パスワードおよび権限によるスイッチ アクセスの制御の制約事項
グローバル コンフィギュレーション モードで boot manual コマンドを使用して、スイッチを手動で起動するように設定している場合は、パスワード回復をディセーブルにできません。このコマンドは、スイッチの電源の再投入後、ブートローダ プロンプト(switch: )を表示させます。
The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.
グローバル コンフィギュレーション モードで boot manual コマンドを使用して、スイッチを手動で起動するように設定している場合は、パスワード回復をディセーブルにできません。このコマンドは、スイッチの電源の再投入後、ブートローダ プロンプト(switch: )を表示させます。
次の各項では、パスワードと権限レベルについて説明します。
不正ユーザによる、デバイスの再設定や設定情報の閲覧を防止できます。一般的には、ネットワーク管理者からデバイスへのアクセスを許可する一方、非同期ポートを用いてネットワーク外からダイヤルアップ接続するユーザや、シリアルポートを通じてネットワーク外から接続するユーザ、またはローカルネットワーク内の端末またはワークステーションから接続するユーザによるアクセスを制限します。
デバイスへの不正アクセスを防止するには、次のセキュリティ機能を 1 つまたは複数設定します。
最低限のセキュリティとして、各デバイスポートでパスワードおよび権限を設定します。このパスワードは、デバイスにローカルに保存されます。ユーザがポートまたは回線を通じてデバイスにアクセスしようとするとき、ポートまたは回線に指定されたパスワードを入力してからでなければ、デバイスにアクセスできません。
追加のセキュリティレイヤとして、ユーザ名とパスワードをペアで設定することもできます。このペアはデバイスでローカルに保存されます。このペアは回線またはポートに割り当てられ、各ユーザを認証します。ユーザは認証後、デバイスにアクセスできます。権限レベルを定義している場合は、ユーザ名とパスワードの各ペアに特定の権限レベルを、対応する権利および権限とともに割り当てることもできます。
ユーザ名とパスワードのペアを使用したいが、そのペアをローカルではなく中央のサーバに保存したい場合は、セキュリティ サーバ上のデータベースに保存できます。これにより、複数のネットワーキング デバイスが同じデータベースを使用してユーザ認証情報を(必要に応じて許可情報も)得ることができます。
また、失敗したログイン試行をログに記録するログイン拡張機能もイネーブルにすることもできます。ログイン拡張は、設定した回数のログインが失敗したあとに、それ以降のログイン試行をブロックするために設定することもできます。詳細については、『Cisco IOS Login Enhancements』マニュアルを参照してください。
ネットワークで端末のアクセス コントロールを行う簡単な方法は、パスワードを使用して権限レベルを割り当てることです。パスワード保護によって、ネットワークまたはネットワーク デバイスへのアクセスが制限されます。権限レベルによって、ネットワーク デバイスにログイン後、ユーザがどのようなコマンドを使用できるかが定義されます。
次の表に、デフォルトのパスワードおよび権限レベル設定を示します。
機能 |
デフォルト設定 |
---|---|
イネーブル パスワードおよび権限レベル |
パスワードは定義されていません。デフォルトはレベル 15 です(特権 EXEC レベル)。パスワードは、コンフィギュレーション ファイル内では暗号化されていない状態です。 |
イネーブル シークレット パスワードおよび権限レベル |
パスワードは定義されていません。デフォルトはレベル 15 です(特権 EXEC レベル)。パスワードは、暗号化されてからコンフィギュレーション ファイルに書き込まれます。 |
回線パスワード |
パスワードは定義されていません。 |
特にネットワーク間を行き交う、または TFTP サーバに保存されるパスワードに対してセキュリティレイヤを追加するには、グローバル コンフィギュレーション モードで enable password コマンドまたは enable secret コマンドのいずれかを使用できます。コマンドの作用はどちらも同じです。このコマンドにより、暗号化されたパスワードを設定できます。特権 EXEC モード(デフォルト設定)または特定の権限レベルにアクセスするユーザは、このパスワードを入力する必要があります。
より高度な暗号化アルゴリズムが使用されるので、enable secret コマンドを使用することを推奨します。
enable secret コマンドを設定した場合、このコマンドは enable password コマンドよりも優先されます。同時に 2 つのコマンドを有効にはできません。
パスワードの暗号化をイネーブルにすると、ユーザ名パスワード、認証キーパスワード、イネーブル コマンド パスワード、コンソールおよび VTY パスワードなど、すべてのパスワードに適用されます。
enable secret コマンドを使用すると、パスワードは暗号化されますが、パスワードを入力するときに端末に表示されます。端末でパスワードをマスクするには、masked-secret グローバル コンフィギュレーション コマンドを使用します。このパスワードの暗号化タイプは、デフォルトではタイプ 9 です。
このコマンドを使用して、コモンクライテリアポリシーのマスクされたシークレットパスワードを設定できます。
スイッチに物理的にアクセスできるエンド ユーザは、デフォルトで、スイッチの電源投入時にブート プロセスに割り込み、新しいパスワードを入力することによって、失われたパスワードを回復できます。
パスワード回復ディセーブル化機能では、この機能の一部をディセーブルにすることによりスイッチのパスワードへのアクセスを保護できます。この機能がイネーブルの場合、エンド ユーザは、システムをデフォルト設定に戻すことに同意した場合に限り、ブート プロセスに割り込むことができます。パスワード回復をディセーブルにしても、ブート プロセスに割り込んでパスワードを変更できますが、コンフィギュレーション ファイル(config.text)および VLAN データベース ファイル(vlan.dat)は削除されます。
