- はじめに
- コマンドライン インターフェイスの使用
-
- セキュリティ機能の概要
- 不正アクセスの防止
- パスワードおよび権限レベルによるスイッチ アクセスの制御
- TACACS+ の設定
- RADIUS の設定
- Kerberos の設定
- ローカル認証および許可の設定
- セキュア シェル(SSH)の設定
- Secure Socket Layer HTTP の設定
- IPv4 ACL の設定
- IPv6 ACL の設定
- DHCP の設定
- IP ソース ガードの設定
- ダイナミック ARP インスペクションの設定
- IEEE 802.1x ポートベースの認証の設定
- Web ベース認証の設定
- ポート単位のトラフィック制御の設定
- IPv6 ファースト ホップ セキュリティの設定
- FIPS の設定
- 重要な通知
統合プラットフォーム コンフィギュレーション ガイド、Cisco IOS Release 15.2(3) E(Catalyst 3560-CX および 2960 CX スイッチ)
- Updated:
- 2017年6月12日
章のタイトル: パスワードおよび権限レベルによるスイッチ アクセスの制御
目次
- パスワードおよび権限レベルによるスイッチ アクセスの制御
- 機能情報の確認
- パスワードおよび権限によるスイッチ アクセスの制御の制約事項
- パスワードおよび権限レベルに関する情報
- デフォルトのパスワードおよび権限レベル設定
- 追加のパスワード セキュリティ
- パスワードの回復
- 端末回線の Telnet 設定
- ユーザ名とパスワードのペア
- 権限レベル
- パスワードおよび権限レベルでスイッチ アクセスを制御する方法
- スタティック イネーブル パスワードの設定または変更
- 暗号化によるイネーブルおよびイネーブル シークレット パスワードの保護
- パスワード回復のディセーブル化
- 端末回線に対する Telnet パスワードの設定
- ユーザ名とパスワードのペアの設定
- コマンドの特権レベルの設定
- 回線のデフォルト特権レベルの変更
- 権限レベルへのログインおよび終了
- スイッチ アクセスのモニタリング
- パスワードおよび権限レベルの設定例
- 例:スタティック イネーブル パスワードの設定または変更
- 例:暗号化によるイネーブルおよびイネーブル シークレット パスワードの保護
- 例:端末回線に対する Telnet パスワードの設定
- 例:コマンドの権限レベルの設定
- 機能情報の確認
- パスワードおよび権限によるスイッチ アクセスの制御の制約事項
- パスワードおよび権限レベルに関する情報
- パスワードおよび権限レベルでスイッチ アクセスを制御する方法
- スイッチ アクセスのモニタリング
- パスワードおよび権限レベルの設定例
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースの Bug Search Tool およびリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、http://www.cisco.com/go/cfn からアクセスします。 Cisco.com のアカウントは必要ありません。
パスワードおよび権限によるスイッチ アクセスの制御の制約事項
パスワードおよび権限によるスイッチ アクセスの制御の制約事項は、次のとおりです。
デフォルトのパスワードおよび権限レベル設定
ネットワークで端末のアクセス コントロールを行う簡単な方法は、パスワードを使用して権限レベルを割り当てることです。 パスワード保護によって、ネットワークまたはネットワーク デバイスへのアクセスが制限されます。 権限レベルによって、ネットワーク デバイスにログイン後、ユーザがどのようなコマンドを使用できるかが定義されます。
| 機能 |
デフォルト設定 |
|---|---|
| イネーブル パスワードおよび権限レベル |
パスワードは定義されていません。 デフォルトはレベル 15 です(特権 EXEC レベル)。 パスワードは、コンフィギュレーション ファイル内では暗号化されていない状態です。 |
| イネーブル シークレット パスワードおよび権限レベル |
パスワードは定義されていません。 デフォルトはレベル 15 です(特権 EXEC レベル)。 パスワードは、暗号化されてからコンフィギュレーション ファイルに書き込まれます。 |
| 回線パスワード |
パスワードは定義されていません。 |
追加のパスワード セキュリティ
追加のセキュリティ レイヤを、特にネットワークを越えるパスワードや Trivial File Transfer Protocol(TFTP)サーバに保存されているパスワードに対して設定する場合には、enable password または enable secret グローバル コンフィギュレーション コマンドを使用できます。 コマンドの作用はどちらも同じです。このコマンドにより、暗号化されたパスワードを設定できます。特権 EXEC モード(デフォルト設定)または特定の権限レベルにアクセスするユーザは、このパスワードを入力する必要があります。
より高度な暗号化アルゴリズムが使用されるので、enable secret コマンドを使用することを推奨します。
enable secret コマンドを設定した場合、このコマンドは enable password コマンドよりも優先されます。同時に 2 つのコマンドを有効にはできません。
パスワードの暗号化をイネーブルにすると、ユーザ名パスワード、認証キー パスワード、イネーブル コマンド パスワード、コンソールおよび仮想端末回線パスワードなど、すべてのパスワードに適用されます。
パスワードの回復
スイッチに物理的にアクセスできるエンド ユーザは、デフォルトで、スイッチの電源投入時にブート プロセスに割り込み、新しいパスワードを入力することによって、失われたパスワードを回復できます。
