FMC のユーザーアカウント

FMC には、Web および CLI アクセス用のデフォルトの管理者アカウントが含まれています。この章では、カスタムユーザーアカウントを作成する方法について説明します。ユーザーアカウントを使用して FMC にログインする方法の詳細については、Firepower システムへのログインを参照してください。

FMC のユーザーアカウントについて

内部ユーザーとして、または LDAP または RADIUS サーバーの外部ユーザーとして、FMC にカスタムユーザーアカウントを追加できます。FMC は、管理対象デバイスからの個別のユーザーアカウントを保持します。たとえば、FMC にユーザーを追加した場合は、そのユーザーは FMC にのみアクセスできます。そのユーザー名を使用して管理対象デバイスに直接ログインすることはできません。管理対象デバイスにユーザーを別途追加する必要があります。

内部および外部ユーザー

FMC は次の 2 種類のユーザーをサポートしています。

  • 内部ユーザー:FMC は、ローカルデータベースでユーザー認証を確認します。内部ユーザーの詳細については、「内部ユーザーの追加」を参照してください。

  • 外部ユーザー:ユーザーがローカル データベースに存在しない場合は、システムは外部 LDAP または RADIUS の認証サーバーに問い合わせます。外部ユーザーの詳細については、外部認証の設定を参照してください。

Web インターフェイスおよび CLI によるアクセス

FMC には、Web インターフェイス、CLI(コンソール(シリアルポートまたはキーボードとモニターのいずれか)から、または管理インターフェイスへの SSH を使用してアクセス可能)、および Linux シェルがあります。管理 UI の詳細については、Firepower システム ユーザー インターフェイスを参照してください。

FMC ユーザータイプと、それらがアクセスできる UI に関する次の情報を参照してください。

  • admin ユーザー:FMC は 2 種類の内部 admin ユーザーをサポートしています。Web インターフェイスのユーザーと、CLI アクセス権が付与されたユーザーです。システム初期化プロセスでは、これら 2 つの admin アカウントのパスワードが同期されるため、アカウントは同じように開始されますが、これらのアカウントは異なる内部メカニズムによって追跡され、初期設定後に分岐する場合があります。システム初期化の詳細については、ご使用のモデルの『Getting Started Guide』を参照してください。(Web インターフェイスの admin のパスワードを変更するには、[システム(System)] > [ユーザ(Users)] > [ユーザー(Users)] を使用します。CLI の admin のパスワードを変更するには、FMC CLI コマンド configure password を使用します。)

  • 内部ユーザー:Web インターフェイスで追加された内部ユーザーには、Web インターフェイスのアクセス権のみが付与されます。

  • 外部ユーザー:外部ユーザーには Web インターフェイスのアクセス権が付与され、オプションで CLI のアクセス権を設定できます。


注意    

CLI ユーザーは、expert コマンドを使用して Linux シェルにアクセスできます。Cisco TAC または FMC マニュアルの明示的な手順による指示がない限り、Linux シェルを使用しないことを強くお勧めします。CLI ユーザーは Linux シェルで sudoers 権限を取得できます。このため、セキュリティ上のリスクが生じる可能性があります。システムセキュリティ上の理由から、次のことを強く推奨します。

  • CLI アクセス権を持つ外部ユーザーのリストを適切に制限してください。

  • Linux シェルでユーザを直接追加しないでください。この章の手順のみを使用してください。

ユーザの役割

CLI ユーザロール

FMC の CLI 外部ユーザにはユーザ ロールがありません。そのため、それらのユーザは使用可能なすべてのコマンドを使用できます。

Web インターフェイスのユーザ ロール

ユーザ権限は、割り当てられたユーザ ロールに基づいています。たとえば、アナリストに対してセキュリティ アナリストや検出管理者などの事前定義ロールを付与し、デバイスを管理するセキュリティ管理者に対して管理者ロールを予約することができます。また、組織のニーズに合わせて調整されたアクセス権限を含むカスタム ユーザ ロールを作成できます。

FMC には、次の定義済みユーザー ロールが含まれています。


(注)  

システムが同時セッション制限の目的で読み取り専用と見なす定義済みユーザーロールには、[システム(System)] > [ユーザ(Users)] > [ユーザ(Users)][システム(System)] > [ユーザ(Users)] > [ユーザロール(User Roles)] でロール名に [(Read Only)] というラベルが付けられます。ユーザー ロールのロール名に [(読み取り専用)((Read Only))] が含まれていない場合、システムはそのロールを読み取り/書き込みと見なします。同時セッション制限の詳細については、グローバル ユーザー構成時の設定を参照してください。

アクセス管理者

[ポリシー(Policies)] メニューでアクセス制御ポリシー機能や関連する機能へのアクセスが可能です。アクセス管理者は、ポリシーを展開できません。

管理者

管理者は製品内のすべてのものにアクセスできるため、セッションでセキュリティが侵害されると、高いセキュリティ リスクが生じます。このため、ログイン セッション タイムアウトから管理者を除外することはできません。

セキュリティ上の理由から、管理者ロールの使用を制限する必要があります。

検出管理者(Discovery Admin)

[ポリシー(Policies)] メニューのネットワーク検出機能、アプリケーション検出機能、相関機能にアクセス可能です。検出管理者は、ポリシーを展開できません。

外部データベース ユーザ(読み取り専用)

JDBC SSL 接続に対応しているアプリケーションを用いて、Firepower System データベースに対して読取り専用のアクセスが可能です。Firepower システム アプライアンスの認証を行うサードパーティのアプリケーションについては、システム設定内でデータベースへのアクセスを有効にする必要があります。Web インターフェイスでは、外部データベース ユーザは、[ヘルプ(Help)] メニューのオンライン ヘルプ関連のオプションのみにアクセスできます。このロールの機能は、web インターフェイスに搭載されていないため、サポートやパスワードの変更を容易にするためにのみアクセスが可能です。

侵入管理者(Intrusion Admin)

[ポリシー(Policies)] メニューと [オブジェクト(Objects)] メニューの侵入ポリシー機能、侵入ルール機能、ネットワーク分析ポリシー機能のすべてにアクセスが可能です。侵入管理者は、ポリシーを展開できません。

メンテナンス ユーザ(Maintenance User)

監視機能やメインテナンス機能へのアクセスが可能です。メンテナンス ユーザは、[ヘルス(Health)] メニューや [システム(System)] メニューのメンテナンス関連オプションにアクセスできます。

ネットワーク管理者(Network Admin)

[ポリシー(Policies)] メニューのアクセス制御機能、SSL インスペクション機能、DNS ポリシー機能、アイデンティティ ポリシー機能、および [デバイス(Devices)] メニューのデバイス設定機能へのアクセスが可能です。ネットワーク管理者は、デバイスへの設定の変更を展開できます。

セキュリティ アナリスト

セキュリティ イベント分析機能へのアクセスと [概要(Overview)] メニュー、[分析(Analysis)] メニュー、[ヘルス(Health)] メニュー、[システム(System)] メニューのヘルス イベントに対する読み取り専用のアクセスが可能です。

セキュリティ アナリスト(読み取り専用)(Security Analyst (Read Only))

[Overview] メニュー、[Analysis] メニュー、[Health] メニュー、[System] メニューのセキュリティ イベント分析機能とヘルス イベント機能への読み取り専用アクセスを提供します。

このロールを持つユーザは、次のこともできます。

  • 特定のデバイスのヘルスモニタのページから、トラブルシューティング ファイルを生成してダウンロードする。

  • ユーザ設定で、ファイルのダウンロードの設定を行う。

  • ユーザ設定で、イベントビューのデフォルトのタイムウィンドウを設定する([Audit Log Time Window] を除く)。

セキュリティ承認者(Security Approver)

[ポリシー(Policies)] メニューのアクセス制御ポリシーや関連のあるポリシー、ネットワーク検出ポリシーへの制限付きのアクセスが可能です。セキュリティ承認者はこれらのポリシーを表示し、展開できますが、ポリシーを変更することはできません。

脅威インテリジェンス ディレクタ(TID)ユーザー

[インテリジェンス(Intelligence)] メニューの脅威インテリジェンス ディレクタ設定にアクセスできます。Threat Intelligence Director (TID) ユーザーは、TID の表示および設定が可能です。

ユーザ パスワード

FMC の内部ユーザーアカウントのパスワードには、Lights-Out Management(LOM)が有効な場合と無効な場合に応じて、次のルールが適用されます。外部認証されたアカウントまたはセキュリティ認定コンプライアンスが有効になっているシステムには、異なるパスワード要件が適用されます。詳細については、外部認証の設定セキュリティ認定準拠を参照してください。

FMC の初期設定時に、admin ユーザーは、以下の表に記載されているような LOM が有効化されたユーザーの強力なパスワード要件に準拠するようにアカウントパスワードを設定する必要があります。この時点で、システムは web インターフェイスの admin と CLI アクセスの adminのパスワードを同期します。初期設定後、web インターフェイスの admin は強力なパスワード要件を削除できますが、CLI アクセスの admin は常に強力なパスワード要件を満たしている必要があります。