パスワード回復をディセーブルにする場合は、エンド ユーザがブート プロセスに割り込んでシステムをデフォルトの状態に戻すような場合に備え、セキュア サーバにコンフィギュレーション ファイルのバックアップ コピーを保存しておくことを推奨します。スイッチ上でコンフィギュレーション ファイルのバックアップ コピーを保存しないでください。仮想端末プロトコル(VTP)トランスペアレントモードでスイッチが動作している場合は、VLAN データベースファイルのバックアップコピーも同様にセキュアサーバに保存してください。スイッチがシステムのデフォルト設定に戻ったときに、XMODEM プロトコルを使用して、保存したファイルをスイッチにダウンロードできます。
パスワードの回復を再びイネーブルにするには、グローバル コンフィギュレーション モードで service password-recovery コマンドを使用します。
初めてスイッチに電源を投入すると、自動セットアップ プログラムが起動して IP 情報を割り当て、この後続けて使用できるようにデフォルト設定を作成します。さらに、セットアップ プログラムは、パスワードによる Telnet アクセス用にスイッチを設定することを要求します。セットアップ プログラムの実行中にこのパスワードを設定しなかった場合は、端末回線に対する Telnet パスワードを設定するときに設定できます。
ユーザ名とパスワードのペアを設定できます。このペアはスイッチ上でローカルに保存されます。このペアは回線またはポートに割り当てられ、各ユーザを認証します。ユーザは認証後、スイッチにアクセスできます。権限レベルを定義している場合は、ユーザ名とパスワードの各ペアに特定の権限レベルを、対応する権利および権限とともに割り当てることもできます。
シスコ デバイスでは、権限レベルを使用して、スイッチ動作の異なるレベルに対してパスワード セキュリティを提供します。デフォルトでは、Cisco IOS ソフトウェアは、パスワード セキュリティの 2 つのモード(権限レベル)で動作します。ユーザ EXEC(レベル 1)および特権 EXEC(レベル 15)です。各モードに、最大 16 個の階層レベルからなるコマンドを設定できます。複数のパスワードを設定することにより、ユーザ グループ別に特定のコマンドへのアクセスを許可することができます。
ユーザは、回線にログインし、別の権限レベルをイネーブルに設定することにより、privilege level コマンドを使用して設定された権限レベルを上書きできます。また、disable コマンドを使用することにより、権限レベルを引き下げることができます。上位の権限レベルのパスワードがわかっていれば、ユーザはそのパスワードを使用して上位の権限レベルをイネーブルにできます。回線の使用を制限するには、コンソール回線に高いレベルまたは権限レベルを指定してください。
たとえば、多くのユーザに clear line コマンドへのアクセスを許可する場合、レベル 2 のセキュリティを割り当て、レベル 2 のパスワードを広範囲のユーザに配布できます。また、configure コマンドへのアクセス制限を強化する場合は、レベル 3 のセキュリティを割り当て、そのパスワードを限られたユーザグループに配布することもできます。
コマンドをある権限レベルに設定すると、構文がそのコマンドのサブセットであるコマンドはすべて、そのレベルに設定されます。たとえば、show ip traffic コマンドをレベル 15 に設定すると、show コマンドと show ip コマンドは、異なるレベルに個別に設定しない限り、権限レベルは自動的に 15 に設定されます。
次の各項では、パスワードと権限レベルを使用したスイッチアクセスの制御方法に関するさまざまな設定例を示します。
イネーブル パスワードは、特権 EXEC モードへのアクセスを制御します。
スタティック イネーブル パスワードを設定または変更するには、次の手順を実行します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
enable password password 例:
|
特権 EXEC モードにアクセスするための新しいパスワードを定義するか、既存のパスワードを変更します。 デフォルトでは、パスワードは定義されません。 password :1 ~ 25 文字の英数字の文字列を指定します。ストリングを数字で始めることはできません。大文字と小文字を区別し、スペースを使用できますが、先行スペースは無視されます。疑問符(?)は、パスワードを作成する場合に、疑問符の前に Ctrl+v を入力すれば使用できます。たとえば、パスワード abc?123 を作成するときは、次のようにします。
システムからイネーブル パスワードを入力するように求められた場合、疑問符の前に Ctrl+v を入力する必要はなく、パスワードのプロンプトにそのまま abc?123 と入力できます。 |
ステップ 4 |
end 例:
|
特権 EXEC モードに戻ります。 |
ステップ 5 |
show running-config 例:
|
入力を確認します。 |
ステップ 6 |
copy running-config startup-config 例:
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
特権 EXEC モード(デフォルト)または任意の権限レベルにアクセスするためにユーザが入力する必要がある暗号化パスワードを確立するには、次の手順を実行します。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。 パスワードを入力します(要求された場合)。 |
||
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 3 |
次のいずれかを使用します。
例:
または
|
|
||
ステップ 4 |
service password-encryption 例:
|
(任意)パスワードの定義時または設定の書き込み時に、パスワードを暗号化します。 暗号化を行うと、コンフィギュレーション ファイル内でパスワードが読み取り可能な形式になるのを防止できます。 |
||
ステップ 5 |
end 例:
|
特権 EXEC モードに戻ります。 |
||
ステップ 6 |
show running-config 例:
|
入力を確認します。 |
||
ステップ 7 |
