統合プラットフォーム コンフィギュレーション ガイド、Cisco IOS Release 15.2(3) E(Catalyst 3560-CX および 2960 CX スイッチ)
マニュアルのコンテンツ
マニュアルのコンテンツ
はじめに
コマンドライン インターフェイスの使用
インターフェイスおよびハードウェア
IPv6
レイヤ 2
High Availability(高可用性)
Network Management
QoS
ルーティング
マルチキャスト ルーティング
セキュリティ
システム管理
VLAN
重要な通知
Search
ダウンロード
Download Options
Book Title
統合プラットフォーム コンフィギュレーション ガイド、Cisco IOS Release 15.2(3) E(Catalyst 3560-CX および 2960 CX スイッチ)
Chapter Title
パスワードおよび権限レベルによるスイッチ アクセスの制御
プリント
章のタイトル: パスワードおよび権限レベルによるスイッチ アクセスの制御
目次
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースの Bug Search Tool およびリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、http://www.cisco.com/go/cfn からアクセスします。 Cisco.com のアカウントは必要ありません。
パスワードおよび権限によるスイッチ アクセスの制御の制約事項
パスワードおよび権限によるスイッチ アクセスの制御の制約事項は、次のとおりです。
デフォルトのパスワードおよび権限レベル設定
ネットワークで端末のアクセス コントロールを行う簡単な方法は、パスワードを使用して権限レベルを割り当てることです。 パスワード保護によって、ネットワークまたはネットワーク デバイスへのアクセスが制限されます。 権限レベルによって、ネットワーク デバイスにログイン後、ユーザがどのようなコマンドを使用できるかが定義されます。
次の表に、デフォルトのパスワードおよび権限レベル設定を示します。
表 1 デフォルトのパスワードおよび権限レベル設定
機能
デフォルト設定
イネーブル パスワードおよび権限レベル
パスワードは定義されていません。 デフォルトはレベル 15 です(特権 EXEC レベル)。 パスワードは、コンフィギュレーション ファイル内では暗号化されていない状態です。
イネーブル シークレット パスワードおよび権限レベル
パスワードは定義されていません。 デフォルトはレベル 15 です(特権 EXEC レベル)。 パスワードは、暗号化されてからコンフィギュレーション ファイルに書き込まれます。
回線パスワード
パスワードは定義されていません。
追加のパスワード セキュリティ
追加のセキュリティ レイヤを、特にネットワークを越えるパスワードや Trivial File Transfer Protocol(TFTP)サーバに保存されているパスワードに対して設定する場合には、enable password または enable secret グローバル コンフィギュレーション コマンドを使用できます。 コマンドの作用はどちらも同じです。このコマンドにより、暗号化されたパスワードを設定できます。特権 EXEC モード(デフォルト設定)または特定の権限レベルにアクセスするユーザは、このパスワードを入力する必要があります。
より高度な暗号化アルゴリズムが使用されるので、enable secret コマンドを使用することを推奨します。
enable secret コマンドを設定した場合、このコマンドは enable password コマンドよりも優先されます。同時に 2 つのコマンドを有効にはできません。
パスワードの暗号化をイネーブルにすると、ユーザ名パスワード、認証キー パスワード、イネーブル コマンド パスワード、コンソールおよび仮想端末回線パスワードなど、すべてのパスワードに適用されます。
パスワードの回復
スイッチに物理的にアクセスできるエンド ユーザは、デフォルトで、スイッチの電源投入時にブート プロセスに割り込み、新しいパスワードを入力することによって、失われたパスワードを回復できます。
パスワード回復ディセーブル化機能では、この機能の一部をディセーブルにすることによりスイッチのパスワードへのアクセスを保護できます。 この機能がイネーブルの場合、エンド ユーザは、システムをデフォルト設定に戻すことに同意した場合に限り、ブート プロセスに割り込むことができます。 パスワード回復をディセーブルにしても、ブート プロセスに割り込んでパスワードを変更できますが、コンフィギュレーション ファイル(config.text)および VLAN データベース ファイル(vlan.dat)は削除されます。
パスワード回復をディセーブルにする場合は、エンド ユーザがブート プロセスに割り込んでシステムをデフォルトの状態に戻すような場合に備え、セキュア サーバにコンフィギュレーション ファイルのバックアップ コピーを保存しておくことを推奨します。 スイッチ上でコンフィギュレーション ファイルのバックアップ コピーを保存しないでください。 VTP(VLAN トランキング プロトコル)トランスペアレント モードでスイッチが動作している場合は、VLAN データベース ファイルのバックアップ コピーも同様にセキュア サーバに保存してください。 スイッチがシステムのデフォルト設定に戻ったときに、XMODEM プロトコルを使用して、保存したファイルをスイッチにダウンロードできます。
パスワードの回復を再びイネーブルにするには、service password-recovery グローバル コンフィギュレーション コマンドを使用します。
端末回線の Telnet 設定
初めてスイッチに電源を投入すると、自動セットアップ プログラムが起動して IP 情報を割り当て、この後続けて使用できるようにデフォルト設定を作成します。 さらに、セットアップ プログラムは、パスワードによる Telnet アクセス用にスイッチを設定することを要求します。 セットアップ プログラムの実行中にこのパスワードを設定しなかった場合は、端末回線に対する Telnet パスワードを設定するときに設定できます。
ユーザ名とパスワードのペア
ユーザ名とパスワードのペアを設定できます。このペアはスイッチ上でローカルに保存されます。 このペアは回線またはポートに割り当てられ、各ユーザを認証します。ユーザは認証後、スイッチにアクセスできます。 権限レベルを定義している場合は、ユーザ名とパスワードの各ペアに特定の権限レベルを、対応する権利および権限とともに割り当てることもできます。
権限レベル
Cisco スイッチ(および他のデバイス)では、権限レベルを使用して、スイッチ動作の異なるレベルに対してパスワード セキュリティを提供します。 デフォルトでは、Cisco IOS ソフトウェアは、パスワード セキュリティの 2 つのモード(権限レベル)で動作します。ユーザ EXEC(レベル 1)および特権 EXEC(レベル 15)です。 各モードに、最大 16 個の階層レベルからなるコマンドを設定できます。 複数のパスワードを設定することにより、ユーザ グループ別に特定のコマンドへのアクセスを許可することができます。
回線の権限レベル
ユーザは、回線にログインし、別の権限レベルをイネーブルに設定することにより、privilege level ライン コンフィギュレーション コマンドを使用して設定された権限レベルを上書きできます。 また、disable コマンドを使用することにより、権限レベルを引き下げることができます。 上位の権限レベルのパスワードがわかっていれば、ユーザはそのパスワードを使用して上位の権限レベルをイネーブルにできます。 回線の使用を制限するには、コンソール回線に高いレベルまたは権限レベルを指定してください。
