイレクトを設定して HTTP 接続を HTTPS に自動的にリダイレクトするには、HTTP を許可するアクセスルールを有効化する必要があります。そうしないと、インターフェイスが HTTP ポートをリッスンできません。
ASA への通過ルートとなるインターフェイス以外のインターフェイスへの管理アクセスはサポートされません。たとえば、管理ホストが外部インターフェイスにある場合、外部インターフェイスへの直接管理接続のみ開始できます。このルールの例外は、VPN 接続を介した場合のみです。VPN トンネルを介した管理アクセスの設定を参照してください。
ASA では以下の接続が許可されます。
- コンテキストごとに最大 5 つの同時 Telnet 接続を許可し、可能な場合は、最大 100 の接続がすべてのコンテキストの間で分割されます。
- コンテキストごとに最大 5 つの同時 SSH 接続を許可し、可能な場合は、最大 100 の接続がすべてのコンテキストの間で分割されます。
- コンテキストごとに最大 5 つの同時 ASDM インスタンスを使用でき、全コンテキスト間で最大 32 の ASDM インスタンスの使用が可能です。

HTTPS（ASDM）アクセスの設定

この項では、ASDM や CSM など、HTTPS に ASA アクセスを設定する方法について説明します。

始める前に

マルチコンテキストモードでは、コンテキスト実行スペースで次の手順を実行します。システムコンフィギュレーションからコンテキストコンフィギュレーションに切り替えるには、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にあるコンテキスト名をダブルクリックします。

手順

ステップ 1	[Configuration] > [Device Management] > [Management Access] > [ASDM/HTTPS/Telnet/SSH] の順に選択し、[Add] をクリックします。 [Add Device Access Configuration] ダイアログボックスが表示されます。
ステップ 2	[ASDM/HTTPS] を選択します。
ステップ 3	管理インターフェイスを選択し、許可するホスト IP アドレス設定して、[OK] をクリックします。名前付きインターフェイスを指定します。ブリッジグループの場合、ブリッジグループメンバインターフェイスを指定します。
ステップ 4	[HTTP Settings] を設定します。 [Enable HTTP Server] チェックボックスがオンになっていることを確認します。この設定はデフォルトでイネーブルになっています。必要に応じて、[Port Number]、[Idle Timeout]、[Session Timeout] の値を変更します。証明書認証を要件にするには、[Require client certificate to access ASDM on the following interfaces] の下にあるドロップダウン矢印をクリックし、ASDM がイネーブルにされているすべてのインターフェイスに対応するチェックボックスをオンにします。詳細については、ASDM 証明書認証の設定を参照してください。
ステップ 5	[Apply] をクリックします。

SSH アクセスの設定

この項では、SSH に ASA アクセスを設定する方法について説明します。

（8.4 以降）SSH デフォルトユーザ名はサポートされなくなりました。pix または asa ユーザ名とログインパスワードで SSH を使用して ASA に接続することができなくなりました。SSH を使用するには、AAA 認証を設定し（[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authentication] の順に選択）、続いてローカルユーザを定義する必要があります（[Configuration] > [Device Management] > [Users/AAA] の順に選択）。ローカルデータベースの代わりに AAA サーバを認証に使用する場合、ローカル認証もバックアップの手段として設定しておくことをお勧めします。

始める前に

マルチコンテキストモードでは、コンテキスト実行スペースで次の手順を実行します。システムコンフィギュレーションからコンテキストコンフィギュレーションに切り替えるには、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にあるコンテキスト名をダブルクリックします。

手順

ステップ 1	[Configuration] > [Device Management] > [Management Access] > [ASDM/HTTPS/Telnet/SSH] の順に選択し、[Add] をクリックします。 [Add Device Access Configuration] ダイアログボックスが表示されます。
ステップ 2	[SSH] を選択します。
ステップ 3	管理インターフェイスを選択し、許可するホスト IP アドレス設定して、[OK] をクリックします。名前付きインターフェイスを指定します。ブリッジグループの場合、ブリッジグループメンバインターフェイスを指定します。
ステップ 4	（任意） [SSH Settings] を設定します。 [Allowed SSH Versions]：[1 & 2]、[1]、または [2] を選択します。デフォルトでは、SSH はバージョン 1 と 2 の両方を許可します。 [SSH Timeout]：1 ～ 60 分にタイムアウトを設定します。デフォルトは 5 分です。デフォルトの期間では一般に短すぎるので、実働前のテストとトラブルシューティングがすべて完了するまでは、長めに設定しておいてください。 [DH Key Exchange]：該当するオプションボタンをクリックして、Diffie-Hellman（DH）キー交換グループ 1 またはグループ 14 を選択します。DH グループキー交換方式を指定しないと、DH グループ 1 のキー交換方式が使用されます。DH キー交換方法の使用方法の詳細については、RFC 4253 を参照してください。
ステップ 5	[Apply] をクリックします。
ステップ 6	SSH ユーザ認証を設定します。（パスワードアクセス用）[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authentication] の順に選択します。 AAA 認証は、[Public Key Using PKF] オプションが指定されたユーザ名に対するローカル公開キー認証には影響しません。ASA では、公開キー認証に対し、ローカルデータベースを暗黙的に使用します。SSH 認証は、パスワードを持つユーザ名にのみ影響します。ローカルユーザが公開キー認証またはパスワードを使用できるようにするには、この手順を使用してローカル認証を明示的に設定し、パスワードアクセスを許可する必要があります。 [SSH] チェックボックスをオンにします。 [Server Group] ドロップダウンリストから [LOCAL] データベース（または AAA サーバ）を選択します。 [Apply] をクリックします。ローカルユーザを追加します。ユーザアクセスに AAA サーバを使用することもできますが、ローカルユーザ名の使用を推奨します。[Configuration] > [Device Management] > [Users/AAA] > [User Accounts] の順に選択し、[Add] をクリックします。 [Add User Account-Identity] ダイアログボックスが表示されます。ユーザ名とパスワードを入力し、パスワードを確認します。ユーザにパスワードを割り当てたが、ユーザが公開キー認証のみを使用するように制限するには、この手順に従ってパスワードの使用に対する AAA 認証を有効にしないでください。（任意）個々のユーザごとに、パスワード認証ではなく公開キー認証のみ、またはこれら両方の認証を有効にするには、次のいずれかのペインを選択します。 [Public Key Authentication]：Base64 でエンコードされた公開キーに貼り付けます。SSH-RSA raw キー（証明書なし）を生成可能な任意の SSH キー生成ソフトウェア（ssh keygen など）を使用して、キーを生成できます。既存のキーを表示する場合は、キーは SHA-256 ハッシュを使用して暗号化されます。ハッシュキーをコピーして貼りつける場合は、[Key is hashed] チェックボックスをオンにします。認証キーを削除するには、[Delete Key] をクリックして、確認ダイアログボックスを表示します。認証キーを削除する場合は [Yes] をクリックし、認証キーを保持する場合は [No] をクリックします。 [Public Key Using PKF]：[Specify a new PKF key] チェックボックスをクリックして、公開キーファイル（PKF）でフォーマットされたキー（4096 ビットまで）を貼りつけるかインポートします。Base64 形式で貼り付けるには大きすぎるキーにはこのフォーマットを使用します。たとえば、ssh の keygen を使用して 4096 ビットキーを生成し、PKF に変換して、このペインでインポートします。既存のキーを表示する場合は、SHA-256 ハッシュを使用して暗号化されます。ハッシュキーをコピーして貼り付ける必要がある場合は、[Public Key Athentication] ペインからコピーし、[Key is hashed] チェックボックスをオンにした新しい ASA のペインに貼り付けます。認証キーを削除するには、[Delete Key] をクリックして、確認ダイアログボックスを表示します。認証キーを削除する場合は [Yes] をクリックし、認証キーを保持する場合は [No] をクリックします。 [OK] をクリックし、続いて [Apply] をクリックします。
ステップ 7	RSA キーのペアを生成します（物理 ASA の場合のみ。ASAv の場合は、導入後に自動的に RSA キーペアが作成されます）。 [Configuration] > [Device Management] > [Certificate Management] > [Identity Certificates] の順に選択します。 [Add] をクリックし、[Add a new identity certificate] オプションボタンをクリックします。 [New] をクリックします。 [Add Key Pair] ダイアログボックスで、デフォルトを受け入れて [Generate Now] をクリックします。
ステップ 8	（任意） SSH 暗号の暗号化アルゴリズムと整合性アルゴリズムを設定します。 [Configuration] > [Device Management] > [Advanced] > [SSH Ciphers] の順に選択します。 [Encryption] を選択し、[Edit] をクリックします。 [SSH cipher security level] ドロップダウンリストから、次のいずれかのレベルを選択します。 [All]：すべての暗号方式（3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr）を使用する場合は、このオプションを選択します。 [Custom]：カスタム暗号ストリングを設定する場合はこのオプションを選択し、[Cipher algorithms/custom string] フィールドに各暗号ストリングをコロンで区切って入力します。 [Fips]：FIPS 対応の暗号方式（aes128-cbc aes256-cbc）のみを使用する場合は、このオプションを選択します。 [High]：強度が高の暗号方式のみ（aes256-cbc aes256-ctr）を使用する場合は、このオプションを選択します。 [Low]：強度が低、中、高の暗号方式（3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr）を使用する場合は、このオプションを選択します。 [Medium]：強度が中および高の暗号方式（3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr）を使用する場合は、このオプションを選択します（デフォルト）。 [Integrity] を選択し、[Edit] をクリックします。 [SSH cipher security level] ドロップダウンリストから、次のいずれかのレベルを選択します。 [All]：すべての暗号方式（hmac-sha1 hmac-sha1-96 hmac-md5 hmac-md5-96）を使用することを指定します。 [Custom]：カスタム暗号ストリングを設定する場合はこのオプションを選択し、[Cipher algorithms/custom string] フィールドに各暗号ストリングをコロンで区切って入力します。 [Fips]：FIPS 対応の暗号方式のみ（hmac-sha1 ）を指定します。 [High]：強度が高の暗号方式のみ（hmac-sha1 ）を指定します。 [Low]：強度が低、中、高の暗号方式（hmac-sha1 hmac-sha1-96 hmac-md5 hmac-md5-96）を使用する場合は、このオプションを選択します。 [Medium]：強度が中および高の暗号方式（hmac-sha1 hmac-sha1-96）を指定します（デフォルト）。