LOM が有効になっていない

LOM 有効、admin ユーザー

パスワードの強度チェックがオンになっている

パスワードには以下を含める必要があります。

  • 8 文字以上または管理者がユーザーに設定した文字数のいずれか大きい方。

  • 同じ文字が 3 文字以上連続していない

  • 1 つ以上の小文字

  • 少なくとも 1 つの大文字

  • 少なくとも 1 つの数字

  • ! など、少なくとも 1 つの特殊文字@ # * - _ +

システムは、英語の辞書に載っている多くの単語だけでなく、一般的なパスワード ハッキング技術で簡単に解読できるその他の文字列も含まれる特殊なディクショナリと照合してパスワードをチェックします。

パスワードには以下を含める必要があります。

  • 8 ~ 20 文字(MC 1000、MC 2500、および MC 4500 の場合、上限は 20 文字ではなく 14 文字)

  • 同じ文字が 3 文字以上連続していない

  • 1 つ以上の小文字

  • 少なくとも 1 つの大文字

  • 少なくとも 1 つの数字

  • ! など、少なくとも 1 つの特殊文字@ # * - _ +

特殊文字のルールは、物理 FMC のシリーズ間で異なります。特殊文字の選択を、上記の最後の箇条書きに記載されている特殊文字に制限することをお勧めします。

パスワードにユーザー名を含めないでください。

システムは、英語の辞書に載っている多くの単語だけでなく、一般的なパスワード ハッキング技術で簡単に解読できるその他の文字列も含まれる特殊なディクショナリと照合してパスワードをチェックします。

パスワードの強度チェックがオフになっている

パスワードは、管理者がユーザーに対して設定した最小文字数以上である必要があります。(詳細については、内部ユーザーの追加を参照してください)。

パスワードには以下を含める必要があります。

  • 8 ~ 20 文字(MC 1000、MC 2500、および MC 4500 の場合、上限は 20 文字ではなく 14 文字)

  • 次の 4 つのカテゴリの少なくとも 3 つのカテゴリに属する文字:

    • 大文字の英字

    • 小文字の英字

    • ディジット

    • ! などの特殊文字@ # * - _ +

特殊文字のルールは、物理 FMC のシリーズ間で異なります。特殊文字の選択を、上記の最後の箇条書きに記載されている特殊文字に制限することをお勧めします。

パスワードにユーザー名を含めないでください。

FMC のユーザーアカウントの注意事項と制約事項

デフォルト

  • FMC には、すべてのアクセス形式のローカルユーザーアカウントとして admin ユーザーが含まれています。admin ユーザーは削除できません。デフォルトの初期パスワードは Admin123 です。初期化プロセス中に、この初期パスワードの変更が強制されます。システム初期化の詳細については、ご使用のモデルの『Getting Started Guide』を参照してください。

  • デフォルトでは、FMC のすべてのユーザー アカウントに次の設定が適用されます。

    • パスワードの再利用に制限はありません。

    • システムは正常なログインを追跡しません。

    • システムは、不正なログイン クレデンシャルを入力したユーザーに対して時間が指定された一時的なロックアウトを適用しません。

    • 同時に開くことができる読み取り専用セッションと読み取り/書き込みセッションの数には、ユーザー定義の制限はありません。

    すべてのユーザーのこれらの設定は、システム設定として変更できます([システム(System)] > [設定(Configuration)] > [ユーザ設定(User Configuration)])。「グローバル ユーザー構成時の設定」を参照してください。

FMC のユーザーアカウントの要件と前提条件

サポート モデル

FMC

サポートされるドメイン

任意

ユーザ ロール

内部ユーザーの追加

この手順では、FMC のカスタム内部ユーザーアカウントを追加する方法について説明します。

[システム(System)] > [ユーザー(Users)] > [ユーザー(Users)] には、手動で追加した内部ユーザーと、LDAP または RADIUS 認証でユーザーがログインしたときに自動的に追加された外部ユーザーの両方が表示されます。外部ユーザーについては、より高い権限を持つロールを割り当てると、この画面のユーザー ロールを変更できます。パスワード設定を変更することはできません。

FMC のマルチドメイン展開では、ユーザは作成されたドメインでのみ表示されます。グローバル ドメインにユーザを追加してから、リーフ ドメインのユーザ ロールを割り当てると、そのユーザがリーフ ドメインに「所属」していても、追加されたグローバル [ユーザ(Users)] ページにそのユーザが表示されることに注意してください。

デバイスでセキュリティ認定コンプライアンスまたは Lights-Out Management(LOM)を有効にすると、異なるパスワード制限が適用されます。セキュリティ認定コンプライアンスの詳細については、セキュリティ認定準拠を参照してください。

リーフ ドメインにユーザーを追加した場合、そのユーザーはグローバル ドメインからは表示されません。


(注)  

複数の管理者ユーザーが FMC で同時に新しいユーザーを作成することは避けてください。ユーザーデータベースアクセスの競合によってエラーが発生する可能性があります。

手順

ステップ 1

[システム(System)] > [ユーザ(Users)]を選択します。

ステップ 2

[ユーザの作成(Create User)] をクリックします。

ステップ 3

[ユーザー名(User Name)] に入力します。

ユーザー名は、次の制限に従う必要があります。

  • 英数字、ハイフン(-)、およびアンダースコア(_)が使用可で、最大 32 文字

  • 文字は大文字と小文字を使用できます。

  • ハイフン(-)、アンダースコア(_)、およびピリオド(.)以外の句読点または特殊文字は使用できません。
ステップ 4

LDAP または RADIUS によりログインしたときに自動的に追加されたユーザーに対しては、[外部認証方式の使用(Use External Authentication Method)] チェックボックスがオンになっています。外部ユーザを事前設定する必要はないので、このフィールドは無視できます。外部ユーザについては、このチェックボックスをオフにすることで、そのユーザを内部ユーザに戻すことができます。

ステップ 5

[パスワード(Password)] および [パスワードの確認(Confirm Password)] フィールドに値を入力します。

この値は、このユーザに設定したパスワード オプションに準拠している必要があります。

ステップ 6

[ログイン失敗の最大回数(Maximum Number of Failed Logins)] を設定します。

各ユーザが、ログイン試行の失敗後に、アカウントがロックされるまでに試行できるログインの最大回数を示す整数を、スペースなしで入力します。デフォルト設定は 5 回です。ログイン失敗回数を無制限にするには、0 を使用します。管理者アカウントは、ログイン失敗回数が最大数に達してもロックアウトされません(ただし、セキュリティ認定コンプライアンスを有効にした場合は除きます)。

ステップ 7

[パスワードの最小長(Minimum Password Length)] を設定します。

ユーザーのパスワードの必須最小長(文字数)を示す整数を、スペースなしで入力します。デフォルト設定は 8 です。値 0 は、最小長が必須ではないことを示します。

ステップ 8

[パスワードの有効期限までの日数(Days Until Password Expiration)] を設定します。

ユーザーのパスワードの有効期限までの日数を入力します。デフォルト設定は、パスワードが期限切れにならないことを示す 0 です。デフォルトから変更すると、[ユーザ(Users)] リストの [パスワードのライフタイム(Password Lifetime)] 列に、各ユーザのパスワードの残っている日数が表示されます。

ステップ 9

[パスワードの有効期限を事前に警告する日数(Days Before Password Expiration Warning)] を設定します。

パスワードが実際に期限切れになる前に、ユーザがパスワードを変更する必要があるという警告が表示される日数を入力します。デフォルト設定は 0 日間です。

ステップ 10

ユーザの [オプション(Options)] を設定します。

  • [ログイン時にパスワードのリセットを強制(Force Password Reset on Login)]:次回のログイン時にユーザにパスワード変更を強制します。

  • [パスワードの強度のチェック(Check Password Strength)]:強力なパスワードを必須にします。パスワード強度チェックが有効になっている場合、パスワードは、ユーザ パスワードで説明されている強力なパスワードの要件に従う必要があります。

  • [ブラウザセッションタイムアウトの適用除外(Exempt from Browser Session Timeout)]:非アクティブ状態が原因で、ユーザーのログイン セッションが終了しないようにします。Administrator ロールが割り当てられているユーザを除外することはできません。

ステップ 11

[ユーザーロールの設定(User Role Configuration)] エリアで、ユーザー ロールを割り当てます。ユーザー ロールの詳細については、Web インターフェイス用のユーザー ロールのカスタマイズを参照してください。

外部ユーザーについては、ユーザーロールがグループメンバーシップ(LDAP)を介して、またはユーザー属性(RADIUS)に基づいて割り当てられている場合、最小限のアクセス権限を削除することはできません。ただし、追加の権限を割り当てることはできます。ユーザ ロールがデバイスで設定したデフォルトのユーザ ロールの場合は、ユーザ アカウントのロールを制限なしに変更できます。ユーザー ロールを変更すると、[ユーザー(Users)] タブの [認証方式(Authentication Method)] 列に、[外部-ローカル変更(External - Locally Modified)] のステータスが表示されます。

表示されるオプションは、デバイスが単一ドメイン展開かマルチドメイン展開かによって異なります。

  • 単一ドメイン:ユーザを割り当てるユーザ ロールをオンにします。

  • マルチドメイン:マルチドメイン展開では、管理者アクセス権限があるドメインでユーザーアカウントを作成できます。ユーザーは各ドメインで異なる権限を持つことができます。先祖ドメインと子孫ドメインの両方でユーザ ロールを割り当てることができます。たとえば、あるユーザにグローバル ドメインでは読み取り専用権限を割り当て、子孫ドメインでは管理者権限を割り当てることができます。次の手順を参照してください。