copy running-config startup-config 例:
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードをイネーブルにします。プロンプトが表示されたらパスワードを入力します。 |
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
次のいずれかを使用します。
例:
または
|
|
ステップ 4 |
end 例:
|
グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
パスワードの回復をディセーブルにしてスイッチのセキュリティを保護するには、次の手順を実行します。
パスワード回復をディセーブルにする場合は、エンド ユーザがブート プロセスに割り込んでシステムをデフォルトの状態に戻すような場合に備え、セキュア サーバにコンフィギュレーション ファイルのバックアップ コピーを保存しておくことを推奨します。スイッチ上でコンフィギュレーション ファイルのバックアップ コピーを保存しないでください。VTP(VLAN トランキング プロトコル)トランスペアレント モードでスイッチが動作している場合は、VLAN データベース ファイルのバックアップ コピーも同様にセキュア サーバに保存してください。スイッチがシステムのデフォルト設定に戻ったときに、XMODEM プロトコルを使用して、保存したファイルをスイッチにダウンロードできます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
system disable password recovery switch <1-9> 例:
|
パスワード回復をディセーブルにします。
この設定は、フラッシュ メモリの中で、ブートローダおよび Cisco IOS イメージがアクセスできる領域に保存されますが、ファイル システムには含まれません。また、ユーザがアクセスすることはできません。 disable password recovery を削除するには、グローバル コンフィギュレーション モードで no system disable password recovery switch all コマンドを使用します。 |
ステップ 4 |
end 例:
|
特権 EXEC モードに戻ります。 |
接続された端末回線の Telnet パスワードを設定するには、次の手順を実行します。
エミュレーション ソフトウェアを備えた PC またはワークステーションをスイッチ コンソール ポートに接続するか、または PC をイーサネット管理ポートに接続します。
コンソール ポートのデフォルトのデータ特性は、9600 ボー、8 データ ビット、1 ストップ ビット、パリティなしです。コマンドライン プロンプトが表示されるまで、Return キーを何回か押す必要があります。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。 パスワードを入力します(要求された場合)。 |
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
line vty 0 15 例:
|
Telnet セッション(回線)の数を設定し、ライン コンフィギュレーション モードを開始します。 コマンド対応 device では、最大 16 のセッションが可能です。0 および 15 を指定すると、使用できる 16 の Telnet セッションすべてを設定することになります。 |
ステップ 4 |
password password 例:
|
1 つまたは複数の回線に対応する Telnet パスワードを設定します。 password :1 ~ 25 文字の英数字の文字列を指定します。ストリングを数字で始めることはできません。大文字と小文字を区別し、スペースを使用できますが、先行スペースは無視されます。デフォルトでは、パスワードは定義されません。 |
ステップ 5 |
end 例:
|
特権 EXEC モードに戻ります。 |
ステップ 6 |
show running-config 例:
|
入力を確認します。 |
ステップ 7 |
copy running-config startup-config 例:
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
ユーザ名とパスワードのペアを設定するには、次の手順を実行します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。 パスワードを入力します(要求された場合)。 |
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
username name [ privilege level] { password encryption-type password} 例:
|
各ユーザのユーザ名、権限レベル、パスワードを設定します。
|
ステップ 4 |
次のいずれかを使用します。
例:
または
|
ライン コンフィギュレーション モードを開始し、コンソールポート(回線 0)または vty 回線(回線 0 ~ 15)を設定します。 |
ステップ 5 |
login local 例:
|
ログイン時のローカル パスワード チェックをイネーブルにします。認証は、ステップ 3 で指定されたユーザ名に基づきます。 |
ステップ 6 |
end 例:
|
特権 EXEC モードに戻ります。 |
ステップ 7 |
show running-config 例:
|
入力を確認します。 |
ステップ 8 |
copy running-config startup-config 例:
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
コマンドの権限レベルを設定するには、次の手順に従います。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードをイネーブルにします。 パスワードを入力します(要求された場合)。 |
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
privilege mode level level command 例:
|
コマンドの特権レベルを設定します。