たとえば、多くのユーザに clear line コマンドへのアクセスを許可する場合、レベル 2 のセキュリティを割り当て、レベル 2 のパスワードを広範囲のユーザに配布できます。 また、configure コマンドへのアクセス制限を強化する場合は、レベル 3 のセキュリティを割り当て、そのパスワードを限られたユーザ グループに配布することもできます。
コマンド権限レベル
コマンドをある権限レベルに設定すると、構文がそのコマンドのサブセットであるコマンドはすべて、そのレベルに設定されます。 たとえば、show ip traffic コマンドをレベル 15 に設定すると、show コマンドおよび show ip コマンドは、それぞれ別のレベルに設定しない限り、自動的にレベル 15 に設定されます。
スタティック イネーブル パスワードの設定または変更
イネーブル パスワードは、特権 EXEC モードへのアクセスを制御します。 スタティック イネーブル パスワードを設定または変更するには、次の手順を実行します。
手順の概要
1. enable
2.
configureterminal
3. enable password password
4.
end
5.
show running-config
6. copy running-config startup-config
手順の詳細
コマンドまたはアクション
目的
ステップ 1
enable 例:
Switch > enable
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。
ステップ 2
configureterminal 例:
Switch # configure terminal
グローバル コンフィギュレーション モードを開始します。
ステップ 3
enable password password 例:
Switch (config)# enable password secret321
特権 EXEC モードにアクセスするための新しいパスワードを定義するか、既存のパスワードを変更します。
デフォルトでは、パスワードは定義されません。
password には、1 ~ 25 文字の英数字のストリングを指定します。 ストリングを数字で始めることはできません。大文字と小文字を区別し、スペースを使用できますが、先行スペースは無視されます。 疑問符(?)は、パスワードを作成する場合に、疑問符の前に Ctrl+v を入力すれば使用できます。たとえば、パスワード abc?123 を作成するときは、次のようにします。
abc を入力します。
Ctrl+v を入力します。
?123 を入力します。
システムからイネーブル パスワードを入力するように求められた場合、疑問符の前に Ctrl+v を入力する必要はなく、パスワードのプロンプトにそのまま abc?123 と入力できます。
ステップ 4
end 例:
Switch (config)# end
特権 EXEC モードに戻ります。
ステップ 5
show running-config 例:
Switch # show running-config
入力を確認します。
ステップ 6
copy running-config startup-config 例:
Switch # copy running-config startup-config
(任意)コンフィギュレーション ファイルに設定を保存します。
暗号化によるイネーブルおよびイネーブル シークレット パスワードの保護
特権 EXEC モード(デフォルト)または指定された特権レベルにアクセスするためにユーザが入力する必要がある暗号化パスワードを確立するには、次の手順を実行します。
手順の概要
1. enable
2.
configureterminal
3. 次のいずれかを使用します。
enable password [
level
level ] {
password
| encryption-type encrypted-password }
enable secret [
level
level ] {
password
| encryption-type encrypted-password }
4. service password-encryption
5.
end
6.
show running-config
7. copy running-config startup-config
手順の詳細
コマンドまたはアクション
目的
ステップ 1
enable 例:
Switch > enable
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。
ステップ 2
configureterminal 例:
Switch # configure terminal
グローバル コンフィギュレーション モードを開始します。
ステップ 3
次のいずれかを使用します。
enable password [
level
level ] {
password
| encryption-type encrypted-password }
enable secret [
level
level ] {
password
| encryption-type encrypted-password }
例: Switch (config)# enable password example102
または
Switch (config)# enable secret level 1 password secret123sample
ステップ 4
service password-encryption 例:
Switch (config)# service password-encryption
(任意)パスワードの定義時または設定の書き込み時に、パスワードを暗号化します。
暗号化を行うと、コンフィギュレーション ファイル内でパスワードが読み取り可能な形式になるのを防止できます。
ステップ 5
end 例:
Switch (config)# end
特権 EXEC モードに戻ります。
ステップ 6
show running-config 例:
Switch # show running-config
入力を確認します。
ステップ 7
copy running-config startup-config 例:
Switch # copy running-config startup-config
(任意)コンフィギュレーション ファイルに設定を保存します。
パスワード回復のディセーブル化
パスワードの回復をディセーブルにしてスイッチのセキュリティを保護するには、次の手順を実行します。
はじめる前に
パスワード回復をディセーブルにする場合は、エンド ユーザがブート プロセスに割り込んでシステムをデフォルトの状態に戻すような場合に備え、セキュア サーバにコンフィギュレーション ファイルのバックアップ コピーを保存しておくことを推奨します。 スイッチ上でコンフィギュレーション ファイルのバックアップ コピーを保存しないでください。 VTP(VLAN トランキング プロトコル)トランスペアレント モードでスイッチが動作している場合は、VLAN データベース ファイルのバックアップ コピーも同様にセキュア サーバに保存してください。 スイッチがシステムのデフォルト設定に戻ったときに、XMODEM プロトコルを使用して、保存したファイルをスイッチにダウンロードできます。
手順の概要
1. enable
2.
