ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報および警告については、使用するプラットフォームおよびソフトウェア リリースの Bug Search Tool およびリリース ノートを参照してください。このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このモジュールの最後にある機能情報の表を参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
パスワードおよび権限によるスイッチ アクセスの制御の制約事項は、次のとおりです。
パスワードおよび権限レベルに関する情報
ネットワークで端末のアクセス コントロールを行う簡単な方法は、パスワードを使用して権限レベルを割り当てることです。パスワード保護によって、ネットワークまたはネットワーク デバイスへのアクセスが制限されます。権限レベルによって、ネットワーク デバイスにログイン後、ユーザがどのようなコマンドを使用できるかが定義されます。
|
機能 |
デフォルト設定 |
|---|---|
|
イネーブル パスワードおよび権限レベル |
パスワードは定義されていません。デフォルトはレベル 15 です(特権 EXEC レベル)。パスワードは、コンフィギュレーション ファイル内では暗号化されていない状態です。 |
|
イネーブル シークレット パスワードおよび権限レベル |
パスワードは定義されていません。デフォルトはレベル 15 です(特権 EXEC レベル)。パスワードは、暗号化されてからコンフィギュレーション ファイルに書き込まれます。 |
|
回線パスワード |
パスワードは定義されていません。 |
追加のセキュリティ レイヤを、特にネットワークを越えるパスワードや Trivial File Transfer Protocol(TFTP)サーバに保存されているパスワードに対して設定する場合には、enable password または enable secret グローバル コンフィギュレーション コマンドを使用できます。コマンドの作用はどちらも同じです。このコマンドにより、暗号化されたパスワードを設定できます。特権 EXEC モード(デフォルト設定)または特定の権限レベルにアクセスするユーザは、このパスワードを入力する必要があります。
より高度な暗号化アルゴリズムが使用されるので、enable secret コマンドを使用することを推奨します。
enable secret コマンドを設定した場合、このコマンドは enable password コマンドよりも優先されます。同時に 2 つのコマンドを有効にはできません。
パスワードの暗号化をイネーブルにすると、ユーザ名パスワード、認証キー パスワード、イネーブル コマンド パスワード、コンソールおよび仮想端末回線パスワードなど、すべてのパスワードに適用されます。
スイッチに物理的にアクセスできるエンド ユーザは、デフォルトで、スイッチの電源投入時にブート プロセスに割り込み、新しいパスワードを入力することによって、失われたパスワードを回復できます。
パスワード回復ディセーブル化機能では、この機能の一部をディセーブルにすることによりスイッチのパスワードへのアクセスを保護できます。この機能がイネーブルの場合、エンド ユーザは、システムをデフォルト設定に戻すことに同意した場合に限り、ブート プロセスに割り込むことができます。パスワード回復をディセーブルにしても、ブート プロセスに割り込んでパスワードを変更できますが、コンフィギュレーション ファイル(config.text)および VLAN データベース ファイル(vlan.dat)は削除されます。
パスワード回復をディセーブルにする場合は、エンド ユーザがブート プロセスに割り込んでシステムをデフォルトの状態に戻すような場合に備え、セキュア サーバにコンフィギュレーション ファイルのバックアップ コピーを保存しておくことを推奨します。スイッチ上でコンフィギュレーション ファイルのバックアップ コピーを保存しないでください。VTP(VLAN トランキング プロトコル)トランスペアレント モードでスイッチが動作している場合は、VLAN データベース ファイルのバックアップ コピーも同様にセキュア サーバに保存してください。スイッチがシステムのデフォルト設定に戻ったときに、XMODEM プロトコルを使用して、保存したファイルをスイッチにダウンロードできます。
パスワードの回復を再びイネーブルにするには、service password-recovery グローバル コンフィギュレーション コマンドを使用します。
初めてスイッチに電源を投入すると、自動セットアップ プログラムが起動して IP 情報を割り当て、この後続けて使用できるようにデフォルト設定を作成します。さらに、セットアップ プログラムは、パスワードによる Telnet アクセス用にスイッチを設定することを要求します。セットアップ プログラムの実行中にこのパスワードを設定しなかった場合は、端末回線に対する Telnet パスワードを設定するときに設定できます。
ユーザ名とパスワードのペアを設定できます。このペアはスイッチ上でローカルに保存されます。このペアは回線またはポートに割り当てられ、各ユーザを認証します。ユーザは認証後、スイッチにアクセスできます。権限レベルを定義している場合は、ユーザ名とパスワードの各ペアに特定の権限レベルを、対応する権利および権限とともに割り当てることもできます。
Cisco スイッチ(および他のデバイス)では、権限レベルを使用して、スイッチ動作の異なるレベルに対してパスワード セキュリティを提供します。デフォルトでは、Cisco IOS ソフトウェアは、パスワード セキュリティの 2 つのモード(権限レベル)で動作します。ユーザ EXEC(レベル 1)および特権 EXEC(レベル 15)です。各モードに、最大 16 個の階層レベルからなるコマンドを設定できます。複数のパスワードを設定することにより、ユーザ グループ別に特定のコマンドへのアクセスを許可することができます。
ユーザは、回線にログインし、別の権限レベルをイネーブルに設定することにより、privilege level ライン コンフィギュレーション コマンドを使用して設定された権限レベルを上書きできます。また、disable コマンドを使用することにより、権限レベルを引き下げることができます。上位の権限レベルのパスワードがわかっていれば、ユーザはそのパスワードを使用して上位の権限レベルをイネーブルにできます。回線の使用を制限するには、コンソール回線に高いレベルまたは権限レベルを指定してください。