例

次の例では、Linux または Macintosh システムの SSH の共有キーを生成して、ASA にインポートします。

コンピュータで 4096 ビットの ssh-rsa 公開キーおよび秘密キーを生成します。


jcrichton-mac:~ john$ ssh-keygen -b 4096
Generating public/private rsa key pair.
Enter file in which to save the key (/Users/john/.ssh/id_rsa):
/Users/john/.ssh/id_rsa already exists.
Overwrite (y/n)? y
Enter passphrase (empty for no passphrase): pa$$phrase
Enter same passphrase again: pa$$phrase
Your identification has been saved in /Users/john/.ssh/id_rsa.
Your public key has been saved in /Users/john/.ssh/id_rsa.pub.
The key fingerprint is:
c0:0a:a2:3c:99:fc:00:62:f1:ee:fa:f8:ef:70:c1:f9 john@jcrichton-mac
The key's randomart image is:
+--[ RSA 4096]----+
| .               |
|  o  .           |
|+...  o          |
|B.+.....         |
|.B ..+  S        |
|  =   o          |
|   + . E         |
|  o o            |
| ooooo           |
+-----------------+

PKF 形式にキーを変換します。


jcrichton-mac:~ john$ cd .ssh
jcrichton-mac:.ssh john$ ssh-keygen -e -f id_rsa.pub
---- BEGIN SSH2 PUBLIC KEY ----
Comment: "4096-bit RSA, converted by ramona@rboersma-mac from OpenSSH"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---- END SSH2 PUBLIC KEY ----
jcrichton-mac:.ssh john$

キーをクリップボードにコピーします。
ASDM で、[Configuration] > [Device Management] > [Users/AAA] > [User Accounts] の順に選択し、ユーザ名を選択してから [Edit] をクリックします。[Public Key Using PKF] をクリックして、ウィンドウにキーを貼り付けます。

ユーザが ASA に SSH できることを確認（テスト）します。


jcrichton-mac:.ssh john$ ssh test@10.86.118.5
The authenticity of host '10.86.118.5 (10.86.118.5)' can't be established.
RSA key fingerprint is 39:ca:ed:a8:75:5b:cc:8e:e2:1d:96:2b:93:b5:69:94.
Are you sure you want to continue connecting (yes/no)? yes

次のダイアログボックスが、パスフレーズを入力するために表示されます。

一方、端末セッションでは、以下が表示されます。


Warning: Permanently added '10.86.118.5' (RSA) to the list of known hosts.
Identity added: /Users/john/.ssh/id_rsa (/Users/john/.ssh/id_rsa)
Type help or '?' for a list of available commands.
asa>

Telnet アクセスの設定

この項では、Telnet に ASA アクセスを設定する方法について説明します。VPN トンネル内で Telnet を使用する場合を除き、最も低いセキュリティインターフェイスに対して Telnet は使用できません。

始める前に

マルチコンテキストモードでは、コンテキスト実行スペースで次の手順を実行します。システムコンフィギュレーションからコンテキストコンフィギュレーションに切り替えるには、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にあるコンテキスト名をダブルクリックします。
ASA CLI に Telnet を使用してアクセスするには、ログインパスワードを入力します。Telnet を使用する前に手動でパスワードを設定する必要があります。