パスワード回復ディセーブル化機能では、この機能の一部をディセーブルにすることによりスイッチのパスワードへのアクセスを保護できます。 この機能がイネーブルの場合、エンド ユーザは、システムをデフォルト設定に戻すことに同意した場合に限り、ブート プロセスに割り込むことができます。 パスワード回復をディセーブルにしても、ブート プロセスに割り込んでパスワードを変更できますが、コンフィギュレーション ファイル(config.text)および VLAN データベース ファイル(vlan.dat)は削除されます。
パスワード回復をディセーブルにする場合は、エンド ユーザがブート プロセスに割り込んでシステムをデフォルトの状態に戻すような場合に備え、セキュア サーバにコンフィギュレーション ファイルのバックアップ コピーを保存しておくことを推奨します。 スイッチ上でコンフィギュレーション ファイルのバックアップ コピーを保存しないでください。 VTP(VLAN トランキング プロトコル)トランスペアレント モードでスイッチが動作している場合は、VLAN データベース ファイルのバックアップ コピーも同様にセキュア サーバに保存してください。 スイッチがシステムのデフォルト設定に戻ったときに、XMODEM プロトコルを使用して、保存したファイルをスイッチにダウンロードできます。
パスワードの回復を再びイネーブルにするには、service password-recovery グローバル コンフィギュレーション コマンドを使用します。
端末回線の Telnet 設定
初めてスイッチに電源を投入すると、自動セットアップ プログラムが起動して IP 情報を割り当て、この後続けて使用できるようにデフォルト設定を作成します。 さらに、セットアップ プログラムは、パスワードによる Telnet アクセス用にスイッチを設定することを要求します。 セットアップ プログラムの実行中にこのパスワードを設定しなかった場合は、端末回線に対する Telnet パスワードを設定するときに設定できます。
ユーザ名とパスワードのペア
ユーザ名とパスワードのペアを設定できます。このペアはスイッチ上でローカルに保存されます。 このペアは回線またはポートに割り当てられ、各ユーザを認証します。ユーザは認証後、スイッチにアクセスできます。 権限レベルを定義している場合は、ユーザ名とパスワードの各ペアに特定の権限レベルを、対応する権利および権限とともに割り当てることもできます。
権限レベル
Cisco スイッチ(および他のデバイス)では、権限レベルを使用して、スイッチ動作の異なるレベルに対してパスワード セキュリティを提供します。 デフォルトでは、Cisco IOS ソフトウェアは、パスワード セキュリティの 2 つのモード(権限レベル)で動作します。ユーザ EXEC(レベル 1)および特権 EXEC(レベル 15)です。 各モードに、最大 16 個の階層レベルからなるコマンドを設定できます。 複数のパスワードを設定することにより、ユーザ グループ別に特定のコマンドへのアクセスを許可することができます。
回線の権限レベル
ユーザは、回線にログインし、別の権限レベルをイネーブルに設定することにより、privilege level ライン コンフィギュレーション コマンドを使用して設定された権限レベルを上書きできます。 また、disable コマンドを使用することにより、権限レベルを引き下げることができます。 上位の権限レベルのパスワードがわかっていれば、ユーザはそのパスワードを使用して上位の権限レベルをイネーブルにできます。 回線の使用を制限するには、コンソール回線に高いレベルまたは権限レベルを指定してください。
たとえば、多くのユーザに clear line コマンドへのアクセスを許可する場合、レベル 2 のセキュリティを割り当て、レベル 2 のパスワードを広範囲のユーザに配布できます。 また、configure コマンドへのアクセス制限を強化する場合は、レベル 3 のセキュリティを割り当て、そのパスワードを限られたユーザ グループに配布することもできます。
コマンド権限レベル
コマンドをある権限レベルに設定すると、構文がそのコマンドのサブセットであるコマンドはすべて、そのレベルに設定されます。 たとえば、show ip traffic コマンドをレベル 15 に設定すると、show コマンドおよび show ip コマンドは、それぞれ別のレベルに設定しない限り、自動的にレベル 15 に設定されます。
スタティック イネーブル パスワードの設定または変更
イネーブル パスワードは、特権 EXEC モードへのアクセスを制御します。 スタティック イネーブル パスワードを設定または変更するには、次の手順を実行します。
1. enable
3. enable passwordpassword
6. copy running-config startup-config
手順の詳細
暗号化によるイネーブルおよびイネーブル シークレット パスワードの保護
特権 EXEC モード(デフォルト)または指定された特権レベルにアクセスするためにユーザが入力する必要がある暗号化パスワードを確立するには、次の手順を実行します。
1. enable
3. 次のいずれかを使用します。
4. service password-encryption
7. copy running-config startup-config
手順の詳細
パスワード回復のディセーブル化
パスワードの回復をディセーブルにしてスイッチのセキュリティを保護するには、次の手順を実行します。