    1. [ドメインの追加(Add Domain)] をクリックします。

    2. [ドメイン(Domain)] ドロップダウン リストからドメインを選択します。

    3. ユーザを割り当てるユーザ ロールをオンにします。

    4. [保存(Save)] をクリックします。

ステップ 12

(オプション、物理 FMC のみ)ユーザーに管理者ロールを割り当てている場合は、[Administrator Options] が表示されます。[Allow Lights-Out Management Access] を選択すると、ユーザーに Lights-Out Management アクセスを許可できます。Lights-Out Management の詳細については、Lights-Out 管理の概要を参照してください。

ステップ 13

[保存(Save)] をクリックします。

外部認証の設定

外部認証を有効にするには、1 つ以上の外部認証オブジェクトを追加する必要があります。

外部認証について

外部認証を有効にすると、FMC により外部認証オブジェクトで指定された LDAP または RADIUS サーバーを使用してユーザークレデンシャルが検証されます。

Web インターフェイス アクセス用に複数の外部認証オブジェクトを設定できます。たとえば、5 つの外部認証オブジェクトがある場合、いずれかのオブジェクトのユーザーを Web インターフェイスにアクセスするために認証できます。CLI アクセスに使用できる外部認証オブジェクトは 1 つのみです。複数の外部認証オブジェクトが有効になっている場合、ユーザーはリスト内の最初のオブジェクトのみを使用して認証できます。

外部認証オブジェクトは、FMC および FTD デバイスで使用できます。さまざまなアプライアンス/デバイス タイプで同じオブジェクトを共有することも、別々のオブジェクトを作成することもできます。


(注)  

タイムアウト範囲は FTD と FMC で異なるため、オブジェクトを共有する場合は、FTD の小さめのタイムアウト範囲(LDAP の場合は 1 〜 30 秒、RADIUS の場合は 1 〜 300 秒)を超えないようにしてください。タイムアウトを高めの値に設定すると、FTD 外部認証設定が機能しません。

FMC では、[システム(System)] > [ユーザー(Users)] > [外部認証(External Authentication)] タブで外部認証オブジェクトを直接有効にします。この設定は、FMC の使用にのみ影響し、管理対象デバイスを使用する場合には、このタブで有効にする必要はありません。FTD のデバイスでは、デバイスに展開するプラットフォーム設定で外部認証オブジェクトを有効にする必要があります。

外部認証オブジェクト内の CLI ユーザーから Web インターフェイスのユーザーが個別に定義されます。RADIUS の CLI ユーザーの場合、外部認証オブジェクト内に RADIUS ユーザー名のリストを事前に設定しておく必要があります。LDAP では、LDAP サーバーの CLI ユーザーと一致するようにフィルタを指定できます。

CAC 認証用にも設定されている CLI アクセスの LDAP オブジェクトは使用できません。


(注)  
CLI へのアクセス権を持つユーザーは、expert コマンドを使用して Linux シェルにアクセスできます。Linux シェル ユーザは root 権限を取得できます。このため、セキュリティ上のリスクが生じる可能性があります。次のことを実行してください。

  • CLI または Linux シェルアクセスが付与されるユーザーのリストを制限します。

  • Linux シェルユーザーを作成しないでください。

LDAP について

Lightweight Directory Access Protocol(LDAP)により、ユーザ クレデンシャルなどのオブジェクトをまとめるためのディレクトリをネットワーク上の一元化されたロケーションにセットアップできます。こうすると、複数のアプリケーションがこれらのクレデンシャルと、クレデンシャルの記述に使用される情報にアクセスできます。ユーザーのクレデンシャルを変更する必要がある場合も、常に 1 箇所でクレデンシャルを変更できます。

Microsoft 社は、2020 年に Active Directory サーバーで LDAP バインディングと LDAP 署名の適用を開始すると発表しました。Microsoft 社がこれらを要件にするのは、デフォルト設定で Microsoft Windows を使用する場合に権限昇格の脆弱性が存在するために、中間者攻撃者が認証要求を Windows LDAP サーバーに正常に転送できる可能性があるからです。詳細については、Microwoft 社のサポートサイトで「2020 LDAP channel binding and LDAP signing requirement for Windows」を参照してください。

まだ行っていない場合は、Active Directory サーバーによる認証で TLS/SSL 暗号化の使用を開始することをお勧めします。

RADIUS について

Remote Authentication Dial In User Service(RADIUS)は、ネットワーク リソースへのユーザ アクセスの認証、認可、およびアカウンティングに使用される認証プロトコルです。RFC 2865 に準拠するすべての RADIUS サーバーで、認証オブジェクトを作成できます。

FirePOWER デバイスは、SecurID トークンの使用をサポートします。SecurID を使用したサーバーによる認証を設定した場合、そのサーバーに対して認証されるユーザーは、自身の SecurID PIN の末尾に SecurID トークンを追加したものをログイン時にパスワードとして使用します。SecurID をサポートするために、FirePOWER デバイスで追加の設定を行う必要はありません。

FMC 用の LDAP 外部認証オブジェクトの追加

デバイス管理用に外部ユーザをサポートするために、LDAP サーバを追加します。

マルチドメイン展開では、外部認証オブジェクトは作成されたドメインでのみ使用できます。

始める前に

  • デバイス上にドメイン名ルックアップの DNS サーバーを指定する必要があります。この手順で LDAP サーバーのホスト名ではなく IP アドレスを指定した場合、ホスト名に含めることができる認証用の URI を LDAP サーバーが返す場合があります。ホスト名を解決するには DNS ルックアップが必要です。DNS サーバーを追加するには「FMC 管理インターフェイスの変更」を参照してください。

  • CAC 認証に使用する LDAP 認証オブジェクトを設定する場合は、コンピュータに挿入されている CAC を取り外さないでください。ユーザー証明書を有効にした後では、CAC が常に挿入された状態にしておく必要があります。

手順

ステップ 1

[システム(System)] > [ユーザ(Users)]を選択します。

ステップ 2

[外部認証(External Authentication)] タブをクリックします。

ステップ 3

[外部認証オブジェクトの追加(Add External Authentication Object)] をクリックします。

ステップ 4

[認証方式(Authentication Method)] を [LDAP] に設定します。

ステップ 5

(任意) CAC 認証および認可にこの認証オブジェクトを使用する予定の場合は、[CAC] チェックボックスをオンにします。

CAC 認証および認可を完全に設定するには、「LDAP を使用した共通アクセス カード認証の設定」の手順にも従う必要があります。このオブジェクトは、CLI ユーザーには使用できません。

ステップ 6

[名前(Name)] とオプションの [説明(Description)] を入力します。

ステップ 7

ドロップダウン リストから [サーバタイプ(Server Type)] を選択します。

ヒント 

[デフォルトの設定(Set Defaults)] をクリックした場合は、デバイスにより [ユーザー名テンプレート(User Name Template)]、[UIアクセス属性(UI Access Attribute)]、[シェルアクセス属性(Shell Access Attribute)]、[グループメンバー属性(Group Member Attribute)]、および [グループメンバーURL属性(Group Member URL Attribute)] フィールドに、サーバータイプのデフォルト値が入力されます。

ステップ 8

[プライマリサーバ(Primary Server)] の場合は、[ホスト名/IPアドレス(Host Name/IP Address)] を入力します。

証明書を使用して TLS または SSL 経由で接続する場合は、証明書のホスト名が、このフィールドに入力するホスト名と一致している必要がりあります。また、暗号化接続では IPv6 アドレスはサポートされていません。

ステップ 9

(任意) [ポート(Port)] をデフォルトから変更します。

ステップ 10

(任意) [バックアップサーバ(Backup Server)] パラメータを入力します。

ステップ 11

[LDAP固有のパラメータ(LDAP-Specific Parameters)] を入力します。

  1. ユーザがアクセスする LDAP ディレクトリの [ベースDN(Base DN)] を入力します。たとえば、Example 社のセキュリティ(Security)部門の名前を認証するには、ou=security,dc=example,dc=com と入力します。または、[DNの取得(Fetch DNs)] をクリックし、ドロップダウン リストから適切なベース識別名を選択します。

  2. (任意) [基本フィルタ(Base Filter)] を入力します。たとえば、ディレクトリ ツリー内のユーザー オブジェクトに physicalDeliveryOfficeName 属性が設定されており、New York 支店のユーザーに対しこの属性に値 NewYork が設定されている場合、New York 支店のユーザーだけを取得するには、(physicalDeliveryOfficeName=NewYork) と入力します。

    CAC 認証を使用している場合、アクティブなユーザーアカウント(無効なユーザーアカウントを除く)のみをフィルタ処理するには、(!(userAccountControl:1.2.840.113556.1.4.803:=2)) と入力します。この条件は、ldpgrp グループに属し、userAccountControl 属性値が 2(無効)ではない AD 内のユーザーアカウントを取得します。

  3. LDAP サーバを参照するために十分なクレデンシャルを持つユーザの [ユーザ名(User Name)] を入力します。たとえば、ユーザ オブジェクトに uid 属性が含まれている OpenLDAP サーバに接続し、Example 社のセキュリティ(Security)部門の管理者のオブジェクトの uid に値 NetworkAdmin が設定されている場合は、uid=NetworkAdmin,ou=security,dc=example,dc=com と入力します。