たとえば、多くのユーザに clear line コマンドへのアクセスを許可する場合、レベル 2 のセキュリティを割り当て、レベル 2 のパスワードを広範囲のユーザに配布できます。また、configure コマンドへのアクセス制限を強化する場合は、レベル 3 のセキュリティを割り当て、そのパスワードを限られたユーザ グループに配布することもできます。
コマンドをある権限レベルに設定すると、構文がそのコマンドのサブセットであるコマンドはすべて、そのレベルに設定されます。たとえば、show ip traffic コマンドをレベル 15 に設定すると、show コマンドおよび show ip コマンドは、それぞれ別のレベルに設定しない限り、自動的にレベル 15 に設定されます。
パスワードおよび権限レベルでスイッチ アクセスを制御する方法
イネーブル パスワードは、特権 EXEC モードへのアクセスを制御します。スタティック イネーブル パスワードを設定または変更するには、次の手順を実行します。
1.
enable
3.
enable passwordpassword
6.
copy running-config startup-config
特権 EXEC モード(デフォルト)または指定された特権レベルにアクセスするためにユーザが入力する必要がある暗号化パスワードを確立するには、次の手順を実行します。
1.
enable
3.
次のいずれかを使用します。
4.
service password-encryption
7.
copy running-config startup-config
パスワードの回復をディセーブルにしてスイッチのセキュリティを保護するには、次の手順を実行します。
パスワード回復をディセーブルにする場合は、エンド ユーザがブート プロセスに割り込んでシステムをデフォルトの状態に戻すような場合に備え、セキュア サーバにコンフィギュレーション ファイルのバックアップ コピーを保存しておくことを推奨します。スイッチ上でコンフィギュレーション ファイルのバックアップ コピーを保存しないでください。VTP(VLAN トランキング プロトコル)トランスペアレント モードでスイッチが動作している場合は、VLAN データベース ファイルのバックアップ コピーも同様にセキュア サーバに保存してください。スイッチがシステムのデフォルト設定に戻ったときに、XMODEM プロトコルを使用して、保存したファイルをスイッチにダウンロードできます。
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。パスワードを入力します(要求された場合)。 |
| ステップ 2 | configureterminal 例: Switch# configure terminal | |
| ステップ 3 | system disable password recovery switch {all | <1-9>} 例:
Switch(config)# system disable password recovery switch all
|
パスワード回復をディセーブルにします。 この設定は、フラッシュ メモリの中で、ブートローダおよび Cisco IOS イメージがアクセスできる領域に保存されますが、ファイル システムには含まれません。また、ユーザがアクセスすることはできません。 |
| ステップ 4 | end 例: Switch(config)# end |
disable password recovery を削除するには、no system disable password recovery switch all グローバル コンフィギュレーション コマンドを使用します。
接続された端末回線に対する Telnet パスワードを設定するには、ユーザ EXEC モードで次の手順を実行します。
1.
enable
3.
line vty 0 15
4.
passwordpassword
5.
end
7.
copy running-config startup-config
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
| ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードを開始します。 | ||
| ステップ 2 | configureterminal 例: Switch# configure terminal | |||
| ステップ 3 | line vty 0 15 例:
Switch(config)# line vty 0 15
|
Telnet セッション(回線)の数を設定し、ライン コンフィギュレーション モードを開始します。 コマンド対応Switchでは、最大 16 のセッションが可能です。0 および 15 を指定すると、使用できる 16 の Telnet セッションすべてを設定することになります。 | ||
| ステップ 4 | passwordpassword 例:
Switch(config-line)# password abcxyz543
|
1 つまたは複数の回線に対応する Telnet パスワードを設定します。 password には、1 ~ 25 文字の英数字のストリングを指定します。ストリングを数字で始めることはできません。大文字と小文字を区別し、スペースを使用できますが、先行スペースは無視されます。デフォルトでは、パスワードは定義されません。 | ||
| ステップ 5 | end 例:
Switch(config-line)# end
|
特権 EXEC モードに戻ります。 | ||
| ステップ 6 | show running-config 例: Switch# show running-config | |||
| ステップ 7 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
ユーザ名とパスワードのペアを設定するには、次の手順を実行します。
1.
enable
3.
usernamename [privilegelevel] {passwordencryption-typepassword}
4.