configureterminal
3. no service password-recovery
4.
end
5.
show running-config
6. copy running-config startup-config
手順の詳細
コマンドまたはアクション
目的
ステップ 1
enable 例:
Switch > enable
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。
ステップ 2
configureterminal 例:
Switch # configure terminal
グローバル コンフィギュレーション モードを開始します。
ステップ 3
no service password-recovery 例:
Switch (config)# no service password-recovery
パスワード回復をディセーブルにします。
この設定は、フラッシュ メモリの中で、ブートローダおよび Cisco IOS イメージがアクセスできる領域に保存されますが、ファイル システムには含まれません。また、ユーザがアクセスすることはできません。
ステップ 4
end 例:
Switch (config)# end
特権 EXEC モードに戻ります。
ステップ 5
show running-config 例:
Switch # show running-config
入力を確認します。
ステップ 6
copy running-config startup-config 例:
Switch # copy running-config startup-config
(任意)コンフィギュレーション ファイルに設定を保存します。
次の作業
パスワードの回復を再びイネーブルにするには、service password-recovery グローバル コンフィギュレーション コマンドを使用します。
端末回線に対する Telnet パスワードの設定
接続された端末回線に対する Telnet パスワードを設定するには、ユーザ EXEC モードで次の手順を実行します。
手順の概要
1. enable
2.
configureterminal
3. line vty 0 15
4. password password
5. end
6.
show running-config
7. copy running-config startup-config
手順の詳細
コマンドまたはアクション
目的
ステップ 1
enable 例:
Switch > enable
(注)
パスワードが特権 EXEC モードへのアクセスに必要な場合は、その入力が求められます。
特権 EXEC モードを開始します。
ステップ 2
configureterminal 例:
Switch # configure terminal
グローバル コンフィギュレーション モードを開始します。
ステップ 3
line vty 0 15 例:
Switch (config)# line vty 0 15
Telnet セッション(回線)の数を設定し、ライン コンフィギュレーション モードを開始します。
コマンド対応Switch では、最大 16 のセッションが可能です。 0 および 15 を指定すると、使用できる 16 の Telnet セッションすべてを設定することになります。
ステップ 4
password password 例:
Switch (config-line)# password abcxyz543
1 つまたは複数の回線に対応する Telnet パスワードを設定します。
password には、1 ~ 25 文字の英数字のストリングを指定します。 ストリングを数字で始めることはできません。大文字と小文字を区別し、スペースを使用できますが、先行スペースは無視されます。 デフォルトでは、パスワードは定義されません。
ステップ 5
end 例:
Switch (config-line)# end
特権 EXEC モードに戻ります。
ステップ 6
show running-config 例:
Switch # show running-config
入力を確認します。
ステップ 7
copy running-config startup-config 例:
Switch # copy running-config startup-config
(任意)コンフィギュレーション ファイルに設定を保存します。
ユーザ名とパスワードのペアの設定
ユーザ名とパスワードのペアを設定するには、次の手順を実行します。
手順の概要
1. enable
2.
configureterminal
3. username name [privilege level ] {password encryption-type password }
4. 次のいずれかを使用します。
line console 0
line vty 0 15
5. login local
6.
end
7.
show running-config
8. copy running-config startup-config
手順の詳細
コマンドまたはアクション
目的
ステップ 1
enable 例:
Switch > enable
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。
ステップ 2
configureterminal 例:
Switch # configure terminal
グローバル コンフィギュレーション モードを開始します。
ステップ 3
username name [privilege level ] {password encryption-type password } 例:
Switch (config)# username adamsample privilege 1 password secret456
Switch (config)# username 111111111111 mac attribute
各ユーザのユーザ名、権限レベル、パスワードを設定します。
name には、ユーザ ID を 1 ワードで指定するか、または MAC アドレスを指定します。 スペースと引用符は使用できません。
ユーザ名と MAC フィルタの両方に対し、最大 12000 のクライアントを個別に設定できます。
(任意)level には、アクセス権を得たユーザに設定する権限レベルを指定します。 指定できる範囲は 0 ~ 15 です。 レベル 15 では特権 EXEC モードでのアクセスが可能です。 レベル 1 では、ユーザ EXEC モードでのアクセスとなります。
encryption-type には、暗号化されていないパスワードが後ろに続く場合は 0 を入力します。 暗号化されたパスワードが後ろに続く場合は 7 を指定します。
password には、ユーザがSwitch にアクセスする場合に入力する必要のあるパスワードを指定します。 パスワードは 1 ~ 25 文字で、埋め込みスペースを使用でき、username コマンドの最後のオプションとして指定します。
ステップ 4
次のいずれかを使用します。
line console 0
line vty 0 15
例: Switch (config)# line console 0
または
Switch (config)# line vty 15
ライン コンフィギュレーション モードを開始し、コンソール ポート(回線 0)または VTY 回線(回線 0 ~ 15)を設定します。
ステップ 5
login local 例:
Switch (config-line)# login local
ログイン時のローカル パスワード チェックをイネーブルにします。 認証は、ステップ 3 で指定されたユーザ名に基づきます。
ステップ 6
end 例:
Switch (config)# end
特権 EXEC モードに戻ります。
ステップ 7
show running-config 例:
Switch # show running-config
入力を確認します。
ステップ 8
copy running-config startup-config 例:
Switch # copy running-config startup-config
(任意)コンフィギュレーション ファイルに設定を保存します。
コマンドの特権レベルの設定
コマンドの権限レベルを設定するには、次の手順を実行します。
手順の概要
1. enable
2.