  4. [パスワード(Password)] および [パスワードの確認(Confirm Password)] フィールドにユーザ パスワードを入力します。

  5. (任意) [詳細オプションを表示(Show Advanced Options)] をクリックして、次の詳細オプションを設定します。

    • [暗号化(Encryption)][なし(None)][TLS]、または [SSL] をクリックします。

      ポートを指定した後で暗号化方式を変更すると、ポートがその方式のデフォルト値にリセットされます。[なし(None)] または [TLS] の場合、ポートはデフォルト値の 389 にリセットされます。[SSL] 暗号化を選択した場合、ポートは 636 にリセットされます。

    • [SSL証明書アップロードパス(SSL Certificate Upload Path)]:SSL または TLS 暗号化の場合は、[ファイルの選択(Choose File)] をクリックして証明書を選択する必要があります。

      以前にアップロードした証明書を置き換えるには、新しい証明書をアップロードし、設定をデバイスに再展開して、新しい証明書を上書きコピーします。

      (注)   

      TLS 暗号化には、すべてのプラットフォームで証明書が必要です。中間者攻撃を防ぐため、SSL 証明書を常にアップロードしておくことをお勧めします。

    • [ユーザー名テンプレート(User Name Template)]:[UIアクセス属性(UI Access Attribute)] に対応するテンプレートを入力します。たとえば、UI アクセス属性が uid である OpenLDAP サーバに接続し、Example 社のセキュリティ(Security)部門で働くすべてのユーザを認証するには、[ユーザ名テンプレート(User Name Template)] フィールドに uid=%s,ou=security,dc=example,dc=com と入力します。Microsoft Active Directory Server の場合は %s@security.example.com と入力します。

      CAC 認証では、このフィールドは必須です。

    • [タイムアウト(Timeout)]:バックアップ接続にロールオーバーするまでの秒数(1 〜 1024 秒)を入力します。デフォルトは 30 です。

      (注)   

      タイムアウト範囲は FTD と FMC で異なるため、オブジェクトを共有する場合は、FTD の小さめのタイムアウト範囲(1 〜 30 秒)を超えないようにしてください。タイムアウトを高めの値に設定すると、FTD LDAP 設定が機能しません。
ステップ 12

(任意) [属性マッピング(Attribute Mapping)] を設定して、属性に基づいてユーザーを取得します。

  • [UIアクセス属性(UI Access Attribute)] を入力するか、[属性の取得(Fetch Attrs)] をクリックして利用可能な属性のリストを取得します。たとえば Microsoft Active Directory Server では、Active Directory Server ユーザーオブジェクトに uid 属性がないため、UI アクセス属性を使用してユーザーを取得することがあります。代わりに [UI アクセス属性(UI Access Attribute)] フィールドに userPrincipalName と入力して、userPrincipalName 属性を検索できます。

    CAC 認証では、このフィールドは必須です。

  • ユーザー識別タイプ以外のシェルアクセス属性を使用する場合は、[CLIアクセス属性(CLI Access Attribute)][シェルアクセス属性(Shell Access Attribute)] を設定します。たとえば、Microsoft Active Directory Server で、sAMAccountName シェル アクセス属性を使用して CLI アクセスユーザーを取得するには、sAMAccountName と入力します。

ステップ 13

(任意) [グループ制御アクセスロール(Group Controlled Access Roles)] を設定します。

グループ制御アクセス ロールを使用してユーザの権限を事前に設定していない場合、ユーザには、外部認証ポリシーでデフォルトで付与される権限だけが与えられています。

  1. (任意) ユーザ ロールに対応するフィールドに、これらのロールに割り当てる必要があるユーザを含む LDAP グループの識別名を入力します。

    参照するグループはすべて LDAP サーバーに存在している必要があります。スタティック LDAP グループまたはダイナミック LDAP グループを参照できます。スタティック LDAP グループとは、特定のユーザを指し示すグループ オブジェクト属性によってメンバーシップが決定されるグループであり、ダイナミック LDAP グループとは、ユーザ オブジェクト属性に基づいてグループ ユーザを取得する LDAP 検索を作成することでメンバーシップが決定されるグループです。ロールのグループ アクセス権は、グループのメンバーであるユーザにのみ影響します。

    ダイナミック グループを使用する場合、LDAP クエリは、LDAP サーバで設定されているとおりに使用されます。この理由から、検索構文エラーが原因で無限ループが発生することを防ぐため、FirePOWER デバイスでは検索の再帰回数が 4 回に制限されています。

    例:

    Example 社の情報テクノロジー(Information Technology)部門の名前を認証するには、[管理者(Administrator)] フィールドに次のように入力します。 

    
cn=itgroup,ou=groups, dc=example,dc=com

  2. 指定したグループのいずれにも属していないユーザの [デフォルトユーザロール(Default User Role)] を選択します。

  3. スタティック グループを使用する場合は、[グループ メンバー属性(Group Member Attribute)] を入力します。

    例:

    デフォルトの Security Analyst アクセスのためのスタティック グループのメンバーシップを示すために member 属性を使用する場合は、member と入力します。

  4. ダイナミック グループを使用する場合は、[グループ メンバー URL 属性(Group Member URL Attribute)] を入力します。

    例:

    デフォルトの管理者アクセスに対して指定したダイナミック グループのメンバーを取得する LDAP 検索が memberURL 属性に含まれている場合は、memberURL と入力します。

ユーザ ロールを変更する場合は、変更した外部認証オブジェクトを保存/展開し、[ユーザ(Users)] 画面からユーザを削除する必要があります。次回のログイン時に、ユーザーが自動的に再度追加されます。

ステップ 14

(任意) [シェルアクセスフィルタ(Shell Access Filter)] を設定します。

CLI アクセスの LDAP 認証を防止するには、このフィールドを空白にします。CLI ユーザーを指定するには、次のいずれかの方法を選択します。

  • 認証設定の設定時に指定したものと同じフィルタを使用するには、[基本フィルタと同じ(Same as Base Filter)] を選択します。

  • 属性値に基づいて管理ユーザ項目を取得するには、属性名、比較演算子、およびフィルタとして使用する属性値を、カッコで囲んで入力します。たとえば、すべてのネットワーク管理者の manager 属性に属性値 shell が設定されている場合は、基本フィルタ (manager=shell) を設定できます。

ユーザ名は、次のように Linux に対して有効である必要があります。

  • 英数字、ハイフン(-)、およびアンダースコア(_)が使用可で、最大 32 文字

  • すべて小文字

  • 最初の文字にハイフン(-)は使用不可、すべて数字は不可、ピリオド(.)、アット マーク(@)、またはスラッシュ(/)は使用不可

(注)   

CLI へのアクセス権を持つユーザーは、expert コマンドを使用して Linux シェルにアクセスできます。Linux シェルユーザーは root 権限を取得できます。このため、セキュリティ上のリスクが生じる可能性があります。CLI または Linux シェルアクセスが付与されるユーザーのリストを制限してください。

(注)   

[シェルアクセスフィルタ(Shell Access Filter)] に含まれているユーザーと同じユーザー名を持つ内部ユーザーを作成しないでください。唯一の内部 FMC ユーザーは admin である必要があります。[シェルアクセスフィルタ(Shell Access Filter)]admin ユーザーを含めないでください。

ステップ 15

(任意) LDAP サーバーへの接続をテストするには、[テスト(Test)] をクリックします。

テスト出力には、有効なユーザー名と無効なユーザー名が示されます。有効なユーザー名は一意のユーザー名であり、アンダースコア(_)、ピリオド(.)、ハイフン(-)、英数字を使用できます。UI のページ サイズ制限のため、ユーザー数が 1000 を超えているサーバーへの接続をテストする場合、返されるユーザーの数は 1000 であることに注意してください。テストが失敗した場合は、「LDAP 認証接続のトラブルシューティング」を参照してください。

ステップ 16

(任意) [追加のテストパラメータ(Additional Test Parameters)] を入力して、認証できるようにするユーザのユーザ クレデンシャルをテストすることもできます。[ユーザ名(User Name)] uid と [パスワード(Password)] を入力してから、[テスト(Test)] をクリックします。

Microsoft Active Directory Server に接続して uid の代わりに UI アクセス属性を指定する場合は、ユーザー名としてこの属性の値を使用します。ユーザーの完全修飾識別名も指定できます。

ヒント 

テスト ユーザーの名前とパスワードを誤って入力すると、サーバー設定が正しい場合でもテストが失敗します。サーバー設定が正しいことを確認するには、最初に [追加のテスト パラメータ(Additional Test Parameters)] フィールドにユーザー情報を入力せずに [テスト(Test)] をクリックします。正常に完了した場合は、テストする特定ユーザーのユーザー名とパスワードを指定します。

例:

Example 社の JSmith ユーザ クレデンシャルを取得できるかどうかをテストするには、JSmith と正しいパスワードを入力します。

ステップ 17

[保存(Save)] をクリックします。

ステップ 18

このサーバーの使用を有効にします。FMC でのユーザーの外部認証の有効化 を参照してください。

基本的な例

次の図は、Microsoft Active Directory Server の LDAP ログイン認証オブジェクトの基本設定を示します。この例の LDAP サーバの IP アドレスは 10.11.3.4 です。接続ではアクセスのためにポート 389 が使用されます。