パスワード回復をディセーブルにする場合は、エンド ユーザがブート プロセスに割り込んでシステムをデフォルトの状態に戻すような場合に備え、セキュア サーバにコンフィギュレーション ファイルのバックアップ コピーを保存しておくことを推奨します。 スイッチ上でコンフィギュレーション ファイルのバックアップ コピーを保存しないでください。 VTP(VLAN トランキング プロトコル)トランスペアレント モードでスイッチが動作している場合は、VLAN データベース ファイルのバックアップ コピーも同様にセキュア サーバに保存してください。 スイッチがシステムのデフォルト設定に戻ったときに、XMODEM プロトコルを使用して、保存したファイルをスイッチにダウンロードできます。
1. enable
3. no service password-recovery
6. copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
| ステップ 2 |
configureterminal 例: Switch# configure terminal |
|
| ステップ 3 | no service password-recovery 例:
Switch(config)# no service password-recovery
|
パスワード回復をディセーブルにします。 この設定は、フラッシュ メモリの中で、ブートローダおよび Cisco IOS イメージがアクセスできる領域に保存されますが、ファイル システムには含まれません。また、ユーザがアクセスすることはできません。 |
| ステップ 4 |
end 例: Switch(config)# end |
|
| ステップ 5 |
show running-config 例: Switch# show running-config |
|
| ステップ 6 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
パスワードの回復を再びイネーブルにするには、service password-recovery グローバル コンフィギュレーション コマンドを使用します。
端末回線に対する Telnet パスワードの設定
接続された端末回線に対する Telnet パスワードを設定するには、ユーザ EXEC モードで次の手順を実行します。
1. enable
3. line vty 0 15
4. passwordpassword
5. end
7. copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
| ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードを開始します。 |
||
| ステップ 2 |
configureterminal 例: Switch# configure terminal |
|||
| ステップ 3 | line vty 0 15 例:
Switch(config)# line vty 0 15
|
Telnet セッション(回線)の数を設定し、ライン コンフィギュレーション モードを開始します。 コマンド対応Switchでは、最大 16 のセッションが可能です。 0 および 15 を指定すると、使用できる 16 の Telnet セッションすべてを設定することになります。 |
||
| ステップ 4 | passwordpassword 例:
Switch(config-line)# password abcxyz543
|
1 つまたは複数の回線に対応する Telnet パスワードを設定します。 password には、1 ~ 25 文字の英数字のストリングを指定します。 ストリングを数字で始めることはできません。大文字と小文字を区別し、スペースを使用できますが、先行スペースは無視されます。 デフォルトでは、パスワードは定義されません。 |
||
| ステップ 5 | end 例:
Switch(config-line)# end
|
特権 EXEC モードに戻ります。 |
||
| ステップ 6 |
show running-config 例: Switch# show running-config |
|||
| ステップ 7 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
ユーザ名とパスワードのペアの設定
ユーザ名とパスワードのペアを設定するには、次の手順を実行します。
1. enable
3. usernamename [privilegelevel] {passwordencryption-typepassword}
4. 次のいずれかを使用します。
5. login local
8. copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
| ステップ 2 |
configureterminal 例: Switch# configure terminal |
|
| ステップ 3 | usernamename [privilegelevel] {passwordencryption-typepassword} 例:
Switch(config)# username adamsample privilege 1 password secret456
Switch(config)# username 111111111111 mac attribute |
各ユーザのユーザ名、権限レベル、パスワードを設定します。
|
| ステップ 4 | 次のいずれかを使用します。
例: Switch(config)# line console 0
または Switch(config)# line vty 15
|
ライン コンフィギュレーション モードを開始し、コンソール ポート(回線 0)または VTY 回線(回線 0 ~ 15)を設定します。 |
| ステップ 5 | login local 例:
Switch(config-line)# login local
|
ログイン時のローカル パスワード チェックをイネーブルにします。 認証は、ステップ 3 で指定されたユーザ名に基づきます。 |