次のいずれかを使用します。
5.
login local
8.
copy running-config startup-config
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。パスワードを入力します(要求された場合)。 |
| ステップ 2 | configureterminal 例: Switch# configure terminal | |
| ステップ 3 | usernamename [privilegelevel] {passwordencryption-typepassword} 例:
Switch(config)# username adamsample privilege 1 password secret456
Switch(config)# username 111111111111 mac attribute
|
各ユーザのユーザ名、権限レベル、パスワードを設定します。
|
| ステップ 4 | 次のいずれかを使用します。
例: Switch(config)# line console 0
または Switch(config)# line vty 15
|
ライン コンフィギュレーション モードを開始し、コンソール ポート(回線 0)または VTY 回線(回線 0 ~ 15)を設定します。 |
| ステップ 5 | login local 例:
Switch(config-line)# login local
|
ログイン時のローカル パスワード チェックをイネーブルにします。認証は、ステップ 3 で指定されたユーザ名に基づきます。 |
| ステップ 6 | end 例: Switch(config)# end | |
| ステップ 7 | show running-config 例: Switch# show running-config | |
| ステップ 8 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
コマンドの権限レベルを設定するには、次の手順を実行します。
1.
enable
3.
privilegemodelevellevelcommand
4.
enable password levellevelpassword
6.
copy running-config startup-config
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。パスワードを入力します(要求された場合)。 |
| ステップ 2 | configureterminal 例: Switch# configure terminal | |
| ステップ 3 | privilegemodelevellevelcommand 例:
Switch(config)# privilege exec level 14 configure
|
コマンドの特権レベルを設定します。 |
| ステップ 4 | enable password levellevelpassword 例:
Switch(config)# enable password level 14 SecretPswd14
|
権限レベルをイネーブルにするためのパスワードを指定します。 |
| ステップ 5 | end 例: Switch(config)# end | |
| ステップ 6 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
指定した回線のデフォルトの権限レベルを変更するには、次の手順を実行します。
1.
enable
3.
line vtyline
4.
privilege levellevel
6.
copy running-config startup-config
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 | enable 例:
Switch> enable
|
特権 EXEC モードをイネーブルにします。パスワードを入力します(要求された場合)。 |
| ステップ 2 | configureterminal 例: Switch# configure terminal | |
| ステップ 3 | line vtyline 例:
Switch(config)# line vty 10
|
アクセスを制限する仮想端末回線を選択します。 |
| ステップ 4 | privilege levellevel 例:
Switch(config)# privilege level 15
|
回線のデフォルト特権レベルを変更します。 level の範囲は 0 ~ 15 です。レベル 1 が通常のユーザ EXEC モード権限です。レベル 15 は、enable パスワードによって許可されるアクセス レベルです。 |
| ステップ 5 | end 例: Switch(config)# end | |
| ステップ 6 | copy running-config startup-config 例:
Switch# copy running-config startup-config
|
(任意)コンフィギュレーション ファイルに設定を保存します。 |
ユーザは、回線にログインし、別の権限レベルをイネーブルに設定することにより、privilege level ライン コンフィギュレーション コマンドを使用して設定された権限レベルを上書きできます。また、disable コマンドを使用することにより、権限レベルを引き下げることができます。上位の権限レベルのパスワードがわかっていれば、ユーザはそのパスワードを使用して上位の権限レベルをイネーブルにできます。回線の使用を制限するには、コンソール回線に高いレベルまたは権限レベルを指定してください。
指定した権限レベルにログインする、または指定した権限レベルを終了するには、ユーザ EXEC モードで次の手順を実行します。
1.
enablelevel
2.
disablelevel
| コマンドまたはアクション | 目的 |
|---|
次に、イネーブル パスワードをl1u2c3k4y5 に変更する例を示します。パスワードは暗号化されておらず、レベル 15 のアクセスが与えられます(従来の特権 EXEC モード アクセス)。
Switch(config)# enable password l1u2c3k4y5
次に、権限レベル 2 に対して暗号化パスワード $1$FaD0$Xyti5Rkls3LoyxzS8 を設定する例を示します。
Switch(config)# enable secret level 2 5 $1$FaD0$Xyti5Rkls3LoyxzS8
次に、Telnet パスワードを let45me67in89 に設定する例を示します。
Switch(config)# line vty 10 Switch(config-line)# password let45me67in89
configure コマンドを権限レベル 14 に設定し、レベル 14 のコマンドを使用する場合にユーザが入力するパスワードとして SecretPswd14 を定義する例を示します。
Switch(config)# privilege exec level 14 configure Switch(config)# enable password level 14 SecretPswd14
| 説明 | リンク |
|---|---|
|
このリリースのシステム エラー メッセージを調査し解決するために、エラー メッセージ デコーダ ツールを使用します。 |
https://www.cisco.com/cgi-bin/Support/Errordecoder/index.cgi |
| MIB | MIB のリンク |
|---|---|
|
選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。 |
| 説明 | リンク |
|---|---|
|
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |
フィードバック