LDAP 認証オブジェクト設定のスクリーンショット。

この例では、Example 社の情報テクノロジー ドメインで、セキュリティ部門のベース識別名として OU=security,DC=it,DC=example,DC=com を使用した接続を示しています。

LDAP 認証オブジェクト設定のスクリーンショット。

ただし、このサーバーが Microsoft Active Directory Server であるため、ユーザー名の保存に uid 属性ではなく sAMAccountName 属性が使用されます。サーバのタイプとして MS Active Directory を選択し、[デフォルトの設定(Set Defaults)] をクリックすると、[UI アクセス属性(UI Access Attribute)] が sAMAccountName に設定されます。その結果、ユーザーが Firepower システムへのログインを試行すると、Firepower システムは各オブジェクトの sAMAccountName 属性を検査し、一致するユーザー名を検索します。

また、[シェルアクセス属性(Shell Access Attribute)] が sAMAccountName の場合、ユーザーがアプライアンスで CLI アカウントにログインすると、ディレクトリ内のすべてのオブジェクトの各 sAMAccountName 属性が検査され、一致が検索されます。

基本フィルタはこのサーバーに適用されないため、Firepower システムはベース識別名により示されるディレクトリ内のすべてのオブジェクトの属性を検査することに注意してください。サーバーへの接続は、デフォルトの期間(または LDAP サーバーで設定されたタイムアウト期間)の経過後にタイムアウトします。

高度な例

次の例は、Microsoft Active Directory Server の LDAP ログイン認証オブジェクトの詳細設定を示します。この例の LDAP サーバの IP アドレスは 10.11.3.4 です。接続ではアクセスのためにポート 636 が使用されます。

LDAP ログイン認証オブジェクト設定のスクリーンショット。

この例では、Example 社の情報テクノロジー ドメインで、セキュリティ部門のベース識別名として OU=security,DC=it,DC=example,DC=com を使用した接続を示しています。ただし、このサーバに基本フィルタ (cn=*smith) が設定されていることに注意してください。このフィルタは、サーバーから取得するユーザーを、一般名が smith で終わるユーザーに限定します。

取得された名前をフィルタリングする LDAP ログイン認証オブジェクト設定のスクリーンショット。

サーバへの接続が SSL を使用して暗号化され、certificate.pem という名前の証明書が接続に使用されます。また、[タイムアウト(Timeout)] の設定により、60 秒経過後にサーバーへの接続がタイムアウトします。

このサーバーが Microsoft Active Directory Server であるため、ユーザー名の保存に uid 属性ではなく sAMAccountName 属性が使用されます。設定では、[UI Access Attribute] sAMAccountName であることに注意してください。その結果、ユーザーが Firepower システムへのログインを試行すると、Firepower システムは各オブジェクトの sAMAccountName 属性を検査し、一致するユーザー名を検索します。

また、[シェルアクセス属性(Shell Access Attribute)] が sAMAccountName の場合、ユーザーがアプライアンスで CLI アカウントにログインすると、ディレクトリ内のすべてのオブジェクトの各 sAMAccountName 属性が検査され、一致が検索されます。

この例では、グループ設定も行われます。[メンテナンス ユーザー(Maintenance User)] ロールが、member グループ属性を持ち、ベース ドメイン名が CN=SFmaintenance,=it,=example,=com であるグループのすべてのメンバーに自動的に割り当てられます。

[グループ制御アクセスロール(Group Controlled Access Roles)] 設定のスクリーンショット。

シェルアクセスフィルタは、基本フィルタと同一に設定されます。このため、同じユーザーが Web インターフェイスを使用する場合と同様に、CLI を介してアプライアンスにアクセスできます。

[シェルアクセスフィルタ(Shell Access Filter)] 設定のスクリーンショット。

FMC 用の RADIUS 外部認証オブジェクトの追加

デバイス管理用に外部ユーザをサポートするために、RADIUS サーバを追加します。

マルチドメイン展開では、外部認証オブジェクトは作成されたドメインでのみ使用できます。

手順

ステップ 1

[システム(System)] > [ユーザ(Users)] を選択します。

ステップ 2

[外部認証(External Authentication)] をクリックします。

ステップ 3

[外部認証オブジェクトの追加(Add External Authentication Object)] をクリックします。

ステップ 4

[認証方式(Authentication Method)] を [RADIUS] に設定します。

ステップ 5

[名前(Name)] とオプションの [説明(Description)] を入力します。

ステップ 6

[プライマリサーバ(Primary Server)] の場合は、[ホスト名/IPアドレス(Host Name/IP Address)] を入力します。

ステップ 7

(任意) [ポート(Port)] をデフォルトから変更します。

ステップ 8

[RADIUS秘密キー(RADIUS Secret Key)] を入力します。

ステップ 9

(任意) [バックアップサーバ(Backup Server)] パラメータを入力します。

ステップ 10

(任意) [RADIUS固有のパラメータ(RADIUS-Specific Parameters)] を入力します。

  1. プライマリサーバーを再試行するまでの [タイムアウト(Timeout)] を 1 ~ 1024 の秒単位で入力します。デフォルトは 30 です。

    (注)   

    タイムアウト範囲は FTD と FMC で異なるため、オブジェクトを共有する場合は、FTD の小さめのタイムアウト範囲(1 〜 300 秒)を超えないようにしてください。タイムアウトを高めの値に設定すると、FTD RADIUS 設定が機能しません。

  2. バックアップ サーバーにロールオーバーするまでの [再試行(Retries)] を入力します。デフォルトは 3 です。

  3. ユーザ ロールに対応するフィールドに、各ユーザの名前を入力するか、またはこれらのロールに割り当てる必要がある属性と値のペアを指定します。

    ユーザ名と属性と値のペアは、カンマで区切ります。

    例:

    セキュリティ アナリストとする必要があるすべてのユーザの User-Category 属性の値が Analyst である場合、これらのユーザにそのロールを付与するには、[セキュリティアナリスト(Security Analyst)] フィールドに User-Category=Analyst と入力します。

    例:

    ユーザ jsmithjdoe に管理者ロールを付与する場合は、[管理者(Administrator)] フィールドに jsmith, jdoe と入力します。

    例:

    User-Category の値が Maintenance であるすべてのユーザにメンテナンス ユーザ ロールを付与するには、[メンテナンスユーザ(Maintenance User)] フィールドに User-Category=Maintenance と入力します。

  4. 指定したグループのいずれにも属していないユーザの [デフォルトユーザロール(Default User Role)] を選択します。

ユーザ ロールを変更する場合は、変更した外部認証オブジェクトを保存/展開し、[ユーザ(Users)] 画面からユーザを削除する必要があります。次回のログイン時に、ユーザが自動的に再度追加されます。

ステップ 11

(任意) [カスタムRADIUS属性を定義する(Define Custom RADIUS Attributes)]。

RADIUS サーバが、/etc/radiusclient/ 内の dictionary ファイルに含まれていない属性の値を返し、これらの属性を使用してユーザにユーザ ロールを設定する予定の場合は、これらの属性を定義する必要があります。RADIUS サーバでユーザ プロファイルを調べると、ユーザについて返される属性を見つけることができます。

  1. [属性名(Attribute Name)] を入力します。

    属性を定義する場合は、英数字からなる属性名を指定します。属性名の中の単語を区切るには、スペースではなくダッシュを使用することに注意してください。

  2. [属性ID(Attribute ID)] を整数で入力します。

    属性 ID は整数にする必要があり、etc/radiusclient/dictionary ファイルの既存の属性 ID と競合していてはなりません。

  3. ドロップダウン リストから [属性タイプ(Attribute Type)] を選択します。

    属性のタイプ(文字列、IP アドレス、整数、または日付)も指定します。

  4. [追加(Add)] をクリックして、カスタム属性を追加します。

RADIUS 認証オブジェクトの作成時に、そのオブジェクトの新しいディクショナリ ファイルがデバイスの /var/sf/userauth ディレクトリに作成されます。追加したすべてのカスタム属性は、ディクショナリ ファイルに追加されます。

例:

シスコ ルータが接続しているネットワーク上で RADIUS サーバーが使用される場合に、Ascend-Assign-IP-Pool 属性を使用して、特定の IP アドレス プールからログインするすべてのユーザーに特定のロールを付与するとします。Ascend-Assign-IP-Pool は、ユーザがログインできるアドレス プールを定義する整数属性であり、割り当てられる IP アドレス プールの番号を示す整数が指定されます。

そのカスタム属性を宣言するには、属性名が Ascend-IP-Pool-Definition、属性 ID が 218、属性タイプが integer のカスタム属性を作成します。

次に、Ascend-IP-Pool-Definition 属性値が 2 のすべてのユーザーに対し、読み取り専用の Security Analyst 権限を付与するには、Ascend-Assign-IP-Pool=2 を [セキュリティ アナリスト(読み取り専用)(Security Analyst (Read Only))] フィールドに入力します。

ステップ 12

(任意) [シェルアクセスフィルタ(Shell Access Filter)] エリアの [管理者シェルアクセスユーザーリスト(Administrator Shell Access User List)] フィールドに、CLI アクセスが必要なユーザー名をカンマ区切りで入力します。