手順

ステップ 1	[Configuration] > [Device Management] > [Management Access] > [ASDM/HTTPS/Telnet/SSH] の順に選択し、[Add] をクリックします。 [Add Device Access Configuration] ダイアログボックスが表示されます。
ステップ 2	[Telnet] を選択します。
ステップ 3	管理インターフェイスを選択し、許可するホスト IP アドレス設定して、[OK] をクリックします。名前付きインターフェイスを指定します。ブリッジグループの場合、ブリッジグループメンバインターフェイスを指定します。
ステップ 4	（任意） [Telnet Timeout] を設定します。デフォルトのタイムアウト値は 5 分です。
ステップ 5	[Apply] をクリックします。
ステップ 6	Telnet で接続する前に、ログインパスワードを設定します。デフォルトのパスワードはありません。 [Configuration] > [Device Setup] > [Device Name/Password] の順に選択します。 [Telnet Password] 領域で [Change the password to access the console of the security appliance] チェックボックスをオンにします。古いパスワードを入力して（新しい ASA の場合はこのフィールドを空白にする）、新しいパスワードを入力してから、確認として新しいパスワードを再入力します。 [Apply] をクリックします。

ASDM アクセスまたはクライアントレス SSL VPN のための HTTP リダイレクトの設定

ASDM またはクライアントレス SSL VPN を使用して ASA に接続するには、HTTPS を使用する必要があります。利便性のために、HTTP 管理接続を HTTPS にリダイレクトすることができます。たとえば、HTTP をリダイレクトすることによって、http://10.1.8.4/admin/ または https://10.1.8.4/admin/ と入力し、ASDM 起動ページで HTTPS アドレスにアクセスできます。

この機能は、IPv4 のリダイレクションのみをサポートします。

始める前に

通常、ホスト IP アドレスを許可するアクセスルールは必要ありません。ただし、HTTP リダイレクトのためには、HTTP を許可するアクセスルールを有効化する必要があります。そうしないと、インターフェイスが HTTP ポートをリッスンできません。

手順

ステップ 1	[Configuration] > [Device Management] > [HTTP Redirect] の順に選択します。表には、現在設定されているインターフェイスと、リダイレクトがインターフェイスで有効化されているかどうかを示しています。
ステップ 2	ASDM に使用するインターフェイスを選択し、[Edit] をクリックします。
ステップ 3	[Edit HTTP/HTTPS Settings] ダイアログボックスで次のオプションを設定します。 [Redirect HTTP to HTTPS]：HTTP 要求を HTTPS にリダイレクトします。 [HTTP Port]：インターフェイスが HTTP 接続のリダイレクトに使用するポートを指定します。デフォルトは 80 です。
ステップ 4	[OK] をクリックします。

VPN トンネルを介した管理アクセスの設定

あるインターフェイスで VPN トンネルが終端している場合、別のインターフェイスにアクセスして ASA を管理するには、そのインターフェイスを管理アクセスインターフェイスとして指定する必要があります。たとえば、outside インターフェイスから ASA に入る場合は、この機能を使用して、ASDM、SSH、Telnet、または SNMP 経由で Inside インターフェイスに接続するか、outside インターフェイスから入るときに Inside インターフェイスに ping を実行できます。

ASA への通過ルートとなるインターフェイス以外のインターフェイスへの VPN アクセスはサポートされません。たとえば、VPN アクセスが外部インターフェイスにある場合、外部インターフェイスへの直接接続のみ開始できます。複数のアドレスを覚える必要がないように、ASA の直接アクセス可能インターフェイスの VPN を有効にし、名前解決を使用してください。

管理アクセスは、IPsec クライアント、IPsec サイト間、AnyConnect SSL VPN クライアントの VPN トンネルタイプ経由で行えます。

手順

ステップ 1

[Configuration] > [Device Management] > [Management Access] > [Management Interface] の順に選択します。

ステップ 2

[Management Access Interface] ドロップダウンリストからセキュリティが最も高いインターフェイス（内部インターフェイス）を選択します。

ブリッジグループインターフェイスはサポートされません。

ステップ 3

[Apply] をクリックします。

管理インターフェイスが割り当てられ、変更内容が実行コンフィギュレーションに保存されます。

コンソールタイムアウトの変更

コンソールタイムアウトでは、接続を特権 EXEC モードまたはコンフィギュレーションモードにしておくことができる時間を設定します。タイムアウトに達すると、セッションはユーザ EXEC モードになります。デフォルトでは、セッションはタイムアウトしません。この設定は、コンソールポートへの接続を保持できる時間には影響しません。接続がタイムアウトすることはありません。

手順

ステップ 1

[Configuration] > [Device Management] > [Management Access] > [Command Line (CLI)] > [Console Timeout] の順に選択します。

ステップ 2

新しいタイムアウト値を分単位で定義します。無制限の時間を指定する場合は、「0」と入力します。デフォルト値は 0 です

ステップ 3

[Apply] をクリックします。

タイムアウト値の変更が実行コンフィギュレーションに保存されます。

CLI プロンプトのカスタマイズ

プロンプトに情報を追加する機能により、複数のモジュールが存在する場合にログインしている ASA を一目で確認することができます。この機能は、フェールオーバー時に、両方の ASA に同じホスト名が設定されている場合に便利です。

マルチコンテキストモードでは、システム実行スペースまたは管理コンテキストにログインするときに、拡張プロンプトを表示できます。非管理コンテキスト内では、デフォルトのプロンプト（ホスト名およびコンテキスト名）のみが表示されます。

デフォルトでは、プロンプトに ASA のホスト名が表示されます。マルチコンテキストモードでは、プロンプトにコンテキスト名も表示されます。CLI プロンプトには、次の項目を表示できます。


cluster-unit	クラスタユニット名を表示します。クラスタの各ユニットは一意の名前を持つことができます。
コンテキスト	（マルチモードのみ）現在のコンテキストの名前を表示します。
domain	ドメイン名を表示します。
hostname	ホスト名を表示します。
priority	フェールオーバープライオリティを [pri]（プライマリ）または [sec]（セカンダリ）として表示します。
state	ユニットのトラフィック通過状態またはロールを表示します。フェールオーバーの場合、state キーワードに対して次の値が表示されます。 [act]：フェールオーバーが有効であり、装置ではトラフィックをアクティブに通過させています。 [stby]：フェールオーバーはイネーブルです。ユニットはトラフィックを通過させていません。スタンバイ、失敗、または他の非アクティブ状態です。 [actNoFailover]：フェールオーバーは無効であり、装置ではトラフィックをアクティブに通過させています。 [stbyNoFailover]：フェールオーバーは無効であり、装置ではトラフィックを通過させていません。これは、スタンバイユニットでしきい値を上回るインターフェイス障害が発生したときに生じることがあります。クラスタリングの場合、state キーワードに対して次の値が表示されます。 master slave

手順

ステップ 1

[Configuration] > [Device Management] > [Management Access] > [Command Line (CLI)] > [CLI Prompt] の順に選択します。

ステップ 2

次のいずれかを実行してプロンプトをカスタマイズします。

[Available Prompts] リストで属性をクリックしてから、[Add] をクリックします。プロンプトには複数の属性を追加できます。属性が [Available Prompts] リストから [Selected Prompts] リストに移動します。
[Selected Prompts] リストで属性をクリックしてから、[Delete] をクリックします。属性が [Selected Prompts] リストから [Available Prompts] リストに移動します。
[Selected Prompts] リストで属性をクリックして、[Move Up] または [Move Down] をクリックして属性の表示順序を変更します。