| ステップ 6 |
end 例: Switch(config)# end |
|
| ステップ 7 |
show running-config 例: Switch# show running-config |
|
| ステップ 8 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
コマンドの特権レベルの設定
コマンドの権限レベルを設定するには、次の手順を実行します。
1. enable
3. privilegemodelevellevelcommand
4. enable password levellevelpassword
6. copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
| ステップ 2 |
configureterminal 例: Switch# configure terminal |
|
| ステップ 3 | privilegemodelevellevelcommand 例:
Switch(config)# privilege exec level 14 configure
|
コマンドの特権レベルを設定します。 |
| ステップ 4 | enable password levellevelpassword 例:
Switch(config)# enable password level 14 SecretPswd14
|
権限レベルをイネーブルにするためのパスワードを指定します。 |
| ステップ 5 |
end 例: Switch(config)# end |
|
| ステップ 6 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
回線のデフォルト特権レベルの変更
指定した回線のデフォルトの権限レベルを変更するには、次の手順を実行します。
1. enable
3. line vtyline
4. privilege levellevel
6. copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
| ステップ 2 |
configureterminal 例: Switch# configure terminal |
|
| ステップ 3 | line vtyline 例:
Switch(config)# line vty 10
|
アクセスを制限する仮想端末回線を選択します。 |
| ステップ 4 | privilege levellevel 例:
Switch(config)# privilege level 15
|
回線のデフォルト特権レベルを変更します。 level の範囲は 0 ~ 15 です。 レベル 1 が通常のユーザ EXEC モード権限です。 レベル 15 は、enable パスワードによって許可されるアクセス レベルです。 |
| ステップ 5 |
end 例: Switch(config)# end |
|
| ステップ 6 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
ユーザは、回線にログインし、別の権限レベルをイネーブルに設定することにより、privilege level ライン コンフィギュレーション コマンドを使用して設定された権限レベルを上書きできます。 また、disable コマンドを使用することにより、権限レベルを引き下げることができます。 上位の権限レベルのパスワードがわかっていれば、ユーザはそのパスワードを使用して上位の権限レベルをイネーブルにできます。 回線の使用を制限するには、コンソール回線に高いレベルまたは権限レベルを指定してください。
権限レベルへのログインおよび終了
指定した権限レベルにログインする、または指定した権限レベルを終了するには、ユーザ EXEC モードで次の手順を実行します。
1. enablelevel
2. disablelevel
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 | enablelevel 例:
Switch> enable 15
|
指定された特権レベルにログインします。 この例で、レベル 15 は特権 EXEC モードです。 level に指定できる範囲は 0 ~ 15 です。 |
| ステップ 2 | disablelevel 例:
Switch# disable 1
|
指定した特権レベルを終了します。 この例で、レベル 1 はユーザ EXEC モードです。 level に指定できる範囲は 0 ~ 15 です。 |
スイッチ アクセスのモニタリング
パスワードおよび権限レベルの設定例
- 例:スタティック イネーブル パスワードの設定または変更
- 例:暗号化によるイネーブルおよびイネーブル シークレット パスワードの保護
- 例:端末回線に対する Telnet パスワードの設定
- 例:コマンドの権限レベルの設定
例:スタティック イネーブル パスワードの設定または変更
次に、イネーブル パスワードをl1u2c3k4y5 に変更する例を示します。 パスワードは暗号化されておらず、レベル 15 のアクセスが与えられます(従来の特権 EXEC モード アクセス)。
Switch(config)# enable password l1u2c3k4y5
例:暗号化によるイネーブルおよびイネーブル シークレット パスワードの保護
次に、権限レベル 2 に対して暗号化パスワード $1$FaD0$Xyti5Rkls3LoyxzS8 を設定する例を示します。
Switch(config)# enable secret level 2 5 $1$FaD0$Xyti5Rkls3LoyxzS8
例:端末回線に対する Telnet パスワードの設定
次に、Telnet パスワードを let45me67in89 に設定する例を示します。