これらのユーザー名が RADIUS サーバーのユーザー名と一致していることを確認します。名前は、次のように Linux に対して有効である必要があります。

  • 英数字、ハイフン(-)、およびアンダースコア(_)が使用可で、最大 32 文字

  • すべて小文字

  • 最初の文字にハイフン(-)は使用不可、すべて数字は不可、ピリオド(.)、アット マーク(@)、またはスラッシュ(/)は使用不可

CLI アクセスの RADIUS 認証を防止するには、このフィールドを空白にします。

(注)   

CLI へのアクセス権を持つユーザーは、expert コマンドを使用して Linux シェルにアクセスできます。Linux シェル ユーザは root 権限を取得できます。このため、セキュリティ上のリスクが生じる可能性があります。CLI または Linux シェルアクセスが付与されるユーザのリストを制限してください。

(注)   

シェルアクセスフィルタに含まれているユーザーと同じユーザー名を持つ内部ユーザーを削除します。FMC の場合、内部 CLI ユーザーのみが admin です。そのため、admin 外部ユーザーを作成しないでください。

ステップ 13

(任意) RADIUS サーバーへの FMC 接続をテストするには、[テスト(Test)] をクリックします。

ステップ 14

(任意) [追加のテストパラメータ(Additional Test Parameters)] を入力して、認証できるようにするユーザのユーザ クレデンシャルをテストすることもできます。[ユーザ名(User Name)] と [パスワード(Password)] を入力してから、[テスト(Test)] をクリックします。

ヒント 

テスト ユーザーの名前とパスワードを誤って入力すると、サーバー設定が正しい場合でもテストが失敗します。サーバー設定が正しいことを確認するには、最初に [追加のテスト パラメータ(Additional Test Parameters)] フィールドにユーザー情報を入力せずに [テスト(Test)] をクリックします。正常に完了した場合は、テストする特定ユーザーのユーザー名とパスワードを指定します。

例:

Example 社の JSmith ユーザ クレデンシャルを取得できるかどうかをテストするには、JSmith と正しいパスワードを入力します。

ステップ 15

[保存(Save)] をクリックします。

ステップ 16

このサーバの使用を有効にします。FMC でのユーザーの外部認証の有効化 を参照してください。

単純なユーザー ロールの割り当て

次の図は、IP アドレスが 10.10.10.98 のポート 1812 で Cisco Identity Services Engine(ISE)が稼働しているサーバーのサンプル RADIUS ログイン認証オブジェクトを示します。バックアップサーバーは定義されていません。

次の例は、バックアップサーバーが存在する場合に、Firepower システムがバックアップサーバーへの接続を試みるまでのタイムアウト(30 秒)と失敗した再試行の数を含む、RADIUS 固有のパラメータを示しています。

次の例は、RADIUS ユーザー ロール設定の重要な特徴を示します。

ユーザ ewharton および gsand には、Web インターフェイスの管理アクセスが付与されます。

ユーザ cbronte には、Web インターフェイスのメンテナンス ユーザ アクセスが付与されます。

ユーザー jausten には、Web インターフェイスのセキュリティ アナリスト アクセスが付与されます。

ユーザー ewharton は、CLI アカウントを使用してデバイスにログインできます。

次の図に、この例のロール設定を示します。

属性と値のペアに一致するユーザーのロール

属性と値のペアを使用して、特定のユーザー ロールが付与される必要があるユーザーを示すこともできます。使用する属性がカスタム属性の場合、そのカスタム属性を定義する必要があります。

次の図は、前述の例と同じ ISE サーバーのサンプル RADIUS ログイン認証オブジェクトでのロール設定とカスタム属性の定義を示します。

ただしこの例では、Microsoft リモート アクセス サーバーが使用されているため、1 つ以上のユーザーの MS-RAS-Version カスタム属性が返されます。MS-RAS-Version カスタム属性は文字列であることに注意してください。この例では、Microsoft v. 5.00 リモート アクセス サーバー経由で RADIUS にログインするすべてのユーザーに対し、[セキュリティ アナリスト(読み取り専用)(Security Analyst (Read Only))] ロールが付与される必要があります。このため、属性と値のペア MS-RAS-Version=MSRASV5.00 を [セキュリティ アナリスト(読み取り専用)(Security Analyst (Read Only))] フィールドに入力します。

FMC でのユーザーの外部認証の有効化

管理ユーザーの外部認証を有効にすると、FMC により外部認証オブジェクトで指定された LDAP または RADIUS サーバーを使用してユーザー クレデンシャルが検証されます。

始める前に

FMC 用の LDAP 外部認証オブジェクトの追加およびFMC 用の RADIUS 外部認証オブジェクトの追加に従って 1 つまたは複数の外部認証オブジェクトを追加します。

手順

ステップ 1

[システム(System)] > [ユーザ(Users)]を選択します。

ステップ 2

[外部認証(External Authentication)] をクリックします。

ステップ 3

外部 Web インターフェイスのユーザーにデフォルトのユーザー ロールを設定します。

ロールがないユーザーは、アクションを実行できません。外部認証オブジェクトで定義されたユーザー ロールは、このデフォルトのユーザー ロールをオーバーライドします。

  1. [デフォルトのユーザー ロール(Default User Roles)] の値をクリックします(デフォルトでは何も選択されていません)。

  1. [デフォルトのユーザーロール設定(Default User Role Configuration)] ダイアログ ボックスで、使用するロールをオンにします。

  2. [保存(Save)] をクリックします。

ステップ 4

使用する外部認証オブジェクトそれぞれの横にある 有効なスライダ[有効なスライダ(slider enabled)] をクリックします。複数のオブジェクトを有効にすると、ユーザは指定された順序でサーバと照合されます。サーバーの順序を変更する場合は、次の手順を参照してください。

シェル認証を有効にする場合は、[シェルアクセスフィルタ(Shell Access Filter)] を含む外部認証オブジェクトを有効にする必要があります。また、CLI アクセスのユーザーは、認証オブジェクトがリストの順序で最も高いサーバーに対してのみ認証できます。

ステップ 5

(任意) 認証要求が行われたときに認証サーバーがアクセスされる順序を、サーバーをドラッグアンドドロップして変更できます。
ステップ 6

外部ユーザーに CLI アクセスを許可する場合は、[シェル認証(Shell Authentication)] > [有効(Enabled)] を選択します。

1 番目の外部認証オブジェクト名は、CLI アクセスに使用されるのは 1 番目のオブジェクトだけであることを示すため、[有効(Enabled)] オプションの横に表示されます。

ステップ 7

[Save and Apply] をクリックします。

LDAP を使用した共通アクセス カード認証の設定

組織で共通アクセスカード(CAC)を使用している場合は、Web インターフェイスにログインしている FMC ユーザーを認証するように LDAP 認証を設定できます。CAC 認証により、ユーザーは、デバイスに個別のユーザー名とパスワードを指定せずに直接ログインすることができます。

CAC 認証ユーザーは、Electronic Data Interchange Personal Identifier(EDIPI)番号により識別されます。

非アクティブ状態が 24 時間続くと、デバイスにより CAC 認証ユーザが [ユーザ(Users)] タブから削除されます。その後のログインのたびにユーザーが再度追加されますが、ユーザー ロールに対する手動の変更は再設定する必要があります。

始める前に

CAC 設定プロセスの一部としてユーザ証明書を有効にするには、ブラウザに有効なユーザ証明書(この場合は CAC を介してユーザのブラウザに渡される証明書)が存在している必要があります。CAC 認証および認可の設定後に、ネットワーク上のユーザはブラウズ セッション期間にわたって CAC 接続を維持する必要があります。セッション中に CAC を削除または交換すると、Web ブラウザでセッションが終了し、システムにより Web インターフェイスから強制的にログアウトされます。

手順

ステップ 1

組織の指示に従い CAC を挿入します。

ステップ 2

ブラウザで https://ipaddress_or_hostname/ に移動します。ここで、ipaddress または hostname は使用しているデバイスに対応します。

ステップ 3

プロンプトが表示されたら、ステップ 1 で挿入した CAC に関連付けられた PIN を入力します。

ステップ 4

プロンプトが表示されたら、ドロップダウン リストから該当する証明書を選択します。

ステップ 5

ログイン ページで、[ユーザー名(Username)] フィールドと [パスワード(Password)] フィールドに、管理者権限を持つユーザーとしてログインします。CAC クレデンシャルを使用してログインすることは、まだできません
ステップ 6

[システム(System)] > [ユーザ(Users)] > [外部認証(External Authentication)] を選択します。

ステップ 7

FMC 用の LDAP 外部認証オブジェクトの追加」の手順に従い、CAC 専用の LDAP 認証オブジェクトを作成します。次の設定を行う必要があります。

  • [CAC] チェックボックス。

  • [LDAP固有のパラメータ(LDAP-Specific Parameters)] > [詳細オプションを表示(Show Advanced Options)] > [ユーザー名テンプレート(User Name Template)]

  • [属性マッピング(Attribute Mapping)] > [UIアクセス属性(UI Access Attribute)]
ステップ 8

[保存(Save)] をクリックします。

ステップ 9

FMC でのユーザーの外部認証の有効化の説明に従って、外部認証と CAC 認証を有効にします。

ステップ 10

[システム (System)] > [設定(Configuration)] を選択し、[HTTPS証明書(HTTPS Certificate)] をクリックします。