プロンプトが変化して、[CLI Prompt Preview] フィールドに表示されます。

ステップ 3

Apply をクリックします。

変更されたプロンプトが、実行コンフィギュレーションに保存されます。

ログインバナーの設定

ユーザが ASA に接続するとき、ログインする前、または特権 EXEC モードに入る前に表示されるメッセージを設定できます。

始める前に

セキュリティの観点から、バナーで不正アクセスを防止することが重要です。「ウェルカム」や「お願いします」などの表現は侵入者を招き入れているような印象を与えるので使用しないでください。以下のバナーでは、不正アクセスに対して正しい表現を設定しています。
```
You have logged in to a secure device.
If you are not authorized to access this device,
log out immediately or risk possible criminal consequences.
```
バナーが追加された後、次の場合に ASA に対する Telnet または SSH セッションが終了する可能性があります。
- バナーメッセージを処理するためのシステムメモリが不足している場合。
- バナーメッセージの表示を試みたときに、TCP 書き込みエラーが発生した場合。
バナーメッセージのガイドラインについては、RFC 2196 を参照してください。

手順

ステップ 1

[Configuration] > [Device Management] > [Management Access] > [Command Line (CLI)] > [Banner] の順に選択します。

ステップ 2

CLI 用に作成するバナータイプ用のフィールドにバナーテキストを追加します。

[session (exec)] バナーは、ユーザが CLI で特権 EXEC モードにアクセスした場合に表示されます。
[login] バナーは、ユーザが CLI にログインした場合に表示されます。
[message-of-the-day (motd)] バナーは、ユーザが CLI に初めて接続する場合に表示されます。
[ASDM] バナーは、ユーザが認証を受けた後 ASDM に接続した場合に表示されます。ユーザは、次のいずれかのオプションを使用して、表示されたバナーを消去できます。
- [Continue]：バナーを消去して、ログインを完了します。
- [Disconnect]：バナーを消去して、接続を終了します。
使用できるのは、改行（Enter キー）も含めて ASCII 文字だけです。ただし、改行文字は 2 文字に相当します。
また、タブ文字は、CLI バージョンでは無視されるため、バナーには使用しないでください。
RAM およびフラッシュメモリに関するもの以外、バナーに長さ制限はありません。
ASA のホスト名またはドメイン名は、$(hostname) 文字列と $(domain) 文字列を組み込むことによって動的に追加できます。
システムコンフィギュレーションでバナーを設定する場合は、コンテキストコンフィギュレーションで $(system) という文字列を使用することにより、コンテキスト内でバナーテキストを使用できます。

ステップ 3

[Apply] をクリックします。

新しいバナーが、実行コンフィギュレーションに保存されます。

管理セッションクォータの設定

ASA で許可する ASDM、SSH、および Telnet の同時最大セッション数を設定できます。この最大値に達すると、それ以降のセッションは許可されず、syslog メッセージが生成されます。システムロックアウトを回避するために、管理セッション割り当て量のメカニズムではコンソールセッションをブロックできません。

始める前に

マルチコンテキストモードでは、システム実行スペースで次の手順を実行します。コンテキストコンフィギュレーションからシステムコンフィギュレーションに切り替えるには、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下の [System] をダブルクリックします。

手順

ステップ 1	[Configuration] > [Device Management] > [Management Access] > [Management Session Quota] の順に選択します。
ステップ 2	ASA で許可される ASDM、SSH、および Telnet の同時セッションの最大数を入力します。有効値の範囲は 0 ～ 10000 です。
ステップ 3	[Apply] をクリックして、設定の変更を保存します。

システム管理者用 AAA の設定

この項では、システム管理者の認証、管理許可、コマンド許可を設定する方法について説明します。

管理認証の設定

CLI および ASDM アクセスの認証を設定します。

管理認証について

ASA へのログイン方法は、認証を有効にしているかどうかによって異なります。

SSH 認証の概要

認証ありまたは認証なしでの SSH アクセスについては、次の動作を参照してください。

認証なし：SSH は認証なしでは使用できません。
認証あり：SSH 認証を有効にした場合は、AAA サーバまたはローカルユーザデータベースに定義されているユーザ名とパスワードを入力します。公開キーの認証では、ASA はローカルデータベースのみをサポートします。 SSH 公開キー認証を設定した場合、ASA ではローカルデータベースを暗黙的に使用します。ログインにユーザ名とパスワードを使用する場合に必要なのは、SSH 認証を明示的に設定することのみです。ユーザ EXEC モードにアクセスします。

Telnet 認証の概要

認証の有無にかかわらず、Telnet アクセスについては、次の動作を参照してください。

認証なし：Telnet の認証を有効にしていない場合は、ユーザ名を入力しません。ログインパスワードを入力します。デフォルトのパスワードはありません。したがって、ASA へ Telnet 接続するには、パスワードを設定する必要があります。ユーザ EXEC モードにアクセスします。
認証あり：Telnet 認証を有効にした場合は、AAA サーバまたはローカルユーザデータベースに定義されているユーザ名とパスワードを入力します。ユーザ EXEC モードにアクセスします。

ASDM 認証の概要

認証ありまたは認証なしでの ASDM アクセスに関しては、次の動作を参照してください。AAA 認証の有無にかかわらず、証明書認証を設定することも可能です。

認証なし：デフォルトでは、ブランクのユーザ名と enable password コマンドを使用して ASDM にログインできます。空白のままにしないように、できるだけ早くイネーブルパスワードを変更することをお勧めします。ホスト名、ドメイン名、およびイネーブルパスワードと Telnet パスワードの設定を参照してください。ログイン画面で（ユーザ名をブランクのままにしないで）ユーザ名とパスワードを入力した場合は、ASDM によってローカルデータベースで一致がチェックされることに注意してください。
証明書認証（シングル、ルーテッドモードのみ）：ユーザに有効な証明書を要求できます。証明書のユーザ名とパスワードを入力すると、ASA が PKI トラストポイントに対して証明書を検証します。
AAA 認証：ASDM（HTTPS）認証を有効にした場合は、AAA サーバまたはローカルユーザデータベースに定義されているユーザ名とパスワードを入力します。これで、ブランクのユーザ名とイネーブルパスワードで ASDM を使用できなくなりました。
AAA 認証と証明書認証の併用（シングル、ルーテッドモードのみ）：ASDM（HTTPS）認証を有効にした場合は、AAA サーバまたはローカルユーザデータベースに定義されているユーザ名とパスワードを入力します。証明書認証用のユーザ名とパスワードが異なる場合は、これらも入力するように求められます。ユーザ名を証明書から取得してあらかじめ入力しておくよう選択できます。