Switch(config)# line vty 10 Switch(config-line)# password let45me67in89
例:コマンドの権限レベルの設定
configure コマンドを権限レベル 14 に設定し、レベル 14 のコマンドを使用する場合にユーザが入力するパスワードとして SecretPswd14 を定義する例を示します。
Switch(config)# privilege exec level 14 configure Switch(config)# enable password level 14 SecretPswd14
目次
- パスワードおよび権限レベルによるスイッチ アクセスの制御
- 機能情報の確認
- パスワードおよび権限によるスイッチ アクセスの制御の制約事項
- パスワードおよび権限レベルに関する情報
- デフォルトのパスワードおよび権限レベル設定
- 追加のパスワード セキュリティ
- パスワードの回復
- 端末回線の Telnet 設定
- ユーザ名とパスワードのペア
- 権限レベル
- パスワードおよび権限レベルでスイッチ アクセスを制御する方法
- スタティック イネーブル パスワードの設定または変更
- 暗号化によるイネーブルおよびイネーブル シークレット パスワードの保護
- パスワード回復のディセーブル化
- 端末回線に対する Telnet パスワードの設定
- ユーザ名とパスワードのペアの設定
- コマンドの特権レベルの設定
- 回線のデフォルト特権レベルの変更
- 権限レベルへのログインおよび終了
- スイッチ アクセスのモニタリング
- パスワードおよび権限レベルの設定例
- 例:スタティック イネーブル パスワードの設定または変更
- 例:暗号化によるイネーブルおよびイネーブル シークレット パスワードの保護
- 例:端末回線に対する Telnet パスワードの設定
- 例:コマンドの権限レベルの設定
- 機能情報の確認
- パスワードおよび権限によるスイッチ アクセスの制御の制約事項
- パスワードおよび権限レベルに関する情報
- パスワードおよび権限レベルでスイッチ アクセスを制御する方法
- スイッチ アクセスのモニタリング
- パスワードおよび権限レベルの設定例
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースの Bug Search Tool およびリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、http://www.cisco.com/go/cfn からアクセスします。 Cisco.com のアカウントは必要ありません。
デフォルトのパスワードおよび権限レベル設定
ネットワークで端末のアクセス コントロールを行う簡単な方法は、パスワードを使用して権限レベルを割り当てることです。 パスワード保護によって、ネットワークまたはネットワーク デバイスへのアクセスが制限されます。 権限レベルによって、ネットワーク デバイスにログイン後、ユーザがどのようなコマンドを使用できるかが定義されます。
| 機能 |
デフォルト設定 |
|---|---|
| イネーブル パスワードおよび権限レベル |
パスワードは定義されていません。 デフォルトはレベル 15 です(特権 EXEC レベル)。 パスワードは、コンフィギュレーション ファイル内では暗号化されていない状態です。 |
| イネーブル シークレット パスワードおよび権限レベル |
パスワードは定義されていません。 デフォルトはレベル 15 です(特権 EXEC レベル)。 パスワードは、暗号化されてからコンフィギュレーション ファイルに書き込まれます。 |
| 回線パスワード |
パスワードは定義されていません。 |
追加のパスワード セキュリティ
追加のセキュリティ レイヤを、特にネットワークを越えるパスワードや Trivial File Transfer Protocol(TFTP)サーバに保存されているパスワードに対して設定する場合には、enable password または enable secret グローバル コンフィギュレーション コマンドを使用できます。 コマンドの作用はどちらも同じです。このコマンドにより、暗号化されたパスワードを設定できます。特権 EXEC モード(デフォルト設定)または特定の権限レベルにアクセスするユーザは、このパスワードを入力する必要があります。
より高度な暗号化アルゴリズムが使用されるので、enable secret コマンドを使用することを推奨します。
enable secret コマンドを設定した場合、このコマンドは enable password コマンドよりも優先されます。同時に 2 つのコマンドを有効にはできません。
パスワードの暗号化をイネーブルにすると、ユーザ名パスワード、認証キー パスワード、イネーブル コマンド パスワード、コンソールおよび仮想端末回線パスワードなど、すべてのパスワードに適用されます。
パスワードの回復
スイッチに物理的にアクセスできるエンド ユーザは、デフォルトで、スイッチの電源投入時にブート プロセスに割り込み、新しいパスワードを入力することによって、失われたパスワードを回復できます。
パスワード回復ディセーブル化機能では、この機能の一部をディセーブルにすることによりスイッチのパスワードへのアクセスを保護できます。 この機能がイネーブルの場合、エンド ユーザは、システムをデフォルト設定に戻すことに同意した場合に限り、ブート プロセスに割り込むことができます。 パスワード回復をディセーブルにしても、ブート プロセスに割り込んでパスワードを変更できますが、コンフィギュレーション ファイル(config.text)および VLAN データベース ファイル(vlan.dat)は削除されます。