ステップ 11

HTTPS サーバ証明書をインポートし、必要に応じてHTTPS サーバー証明書のインポートで説明する手順に従います。

使用する予定の CAC で、HTTPS サーバー証明書とユーザー証明書が同じ認証局(CA)により発行される必要があります。

ステップ 12

[HTTPS ユーザー証明書設定(HTTPS User Certificate Settings)] の [ユーザー証明書を有効にする(Enable User Certificates)] を選択します。詳細については、有効な HTTPS クライアント証明書の強制を参照してください。

ステップ 13

CAC クレデンシャルを使用した Firepower Management Center へのログインに従い、デバイスにログインします。

Web インターフェイス用のユーザー ロールのカスタマイズ

各ユーザ アカウントは、ユーザ ロールで定義する必要があります。このセクションでは、ユーザ ロールを管理する方法と、Web インターフェイス アクセス用のカスタム ユーザ ロールを設定する方法について説明します。ユーザー ロールの詳細については、「ユーザの役割」を参照してください。

カスタム ユーザ ロールの作成

カスタム ユーザー ロールには、メニューベースのアクセス許可とシステム アクセス許可の任意のセットを持たせることができます。また、完全にオリジナルのものを作成することや、定義済みのユーザー ロールまたは別のカスタム ユーザー ロールからコピーすることや、別のデバイスからインポートすることができます。


(注)  

システムが同時セッション制限の目的で読み取り専用と見なすカスタムユーザーロールには、[システム(System)] > [ユーザ(Users)] > [ユーザ(Users)] タブと [システム(System)] > [ユーザ(Users)] > [ユーザロール(User Roles)] タブにあるロール名に [(Read Only)] というラベルがシステムによって自動的に付けられます。ユーザー ロールのロール名に [(読み取り専用)((Read Only))] が含まれていない場合、システムはそのロールを読み取り/書き込みと見なします。

カスタム ロールを作成するか、または既存のカスタム ロールを変更したときに、そのロールに対して選択したすべての権限が、読み取り専用になるために必要な条件を満たしている場合、システムは [(読み取り専用)((Read Only))] をロール名に自動的に適用します。読み取り専用のテキスト文字列をロール名に手動で追加してロールを読み取り専用にすることはできません。同時セッション制限の詳細については、グローバル ユーザー構成時の設定を参照してください。


注意    

メニューベースのユーザー管理権限を持つユーザーは、自身の権限を昇格したり、管理者ユーザーロールを含む広範な権限を持つ新しいユーザーアカウントを作成したりできます。システムのセキュリティ上の理由から、ユーザー管理権限を持つユーザーのリストを適切に制限することを強くお勧めします。

手順

ステップ 1

[システム(System)] > [ユーザ(Users)] を選択します。

ステップ 2

[ユーザー ロール(User Roles)] をクリックします。

ステップ 3

次のいずれかの方法で新しいユーザー ロールを追加します。

  • [ユーザ ロールの作成(Create User Role)] をクリックします。

  • コピーするユーザ ロールの横にあるをクリックします。

  • 別のデバイスからカスタム ユーザ ロールをインポートします。

    1. 古いデバイスで、エクスポート[エクスポート(export)] アイコンをクリックしてロールを PC に保存します。

    2. 新しいデバイスで、[システム(System)] > [ツール(Tools)] > [インポート/エクスポート(Import/Export)] を選択します。

    3. [パッケージのアップロード(Upload Package)] をクリックし、指示に従って保存したユーザー ロールを新しいデバイスにインポートします。

ステップ 4

新しいユーザ ロールの [名前(Name)] を入力します。ユーザ ロール名では、大文字と小文字が区別されます。

ステップ 5

(任意) [説明(Description)] を追加します。

ステップ 6

新しいロールの [メニューベースのアクセス許可(Menu-Based Permissions)] を選択します。

アクセス許可を選択すると、その下位にあるアクセス許可もすべて選択され、複数値を持つアクセス許可では最初の値が使用されます。上位のアクセス許可をクリアすると、下位のアクセス許可もすべてクリアされます。アクセス許可を選択しても、下位のアクセス許可を選択しない場合、アクセス許可がイタリックのテキストで表示されます。

カスタム ロールのベースとして使用する事前定義ユーザー ロールをコピーすると、その事前定義ロールに関連付けられているアクセス許可が事前選択されます。

カスタム ユーザー ロールに制限付き検索を適用できます。これらの検索では、[分析(Analysis)] メニューの下にあるテーブルやページでユーザが確認できるデータが制限されます。制限付き検索を設定するには、最初に、プライベートの保存済み検索を作成し、該当するメニュー ベースのアクセス許可の下で [制限付き検索(Restrictive Search)] ドロップダウン メニューからその検索を選択します。

ステップ 7

(任意) 新しいロールのデータベースアクセス権限を設定するには、[外部データベースアクセス(External Database Access)] チェックボックスをオンにします。

このオプションにより、JDBC SSL 接続に対応しているアプリケーションを用いて、データベースに対して読み取り専用アクセスが可能になります。デバイスの認証を行うサードパーティのアプリケーションについては、システム設定内でデータベース アクセスを有効にする必要があります。
ステップ 8

(任意) 新しいユーザー ロールのエスカレーション権限を設定するには、「ユーザ ロール エスカレーションの有効化」を参照してください。

ステップ 9

[保存(Save)] をクリックします。

アクセス コントロール関連機能のカスタム ユーザ ロールを作成して、ユーザのアクセス コントロールおよび関連付けられたポリシーの表示、変更権限の有無を指定できます。

次の表に、作成可能なカスタム ロールと例として挙げたロールでそれぞれ与えられるユーザー権限を示します。表にはそれぞれのカスタム ロールに必要な権限が記載されています。この例では、ポリシー承認者(Policy Approver)はアクセス コントロール ポリシーと侵入ポリシーの表示が可能です(変更はできません)。また、ポリシー承認者は設定の変更をデバイスに展開することもできます。

表 1. アクセス制御のカスタムロールのサンプル

カスタム ロールの権限

例:アクセス コントロール編集者

例:侵入およびネットワーク分析編集者

例:ポリシー承認者

アクセス制御

はい

いいえ

はい

アクセス コントロール ポリシー(Access Control Policy)

はい

いいえ

はい

アクセス制御ポリシーの変更(Modify Access Control Policy)

はい

いいえ

いいえ

侵入ポリシー

いいえ

はい

はい

侵入ポリシーの変更(Modify Intrusion Policy)

いいえ

はい

いいえ

設定をデバイスに展開

いいえ

いいえ

はい

ユーザ ロールの非アクティブ化

ロールを非アクティブにすると、そのロールが割り当てられているすべてのユーザーから、そのロールと関連するアクセス許可が削除されます。事前定義ユーザ ロールは削除できませんが、非アクティブにすることができます。

マルチドメイン展開では、現在のドメインで作成されたカスタムユーザロールが表示されます。これは編集できます。先祖ドメインで作成されたカスタムユーザロールも表示されますが、これは編集できません。下位のドメインのカスタムユーザロールを表示および編集するには、そのドメインに切り替えます。

手順

ステップ 1

[システム(System)] > [ユーザ(Users)]を選択します。

ステップ 2

[ユーザー ロール(User Roles)] をクリックします。

ステップ 3

アクティブまたは非アクティブにするユーザー ロールの横にあるスライダをクリックします。

コントロールが淡色表示されている場合、設定は先祖ドメインに属しており、設定を変更する権限がありません。

Lights-Out Management を含むロールが割り当てられているユーザーがログインしているときに、このロールを非アクティブにしてから再度アクティブにする場合、またはユーザーのログイン セッション中にバックアップからユーザーまたはユーザー ロールを復元する場合、そのユーザーは Web インターフェイスに再度ログインして、IPMItool コマンドへのアクセスを再度取得する必要があります。

ユーザ ロール エスカレーションの有効化

カスタム ユーザ ロールにアクセス許可を付与し、パスワードを設定することで、ベース ロールの特権に加え、他のターゲット ユーザ ロールの特権を一時的に取得できます。この機能により、あるユーザーが不在であるときにそのユーザーを別のユーザーに容易に置き換えることや、拡張ユーザー特権の使用状況を緊密に追跡することができます。デフォルトのユーザ ロールでは、エスカレーションはサポートされません。

たとえば、ユーザのベース ロールに含まれている特権が非常に限られている場合、そのユーザは管理アクションを実行するために管理者ロールにエスカレーションできます。ユーザーが各自のパスワードを使用するか、または指定された別のユーザーのパスワードを使用することができるように、この機能を設定できます。2 番目のオプションでは、該当するすべてのユーザーのための 1 つのエスカレーション パスワードを容易に管理できます。

ユーザ ロール エスカレーションを設定するには、次のワークフローを参照してください。

手順

ステップ 1

エスカレーション ターゲット ロールの設定。エスカレーション ターゲット ロールにすることができるユーザ ロールは一度に 1 つだけです。

ステップ 2

エスカレーション用のカスタム ユーザー ロールの設定
ステップ 3

(ログイン後のユーザーの場合)ユーザ ロールのエスカレーション

エスカレーション ターゲット ロールの設定

各自のユーザー ロール(事前定義またはカスタム)をシステム全体でのエスカレーション ターゲット ロールとして機能するように割り当てることができます。これは、カスタム ロールのエスカレーション先となるロールです(エスカレーションが可能な場合)。エスカレーション ターゲット ロールにすることができるユーザ ロールは一度に 1 つだけです。各エスカレーションはログイン セッション期間中保持され、監査ログに記録されます。