シリアル認証の概要

認証ありまたは認証なしでのシリアルコンソールポートへのアクセスに関しては、次の動作を参照してください。

認証なし：シリアルアクセスの認証を有効にしていない場合は、ユーザ名、パスワードを入力しません。ユーザ EXEC モードにアクセスします。
認証あり：シリアルアクセスの認証を有効にした場合は、AAA サーバまたはローカルユーザデータベースで定義されているユーザ名とパスワードを入力します。ユーザ EXEC モードにアクセスします。

enable 認証の概要

ログイン後に特権 EXEC モードに入るには、enable コマンドを入力します。このコマンドの動作は、認証がイネーブルかどうかによって異なります。

認証なし：enable 認証を設定していない場合は、enable コマンドを入力するときにシステムイネーブルパスワードを入力します。デフォルトは空白です。ただし、enable 認証を使用しない場合、enable コマンドを入力した後は、特定のユーザとしてログインしていません。これにより、コマンド認可などユーザベースの各機能が影響を受けることがあります。ユーザ名を維持するには、enable 認証を使用してください。
認証あり：enable 認証を設定した場合は、ASA はプロンプトにより AAA サーバまたはローカルユーザデータベースで定義されているユーザ名とパスワードを要求します。この機能は、ユーザが入力できるコマンドを判別するためにユーザ名が重要な役割を果たすコマンド許可を実行する場合に特に役立ちます。

ローカルデータベースを使用する enable 認証の場合は、enable コマンドの代わりに login コマンドを使用できます。login コマンドによりユーザ名が維持されますが、認証をオンにするための設定は必要ありません。

注意

CLI にアクセスできるユーザや特権 EXEC モードを開始できないようにするユーザをローカルデータベースに追加する場合は、コマンド認可を設定する必要があります。コマンド認可がない場合、特権レベルが 2 以上（2 がデフォルト）のユーザは、CLI で自分のパスワードを使用して特権 EXEC モード（およびすべてのコマンド）にアクセスできます。あるいは、認証処理でローカルデータベースではなく AAA サーバを使用してログインコマンドを回避するか、またはすべてのローカルユーザをレベル 1 に設定することにより、システムイネーブルパスワードを使用して特権 EXEC モードにアクセスできるユーザを制御できます。

ホストオペレーティングシステムから ASA へのセッション

一部のプラットフォームでは、ASA の実行を別のアプリケーションとしてサポートしています（例：Catalyst 6500 の ASASM、Firepower 4100/9300 の ASA）。ホストオペレーティングシステムから ASA へのセッションの場合、接続のタイプに応じてシリアルおよび Telnet 認証を設定できます。

マルチコンテキストモードでは、システムコンフィギュレーションで AAA コマンドを設定できません。ただし、Telnet またはシリアル認証を管理コンテキストで設定した場合、認証はこれらのセッションにも適用されます。この場合、管理コンテキストの AAA サーバまたはローカルユーザデータベースが使用されます。

CLI、ASDM、および enable コマンドアクセス認証の設定

始める前に

Telnet、SSH、または HTTP アクセスを設定します。
外部認証の場合は、AAA サーバグループを設定します。ローカル認証の場合は、ローカルデータベースにユーザを追加します。
HTTP 管理認証では、AAA サーバグループの SDI プロトコルをサポートしていません。
この機能は、ssh authentication コマンドによるローカルユーザ名に関する SSH 公開キー認証には影響しません。ASA では、公開キー認証に対し、ローカルデータベースを暗黙的に使用します。この機能は、ユーザ名とパスワードにのみ影響します。ローカルユーザが公開キー認証またはパスワードを使用できるようにするには、この手順を使用してローカル認証を明示的に設定し、パスワードアクセスを許可する必要があります。

手順

ステップ 1

enable コマンドを使用するユーザを認証する場合は、[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authentication] の順に選択し、次の設定を行います。

[Enable] チェックボックスを選択します。
サーバグループ名または LOCAL データベースを選択します。
（オプション）AAA サーバを選択する場合は、AAA サーバが使用不可になった場合のフォールバック方式としてローカルデータベースが使用されるように ASA を設定できます。[Use LOCAL when server group fails] チェックボックスをオンにします。ローカルデータベースでは AAA サーバと同じユーザ名およびパスワードを使用することを推奨します。これは、ASA のプロンプトでは、どの方式が使用されているかが示されないためです。

ステップ 2

CLI または ASDM にアクセスするユーザを認証する場合は、[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authentication] の順に選択し、次の設定を行います。

次のチェックボックスをオンにします（複数可）。
- [HTTP/ASDM]：HTTPS を使用して ASA にアクセスする ASDM クライアントを認証します。
- [Serial]：コンソールポートを使用して ASA にアクセスするユーザを認証します。ASASM の場合、このパラメータは service-module session コマンドを使用してスイッチからアクセスする仮想コンソールに影響します。
- SSH：SSH を使用して ASA にアクセスするユーザを認証します（パスワードのみ。公開キー認証では暗黙のうちにローカルデータベースが使用されます）。
- [Telnet]：Telnet を使用して ASA にアクセスするユーザを認証します。ASASM の場合、このパラメータは session コマンドを使用するスイッチからのセッションにも影響します。
チェックボックスをオンにしたサービスごとに、サーバグループ名または LOCAL データベースを選択します。
（オプション）AAA サーバを選択する場合は、AAA サーバが使用不可になった場合のフォールバック方式としてローカルデータベースが使用されるように ASA を設定できます。[Use LOCAL when server group fails] チェックボックスをオンにします。ローカルデータベースでは AAA サーバと同じユーザ名およびパスワードを使用することを推奨します。これは、ASA のプロンプトでは、どの方式が使用されているかが示されないためです。

ステップ 3

[Apply] をクリックします。

ASDM 証明書認証の設定

AAA 認証の有無にかかわらず証明書認証を必須にできます。ASA は証明書を PKI トラストポイントに照合して検証します。

始める前に

この機能は、シングルルーテッドモードでのみサポートされます。

手順

ステップ 1	[Configuration] > [Device Management] > [Management Access] > [ASDM/HTTPS/Telnet/SSH] の順に選択します。
ステップ 2	[Require client certificate to access ASDM on the following interfaces] の下にあるドロップダウン矢印をクリックし、ASDM がイネーブルにされているすべてのインターフェイスに対応するチェックボックスをオンにします。証明書認証はインターフェイスごとに設定できます。その結果、信頼できるインターフェイスまたは内部インターフェイス上の接続については証明書の提示が不要になります。
ステップ 3	（任意） ASDM で証明書からユーザ名を抽出する際に使用する属性を設定するには、[Configuration] > [Device Management] > [Management Access] > [HTTP Certificate Rule] の順に選択します。次の方法の中から 1 つを選択してください。 [Specify the Certificate Fields to be used]：[Primary Field] ドロップダウンリストと [Secondary Field] ドロップダウンリストから値を選択します。 [Use the entire DN as the username] [Use script to select username]：[Add] をクリックし、スクリプトの内容を追加します。認証を求めるプロンプトにユーザ名を事前入力するには、[Prefill Username] チェックボックスをオンにします。そのユーザ名が最初に入力したものと異なる場合、最初のユーザ名が事前入力された新しいダイアログボックスが表示されます。そこに、認証用のパスワードを入力できます。デフォルトでは、ASDM は CN OU 属性を使用します。
ステップ 4	[Apply] をクリックします。

管理許可による CLI および ASDM アクセスの制限

ASA ではユーザの認証時に管理アクセスユーザとリモートアクセスユーザを区別できるようになっています。ユーザロールを区別することで、リモートアクセス VPN ユーザやネットワークアクセスユーザが ASA に管理接続を確立するのを防ぐことができます。