|
ステップ 4 |
enable password level level password 例:
|
権限レベルをイネーブルにするためのパスワードを指定します。
|
ステップ 5 |
end 例:
|
特権 EXEC モードに戻ります。 |
ステップ 6 |
copy running-config startup-config 例:
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
ユーザは、回線にログインし、別の権限レベルをイネーブルに設定することにより、privilege level コマンドを使用して設定された権限レベルを上書きできます。上位の権限レベルのパスワードがわかっていれば、ユーザはそのパスワードを使用して上位の権限レベルをイネーブルにできます。回線の使用を制限するには、コンソール回線に高いレベルまたは権限レベルを指定してください。
指定した回線のデフォルトの権限レベルを変更するには、次の手順を実行します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。 パスワードを入力します(要求された場合)。 |
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
line vty line 例:
|
アクセスを制限する VTY を選択します。 |
ステップ 4 |
privilege level level 例:
|
回線のデフォルト特権レベルを変更します。 level :範囲は 0 ~ 15 です。レベル 1 が通常のユーザ EXEC モード権限です。レベル 15 は、enable パスワードによって許可されるアクセス レベルです。 |
ステップ 5 |
end 例:
|
特権 EXEC モードに戻ります。 |
ステップ 6 |
copy running-config startup-config 例:
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
また、disable コマンドを使用することにより、権限レベルを引き下げることができます。
指定した権限レベルにログインし、指定した権限レベルを終了するには、次の手順を実行します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable level 例:
|
指定された特権レベルにログインします。 この例で、レベル 15 は特権 EXEC モードです。 level :範囲は 0 ~ 15 です。 |
ステップ 2 |
disable level 例:
|
指定した特権レベルを終了します。 この例で、レベル 1 はユーザ EXEC モードです。 level :範囲は 0 ~ 15 です。 |
次の項では、パスワードと権限レベルを使用したスイッチアクセスの制御の設定例を示します。
次の例は、イネーブルパスワードを l1u2c3k4y5 に変更する方法を示しています。パスワードは暗号化されておらず、レベル 15 のアクセスが与えられます(従来の特権 EXEC モード アクセス)。
Device> enable
Device# configure terminal
Device(config)# enable password l1u2c3k4y5
次に、権限レベル 2 に対して暗号化パスワード $1$FaD0$Xyti5Rkls3LoyxzS8 を設定する例を示します。
Device> enable
Device# configure terminal
Device(config)# enable secret level 2 5 $1$FaD0$Xyti5Rkls3LoyxzS8
次に、マスクされたシークレットパスワードを設定する例を示します。
Device> enable
Device# configure terminal
Device(config)# username cisco masked-secret
Enter secret: ******
Confirm secret: ******
次に、コモンクライテリアポリシーのマスクされたシークレットパスワードを設定する例を示します。
Device> enable
Device# configure terminal
Device(config)# username cisco common-criteria-policy test-policy masked-secret
Enter secret: ******
Confirm secret: ******
次に、Telnet パスワードを let45me67in89 に設定する例を示します。
Device> enable
Device# configure terminal
Device(config)# line vty 10
Device(config-line)# password let45me67in89
次の例は、configure コマンドを権限レベル 14 に設定し、ユーザがレベル 14 のコマンドを使用する場合に入力するパスワードとして SecretPswd14 を定義する方法を示しています。
Device> enable
Device# configure terminal
Device(config)# line vty 10
Device(config)# privilege exec level 14 configure
Device(config)# enable password level 14 SecretPswd14
コマンド | 目的 |
---|---|
show privilege |
権限レベルの設定を表示します。 |
show running | secret username |
ユーザ名が作成され、デフォルトで type9 に暗号化されることを確認します。 |
show running | secret enable |
シークレットパスワードがデフォルトで type9 に暗号化されることを確認します。 |
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
機能名 |
リリース |
機能情報 |
---|---|---|
パスワードおよび権限レベルによるスイッチ アクセスの制御 |
Cisco IOS Release 15.2(7)E1 |
この機能が導入されました。 |