デバイスのユーザーアカウント

管理対象デバイスには、CLI アクセス用のデフォルトの管理者アカウントが含まれています。この章では、カスタムユーザーアカウントを作成する方法について説明します。ユーザーアカウントを使用して管理対象デバイスにログインする方法の詳細については、Firepower システムへのログインを参照してください。

デバイスのユーザーアカウントについて

内部ユーザーとして、または FTD の場合は LDAP または RADIUS サーバーの外部ユーザーとして、管理対象デバイスにカスタムユーザーアカウントを追加できます。各管理対象デバイスは、個別のユーザーアカウントを保持します。たとえば、FMC にユーザーを追加した場合は、そのユーザーは FMC にのみアクセスできます。そのユーザー名を使用して管理対象デバイスに直接ログインすることはできません。管理対象デバイスにユーザーを別途追加する必要があります。

内部および外部ユーザ

管理対象デバイスは次の 2 つのタイプのユーザーをサポートしています。

  • 内部ユーザー:デバイスは、ローカル データベースでユーザー認証を確認します。内部ユーザーの詳細については、「CLI での内部ユーザーの追加」を参照してください。FTD、NGIPSv、および ASA FirePOWER は内部ユーザーをサポートします。

  • 外部ユーザー(FTD のみ):ユーザーがローカルデータベースに存在しない場合は、システムは外部 LDAP または RADIUS の認証サーバーに問い合わせます。外部ユーザーの詳細については、FTD の外部認証の設定を参照してください。FTD だけが外部ユーザーをサポートします。

CLI アクセス

Firepower デバイスには、Linux の上部で実行する Firepower CLI が含まれます。デバイスでは CLI を使用して内部ユーザーを作成できます。FMC を使用する FTD デバイスでは外部ユーザーを確立できます。管理 UI の詳細については、Firepower システム ユーザー インターフェイスを参照してください。


注意    

CLI の Config レベルのアクセス権を持つユーザーは、expert コマンドを使用して Linux シェルにアクセスでき、Linux シェルの sudoers 権限を取得できます。このため、セキュリティ上のリスクが生じる可能性があります。システム セキュリティ上の理由から、次の点を強くお勧めします。

  • TAC の監督のもとで、または Firepower ユーザーマニュアルに明示的な手順がある場合に限り、Linux シェルを使用します。

  • CLI アクセス権を持つユーザーのリストを適切に制限していることを確認します。

  • CLI アクセス権限を付与する場合は、構成レベルのアクセス権を付与されたユーザーのリストを制限します。

  • Linux シェルでユーザを直接追加しないでください。この章の手順のみを使用してください。

  • Cisco TAC による指示または Firepower ユーザーマニュアルの明示的な手順による指示がない限り、CLI エキスパートモードを使用して Firepower デバイスにアクセスしないでください。

CLI ユーザー ロール

管理対象デバイスでは、CLI のコマンドへのユーザーのアクセス権は割り当てるロールによって異なります。

None

ユーザは、コマンド ラインでデバイスにログインすることはできません。

Config

ユーザは、設定コマンドを含むすべてのコマンドにアクセスできます。このアクセス レベルをユーザーに割り当てるときには注意してください。

Basic

ユーザーは、非設定コマンドにのみアクセスできます。内部ユーザーと FTD 外部 RADIUS ユーザーのみが基本ロールをサポートします。

デバイスのユーザーアカウントの要件と前提条件

モデルのサポート

  • FTD:内部および外部ユーザー

  • ASA FirePOWER:内部ユーザー

  • NGIPSv:内部ユーザー

サポートされるドメイン

任意

ユーザの役割

外部ユーザーの設定:管理者 FMC ユーザー

内部ユーザーの設定:構成 CLI ユーザー

デバイスのユーザーアカウントの注意事項と制約事項

デフォルト

すべてのデバイスに、adminユーザがローカル ユーザ アカウントとして含まれています。adminユーザを削除することはできません。デフォルトの初期パスワードは Admin123 です。初期化プロセス中に、この初期パスワードの変更が強制されます。システム初期化の詳細については、ご使用のモデルのスタートアップガイドを参照してください。

CLI での内部ユーザーの追加

CLI を使用して、FTDASA FirePOWER、および NGIPSv デバイスで内部ユーザーを作成します。

手順

ステップ 1

設定権限を持つアカウントを使用してデバイス CLI にログインします。

admin ユーザ アカウントには必要な権限がありますが、設定権限を持つ任意のアカウントで作業できます。SSH セッションまたはコンソール ポートを使用できます。

特定の FTD モデルでは、コンソールポートから FXOS CLI に入ります。connect ftd を使用して FTD の CLI にアクセスします。

ステップ 2

ユーザー アカウントを作成します。

configure user add username {basic | config}

  • username :ユーザー名を設定します。ユーザー名は、次のように Linux に対して有効である必要があります。

    • 英数字、ハイフン(-)、およびアンダースコア(_)が使用可で、最大 32 文字

    • すべて小文字

    • 最初の文字にハイフン(-)は使用不可、すべて数字は不可、ピリオド(.)、アット マーク(@)、またはスラッシュ(/)は使用不可

  • basic :ユーザーに基本的なアクセス権を付与します。このロールはユーザーに設定コマンドの入力を許可しません。

  • config :ユーザーに設定アクセス権を付与します。このロールはユーザーにすべてのコマンドへの完全な管理者権限を与えます。

例:

次の例では、johncrichton という名前の設定アクセス権を持つユーザー アカウントを追加します。パスワードは入力時に非表示となります。 


> configure user add johncrichton config
Enter new password for user johncrichton: newpassword
Confirm new password for user johncrichton: newpassword
> show user
Login              UID   Auth Access  Enabled Reset    Exp Warn  Str Lock Max
admin             1000  Local Config  Enabled    No  Never  N/A  Dis   No N/A
johncrichton      1001  Local Config  Enabled    No  Never  N/A  Dis   No   5
(注)   

自分のパスワードを configure password コマンドを使用して変更できることをユーザーに伝えます。

ステップ 3

(任意) セキュリティ要件を満たすようにアカウントの性質を調整します。

次のコマンドを使用してデフォルトのアカウント動作を変更できます。

  • configure user aging username max_days warn_days

    ユーザのパスワードの有効期限を設定します。パスワードの最大有効日数と、有効期限が近づいたことをユーザに通知する警告を期限切れとなる何日前に発行するかを指定します。どちらの値も 1 ~ 9999 ですが、警告までの日数は最大日数以内にする必要があります。アカウントの作成時はパスワードの有効期限はありません。

  • configure user forcereset username

    次回ログイン時にユーザにパスワードを強制的に変更するよう要求します。

  • configure user maxfailedlogins username number

    アカウントがロックされる前の連続したログイン失敗の最大回数を 1 ~ 9999 までで設定します。configure user unlock コマンドを使用してアカウントのロックを解除します。新しいアカウントのデフォルトは、5 回連続でのログインの失敗です。

  • configure user minpasswdlen username number

    パスワードの最小長を 1 ~ 127 までで設定します。

  • configure user strengthcheck username { enable | disable}

    パスワードの変更時にユーザに対してパスワード要件を満たすように要求する、パスワードの強度確認を有効または無効にします。ユーザーパスワードの有効期限が切れた場合、または configure user forcereset コマンドを使用した場合は、ユーザーが次にログインしたときにこの要件が自動的に有効になります。

ステップ 4

必要に応じてユーザ アカウントを管理します。

ユーザをアカウントからロックアウトしたり、アカウントを削除するか、またはその他の問題を修正したりしなければならない可能性があります。システムのユーザー アカウントを管理するには、次のコマンドを使用します。

  • configure user access ユーザ名 { basic | config}

    ユーザ アカウントの権限を変更します。

  • configure user delete username

    指定したアカウントを削除します。

  • configure user disable username

    指定したアカウントを削除せず無効にします。アカウントを有効にするまでユーザはログインできません。

  • configure user enable username

    指定したアカウントを有効にします。

  • configure user password username

    指定したユーザのパスワードを変更します。ユーザーは通常 configure password コマンドを使用して自分のパスワードを変更する必要があります。

  • configure user unlock username

    ログイン試行の最大連続失敗回数の超過が原因でロックされたユーザー アカウントをロック解除します。

FTD の外部認証の設定

FTD デバイスの外部認証を有効にするには、1 つ以上の外部認証オブジェクトを追加する必要があります。

FTD の外部認証について

FTD ユーザーの外部認証を有効にすると、FTD により外部認証オブジェクトで指定された LDAP または RADIUS サーバーを使用してユーザークレデンシャルが検証されます。

外部認証オブジェクトは、FMC および FTD デバイスで使用できます。さまざまなアプライアンス/デバイス タイプで同じオブジェクトを共有することも、別々のオブジェクトを作成することもできます。FTD では、デバイスに展開するプラットフォーム設定で 1 つの外部認証オブジェクトのみをアクティブ化できます。


(注)  

タイムアウト範囲は FTD と FMC で異なるため、オブジェクトを共有する場合は、FTD の小さめのタイムアウト範囲(LDAP の場合は 1 〜 30 秒、RADIUS の場合は 1 〜 300 秒)を超えないようにしてください。タイムアウトを高めの値に設定すると、FTD 外部認証設定が機能しません。


(注)  

FTD 仮想デバイスでは、外部認証はサポートされていません。

FTD SSH アクセスでは、外部認証オブジェクト内のフィールドのサブセットのみが使用されます。その他のフィールドに値を入力しても無視されます。このオブジェクトを他のデバイス タイプにも使用する場合は、それらのフィールドが使用されます。

LDAP ユーザーには常に Config 権限があります。RADIUS ユーザーは、Config ユーザーまたは Basic ユーザーとして定義できます。

RADIUS サーバーのユーザーを定義する(Service-Type 属性を使用)か、外部認証オブジェクト内にユーザーリストを事前に定義することができます。LDAP では、LDAP サーバーの CLI ユーザーと一致するようにフィルタを指定できます。


(注)  
CLI へのアクセス権を持つユーザーは、expert コマンドを使用して Linux シェルにアクセスできます。Linux シェル ユーザは root 権限を取得できます。このため、セキュリティ上のリスクが生じる可能性があります。次のことを実行してください。