手順
ステップ 1

[システム(System)] > [ユーザ(Users)]を選択します。

ステップ 2

[ユーザ ロール(User Roles)] をクリックします。

ステップ 3

[アクセス許可エスカレーションの設定(Configure Permission Escalation)] をクリックします。

ステップ 4

[エスカレーションターゲット(Escalation Target)] ドロップダウン リストからユーザ ロールを選択します。

ステップ 5

[OK] をクリックして変更を保存します。

エスカレーション ターゲット ロールの変更は即時に反映されます。エスカレーションされたセッションのユーザーには、新しいエスカレーション ターゲットのアクセス許可が付与されます。

エスカレーション用のカスタム ユーザー ロールの設定

エスカレーションを有効にするユーザーは、エスカレーションを有効にしたカスタム ユーザー ロールに属している必要があります。この手順では、カスタム ユーザ ロールのエスカレーションを有効にする方法について説明します。

カスタム ロールのエスカレーション パスワードを設定するときには、部門のニーズを考慮してください。多数のエスカレーション ユーザを容易に管理するには、別のユーザを選択し、そのユーザのパスワードをエスカレーション パスワードとして使用することができます。そのユーザのパスワードを変更するか、またはそのユーザを非アクティブにすると、そのパスワードを必要とするすべてのエスカレーション ユーザが影響を受けます。この操作により、特に一元管理できる外部認証ユーザを選択した場合に、ユーザ ロール エスカレーションをより効率的に管理できます。

始める前に

エスカレーション ターゲット ロールの設定」に従って対象ユーザー ロールを設定します。

手順
ステップ 1

カスタム ユーザ ロールの作成」の説明に従って、カスタム ユーザー ロールの設定を開始します。

ステップ 2

[システム権限(System Permissions)] で、[このロールをエスカレーションする:メンテナンスユーザー(Set this role to escalate to: Maintenance User)] チェックボックスをオンにします。

現在のエスカレーション ターゲット ロールは、チェックボックスの横に表示されます。
ステップ 3

このロールがエスカレーションするときに使用するパスワードを選択します。次の 2 つの対処法があります。

  • このロールを持つユーザがエスカレーション時に自分のパスワードを使用するようにするには、[割り当てられたユーザのパスワードを使用して認証(Authenticate with the assigned user’s password)] を選択します。
  • このロールを持つユーザが別のユーザのパスワードを使用するようにするには、[指定したユーザのパスワードを使用して認証(Authenticate with the specified user’s password)] を選択して、そのユーザ名を入力します。
    (注)   

    別のユーザーのパスワードで認証するときには、任意のユーザー名(非アクティブなユーザーまたは存在しないユーザーを含む)を入力できます。エスカレーションにパスワードが使用されるユーザを非アクティブにすると、そのパスワードを必要とするロールが割り当てられているユーザのエスカレーションが不可能になります。この機能を使用して、必要に応じてエスカレーション機能をただちに削除できます。

ステップ 4

[保存(Save)] をクリックします。

ユーザ ロールのエスカレーション

エスカレーション権限のあるカスタム ユーザー ロールを割り当てられたユーザーは、いつでもターゲット ロールの権限にエスカレーションできます。エスカレーションはユーザー設定に影響しないことに注意してください。

手順
ステップ 1

ユーザー名の下にあるドロップダウン リストから、[アクセス許可のエスカレーション(Escalate Permissions)] を選択します。

このオプションが表示されない場合は、管理者はユーザ ロールのエスカレーションを有効にしていません。
ステップ 2

認証パスワードを入力します。

ステップ 3

[エスカレーション(Escalate)] をクリックします。これで、現行ロールに加え、エスカレーション ターゲット ロールのすべてのアクセス許可が付与されました。

エスカレーションはログイン セッションの残り期間にわたって保持されます。ベース ロールの特権だけに戻すには、ログアウトしてから新しいセッションを開始する必要があります。

LDAP 認証接続のトラブルシューティング

LDAP 認証オブジェクトを作成したが、選択したサーバへの接続が失敗したか、または必要なユーザのリストが取得されなかった場合は、そのオブジェクトの設定を調整できます。

接続のテストで接続が失敗する場合は、設定のトラブルシューティングに関する次の推奨手順を試してください。

  • Web インターフェイス画面上部とテスト出力に示されるメッセージから、問題の原因となっているオブジェクトの部分を確認します。

  • オブジェクトに使用したユーザー名とパスワードが有効であることを確認します。

    • サードパーティの LDAP ブラウザを使用して LDAP サーバーに接続し、ベース識別名に示されているディレクトリを参照する権限があることを確認します。

    • ユーザー名が、LDAP サーバーのディレクトリ情報ツリーで一意であることを確認します。

    • テスト出力に LDAP バインド エラー 49 が示される場合は、ユーザのユーザ バインディングが失敗しています。サードパーティ アプリケーションを使用してサーバ認証を試行し、その接続でも同様にバインディングが失敗するかどうかを確認します。

  • サーバを正しく指定していることを確認します。

    • サーバの IP アドレスまたはホスト名が正しいことを確認します。

    • ローカル アプライアンスから、接続する認証サーバに TCP/IP でアクセスできることを確認します。

    • サーバへのアクセスがファイアウォールによって妨げられないこと、およびオブジェクトで設定されているポートがオープンしていることを確認します。

    • 証明書を使用して TLS または SSL 経由で接続する場合は、証明書のホスト名が、サーバーに使用されているホスト名と一致している必要があります。

    • CLI アクセスを認証する場合は、サーバー接続に IPv6 アドレスを使用していないことを確認します。

    • サーバ タイプのデフォルトを使用している場合は、正しいサーバ タイプであることを確認し、[デフォルトを設定(Set Default)] をもう一度クリックしてデフォルト値をリセットします。

  • ベース識別名を入力した場合は、[DNを取得(Fetch DNs)] をクリックし、サーバーで使用可能なすべてのベース識別名を取得し、リストから名前を選択します。

  • フィルタ、アクセス属性、または詳細設定を使用している場合は、それぞれが有効であり正しく入力されていることを確認します。

  • フィルタ、アクセス属性、または詳細設定を使用している場合は、各設定を削除し、設定なしでオブジェクトをテストしてみます。

  • 基本フィルタまたはシェルアクセスフィルタを使用している場合は、フィルタがカッコで囲まれていて、有効な比較演算子を使用していることを確認します(囲み用のカッコを含めて最大 450 文字)。

  • より制限された基本フィルタをテストするには、特定のユーザーだけを取得するため、フィルタにそのユーザーのベース識別名を設定します。

  • 暗号化接続を使用する場合:

    • 証明書の LDAP サーバの名前が、接続に使用するホスト名と一致していることを確認します。

    • 暗号化されたサーバ接続で IPv6 アドレスを使用していないことを確認します。

  • テスト ユーザを使用する場合、ユーザ名とパスワードが正しく入力されていることを確認します。

  • テスト ユーザーを使用する場合、ユーザー資格情報を削除してオブジェクトをテストします。

  • LDAP サーバーに接続し、次の構文を使用して、使用しているクエリをテストします。 

    
ldapsearch -x -b 'base_distinguished_name'
-h LDAPserver_ip_address -p port -v -D
'user_distinguished_name' -W 'base_filter'

    たとえば、domainadmin@myrtle.example.com ユーザーと基本フィルタ (cn=*) を使用して myrtle.example.com のセキュリティ ドメインに接続する場合は、次のステートメントを使用して接続をテストできます。 

    
ldapsearch -x -b 'CN=security,DC=myrtle,DC=example,DC=com'
-h myrtle.example.com -p 389 -v -D
'domainadmin@myrtle.example.com' -W '(cn=*)'

接続のテストが正常に完了したが、プラットフォーム設定ポリシーの適用後に認証が機能しない場合は、使用する認証とオブジェクトの両方が、デバイスに適用されるプラットフォーム設定ポリシーで有効になっていることを確認します。

正常に接続したが、接続で取得されたユーザーリストを調整する必要がある場合は、基本フィルタまたはシェルアクセスフィルタを追加または変更するか、ベース DN をさらに制限するかまたは制限を緩めて使用することができます。

Active Directory(AD)サーバーへの接続を認証しているときに、AD サーバーへの接続が成功しても、接続イベントログにブロックされた LDAP トラフィックが示されることはほとんどありません。この不正な接続ログは、AD サーバーが重複したリセットパケットを送信したときに発生します。FTD デバイスは、2 番目のリセットパケットを新しい接続要求の一部として識別し、ブロックアクションを使用して接続をログに記録します。

FMC のユーザーアカウントの履歴

機能

バージョン

詳細(Details)
Cisco Security Manager シングルサインオンのサポート終了 6.5

FMC と Cisco Security Manager 間のシングルサインオンは、Firepower 6.5 ではサポートされなくなりました。

新しい/変更された画面:

[システム(System)] > [ユーザ(Users)]([System] > [Users])> [CSMシングルサインオン(CSM Single Sign-on)]

強化されたパスワード セキュリティ

6.5

この章内の 1 箇所に強力なパスワードの新しい要件が記載されるようになり、他の章から相互参照されます。

変更された画面はありません

サポート対象プラットフォーム: FMC