configureterminal
3. privilege mode level level command
4. enable password level level password
5.
end
6. copy running-config startup-config
手順の詳細
コマンドまたはアクション
目的
ステップ 1
enable 例:
Switch > enable
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。
ステップ 2
configureterminal 例:
Switch # configure terminal
グローバル コンフィギュレーション モードを開始します。
ステップ 3
privilege mode level level command 例:
Switch (config)# privilege exec level 14 configure
コマンドの特権レベルを設定します。
mode には、グローバル コンフィギュレーション モードの場合は configure を、EXEC モードの場合は exec を、インターフェイス コンフィギュレーション モードの場合は interface を、ライン コンフィギュレーション モードの場合は line をそれぞれ入力します。
level の範囲は 0 ~ 15 です。 レベル 1 が通常のユーザ EXEC モード権限です。 レベル 15 は、enable パスワードによって許可されるアクセス レベルです。
command には、アクセスを制限したいコマンドを指定します。
ステップ 4
enable password level level password 例:
Switch (config)# enable password level 14 SecretPswd14
権限レベルをイネーブルにするためのパスワードを指定します。
ステップ 5
end 例:
Switch (config)# end
特権 EXEC モードに戻ります。
ステップ 6
copy running-config startup-config 例:
Switch # copy running-config startup-config
(任意)コンフィギュレーション ファイルに設定を保存します。
回線のデフォルト特権レベルの変更
指定した回線のデフォルトの権限レベルを変更するには、次の手順を実行します。
手順の概要
1. enable
2.
configureterminal
3. line vty line
4. privilege level level
5.
end
6. copy running-config startup-config
手順の詳細
コマンドまたはアクション
目的
ステップ 1
enable 例:
Switch > enable
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。
ステップ 2
configureterminal 例:
Switch # configure terminal
グローバル コンフィギュレーション モードを開始します。
ステップ 3
line vty line 例:
Switch (config)# line vty 10
アクセスを制限する仮想端末回線を選択します。
ステップ 4
privilege level level 例:
Switch (config)# privilege level 15
回線のデフォルト特権レベルを変更します。
level の範囲は 0 ~ 15 です。 レベル 1 が通常のユーザ EXEC モード権限です。 レベル 15 は、enable パスワードによって許可されるアクセス レベルです。
ステップ 5
end 例:
Switch (config)# end
特権 EXEC モードに戻ります。
ステップ 6
copy running-config startup-config 例:
Switch # copy running-config startup-config
(任意)コンフィギュレーション ファイルに設定を保存します。
次の作業
ユーザは、回線にログインし、別の権限レベルをイネーブルに設定することにより、privilege level ライン コンフィギュレーション コマンドを使用して設定された権限レベルを上書きできます。 また、disable コマンドを使用することにより、権限レベルを引き下げることができます。 上位の権限レベルのパスワードがわかっていれば、ユーザはそのパスワードを使用して上位の権限レベルをイネーブルにできます。 回線の使用を制限するには、コンソール回線に高いレベルまたは権限レベルを指定してください。
権限レベルへのログインおよび終了
指定した権限レベルにログインする、または指定した権限レベルを終了するには、ユーザ EXEC モードで次の手順を実行します。
手順の概要
1. enable level
2. disable level
手順の詳細
コマンドまたはアクション
目的
ステップ 1
enable level 例:
Switch > enable 15
指定された特権レベルにログインします。
この例で、レベル 15 は特権 EXEC モードです。
level に指定できる範囲は 0 ~ 15 です。
ステップ 2
disable level 例:
Switch # disable 1
指定した特権レベルを終了します。
この例で、レベル 1 はユーザ EXEC モードです。
level に指定できる範囲は 0 ~ 15 です。
スイッチ アクセスのモニタリング
表 2 DHCP 情報を表示するためのコマンド
show privilege
権限レベルの設定を表示します。
パスワードおよび権限レベルの設定例
例:スタティック イネーブル パスワードの設定または変更
次に、イネーブル パスワードをl1u2c3k4y5 に変更する例を示します。 パスワードは暗号化されておらず、レベル 15 のアクセスが与えられます(従来の特権 EXEC モード アクセス)。
Switch (config)# enable password l1u2c3k4y5
例:暗号化によるイネーブルおよびイネーブル シークレット パスワードの保護
次に、権限レベル 2 に対して暗号化パスワード $1$FaD0$Xyti5Rkls3LoyxzS8 を設定する例を示します。
Switch (config)# enable secret level 2 5 $1$FaD0$Xyti5Rkls3LoyxzS8
例:端末回線に対する Telnet パスワードの設定
次に、Telnet パスワードを let45me67in89 に設定する例を示します。
Switch (config)# line vty 10
Switch (config-line)# password let45me67in89
例:コマンドの権限レベルの設定
configure コマンドを権限レベル 14 に設定し、レベル 14 のコマンドを使用する場合にユーザが入力するパスワードとして SecretPswd14 を定義する例を示します。