  • Linux シェルアクセスが付与されるユーザーのリストを制限します。

  • Linux シェルユーザーを作成しないでください。

LDAP について

Lightweight Directory Access Protocol(LDAP)により、ユーザ クレデンシャルなどのオブジェクトをまとめるためのディレクトリをネットワーク上の一元化されたロケーションにセットアップできます。こうすると、複数のアプリケーションがこれらのクレデンシャルと、クレデンシャルの記述に使用される情報にアクセスできます。ユーザーのクレデンシャルを変更する必要がある場合も、常に 1 箇所でクレデンシャルを変更できます。

Microsoft 社は、2020 年に Active Directory サーバーで LDAP バインディングと LDAP 署名の適用を開始すると発表しました。Microsoft 社がこれらを要件にするのは、デフォルト設定で Microsoft Windows を使用する場合に権限昇格の脆弱性が存在するために、中間者攻撃者が認証要求を Windows LDAP サーバーに正常に転送できる可能性があるからです。詳細については、Microwoft 社のサポートサイトで「2020 LDAP channel binding and LDAP signing requirement for Windows」を参照してください。

まだ行っていない場合は、Active Directory サーバーによる認証で TLS/SSL 暗号化の使用を開始することをお勧めします。

RADIUS について

Remote Authentication Dial In User Service(RADIUS)は、ネットワーク リソースへのユーザ アクセスの認証、認可、およびアカウンティングに使用される認証プロトコルです。RFC 2865 に準拠するすべての RADIUS サーバーで、認証オブジェクトを作成できます。

FirePOWER デバイスは、SecurID トークンの使用をサポートします。SecurID を使用したサーバーによる認証を設定した場合、そのサーバーに対して認証されるユーザーは、自身の SecurID PIN の末尾に SecurID トークンを追加したものをログイン時にパスワードとして使用します。SecurID をサポートするために、FirePOWER デバイスで追加の設定を行う必要はありません。

FTD 用の LDAP 外部認証オブジェクトの追加

FTD 管理用に外部ユーザーをサポートするために、LDAP サーバーを追加します。

マルチドメイン展開では、外部認証オブジェクトは作成されたドメインでのみ使用できます。

外部認証オブジェクトの共有

外部 LDAP オブジェクトは、FMC および FTD デバイスで使用できます。同じオブジェクトを FMC とデバイス間で共有することも、別々のオブジェクトを作成することもできます。


(注)  

LDAP の場合、タイムアウト範囲は FTD と FMC で異なるため、オブジェクトを共有する場合は、FTD の小さめのタイムアウト範囲(1 〜 30 秒)を超えないようにしてください。タイムアウトをより高い値に設定すると、FTD への展開が失敗します。

FTD サポート対象フィールド

FTD SSH アクセスでは、LDAP オブジェクト内のフィールドのサブセットのみが使用されます。その他のフィールドに値を入力しても無視されます。このオブジェクトを FMC にも使用する場合は、それらのフィールドが使用されます。この手順は、FTD でサポートされているフィールドのみを対象とします。その他のフィールドについては、FMC 用の LDAP 外部認証オブジェクトの追加を参照してください。

ユーザー名

ユーザー名は Linux で有効な名前で、かつ、小文字のみである必要があり、英数文字とピリオド(.)およびハイフン(-)を使用できます。アット マーク(@)やスラッシュ(/)など、その他の特殊文字はサポートされていません。外部認証に admin ユーザーを追加することはできません。外部ユーザーは、FMC で(外部認証オブジェクトの一部として)追加することしかできません。CLI では追加できません。内部ユーザーは、FMC ではなく、CLI でしか追加できないことに注意してください。

内部ユーザーとして同じユーザー名が configure user add コマンドを使用して設定されていた場合は、FTD は最初にその内部ユーザーのパスワードをチェックし、それが失敗した場合は LDAP サーバーをチェックします。後から外部ユーザと同じ名前の内部ユーザを追加できないことに注意してください。既存の内部ユーザしかサポートされません。

Privilege Level

LDAP ユーザーには常に Config 権限があります。

始める前に

デバイス上にドメイン名ルックアップの DNS サーバーを指定する必要があります。この手順で LDAP サーバーのホスト名ではなく IP アドレスを指定した場合、ホスト名に含めることができる認証用の URI を LDAP サーバーが返す場合があります。ホスト名を解決するには DNS ルックアップが必要です。DNS サーバーを追加するには「デバイス管理インターフェイスの CLI での変更」を参照してください。

手順

ステップ 1

[システム(System)] > [ユーザ(Users)]を選択します。

ステップ 2

[外部認証(External Authentication)] タブをクリックします。

ステップ 3

[外部認証オブジェクトの追加(Add External Authentication Object)] をクリックします。

ステップ 4

[認証方式(Authentication Method)] を [LDAP] に設定します。

ステップ 5

[名前(Name)] とオプションの [説明(Description)] を入力します。

ステップ 6

ドロップダウン リストから [サーバタイプ(Server Type)] を選択します。

ステップ 7

[プライマリサーバ(Primary Server)] の場合は、[ホスト名/IPアドレス(Host Name/IP Address)] を入力します。

証明書を使用して TLS または SSL 経由で接続する場合は、証明書のホスト名が、このフィールドに入力するホスト名と一致している必要がりあります。また、暗号化接続では IPv6 アドレスはサポートされていません。