パスワード回復をディセーブルにする場合は、エンド ユーザがブート プロセスに割り込んでシステムをデフォルトの状態に戻すような場合に備え、セキュア サーバにコンフィギュレーション ファイルのバックアップ コピーを保存しておくことを推奨します。 スイッチ上でコンフィギュレーション ファイルのバックアップ コピーを保存しないでください。 VTP(VLAN トランキング プロトコル)トランスペアレント モードでスイッチが動作している場合は、VLAN データベース ファイルのバックアップ コピーも同様にセキュア サーバに保存してください。 スイッチがシステムのデフォルト設定に戻ったときに、XMODEM プロトコルを使用して、保存したファイルをスイッチにダウンロードできます。
パスワードの回復を再びイネーブルにするには、service password-recovery グローバル コンフィギュレーション コマンドを使用します。
関連タスク
端末回線の Telnet 設定
初めてスイッチに電源を投入すると、自動セットアップ プログラムが起動して IP 情報を割り当て、この後続けて使用できるようにデフォルト設定を作成します。 さらに、セットアップ プログラムは、パスワードによる Telnet アクセス用にスイッチを設定することを要求します。 セットアップ プログラムの実行中にこのパスワードを設定しなかった場合は、端末回線に対する Telnet パスワードを設定するときに設定できます。
関連タスク
ユーザ名とパスワードのペア
ユーザ名とパスワードのペアを設定できます。このペアはスイッチ上でローカルに保存されます。 このペアは回線またはポートに割り当てられ、各ユーザを認証します。ユーザは認証後、スイッチにアクセスできます。 権限レベルを定義している場合は、ユーザ名とパスワードの各ペアに特定の権限レベルを、対応する権利および権限とともに割り当てることもできます。
関連タスク
権限レベル
Cisco スイッチ(および他のデバイス)では、権限レベルを使用して、スイッチ動作の異なるレベルに対してパスワード セキュリティを提供します。 デフォルトでは、Cisco IOS ソフトウェアは、パスワード セキュリティの 2 つのモード(権限レベル)で動作します。ユーザ EXEC(レベル 1)および特権 EXEC(レベル 15)です。 各モードに、最大 16 個の階層レベルからなるコマンドを設定できます。 複数のパスワードを設定することにより、ユーザ グループ別に特定のコマンドへのアクセスを許可することができます。
回線の権限レベル
ユーザは、回線にログインし、別の権限レベルをイネーブルに設定することにより、privilege level ライン コンフィギュレーション コマンドを使用して設定された権限レベルを上書きできます。 また、disable コマンドを使用することにより、権限レベルを引き下げることができます。 上位の権限レベルのパスワードがわかっていれば、ユーザはそのパスワードを使用して上位の権限レベルをイネーブルにできます。 回線の使用を制限するには、コンソール回線に高いレベルまたは権限レベルを指定してください。
たとえば、多くのユーザに clear line コマンドへのアクセスを許可する場合、レベル 2 のセキュリティを割り当て、レベル 2 のパスワードを広範囲のユーザに配布できます。 また、configure コマンドへのアクセス制限を強化する場合は、レベル 3 のセキュリティを割り当て、そのパスワードを限られたユーザ グループに配布することもできます。
関連資料
スタティック イネーブル パスワードの設定または変更
手順の概要
手順の詳細
1. enable
3. enable passwordpassword
6. copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
| ステップ 2 |
configureterminal 例: Switch# configure terminal |
|
| ステップ 3 | enable passwordpassword 例:
Switch(config)# enable password secret321
|
特権 EXEC モードにアクセスするための新しいパスワードを定義するか、既存のパスワードを変更します。 デフォルトでは、パスワードは定義されません。 password には、1 ~ 25 文字の英数字のストリングを指定します。 ストリングを数字で始めることはできません。大文字と小文字を区別し、スペースを使用できますが、先行スペースは無視されます。 疑問符(?)は、パスワードを作成する場合に、疑問符の前に Ctrl+v を入力すれば使用できます。たとえば、パスワード abc?123 を作成するときは、次のようにします。 システムからイネーブル パスワードを入力するように求められた場合、疑問符の前に Ctrl+v を入力する必要はなく、パスワードのプロンプトにそのまま abc?123 と入力できます。 |
| ステップ 4 |
end 例: Switch(config)# end |
|
| ステップ 5 |
show running-config 例: Switch# show running-config |
|
| ステップ 6 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
暗号化によるイネーブルおよびイネーブル シークレット パスワードの保護
手順の概要
手順の詳細
1. enable
3. 次のいずれかを使用します。
4. service password-encryption
7. copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
| ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
||
| ステップ 2 |
configureterminal 例: Switch# configure terminal |