Switch (config)# privilege exec level 14 configure
Switch (config)# enable password level 14 SecretPswd14
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。 最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースの Bug Search Tool およびリリース ノートを参照してください。 このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。 Cisco Feature Navigator には、http://www.cisco.com/go/cfn からアクセスします。 Cisco.com のアカウントは必要ありません。
パスワードおよび権限によるスイッチ アクセスの制御の制約事項
パスワードおよび権限によるスイッチ アクセスの制御の制約事項は、次のとおりです。
デフォルトのパスワードおよび権限レベル設定
ネットワークで端末のアクセス コントロールを行う簡単な方法は、パスワードを使用して権限レベルを割り当てることです。 パスワード保護によって、ネットワークまたはネットワーク デバイスへのアクセスが制限されます。 権限レベルによって、ネットワーク デバイスにログイン後、ユーザがどのようなコマンドを使用できるかが定義されます。
次の表に、デフォルトのパスワードおよび権限レベル設定を示します。
表 1 デフォルトのパスワードおよび権限レベル設定
機能
デフォルト設定
イネーブル パスワードおよび権限レベル
パスワードは定義されていません。 デフォルトはレベル 15 です(特権 EXEC レベル)。 パスワードは、コンフィギュレーション ファイル内では暗号化されていない状態です。
イネーブル シークレット パスワードおよび権限レベル
パスワードは定義されていません。 デフォルトはレベル 15 です(特権 EXEC レベル)。 パスワードは、暗号化されてからコンフィギュレーション ファイルに書き込まれます。
回線パスワード
パスワードは定義されていません。
追加のパスワード セキュリティ
追加のセキュリティ レイヤを、特にネットワークを越えるパスワードや Trivial File Transfer Protocol(TFTP)サーバに保存されているパスワードに対して設定する場合には、enable password または enable secret グローバル コンフィギュレーション コマンドを使用できます。 コマンドの作用はどちらも同じです。このコマンドにより、暗号化されたパスワードを設定できます。特権 EXEC モード(デフォルト設定)または特定の権限レベルにアクセスするユーザは、このパスワードを入力する必要があります。
より高度な暗号化アルゴリズムが使用されるので、enable secret コマンドを使用することを推奨します。
enable secret コマンドを設定した場合、このコマンドは enable password コマンドよりも優先されます。同時に 2 つのコマンドを有効にはできません。
パスワードの暗号化をイネーブルにすると、ユーザ名パスワード、認証キー パスワード、イネーブル コマンド パスワード、コンソールおよび仮想端末回線パスワードなど、すべてのパスワードに適用されます。
パスワードの回復
スイッチに物理的にアクセスできるエンド ユーザは、デフォルトで、スイッチの電源投入時にブート プロセスに割り込み、新しいパスワードを入力することによって、失われたパスワードを回復できます。
パスワード回復ディセーブル化機能では、この機能の一部をディセーブルにすることによりスイッチのパスワードへのアクセスを保護できます。 この機能がイネーブルの場合、エンド ユーザは、システムをデフォルト設定に戻すことに同意した場合に限り、ブート プロセスに割り込むことができます。 パスワード回復をディセーブルにしても、ブート プロセスに割り込んでパスワードを変更できますが、コンフィギュレーション ファイル(config.text)および VLAN データベース ファイル(vlan.dat)は削除されます。
パスワード回復をディセーブルにする場合は、エンド ユーザがブート プロセスに割り込んでシステムをデフォルトの状態に戻すような場合に備え、セキュア サーバにコンフィギュレーション ファイルのバックアップ コピーを保存しておくことを推奨します。 スイッチ上でコンフィギュレーション ファイルのバックアップ コピーを保存しないでください。 VTP(VLAN トランキング プロトコル)トランスペアレント モードでスイッチが動作している場合は、VLAN データベース ファイルのバックアップ コピーも同様にセキュア サーバに保存してください。 スイッチがシステムのデフォルト設定に戻ったときに、XMODEM プロトコルを使用して、保存したファイルをスイッチにダウンロードできます。
パスワードの回復を再びイネーブルにするには、service password-recovery グローバル コンフィギュレーション コマンドを使用します。
端末回線の Telnet 設定
初めてスイッチに電源を投入すると、自動セットアップ プログラムが起動して IP 情報を割り当て、この後続けて使用できるようにデフォルト設定を作成します。 さらに、セットアップ プログラムは、パスワードによる Telnet アクセス用にスイッチを設定することを要求します。 セットアップ プログラムの実行中にこのパスワードを設定しなかった場合は、端末回線に対する Telnet パスワードを設定するときに設定できます。
ユーザ名とパスワードのペア
ユーザ名とパスワードのペアを設定できます。このペアはスイッチ上でローカルに保存されます。 このペアは回線またはポートに割り当てられ、各ユーザを認証します。ユーザは認証後、スイッチにアクセスできます。 権限レベルを定義している場合は、ユーザ名とパスワードの各ペアに特定の権限レベルを、対応する権利および権限とともに割り当てることもできます。
権限レベル
Cisco スイッチ(および他のデバイス)では、権限レベルを使用して、スイッチ動作の異なるレベルに対してパスワード セキュリティを提供します。 デフォルトでは、Cisco IOS ソフトウェアは、パスワード セキュリティの 2 つのモード(権限レベル)で動作します。ユーザ EXEC(レベル 1)および特権 EXEC(レベル 15)です。 各モードに、最大 16 個の階層レベルからなるコマンドを設定できます。 複数のパスワードを設定することにより、ユーザ グループ別に特定のコマンドへのアクセスを許可することができます。
回線の権限レベル