ステップ 8

(任意) [ポート(Port)] をデフォルトから変更します。

ステップ 9

(任意) [バックアップサーバ(Backup Server)] パラメータを入力します。

ステップ 10

[LDAP固有のパラメータ(LDAP-Specific Parameters)] を入力します。

  1. ユーザがアクセスする LDAP ディレクトリの [ベースDN(Base DN)] を入力します。たとえば、Example 社のセキュリティ(Security)部門の名前を認証するには、ou=security,dc=example,dc=com と入力します。または、[DNの取得(Fetch DNs)] をクリックし、ドロップダウン リストから適切なベース識別名を選択します。

  2. (任意) [基本フィルタ(Base Filter)] を入力します。たとえば、ディレクトリ ツリー内のユーザ オブジェクトに physicalDeliveryOfficeName 属性が設定されており、New York 支店のユーザに対しこの属性に値 NewYork が設定されている場合、New York 支店のユーザだけを取得するには、(physicalDeliveryOfficeName=NewYork) と入力します。

  3. LDAP サーバを参照するために十分なクレデンシャルを持つユーザの [ユーザ名(User Name)] を入力します。たとえば、ユーザ オブジェクトに uid 属性が含まれている OpenLDAP サーバに接続し、Example 社のセキュリティ(Security)部門の管理者のオブジェクトの uid に値 NetworkAdmin が設定されている場合は、uid=NetworkAdmin,ou=security,dc=example,dc=com と入力します。

  4. [パスワード(Password)] および [パスワードの確認(Confirm Password)] フィールドにユーザ パスワードを入力します。

  5. (任意) [詳細オプションを表示(Show Advanced Options)] をクリックして、次の詳細オプションを設定します。

    • [暗号化(Encryption)][なし(None)][TLS]、または [SSL] をクリックします。

      ポートを指定した後で暗号化方式を変更すると、ポートがその方式のデフォルト値にリセットされます。[なし(None)] または [TLS] の場合、ポートはデフォルト値の 389 にリセットされます。[SSL] 暗号化を選択した場合、ポートは 636 にリセットされます。

    • [SSL証明書アップロードパス(SSL Certificate Upload Path)]:SSL または TLS 暗号化の場合は、[ファイルの選択(Choose File)] をクリックして証明書を選択する必要があります。

      以前にアップロードした証明書を置き換えるには、新しい証明書をアップロードし、設定をデバイスに再展開して、新しい証明書を上書きコピーします。

      (注)   

      TLS 暗号化には、すべてのプラットフォームで証明書が必要です。SSL の場合、FTD も証明書を必要とします。他のプラットフォームの場合、SSL は証明書を必要としません。ただし、中間者攻撃を防ぐため、SSL 証明書を常にアップロードしておくことをお勧めします。

    • (未使用)[ユーザー名テンプレート(User Name Template)]:FTD では使用されていません。

    • [タイムアウト(Timeout)]:バックアップ接続にロールオーバーするまでの秒数(1 ~ 30 秒)を入力します。デフォルトは 30 です。

      (注)   

      タイムアウト範囲は FTD と FMC で異なるため、オブジェクトを共有する場合は、FTD の小さめのタイムアウト範囲(1 〜 30 秒)を超えないようにしてください。タイムアウトを高めの値に設定すると、FTD LDAP 設定が機能しません。
ステップ 11

(任意) ユーザー識別タイプ以外のシェルアクセス属性を使用する場合は、[シェルアクセス属性(Shell Access Attribute)] を設定します。たとえば、Microsoft Active Directory Server で sAMAccountName シェルアクセス属性を使用してシェルアクセスユーザーを取得するには、[シェルアクセス属性(Shell Access Attribute)] フィールドに sAMAccountName と入力します。

(注)   

CLI へのアクセス権を持つユーザーは、expert コマンドを使用して Linux シェルにアクセスできます。Linux シェルユーザーは root 権限を取得できます。このため、セキュリティ上のリスクが生じる可能性があります。CLI または Linux シェルアクセスが付与されるユーザーのリストを制限してください。

ステップ 12

[CLIアクセスフィルタ(CLI Access Filter)][シェルアクセスフィルタ(Shell Access Filter)] を設定します。

次のいずれかの方法を選択します。

  • 認証設定の設定時に指定したものと同じフィルタを使用するには、[基本フィルタと同じ(Same as Base Filter)] を選択します。

  • 属性値に基づいて管理ユーザ項目を取得するには、属性名、比較演算子、およびフィルタとして使用する属性値を、カッコで囲んで入力します。たとえば、すべてのネットワーク管理者の manager 属性に属性値 shell が設定されている場合は、基本フィルタ (manager=shell) を設定できます。

ユーザ名は、次のように Linux に対して有効である必要があります。

  • 英数字、ハイフン(-)、およびアンダースコア(_)が使用可で、最大 32 文字

  • すべて小文字

  • 最初の文字にハイフン(-)は使用不可、すべて数字は不可、ピリオド(.)、アット マーク(@)、またはスラッシュ(/)は使用不可

(注)   