|||
| ステップ 3 | 次のいずれかを使用します。
例: Switch(config)# enable password example102
または Switch(config)# enable secret level 1 password secret123sample
|
|
||
| ステップ 4 | service password-encryption 例:
Switch(config)# service password-encryption
|
(任意)パスワードの定義時または設定の書き込み時に、パスワードを暗号化します。 暗号化を行うと、コンフィギュレーション ファイル内でパスワードが読み取り可能な形式になるのを防止できます。 |
||
| ステップ 5 |
end 例: Switch(config)# end |
|||
| ステップ 6 |
show running-config 例: Switch# show running-config |
|||
| ステップ 7 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
関連コンセプト
パスワード回復のディセーブル化
はじめる前に
手順の概要
パスワード回復をディセーブルにする場合は、エンド ユーザがブート プロセスに割り込んでシステムをデフォルトの状態に戻すような場合に備え、セキュア サーバにコンフィギュレーション ファイルのバックアップ コピーを保存しておくことを推奨します。 スイッチ上でコンフィギュレーション ファイルのバックアップ コピーを保存しないでください。 VTP(VLAN トランキング プロトコル)トランスペアレント モードでスイッチが動作している場合は、VLAN データベース ファイルのバックアップ コピーも同様にセキュア サーバに保存してください。 スイッチがシステムのデフォルト設定に戻ったときに、XMODEM プロトコルを使用して、保存したファイルをスイッチにダウンロードできます。
1. enable
3. no service password-recovery
6. copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
| ステップ 2 |
configureterminal 例: Switch# configure terminal |
|
| ステップ 3 | no service password-recovery 例:
Switch(config)# no service password-recovery
|
パスワード回復をディセーブルにします。 この設定は、フラッシュ メモリの中で、ブートローダおよび Cisco IOS イメージがアクセスできる領域に保存されますが、ファイル システムには含まれません。また、ユーザがアクセスすることはできません。 |
| ステップ 4 |
end 例: Switch(config)# end |
|
| ステップ 5 |
show running-config 例: Switch# show running-config |
|
| ステップ 6 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
パスワードの回復を再びイネーブルにするには、service password-recovery グローバル コンフィギュレーション コマンドを使用します。
関連コンセプト
端末回線に対する Telnet パスワードの設定
手順の概要
手順の詳細
1. enable
3. line vty 0 15
4. passwordpassword
5. end
7. copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
| ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードを開始します。 |
||
| ステップ 2 |
configureterminal 例: Switch# configure terminal |
|||
| ステップ 3 | line vty 0 15 例:
Switch(config)# line vty 0 15
|
Telnet セッション(回線)の数を設定し、ライン コンフィギュレーション モードを開始します。 コマンド対応Switchでは、最大 16 のセッションが可能です。 0 および 15 を指定すると、使用できる 16 の Telnet セッションすべてを設定することになります。 |
||
| ステップ 4 | passwordpassword 例:
Switch(config-line)# password abcxyz543
|
1 つまたは複数の回線に対応する Telnet パスワードを設定します。 password には、1 ~ 25 文字の英数字のストリングを指定します。 ストリングを数字で始めることはできません。大文字と小文字を区別し、スペースを使用できますが、先行スペースは無視されます。 デフォルトでは、パスワードは定義されません。 |
||
| ステップ 5 | end 例:
Switch(config-line)# end
|
特権 EXEC モードに戻ります。 |
||
| ステップ 6 |
show running-config 例: Switch# show running-config |
|||
| ステップ 7 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
ユーザ名とパスワードのペアの設定
手順の概要
手順の詳細
1. enable
3. usernamename [privilegelevel] {passwordencryption-typepassword}
4. 次のいずれかを使用します。
5. login local
8. copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
| ステップ 2 |
configureterminal 例: Switch# configure terminal |
|
| ステップ 3 | usernamename [privilegelevel] {passwordencryption-typepassword} 例:
Switch(config)# username adamsample privilege 1 password secret456
Switch(config)# username 111111111111 mac attribute |
各ユーザのユーザ名、権限レベル、パスワードを設定します。
|
| ステップ 4 | 次のいずれかを使用します。
例: Switch(config)# line console 0
または Switch(config)# line vty 15
|
ライン コンフィギュレーション モードを開始し、コンソール ポート(回線 0)または VTY 回線(回線 0 ~ 15)を設定します。 |
| ステップ 5 | login local 例:
Switch(config-line)# login local
|
ログイン時のローカル パスワード チェックをイネーブルにします。 認証は、ステップ 3 で指定されたユーザ名に基づきます。 |
| ステップ 6 |
end 例: Switch(config)# end |
|
| ステップ 7 |
show running-config 例: Switch# show running-config |
|
| ステップ 8 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
コマンドの特権レベルの設定
手順の概要
手順の詳細
1. enable
3. privilegemodelevellevelcommand
4. enable password levellevelpassword
6. copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
| ステップ 2 |
configureterminal 例: Switch# configure terminal |
|
| ステップ 3 | privilegemodelevellevelcommand 例:
Switch(config)# privilege exec level 14 configure
|
コマンドの特権レベルを設定します。 |
| ステップ 4 | enable password levellevelpassword 例:
Switch(config)# enable password level 14 SecretPswd14
|
権限レベルをイネーブルにするためのパスワードを指定します。 |
| ステップ 5 |
end 例: Switch(config)# end |
|
| ステップ 6 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
関連資料
関連情報
回線のデフォルト特権レベルの変更
手順の概要
手順の詳細
次の作業
1. enable
3. line vtyline
4. privilege levellevel
6. copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
| ステップ 2 |
configureterminal 例: Switch# configure terminal |
|
| ステップ 3 | line vtyline 例:
Switch(config)# line vty 10
|
アクセスを制限する仮想端末回線を選択します。 |
| ステップ 4 | privilege levellevel 例:
Switch(config)# privilege level 15
|
回線のデフォルト特権レベルを変更します。 level の範囲は 0 ~ 15 です。 レベル 1 が通常のユーザ EXEC モード権限です。 レベル 15 は、enable パスワードによって許可されるアクセス レベルです。 |
| ステップ 5 |
end 例: Switch(config)# end |
|
| ステップ 6 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
ユーザは、回線にログインし、別の権限レベルをイネーブルに設定することにより、privilege level ライン コンフィギュレーション コマンドを使用して設定された権限レベルを上書きできます。 また、disable コマンドを使用することにより、権限レベルを引き下げることができます。 上位の権限レベルのパスワードがわかっていれば、ユーザはそのパスワードを使用して上位の権限レベルをイネーブルにできます。 回線の使用を制限するには、コンソール回線に高いレベルまたは権限レベルを指定してください。
関連情報
権限レベルへのログインおよび終了
手順の概要
手順の詳細
1. enablelevel
2. disablelevel
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 | enablelevel 例:
Switch> enable 15
|
指定された特権レベルにログインします。 この例で、レベル 15 は特権 EXEC モードです。 level に指定できる範囲は 0 ~ 15 です。 |
| ステップ 2 | disablelevel 例:
Switch# disable 1
|
指定した特権レベルを終了します。 この例で、レベル 1 はユーザ EXEC モードです。 level に指定できる範囲は 0 ~ 15 です。 |
関連情報
フィードバック