始める前に

RADIUS または LDAP（マッピング済み）ユーザ

ユーザが LDAP 経由で認証されると、ネイティブ LDAP 属性およびその値が Cisco ASA 属性にマッピングされ、特定の許可機能が提供されます。Cisco VSA CVPN3000-Privilege-Level の値を 0 ～ 15 の範囲で設定した後、LDAP 属性を Cisco VAS CVPN3000-Privilege-Level にマッピングします。

RADIUS IETF の service-type 属性が、RADIUS 認証および許可要求の結果として access-accept メッセージで送信される場合、この属性は認証されたユーザにどのタイプのサービスを付与するかを指定するために使用されます。

RADIUS Cisco VSA privilege-level 属性（ベンダー ID 3076、サブ ID 220）が access-accept メッセージで送信される場合は、ユーザの権限レベルを指定するために使用されます。

TACACS+ ユーザ

「service=shell」で許可が要求され、サーバは PASS または FAIL で応答します。

ローカルユーザ

指定したユーザ名の [Access Restriction] オプションを設定します。アクセス制限のデフォルト値は [Full Access] です。この場合、[Authentication] タブのオプションで指定されたすべてのサービスに対して、フルアクセスが許可されます。

管理許可の属性

管理許可の AAA サーバタイプおよび有効な値については、次の表を参照してください。ASA ではこれらの値を使用して管理アクセスレベルを決定します。


Management Level	RADIUS/LDAP の（マッピングされた）属性	TACACS+ 属性	ローカルデータベースの属性
[Full Access]： [Authentication] タブのオプションで指定されたすべてのサービスに対してフルアクセスが許可されます。	Service-Type 6（アドミニストレーティブ）、Privilege-Level 1	PASS、特権レベル 1	admin
[Partial Access]：[Authentication] タブのオプションで設定すると、CLI または ASDM に対するアクセスが許可されます。ただし、 [Enable] オプションを使用して enable 認証を設定する場合、CLI ｙユーザは enable コマンドを使用して特権 EXEC モードにアクセスすることはできません。	Service-Type 7（NAS プロンプト）、Privilege-Level 2 以上 Framed (2) および Login (1) サービスタイプは同様に扱われます。	PASS、特権レベル 2 以上	nas-prompt
[No Access]：管理アクセスが拒否されます。ユーザは [Authentication] タブのオプションで指定されたいずれのサービスも使用できません（ [Serial] オプションは除きます。つまり、シリアルアクセスは許可されます）。リモートアクセス（IPsec および SSL）ユーザは、引き続き自身のリモートアクセスセッションを認証および終了できます。他のすべてのサービスタイプ（ボイス、ファクスなど）も同様に処理されます。	Service-Type 5（アウトバウンド）	FAIL	remote-access

その他のガイドライン

シリアルコンソールアクセスは管理許可に含まれません。
この機能を使用するには、管理アクセスに AAA 認証も設定する必要があります。CLI、ASDM、および enable コマンドアクセス認証の設定を参照してください。
外部認証を使用する場合は、この機能をイネーブルにする前に、AAA サーバグループを設定しておく必要があります。
HTTP 許可は、シングルルーテッドモードでのみサポートされます。

手順

ステップ 1

HTTP セッションの管理許可をイネーブルにするには、[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authorization] の順に選択し、[Enable Authorization for ASA Command Access] 領域の [HTTP] チェックボックスをオンにします。

（注）

ASA コマンドアクセスを設定するには、ローカルコマンド許可の設定を参照してください。

ステップ 2

Telnet および SSH セッションの管理許可をイネーブルにするには、[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authorization] の順に選択し、[Perform authorization for exec shell access] 領域の [Enable] チェックボックスをオンにします。

ステップ 3

[Remote] または [Local] オプションボタンを選択して、EXEC シェルアクセスの許可に使用するサーバを指定します。

ステップ 4

管理認可をイネーブルにするには、[Allow privileged users to enter into EXEC mode on login] チェックボックスをオンにします。

[auto-enable] オプションを選択すると、フルアクセスが許可されたユーザが直接特権 EXEC モードを開始できます。それ以外では、ユーザはユーザ EXEC モードになります。

コマンド認可の設定

コマンドへのアクセスを制御する場合、ASA ではコマンド許可を設定でき、ユーザが使用できるコマンドを決定できます。デフォルトでは、ログインするとユーザ EXEC モードにアクセスでき、最低限のコマンドだけが提供されます。enable コマンド（または、ローカルデータベースを使用するときは login コマンド）を入力すると、特権 EXEC モードおよびコンフィギュレーションコマンドを含む高度なコマンドにアクセスできます。

次の 2 つのコマンド許可方式のいずれかを使用できます。

ローカル特権レベル
TACACS+ サーバ特権レベル

コマンド認可について

コマンド認可を有効にし、承認済みのユーザにのみコマンド入力を許容することができます。

サポートされるコマンド認可方式

次の 2 つのコマンド許可方式のいずれかを使用できます。

ローカル特権レベル：ASA でコマンド特権レベルを設定します。ローカルユーザ、RADIUS ユーザ、または LDAP ユーザ（LDAP 属性を RADIUS 属性にマッピングする場合）を CLI アクセスについて認証する場合、ASA はそのユーザをローカルデータベース、RADIUS、または LDAP サーバで定義されている特権レベルに所属させます。ユーザは、割り当てられた特権レベル以下のコマンドにアクセスできます。すべてのユーザは、初めてログインするときに、ユーザ EXEC モード（レベル 0 または 1 のコマンド）にアクセスします。ユーザは、特権 EXEC モード（レベル 2 以上のコマンド）にアクセスするために再び enable コマンドで認証するか、login コマンドでログイン（ローカルデータベースに限る）できます。

（注）

ローカルデータベース内にユーザが存在しなくても、また CLI 認証や enable 認証がない場合でも、ローカルコマンド許可を使用できます。代わりに、enable コマンドを入力するときにシステムイネーブルパスワードを入力すると、ASA によってレベル 15 に置かれます。次に、すべてのレベルのイネーブルパスワードを作成します。これにより、enable n（2 ～ 15）を入力したときに、ASA によってレベル n に置かれるようになります。これらのレベルは、ローカルコマンド許可を有効にするまで使用されません。

TACACS+ サーバ特権レベル：TACACS+ サーバで、ユーザまたはグループが CLI アクセスについて認証した後で使用できるコマンドを設定します。CLI でユーザが入力するすべてのコマンドは、TACACS+ サーバで検証されます。

セキュリティコンテキストとコマンド許可

AAA 設定はコンテキストごとに個別であり、コンテキスト間で共有されません。

コマンド許可を設定する場合は、各セキュリティコンテキストを別々に設定する必要があります。この設定により、異なるセキュリティコンテキストに対して異なるコマンド許可を実行できます。

セキュリティコンテキストを切り替える場合、管理者は、ログイン時に指定したユーザ名で許可されるコマンドが新しいコンテキストセッションでは異なる可能性があることや、新しいコンテキストではコマンド許可がまったく設定されていない可能性があることを念頭に置いてください。コマンド許可がセキュリティコンテキストによって異なる場合があることを管理者が理解していないと、混乱が生じる可能性があります。この動作は、次の仕組みによってさらに複雑になります。