内部ユーザーに同じユーザー名を以前に設定している場合、FTD は内部ユーザーに対して最初にパスワードを確認し、失敗した場合は LDAP サーバーを確認します。後から外部ユーザと同じ名前の内部ユーザを追加できないことに注意してください。既存の内部ユーザしかサポートされません。

ステップ 13

[保存(Save)] をクリックします。

ステップ 14

このサーバーの使用を有効にします。SSH の外部認証の設定を参照してください。

ステップ 15

LDAP サーバーで後からユーザーを追加または削除する場合は、ユーザー リストを更新し、管理対象デバイスのプラットフォーム設定を再展開する必要があります。

  1. 各 LDAP サーバーの横にある更新[更新(refresh)] アイコンをクリックします。

    ユーザー リストが変更された場合は、デバイスの設定変更を展開するように促すメッセージが表示されます。

  2. 設定変更を展開します。「設定変更の展開」を参照してください。

基本的な例

次の図は、Microsoft Active Directory Server の LDAP ログイン認証オブジェクトの基本設定を示します。この例の LDAP サーバの IP アドレスは 10.11.3.4 です。接続ではアクセスのためにポート 389 が使用されます。

LDAP 認証オブジェクト設定のスクリーンショット。

この例では、Example 社の情報テクノロジー ドメインで、セキュリティ部門のベース識別名として OU=security,DC=it,DC=example,DC=com を使用した接続を示しています。

LDAP 認証オブジェクト設定のスクリーンショット。

[シェルアクセス属性(Shell Access Attribute)] が sAMAccountName の場合、ユーザーが FTD にログインすると、ディレクトリ内のすべてのオブジェクトの各 sAMAccountName 属性が検査され、一致が検索されます。

基本フィルタはこのサーバーに適用されないため、FTD はベース識別名により示されるディレクトリ内のすべてのオブジェクトの属性を検査することに注意してください。サーバーへの接続は、デフォルトの期間(または LDAP サーバーで設定されたタイムアウト期間)の経過後にタイムアウトします。

高度な例

次の例は、Microsoft Active Directory Server の LDAP ログイン認証オブジェクトの詳細設定を示します。この例の LDAP サーバの IP アドレスは 10.11.3.4 です。接続ではアクセスのためにポート 636 が使用されます。

LDAP ログイン認証オブジェクト設定のスクリーンショット。

この例では、Example 社の情報テクノロジー ドメインで、セキュリティ部門のベース識別名として OU=security,DC=it,DC=example,DC=com を使用した接続を示しています。ただし、このサーバに基本フィルタ (cn=*smith) が設定されていることに注意してください。このフィルタは、サーバーから取得するユーザーを、一般名が smith で終わるユーザーに限定します。

取得された名前をフィルタリングする LDAP ログイン認証オブジェクト設定のスクリーンショット。

サーバへの接続が SSL を使用して暗号化され、certificate.pem という名前の証明書が接続に使用されます。また、[タイムアウト(Timeout)] の設定により、60 秒経過後にサーバーへの接続がタイムアウトします。

このサーバーが Microsoft Active Directory Server であるため、ユーザー名の保存に uid 属性ではなく sAMAccountName 属性が使用されます。

[シェルアクセス属性(Shell Access Attribute)] が sAMAccountName の場合、ユーザーが FTD にログインすると、ディレクトリ内のすべてのオブジェクトの各 sAMAccountName 属性が検査され、一致が検索されます。

次の例では、シェルアクセスフィルタが基本フィルタと同じように設定されています。

[シェルアクセスフィルタ(Shell Access Filter)] 設定のスクリーンショット。

FTD 用の RADIUS 外部認証オブジェクトの追加

FTD 用に外部ユーザーをサポートするために、RADIUS サーバーを追加します。

マルチドメイン展開では、外部認証オブジェクトは作成されたドメインでのみ使用できます。

外部認証オブジェクトの共有

同じオブジェクトを FMC とデバイス間で共有することも、別々のオブジェクトを作成することもできます。FTD は RADIUS サーバーでのユーザーの定義をサポートしますが、FMC では外部認証オブジェクトのユーザーリストを事前定義する必要があることに注意してください。FTD には事前に定義されているリスト方式を使用できますが、RADIUS サーバーでユーザーを定義する場合は FTDFMC に個別のオブジェクトを作成する必要があります。


(注)  

タイムアウト範囲は FTD と FMC で異なるため、オブジェクトを共有する場合は、FTD の小さめのタイムアウト範囲(1 〜 300 秒)を超えないようにしてください。タイムアウトを高めの値に設定すると、FTD RADIUS 設定が機能しません。

FTD サポート対象フィールド

FTD SSH アクセスでは、RADIUS オブジェクト内のフィールドのサブセットのみが使用されます。その他のフィールドに値を入力しても無視されます。このオブジェクトを FMC にも使用する場合は、それらのフィールドが使用されます。この手順は、FTD でサポートされているフィールドのみを対象とします。その他のフィールドについては、FMC 用の RADIUS 外部認証オブジェクトの追加を参照してください。