ユーザは、回線にログインし、別の権限レベルをイネーブルに設定することにより、privilege level ライン コンフィギュレーション コマンドを使用して設定された権限レベルを上書きできます。 また、disable コマンドを使用することにより、権限レベルを引き下げることができます。 上位の権限レベルのパスワードがわかっていれば、ユーザはそのパスワードを使用して上位の権限レベルをイネーブルにできます。 回線の使用を制限するには、コンソール回線に高いレベルまたは権限レベルを指定してください。
たとえば、多くのユーザに clear line コマンドへのアクセスを許可する場合、レベル 2 のセキュリティを割り当て、レベル 2 のパスワードを広範囲のユーザに配布できます。 また、configure コマンドへのアクセス制限を強化する場合は、レベル 3 のセキュリティを割り当て、そのパスワードを限られたユーザ グループに配布することもできます。
コマンド権限レベル
コマンドをある権限レベルに設定すると、構文がそのコマンドのサブセットであるコマンドはすべて、そのレベルに設定されます。 たとえば、show ip traffic コマンドをレベル 15 に設定すると、show コマンドおよび show ip コマンドは、それぞれ別のレベルに設定しない限り、自動的にレベル 15 に設定されます。
スタティック イネーブル パスワードの設定または変更
イネーブル パスワードは、特権 EXEC モードへのアクセスを制御します。 スタティック イネーブル パスワードを設定または変更するには、次の手順を実行します。
手順の概要
1. enable
2.
configureterminal
3. enable password password
4.
end
5.
show running-config
6. copy running-config startup-config
手順の詳細
コマンドまたはアクション
目的
ステップ 1
enable 例:
Switch > enable
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。
ステップ 2
configureterminal 例:
Switch # configure terminal
グローバル コンフィギュレーション モードを開始します。
ステップ 3
enable password password 例:
Switch (config)# enable password secret321
特権 EXEC モードにアクセスするための新しいパスワードを定義するか、既存のパスワードを変更します。
デフォルトでは、パスワードは定義されません。
password には、1 ~ 25 文字の英数字のストリングを指定します。 ストリングを数字で始めることはできません。大文字と小文字を区別し、スペースを使用できますが、先行スペースは無視されます。 疑問符(?)は、パスワードを作成する場合に、疑問符の前に Ctrl+v を入力すれば使用できます。たとえば、パスワード abc?123 を作成するときは、次のようにします。
abc を入力します。
Ctrl+v を入力します。
?123 を入力します。
システムからイネーブル パスワードを入力するように求められた場合、疑問符の前に Ctrl+v を入力する必要はなく、パスワードのプロンプトにそのまま abc?123 と入力できます。
ステップ 4
end 例:
Switch (config)# end
特権 EXEC モードに戻ります。
ステップ 5
show running-config 例:
Switch # show running-config
入力を確認します。
ステップ 6
copy running-config startup-config 例:
Switch # copy running-config startup-config
(任意)コンフィギュレーション ファイルに設定を保存します。
暗号化によるイネーブルおよびイネーブル シークレット パスワードの保護
特権 EXEC モード(デフォルト)または指定された特権レベルにアクセスするためにユーザが入力する必要がある暗号化パスワードを確立するには、次の手順を実行します。
手順の概要
1. enable
2.
configureterminal
3. 次のいずれかを使用します。
4. service password-encryption
5.
end
6.
show running-config
7. copy running-config startup-config
手順の詳細
コマンドまたはアクション
目的
ステップ 1
enable 例:
Switch > enable
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。
ステップ 2
configureterminal 例:
Switch # configure terminal
グローバル コンフィギュレーション モードを開始します。
ステップ 3
次のいずれかを使用します。
例: Switch (config)# enable password example102
または
Switch (config)# enable secret level 1 password secret123sample
ステップ 4
service password-encryption 例:
Switch (config)# service password-encryption
(任意)パスワードの定義時または設定の書き込み時に、パスワードを暗号化します。
暗号化を行うと、コンフィギュレーション ファイル内でパスワードが読み取り可能な形式になるのを防止できます。
ステップ 5
end 例:
Switch (config)# end
特権 EXEC モードに戻ります。
ステップ 6
show running-config 例:
Switch # show running-config
入力を確認します。
ステップ 7
copy running-config startup-config 例:
Switch # copy running-config startup-config
(任意)コンフィギュレーション ファイルに設定を保存します。
パスワード回復のディセーブル化
パスワードの回復をディセーブルにしてスイッチのセキュリティを保護するには、次の手順を実行します。
はじめる前に
パスワード回復をディセーブルにする場合は、エンド ユーザがブート プロセスに割り込んでシステムをデフォルトの状態に戻すような場合に備え、セキュア サーバにコンフィギュレーション ファイルのバックアップ コピーを保存しておくことを推奨します。 スイッチ上でコンフィギュレーション ファイルのバックアップ コピーを保存しないでください。 VTP(VLAN トランキング プロトコル)トランスペアレント モードでスイッチが動作している場合は、VLAN データベース ファイルのバックアップ コピーも同様にセキュア サーバに保存してください。 スイッチがシステムのデフォルト設定に戻ったときに、XMODEM プロトコルを使用して、保存したファイルをスイッチにダウンロードできます。
手順の概要
1. enable
2.