（注）

システム実行スペースでは AAA コマンドがサポートされないため、システム実行スペースではコマンド許可を使用できません。

コマンド権限レベル

デフォルトでは、次のコマンドが特権レベル 0 に割り当てられます。その他のすべてのコマンドは特権レベル 15 に割り当てられます。

show checksum
show curpriv
enable
help
show history
login
logout
pager
show pager
clear pager
quit
show version

コンフィギュレーションモードコマンドを 15 より低いレベルに移動する場合は、configure コマンドも同じレベルに移動してください。このようにしないと、ユーザはコンフィギュレーションモードに入ることができません。

ローカルコマンド許可の設定

ローカルコマンド許可を使用して、コマンドを 16 の特権レベル（0 ～ 15）の 1 つに割り当てることができます。デフォルトでは、各コマンドは特権レベル 0 または 15 に割り当てられます。各ユーザを特定の特権レベルに定義でき、各ユーザは割り当てられた特権レベル以下のコマンドを入力できます。ASA は、ローカルデータベース、RADIUS サーバ、または LDAP サーバ（LDAP 属性を RADIUS 属性にマッピングする場合）に定義されているユーザ特権レベルをサポートしています。

手順

ステップ 1	[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authorization] の順に選択します。
ステップ 2	[Enable authorization for ASA command access] > [Enable] チェックボックスをオンにします。
ステップ 3	[Server Group] ドロップダウンリストから [LOCAL] を選択します。
ステップ 4	ローカルコマンド許可をイネーブルにすると、オプションで、特権レベルを個々のコマンドまたはコマンドグループに手動で割り当てたり、事前定義済みユーザアカウント特権をイネーブルにしたりできます。事前定義のユーザアカウント特権を使用するには、[Set ASDM Defined User Roles] をクリックします。 [ASDM Defined User Roles Setup] ダイアログボックスが表示されます。[Yes] をクリックすると、事前定義済みユーザアカウント特権を使用できるようになります。事前定義済みユーザアカウント特権には、[Admin]（特権レベル 15、すべての CLI コマンドへのフルアクセス権）、[Read Only]（特権レベル 5、読み取り専用アクセス権）、[Monitor Only]（特権レベル 3、[Monitoring] セクションへのアクセス権のみ）があります。コマンドレベルを手動で設定するには、[Configure Command Privileges] をクリックします。 [Command Privileges Setup] ダイアログボックスが表示されます。[Command Mode]ドロップダウンリストから [All Modes] を選択すると、すべてのコマンドを表示できます。代わりに、コンフィギュレーションモードを選択し、そのモードで使用可能なコマンドを表示することもできます。たとえば、[context] を選択すると、コンテキストコンフィギュレーションモードで使用可能なすべてのコマンドを表示できます。コンフィギュレーションモードだけでなく、ユーザ EXEC モードや特権 EXEC モードでも入力が可能で、かつモードごとに異なるアクションが実行されるようなコマンドを使用する場合は、これらのモードに対して別個に特権レベルを設定できます。 [Variant] カラムには、[show]、[clear]、または [cmd] が表示されます。特権は、コマンドの show 形式、clear 形式、または configure 形式に対してのみ設定できます。コマンドの configure 形式は、通常、未修正コマンド（show または clear プレフィックスなしで）または no 形式として、コンフィギュレーションの変更を引き起こす形式です。コマンドのレベルを変更する場合は、コマンドをダブルクリックするか、[Edit] をクリックします。レベルは 0 ～ 15 の範囲で設定できます。設定できるのは、main コマンドの特権レベルだけです。たとえば、すべての aaa コマンドのレベルを設定できますが、aaa authentication コマンドと aaa authorization コマンドのレベルを個別に設定できません。表示されているすべてのコマンドのレベルを変更する場合は、[Select All] をクリックした後に、[Edit] をクリックします。 [OK] をクリックして変更内容を確定します。
ステップ 5	（任意） [Perform authorization for exec shell access] > [Enable] チェックボックスをオンにして、コマンド認可のための AAA ユーザを有効にします。このオプションを入力しない場合、ASA は、ローカルデータベースユーザの特権レベルだけをサポートし、他のタイプのユーザをすべてデフォルトでレベル 15 に割り当てます。さらに、このコマンドは管理認証を有効にします。管理許可による CLI および ASDM アクセスの制限を参照してください。
ステップ 6	[Apply] をクリックします。許可設定が割り当てられ、その変更内容が実行コンフィギュレーションに保存されます。

TACACS+ サーバでのコマンドの設定

グループまたは個々のユーザの共有プロファイルコンポーネントとしての Cisco Secure Access Control Server（ACS）TACACS+ サーバでコマンドを設定できます。サードパーティの TACACS+ サーバの場合は、コマンド許可サポートの詳細については、ご使用のサーバのマニュアルを参照してください。

Cisco Secure ACS バージョン 3.1 でコマンドを設定する場合は、次のガイドラインを参照してください。

ASA は、シェルコマンドとして許可するコマンドを送信し、TACACS+ サーバでシェルコマンドとしてコマンドを設定します。

（注）

Cisco Secure ACS には、「pix-shell」と呼ばれるコマンドタイプが含まれている場合があります。このタイプは ASA コマンド許可に使用しないでください。

コマンドの最初のワードは、メインコマンドと見なされます。その他のワードはすべて引数と見なされます。これは、permit または deny の後に置く必要があります。

たとえば、show running-configuration aaa-server コマンドを許可するには、コマンドフィールドに show running-configuration を追加し、引数フィールドに permit aaa-server を入力します。
[Permit Unmatched Args] チェックボックスをオンにすると、明示的に拒否していないすべてのコマンド引数を許可できます。

たとえば、特定の show コマンドを設定するだけで、すべての show コマンドが許可されます。CLI の使用法を示す疑問符や省略形など、コマンドの変形をすべて予想する必要がなくなるので、この方法を使用することをお勧めします（次の図を参照）。

図 1. 関連するすべてのコマンドの許可
enable や help など、単一ワードのコマンドについては、そのコマンドに引数がない場合でも、一致しない引数を許可する必要があります（次の図を参照）。

図 2. 単一ワードのコマンドの許可
引数を拒否するには、その引数の前に deny を入力します。

たとえば、enable コマンドを許可し、enable password コマンドを許可しない場合には、コマンドフィールドに enable を入力し、引数フィールドに deny password を入力します。enable だけが許可されるように、必ず、[Permit Unmatched Args] チェックボックスをオンにしてください（次の図を参照）。

図 3. 引数の拒否
コマンドラインでコマンドを省略形で入力した場合、ASA はプレフィックスとメインコマンドを完全なテキストに展開しますが、その他の引数は入力したとおりに TACACS+ サーバに送信します。

たとえば、sh log と入力すると、ASA は完全なコマンド show logging を TACACS+ サーバに送信します。一方、sh log mess と入力すると、ASA は展開されたコマンド show logging message ではなく、show logging mess を TACACS+ サーバに送信します。省略形を予想して同じ引数の複数のスペルを設定できます（次の図を参照）。