ユーザー名

外部認証に admin ユーザーを追加することはできません。外部ユーザーは、FMC で(外部認証オブジェクトの一部として)追加することしかできません。CLI では追加できません。内部ユーザーは、FMC ではなく、CLI でしか追加できないことに注意してください。

内部ユーザーとして同じユーザー名が configure user add コマンドを使用して設定されていた場合は、FTD は最初にその内部ユーザーのパスワードをチェックし、それが失敗した場合は RADIUS サーバーをチェックします。後から外部ユーザーと同じ名前の内部ユーザーを追加できないことに注意してください。既存の内部ユーザーしかサポートされません。RADIUS サーバーで定義されているユーザーの場合は、内部ユーザーの権限レベルと同じに設定してください。そうしないと、外部ユーザーパスワードを使用してログインできません。

手順

ステップ 1

Service-Type 属性を使用して RADIUS サーバー上のユーザーを定義します。

次に、Service-Type 属性でサポートされている値を示します。

  • Administrator (6):CLI への config アクセス認証を提供します。これらのユーザーは、CLI ですべてのコマンドを使用できます。

  • NAS Prompt (7) または 6 以外のレベル:CLI への基本的なアクセス認証を提供します。これらのユーザーは show コマンドなど、モニタリングやトラブルシューティングのための読み取り専用コマンドを使用できます。

名前は、次のように Linux に対して有効である必要があります。

  • 英数字、ハイフン(-)、およびアンダースコア(_)が使用可で、最大 32 文字

  • すべて小文字

  • 最初の文字にハイフン(-)は使用不可、すべて数字は不可、ピリオド(.)、アット マーク(@)、またはスラッシュ(/)は使用不可

または、外部認証オブジェクトにユーザーを事前定義できます(ステップ ステップ 12 を参照)。FTD に対して Service-Type 属性メソッドを使用しているときに FTDおよび FMCに同じ RADIUS サーバーを使用するには、同じ RADIUS サーバーを識別する外部認証オブジェクトを 2 つ作成します。一方のオブジェクトには事前に定義した [CLIアクセスフィルタ(CLI Access Filter)][シェルアクセスフィルタ(Shell Access Filter)] ユーザーを含め(FMC で使用)、もう一方のオブジェクトの [CLIアクセスフィルタ(CLI Access Filter)][シェルアクセスフィルタ(Shell Access Filter)] は空のままにします(FTD で使用)。

ステップ 2

FMC で、[システム(System)] > [ユーザ(Users)]([System] > [Users])を選択します。

ステップ 3

[外部認証(External Authentication)] をクリックします。

ステップ 4

[外部認証オブジェクトの追加(Add External Authentication Object)] をクリックします。

ステップ 5

[認証方式(Authentication Method)] を [RADIUS] に設定します。

ステップ 6

[名前(Name)] とオプションの [説明(Description)] を入力します。

ステップ 7

[プライマリサーバ(Primary Server)] の場合は、[ホスト名/IPアドレス(Host Name/IP Address)] を入力します。

(注)   

証明書を使用して TLS または SSL 経由で接続する場合は、証明書のホスト名が、このフィールドに入力するホスト名と一致している必要がりあります。また、暗号化接続では IPv6 アドレスはサポートされていません。

ステップ 8

(任意) [ポート(Port)] をデフォルトから変更します。

ステップ 9

[RADIUS秘密キー(RADIUS Secret Key)] を入力します。

ステップ 10

(任意) [バックアップサーバ(Backup Server)] パラメータを入力します。

ステップ 11

(任意) [RADIUS固有のパラメータ(RADIUS-Specific Parameters)] を入力します。

  1. プライマリサーバーを再試行するまでの [タイムアウト(Timeout)] を 1 ~ 300 の秒単位で入力します。デフォルトは 30 です。

    (注)   

    タイムアウト範囲は FTD と FMC で異なるため、オブジェクトを共有する場合は、FTD の小さめのタイムアウト範囲(1 〜 300 秒)を超えないようにしてください。タイムアウトを高めの値に設定すると、FTD RADIUS 設定が機能しません。

  2. バックアップ サーバーにロールオーバーするまでの [再試行(Retries)] を入力します。デフォルトは 3 です。

ステップ 12

(任意) RADIUS 定義ユーザー(ステップ ステップ 1 を参照)を使用する代わりに、[シェルアクセスフィルタ(Shell Access Filter)] エリアの [管理者シェルアクセスユーザーリスト(Administrator Shell Access User List)] フィールドに、CLI アクセスが必要なユーザー名をカンマ区切りで入力します。たとえば、jchrichton, aerynsun, rygel と入力します。

FTD で [CLIアクセスフィルタ(CLI Access Filter)][シェルアクセスフィルタ(Shell Access Filter)] メソッドを使用すると、FTD およびその他のプラットフォームタイプで同一の外部認証オブジェクトを使用できます。

(注)   