configureterminal
3. no service password-recovery
4.
end
5.
show running-config
6. copy running-config startup-config
手順の詳細
コマンドまたはアクション
目的
ステップ 1
enable 例:
Switch > enable
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。
ステップ 2
configureterminal 例:
Switch # configure terminal
グローバル コンフィギュレーション モードを開始します。
ステップ 3
no service password-recovery 例:
Switch (config)# no service password-recovery
パスワード回復をディセーブルにします。
この設定は、フラッシュ メモリの中で、ブートローダおよび Cisco IOS イメージがアクセスできる領域に保存されますが、ファイル システムには含まれません。また、ユーザがアクセスすることはできません。
ステップ 4
end 例:
Switch (config)# end
特権 EXEC モードに戻ります。
ステップ 5
show running-config 例:
Switch # show running-config
入力を確認します。
ステップ 6
copy running-config startup-config 例:
Switch # copy running-config startup-config
(任意)コンフィギュレーション ファイルに設定を保存します。
次の作業
パスワードの回復を再びイネーブルにするには、service password-recovery グローバル コンフィギュレーション コマンドを使用します。
端末回線に対する Telnet パスワードの設定
接続された端末回線に対する Telnet パスワードを設定するには、ユーザ EXEC モードで次の手順を実行します。
手順の概要
1. enable
2.
configureterminal
3. line vty 0 15
4. password password
5. end
6.
show running-config
7. copy running-config startup-config
手順の詳細
コマンドまたはアクション
目的
ステップ 1
enable 例:
Switch > enable
(注)
パスワードが特権 EXEC モードへのアクセスに必要な場合は、その入力が求められます。
特権 EXEC モードを開始します。
ステップ 2
configureterminal 例:
Switch # configure terminal
グローバル コンフィギュレーション モードを開始します。
ステップ 3
line vty 0 15 例:
Switch (config)# line vty 0 15
Telnet セッション(回線)の数を設定し、ライン コンフィギュレーション モードを開始します。
コマンド対応Switch では、最大 16 のセッションが可能です。 0 および 15 を指定すると、使用できる 16 の Telnet セッションすべてを設定することになります。
ステップ 4
password password 例:
Switch (config-line)# password abcxyz543
1 つまたは複数の回線に対応する Telnet パスワードを設定します。
password には、1 ~ 25 文字の英数字のストリングを指定します。 ストリングを数字で始めることはできません。大文字と小文字を区別し、スペースを使用できますが、先行スペースは無視されます。 デフォルトでは、パスワードは定義されません。
ステップ 5
end 例:
Switch (config-line)# end
特権 EXEC モードに戻ります。
ステップ 6
show running-config 例:
Switch # show running-config
入力を確認します。
ステップ 7
copy running-config startup-config 例:
Switch # copy running-config startup-config
(任意)コンフィギュレーション ファイルに設定を保存します。
ユーザ名とパスワードのペアの設定
ユーザ名とパスワードのペアを設定するには、次の手順を実行します。
手順の概要
1. enable
2.
configureterminal
3. username name [privilege level ] {password encryption-type password }
4. 次のいずれかを使用します。
line console 0
line vty 0 15
5. login local
6.
end
7.
show running-config
8. copy running-config startup-config
手順の詳細
コマンドまたはアクション
目的
ステップ 1
enable 例:
Switch > enable
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。
ステップ 2
configureterminal 例:
Switch # configure terminal
グローバル コンフィギュレーション モードを開始します。
ステップ 3
username name [privilege level ] {password encryption-type password } 例:
Switch (config)# username adamsample privilege 1 password secret456
Switch (config)# username 111111111111 mac attribute
各ユーザのユーザ名、権限レベル、パスワードを設定します。
name には、ユーザ ID を 1 ワードで指定するか、または MAC アドレスを指定します。 スペースと引用符は使用できません。
ユーザ名と MAC フィルタの両方に対し、最大 12000 のクライアントを個別に設定できます。
(任意)level には、アクセス権を得たユーザに設定する権限レベルを指定します。 指定できる範囲は 0 ~ 15 です。 レベル 15 では特権 EXEC モードでのアクセスが可能です。 レベル 1 では、ユーザ EXEC モードでのアクセスとなります。
encryption-type には、暗号化されていないパスワードが後ろに続く場合は 0 を入力します。 暗号化されたパスワードが後ろに続く場合は 7 を指定します。
password には、ユーザがSwitch にアクセスする場合に入力する必要のあるパスワードを指定します。 パスワードは 1 ~ 25 文字で、埋め込みスペースを使用でき、username コマンドの最後のオプションとして指定します。
ステップ 4
次のいずれかを使用します。
line console 0
line vty 0 15
例: Switch (config)# line console 0
または
Switch (config)# line vty 15
ライン コンフィギュレーション モードを開始し、コンソール ポート(回線 0)または VTY 回線(回線 0 ~ 15)を設定します。
ステップ 5
login local 例:
Switch (config-line)# login local
ログイン時のローカル パスワード チェックをイネーブルにします。 認証は、ステップ 3 で指定されたユーザ名に基づきます。
ステップ 6
end 例:
Switch (config)# end
特権 EXEC モードに戻ります。
ステップ 7
show running-config 例:
Switch # show running-config
入力を確認します。
ステップ 8
copy running-config startup-config 例:
Switch # copy running-config startup-config
(任意)コンフィギュレーション ファイルに設定を保存します。
コマンドの特権レベルの設定
コマンドの権限レベルを設定するには、次の手順を実行します。
手順の概要
1. enable
2.