図 4. 省略形の指定
すべてのユーザに対して次の基本コマンドを許可することをお勧めします。
- show checksum
- show curpriv
- enable
- help
- show history
- login
- logout
- pager
- show pager
- clear pager
- quit
- show version

TACACS+ コマンド許可の設定

TACACS+ コマンド認可をイネーブルにし、ユーザが CLI でコマンドを入力すると、ASA はそのコマンドとユーザ名を TACACS+ サーバに送信し、コマンドが認可されているかどうかを判別します。

TACACS+ コマンド許可をイネーブルにする前に、TACACS+ サーバで定義されたユーザとして ASA にログインしていること、および ASA の設定を続けるために必要なコマンド許可があることを確認してください。たとえば、すべてのコマンドが認可された管理ユーザとしてログインする必要があります。このようにしないと、意図せずロックアウトされる可能性があります。

意図したとおりに機能することが確認できるまで、設定を保存しないでください。間違いによりロックアウトされた場合、通常は ASA を再始動することによってアクセスを回復できます。

TACACS+ システムが完全に安定して信頼できることを確認します。必要な信頼性レベルについて、通常は、完全冗長 TACACS+ サーバシステムと ASA への完全冗長接続が必要です。たとえば、TACACS+ サーバプールに、インターフェイス 1 に接続された 1 つのサーバとインターフェイス 2 に接続された別のサーバを含めます。TACACS+ サーバが使用できない場合にフォールバック方式としてローカルコマンド許可を設定することもできます。

TACACS+ サーバを使用したコマンド許可を設定するには、次の手順を実行します。

手順

ステップ 1	[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authorization] の順に選択します。
ステップ 2	[Enable authorization for command access] > [Enable] チェックボックスをオンにします。
ステップ 3	[Server Group] ドロップダウンリストから AAA サーバグループ名を選択します。
ステップ 4	（オプション）AAA サーバが使用不可になった場合のフォールバック方式としてローカルデータベースが使用されるように ASA を設定できます。設定するには、[Use LOCAL when server group fails] チェックボックスをオンにします。ローカルデータベースでは AAA サーバと同じユーザ名およびパスワードを使用することを推奨します。これは、ASA のプロンプトでは、どの方式が使用されているかが示されないためです。必ずローカルデータベースのユーザとコマンド特権レベルを設定してください。
ステップ 5	[Apply] をクリックします。コマンド許可設定が割り当てられ、その変更内容が実行コンフィギュレーションに保存されます。

ローカルデータベースユーザのパスワードポリシーの設定

ローカルデータベースを使用して CLI または ASDM アクセスの認証を設定する場合は、指定期間を過ぎるとユーザにパスワードの変更を要求し、パスワードの最短長と最低変更文字数などのパスワード標準に従うことを要求するパスワードポリシーを設定できます。

パスワードポリシーはローカルデータベースを使用する管理ユーザに対してのみ適用されます。ローカルデータベースを使用するその他のタイプのトラフィック（VPN や AAA によるネットワークアクセスなど）や、AAA サーバによって認証されたユーザには適用されません。

パスワードポリシーの設定後は、自分または別のユーザのパスワードを変更すると、新しいパスワードに対してパスワードポリシーが適用されます。既存のパスワードについては、現行のポリシーが適用されます。新しいポリシーは、[User Accounts] ペインおよび [Change My Password] ペインを使用したパスワードの変更に適用されます。

始める前に

ローカルデータベースを使用して CLI または ASDM アクセスの AAA 認証を設定します。
ローカルデータベース内にユーザ名を指定します。

手順

ステップ 1	[Configuration] > [Device Management] > [Users/AAA] > [Password Policy] の順に選択します。
ステップ 2	次のオプションを任意に組み合わせて設定します。 [Minimum Password Length]：パスワードの最小長を入力します。有効値の範囲は 3 ～ 64 文字です。推奨されるパスワードの最小長は 8 文字です。 [Lifetime]：リモートユーザ（SSH、Telnet、HTTP）のパスワードの有効期間を日数で指定します。コンソールポートのユーザが、パスワードの有効期限切れでロックされることはありません。有効な値は、0 ～ 65536 です。デフォルト値は 0 日です。この場合、パスワードは決して期限切れになりません。パスワードの有効期限が切れる 7 日前に、警告メッセージが表示されます。パスワードの有効期限が切れると、リモートユーザのシステムアクセスは拒否されます。有効期限が切れた後アクセスするには、次のいずれかの手順を実行します。他の管理者にパスワードを変更してもらいます。物理コンソールポートにログインして、パスワードを変更します。 [Minimum Number Of]：次のタイプの最短文字数を指定します。 [Numeric Characters]：パスワードに含めなければならない数字の最小文字数を入力します。有効な値は、0 ～ 64 文字です。デフォルト値は 0 です [Lower Case Characters]：パスワードに含めなければならない小文字の最小文字数を入力します。有効値の範囲は 0 ～ 64 文字です。デフォルト値は 0 です [Upper Case Characters]：パスワードに含めなければならない大文字の最小文字数を入力します。有効値の範囲は 0 ～ 64 文字です。デフォルト値は 0 です [Special Characters]：パスワードに含めなければならない特殊文字の最小文字数を入力します。有効値の範囲は 0 ～ 64 文字です。特殊文字には、!、@、#、$、%、^、&、*、( および ) が含まれます。デフォルト値は 0 です。 [Different Characters from Previous Password]：新しいパスワードと古いパスワードで変えなければならない最小文字数を入力します。有効な値は、0 ～ 64 文字です。デフォルト値は 0 です文字マッチングは位置に依存しません。したがって、新しいパスワードで使用される文字が、現在のパスワードのどこにも使用されていない場合に限り、パスワードが変更されたとみなされます。
ステップ 3	（オプション）[Enable Password and Account Protection] チェックボックスをオンにして、ユーザが [User Accounts] ペインではなく、[Change My Password] ペインでパスワードを変更することを要件とします。デフォルト設定はディセーブルです。どちらの方法でも、ユーザはパスワードを変更することができます。この機能をイネーブルにして、[User Accounts] ペインでパスワードを変更しようとすると、次のエラーメッセージが表示されます。 `ERROR: Changing your own password is prohibited`
ステップ 4	[Apply] をクリックして、設定内容を保存します。

パスワードの変更

パスワードポリシーでパスワードの有効期間を設定した場合、有効期間を過ぎるとパスワードを新しいパスワードに変更する必要があります。パスワードポリシー認証をイネーブルにした場合は、このパスワード変更のスキームが必須です。パスワードポリシー認証がイネーブルでない場合は、このメソッドを使用することも、直接ユーザアカウントを変更することもできます。

username パスワードを変更するには、次の手順を実行します。

手順

ステップ 1	[Configuration] > [Device Management] > [Users/AAA] > [Change Password] の順に選択します。
ステップ 2	古いパスワードを入力します。
ステップ 3	新しいパスワードを入力します。
ステップ 4	確認のために新しいパスワードを再度入力します。
ステップ 5	[Make Change] をクリックします。
ステップ 6	[Save] アイコンをクリックして、実行コンフィギュレーションに変更を保存します。