RADIUS 定義ユーザーを使用する場合は、[シェルアクセスフィルタ(Shell Access Filter)] を空のままにする必要があります。

これらのユーザー名が RADIUS サーバーのユーザー名と一致していることを確認します。名前は、次のように Linux に対して有効である必要があります。

  • 英数字、ハイフン(-)、およびアンダースコア(_)が使用可で、最大 32 文字

  • すべて小文字

  • 最初の文字にハイフン(-)は使用不可、すべて数字は不可、ピリオド(.)、アット マーク(@)、またはスラッシュ(/)は使用不可

(注)   

CLI へのアクセス権を持つユーザーは、expert コマンドを使用して Linux シェルにアクセスできます。Linux シェルユーザーは root 権限を取得できます。このため、セキュリティ上のリスクが生じる可能性があります。CLI または Linux シェルアクセスが付与されるユーザーのリストを制限してください。

ステップ 13

(任意) RADIUS サーバーへの FMC 接続をテストするには、[テスト(Test)] をクリックします。

この機能は、RADIUS サーバーへの FMC 接続のみをテストできます。管理対象デバイスの RADIUS サーバーへの接続をテストする機能はありません。

ステップ 14

(任意) [追加のテストパラメータ(Additional Test Parameters)] を入力して、認証できるようにするユーザのユーザ クレデンシャルをテストすることもできます。[ユーザ名(User Name)] と [パスワード(Password)] を入力してから、[テスト(Test)] をクリックします。

ヒント 

テスト ユーザーの名前とパスワードを誤って入力すると、サーバー設定が正しい場合でもテストが失敗します。サーバー設定が正しいことを確認するには、最初に [追加のテスト パラメータ(Additional Test Parameters)] フィールドにユーザー情報を入力せずに [テスト(Test)] をクリックします。正常に完了した場合は、テストする特定ユーザーのユーザー名とパスワードを指定します。

例:

Example 社の JSmith ユーザ クレデンシャルを取得できるかどうかをテストするには、JSmith と正しいパスワードを入力します。

ステップ 15

[保存(Save)] をクリックします。

ステップ 16

このサーバーの使用を有効にします。SSH の外部認証の設定を参照してください

単純なユーザー ロールの割り当て

次の図は、IP アドレスが 10.10.10.98 のポート 1812 で Cisco Identity Services Engine(ISE)が稼働しているサーバーのサンプル RADIUS ログイン認証オブジェクトを示します。バックアップサーバーは定義されていません。

次の例は、バックアップサーバーが存在する場合に、Firepower システムがバックアップサーバーへの接続を試みるまでのタイムアウト(30 秒)と失敗した再試行の数を含む、RADIUS 固有のパラメータを示しています。

次の例は、RADIUS ユーザー ロール設定の重要な特徴を示します。

ユーザ ewharton および gsand には、Web インターフェイスの管理アクセスが付与されます。

ユーザ cbronte には、Web インターフェイスのメンテナンス ユーザ アクセスが付与されます。

ユーザー jausten には、Web インターフェイスのセキュリティ アナリスト アクセスが付与されます。

ユーザー ewharton は、CLI アカウントを使用してデバイスにログインできます。

次の図に、この例のロール設定を示します。

属性と値のペアに一致するユーザーのロール

属性と値のペアを使用して、特定のユーザー ロールが付与される必要があるユーザーを示すこともできます。使用する属性がカスタム属性の場合、そのカスタム属性を定義する必要があります。

次の図は、前述の例と同じ ISE サーバーのサンプル RADIUS ログイン認証オブジェクトでのロール設定とカスタム属性の定義を示します。

ただしこの例では、Microsoft リモート アクセス サーバーが使用されているため、1 つ以上のユーザーの MS-RAS-Version カスタム属性が返されます。MS-RAS-Version カスタム属性は文字列であることに注意してください。この例では、Microsoft v. 5.00 リモート アクセス サーバー経由で RADIUS にログインするすべてのユーザーに対し、[セキュリティ アナリスト(読み取り専用)(Security Analyst (Read Only))] ロールが付与される必要があります。このため、属性と値のペア MS-RAS-Version=MSRASV5.00 を [セキュリティ アナリスト(読み取り専用)(Security Analyst (Read Only))] フィールドに入力します。

FTD デバイスのユーザーに対する外部認証の有効化

Firepower Threat Defense プラットフォーム設定で外部認証を有効にして、管理対象デバイスに設定を展開します。詳細については、SSH の外部認証の設定を参照してください。

LDAP 認証接続のトラブルシューティング

LDAP 認証オブジェクトを作成したが、選択したサーバへの接続が失敗したか、または必要なユーザのリストが取得されなかった場合は、そのオブジェクトの設定を調整できます。

接続のテストで接続が失敗する場合は、設定のトラブルシューティングに関する次の推奨手順を試してください。

  • Web インターフェイス画面上部とテスト出力に示されるメッセージから、問題の原因となっているオブジェクトの部分を確認します。

  • オブジェクトに使用したユーザー名とパスワードが有効であることを確認します。

    • サードパーティの LDAP ブラウザを使用して LDAP サーバーに接続し、ベース識別名に示されているディレクトリを参照する権限があることを確認します。

    • ユーザー名が、LDAP サーバーのディレクトリ情報ツリーで一意であることを確認します。

    • テスト出力に LDAP バインド エラー 49 が示される場合は、ユーザのユーザ バインディングが失敗しています。サードパーティ アプリケーションを使用してサーバ認証を試行し、その接続でも同様にバインディングが失敗するかどうかを確認します。