configureterminal
3. privilege mode level level command
4. enable password level level password
5.
end
6. copy running-config startup-config
手順の詳細
コマンドまたはアクション
目的
ステップ 1
enable 例:
Switch > enable
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。
ステップ 2
configureterminal 例:
Switch # configure terminal
グローバル コンフィギュレーション モードを開始します。
ステップ 3
privilege mode level level command 例:
Switch (config)# privilege exec level 14 configure
コマンドの特権レベルを設定します。
mode には、グローバル コンフィギュレーション モードの場合は configure を、EXEC モードの場合は exec を、インターフェイス コンフィギュレーション モードの場合は interface を、ライン コンフィギュレーション モードの場合は line をそれぞれ入力します。
level の範囲は 0 ~ 15 です。 レベル 1 が通常のユーザ EXEC モード権限です。 レベル 15 は、enable パスワードによって許可されるアクセス レベルです。
command には、アクセスを制限したいコマンドを指定します。
ステップ 4
enable password level level password 例:
Switch (config)# enable password level 14 SecretPswd14
権限レベルをイネーブルにするためのパスワードを指定します。
ステップ 5
end 例:
Switch (config)# end
特権 EXEC モードに戻ります。
ステップ 6
copy running-config startup-config 例:
Switch # copy running-config startup-config
(任意)コンフィギュレーション ファイルに設定を保存します。
回線のデフォルト特権レベルの変更
指定した回線のデフォルトの権限レベルを変更するには、次の手順を実行します。
手順の概要
1. enable
2.
configureterminal
3. line vty line
4. privilege level level
5.
end
6. copy running-config startup-config
手順の詳細
コマンドまたはアクション
目的
ステップ 1
enable 例:
Switch > enable
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。
ステップ 2
configureterminal 例:
Switch # configure terminal
グローバル コンフィギュレーション モードを開始します。
ステップ 3
line vty line 例:
Switch (config)# line vty 10
アクセスを制限する仮想端末回線を選択します。
ステップ 4
privilege level level 例:
Switch (config)# privilege level 15
回線のデフォルト特権レベルを変更します。
level の範囲は 0 ~ 15 です。 レベル 1 が通常のユーザ EXEC モード権限です。 レベル 15 は、enable パスワードによって許可されるアクセス レベルです。
ステップ 5
end 例:
Switch (config)# end
特権 EXEC モードに戻ります。
ステップ 6
copy running-config startup-config 例:
Switch # copy running-config startup-config
(任意)コンフィギュレーション ファイルに設定を保存します。
次の作業
ユーザは、回線にログインし、別の権限レベルをイネーブルに設定することにより、privilege level ライン コンフィギュレーション コマンドを使用して設定された権限レベルを上書きできます。 また、disable コマンドを使用することにより、権限レベルを引き下げることができます。 上位の権限レベルのパスワードがわかっていれば、ユーザはそのパスワードを使用して上位の権限レベルをイネーブルにできます。 回線の使用を制限するには、コンソール回線に高いレベルまたは権限レベルを指定してください。
権限レベルへのログインおよび終了
指定した権限レベルにログインする、または指定した権限レベルを終了するには、ユーザ EXEC モードで次の手順を実行します。
手順の概要
1. enable level
2. disable level
手順の詳細
コマンドまたはアクション
目的
ステップ 1
enable level 例:
Switch > enable 15
指定された特権レベルにログインします。
この例で、レベル 15 は特権 EXEC モードです。
level に指定できる範囲は 0 ~ 15 です。
ステップ 2
disable level 例:
Switch # disable 1
指定した特権レベルを終了します。
この例で、レベル 1 はユーザ EXEC モードです。
level に指定できる範囲は 0 ~ 15 です。
スイッチ アクセスのモニタリング
表 2 DHCP 情報を表示するためのコマンド
show privilege
権限レベルの設定を表示します。
パスワードおよび権限レベルの設定例
例:スタティック イネーブル パスワードの設定または変更
次に、イネーブル パスワードをl1u2c3k4y5 に変更する例を示します。 パスワードは暗号化されておらず、レベル 15 のアクセスが与えられます(従来の特権 EXEC モード アクセス)。
Switch (config)# enable password l1u2c3k4y5
例:暗号化によるイネーブルおよびイネーブル シークレット パスワードの保護
次に、権限レベル 2 に対して暗号化パスワード $1$FaD0$Xyti5Rkls3LoyxzS8 を設定する例を示します。
Switch (config)# enable secret level 2 5 $1$FaD0$Xyti5Rkls3LoyxzS8
例:端末回線に対する Telnet パスワードの設定
次に、Telnet パスワードを let45me67in89 に設定する例を示します。
Switch (config)# line vty 10
Switch (config-line)# password let45me67in89
例:コマンドの権限レベルの設定
configure コマンドを権限レベル 14 に設定し、レベル 14 のコマンドを使用する場合にユーザが入力するパスワードとして SecretPswd14 を定義する例を示します。
Switch (config)# privilege exec level 14 configure
Switch (config)# enable password level 14 SecretPswd14
© 2020 Cisco and/or its affiliates. All rights reserved.