  • サーバを正しく指定していることを確認します。

    • サーバの IP アドレスまたはホスト名が正しいことを確認します。

    • ローカル アプライアンスから、接続する認証サーバに TCP/IP でアクセスできることを確認します。

    • サーバへのアクセスがファイアウォールによって妨げられないこと、およびオブジェクトで設定されているポートがオープンしていることを確認します。

    • 証明書を使用して TLS または SSL 経由で接続する場合は、証明書のホスト名が、サーバーに使用されているホスト名と一致している必要があります。

    • CLI アクセスを認証する場合は、サーバー接続に IPv6 アドレスを使用していないことを確認します。

    • サーバ タイプのデフォルトを使用している場合は、正しいサーバ タイプであることを確認し、[デフォルトを設定(Set Default)] をもう一度クリックしてデフォルト値をリセットします。

  • ベース識別名を入力した場合は、[DNを取得(Fetch DNs)] をクリックし、サーバーで使用可能なすべてのベース識別名を取得し、リストから名前を選択します。

  • フィルタ、アクセス属性、または詳細設定を使用している場合は、それぞれが有効であり正しく入力されていることを確認します。

  • フィルタ、アクセス属性、または詳細設定を使用している場合は、各設定を削除し、設定なしでオブジェクトをテストしてみます。

  • 基本フィルタまたはシェルアクセスフィルタを使用している場合は、フィルタがカッコで囲まれていて、有効な比較演算子を使用していることを確認します(囲み用のカッコを含めて最大 450 文字)。

  • より制限された基本フィルタをテストするには、特定のユーザーだけを取得するため、フィルタにそのユーザーのベース識別名を設定します。

  • 暗号化接続を使用する場合:

    • 証明書の LDAP サーバの名前が、接続に使用するホスト名と一致していることを確認します。

    • 暗号化されたサーバ接続で IPv6 アドレスを使用していないことを確認します。

  • テスト ユーザを使用する場合、ユーザ名とパスワードが正しく入力されていることを確認します。

  • テスト ユーザーを使用する場合、ユーザー資格情報を削除してオブジェクトをテストします。

  • LDAP サーバーに接続し、次の構文を使用して、使用しているクエリをテストします。 

    
ldapsearch -x -b 'base_distinguished_name'
-h LDAPserver_ip_address -p port -v -D
'user_distinguished_name' -W 'base_filter'

    たとえば、domainadmin@myrtle.example.com ユーザーと基本フィルタ (cn=*) を使用して myrtle.example.com のセキュリティ ドメインに接続する場合は、次のステートメントを使用して接続をテストできます。 

    
ldapsearch -x -b 'CN=security,DC=myrtle,DC=example,DC=com'
-h myrtle.example.com -p 389 -v -D
'domainadmin@myrtle.example.com' -W '(cn=*)'

接続のテストが正常に完了したが、プラットフォーム設定ポリシーの適用後に認証が機能しない場合は、使用する認証とオブジェクトの両方が、デバイスに適用されるプラットフォーム設定ポリシーで有効になっていることを確認します。

正常に接続したが、接続で取得されたユーザーリストを調整する必要がある場合は、基本フィルタまたはシェルアクセスフィルタを追加または変更するか、ベース DN をさらに制限するかまたは制限を緩めて使用することができます。

Active Directory(AD)サーバーへの接続を認証しているときに、AD サーバーへの接続が成功しても、接続イベントログにブロックされた LDAP トラフィックが示されることはほとんどありません。この不正な接続ログは、AD サーバーが重複したリセットパケットを送信したときに発生します。FTD デバイスは、2 番目のリセットパケットを新しい接続要求の一部として識別し、ブロックアクションを使用して接続をログに記録します。

デバイスのユーザーアカウントの履歴

機能

バージョン

詳細

RADIUS サーバーに定義されている FTD ユーザーの Service-Type 属性のサポート

6.4

FTD CLI ユーザーの RADIUS の認証では、以前は RADIUS 外部認証オブジェクトにユーザー名を定義してから、RADIUS サーバーに認証されているユーザー名とリストが一致していることを手動で確認する必要がありました。Service-Type 属性を使用して RADIUS サーバーで CLI ユーザーを定義できるようになりました。また、Basic と Config の両方のユーザー ロールも定義できます。このメソッドを使用するには、外部認証オブジェクトのシェル アクセス フィルタを空白のままにしてください。

新しい/変更された画面:

[システム(System)] > [ユーザー(Users)] > [外部認証(External Authentication)] > [外部認証オブジェクトの追加(Add External Authentication Object)] > [シェル アクセス フィルタ(Shell Access Filter)]

サポートされるプラットフォーム: FTD

FTD SSH アクセスの外部認証

6.2.3

LDAP または RADIUS認証を使用して FTD への SSH の外部認証を設定できるようになりました。

新しい/変更された画面:

[デバイス(Devices)] > [プラットフォームの設定(Platform Settings)] > [外部認証(External Authentication)]

サポートされているプラットフォーム: FTD