セキュア コピー

このドキュメントでは、セキュアコピー(SCP)サーバー側機能用にシスコデバイスを設定する手順について説明します。

セキュア コピーの前提条件

  • デバイス上でセキュアシェル(SSH)、認証、および許可を設定します。

  • SCP は SSH を使用してセキュアな転送を実行するため、デバイスには RSA キーのペアが必要です。

Secure Copy に関する情報

Secure Copy 機能は、スイッチの設定やイメージファイルのコピーにセキュアな認証方式を提供します。Secure Copy Protocol(SCP)は、セキュアシェル(SSH)、アプリケーション、および Berkeley r ツールのセキュアな代替手段を提供するプロトコルに依存します。

SCP は一連の Berkeley の r ツール(Berkeley 大学独自のネットワーキング アプリケーション セット)に基づいて設計されているため、その動作内容は Remote Copy Protocol(RCP)と類似しています。ただし、SCP は SSH のセキュリティに対応している点は除きます。加えて、SCP では、ユーザーが正しい権限レベルを持っていることをデバイス上で判断できるように、認証、許可、およびアカウンティング(AAA)を設定する必要があります。

SCP を使用すると、copy コマンドを使用して Cisco IOS ファイルシステム(Cisco IFS)内の任意のファイルのコピーをデバイスとの間で実行できるのは、特権レベルが 15 のユーザーのみになります。許可された管理者はワークステーションからこの操作を実行することもできます。


(注)  

  • pscp.exe ファイルを使用している場合は、SCP オプションを有効にします。

  • SSH を機能させるには、RSA 公開キーと秘密キーのペアをデバイスで設定する必要があります。

SCP と同様に、SSH ファイル転送プロトコル(SFTP)を使用して、スイッチ設定またはイメージファイルをコピーできます。詳細については、「Security Configuration Guide」の「Configuring SSH File Transfer Protocol」の章 [英語] を参照してください。

セキュア コピーの設定方法

セキュアコピーの設定

シスコデバイスに SCP サーバー側機能の設定をするには、次の手順を実行します。

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:


Device> enable

特権 EXEC モードを有効にします。

プロンプトが表示されたらパスワードを入力します。

ステップ 2

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

aaa new-model

例:


Device(config)# aaa new-model

ログイン時の AAA 認証を設定します。

ステップ 4

aaa authentication login {default | list-name } method1 [ method2... ]

例:


Device(config)# aaa authentication login default group tacacs+

AAA アクセス コントロール システムをイネーブルにします。

ステップ 5

username name [privilege level ] password encryption-type encrypted-password

例:


Device(config)# username superuser privilege 2 password 0 superpassword

ユーザ名をベースとした認証システムを構築します。

(注)  

 

TACACS+ や RADIUS などのネットワークベースの認証メカニズムが設定されている場合は、この手順を省略できます。

ステップ 6

ip scp server enable

例:


Device(config)# ip scp server enable

SCP サーバ側機能を有効にします。

ステップ 7

exit

例:


Device(config)# exit

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

ステップ 8

debug ip scp

例:


Device# debug ip scp

(任意)SCP 認証問題を解決します。

SSH サーバでの Secure Copy Protocol のイネーブル化

次のタスクでは、SCP のサーバー側機能の設定方法を示します。このタスクは、デバイスでリモートのワークステーションからファイルを安全にコピーできる一般的な設定を示しています。

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:


Device> enable

特権 EXEC モードを有効にします。

プロンプトが表示されたらパスワードを入力します。

ステップ 2

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

aaa new-model

例:


Device(config)# aaa new-model

認証、許可、アカウンティング(AAA)アクセス コントロール モデルをイネーブルにします。

ステップ 4

aaa authentication login default local

例:


Device(config)# aaa authentication login default local

ログイン時の認証にローカルのユーザー名データベースを使用するように AAA 認証を設定します。

ステップ 5

aaa authorization exec default local

例:


Device(config)# aaa authorization exec default local

ユーザ アクセスを制限するパラメータをネットワークに設定します。許可を実行し、ユーザ ID で EXEC シェルの実行を許可するかどうかを定義します。その後、システムで許可にローカル データベースを使用する必要があることを指定します。

ステップ 6

username name privilege privilege-level password password

例:


Device(config)# username samplename privilege 15 password password1

ユーザ名ベースの認証システムを確立し、ユーザ名、権限レベル、および非暗号化パスワードを指定します。

(注)  

 

privilege-level 引数の最小値は 15 です。権限レベルが 15 未満の場合、接続が切断されます。

ステップ 7

ip ssh time-out seconds

例:


Device(config)# ip ssh time-out 120

デバイスが SSH クライアントの応答を待つ時間間隔を、秒単位で設定します。

ステップ 8

ip ssh authentication-retries 整数

例:


Device(config)# ip ssh authentication-retries 3

インターフェイスのリセット後、認証を試行する回数を設定します。

ステップ 9

ip scp server enable

例:


Device(config)# ip scp server enable

デバイスで、リモート ワークステーションから安全にファイルをコピーできるようにします。

ステップ 10

ip ssh bulk-mode

例:


Device(config)# ip ssh bulk-mode

(任意)SSH 一括データ転送モードをイネーブルにして、SCP のスループットパフォーマンスを強化します。

ステップ 11

exit

例:


Device(config)# exit

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

ステップ 12

debug ip scp

例:


Device# debug ip scp

(任意)SCP 認証の問題に関する診断情報を提供します。

セキュア コピーの設定方法

例:ローカル認証を使用したセキュア コピーの設定

次の例は、SCP のサーバー側機能の設定方法を示しています。この例では、ローカルに定義されたユーザ名とパスワードを使用します。 


! AAA authentication and authorization must be configured properly in order for SCP to work.
Device> enable
Device# configure terminal
Device(config)# aaa new-model
Device(config)# aaa authentication login default local
Device(config)# aaa authorization exec default local
Device(config)# username user1 privilege 15 password 0 lab
! SSH must be configured and functioning properly.
Device(config)# ip scp server enable
Device(config)# end

例:ネットワークベース認証を使用した SCP サーバ側の設定

次の例は、ネットワークベースの認証メカニズムを使用した SCP のサーバ側機能の設定方法を示しています。


! AAA authentication and authorization must be configured properly for SCP to work. 
Device> enable
Device# configure terminal
Device(config)# aaa new-model 
Device(config)# aaa authentication login default group tacacs+
Device(config)# aaa authorization exec default group tacacs+
! SSH must be configured and functioning properly.
Device(config)# ip ssh time-out 120
Device(config)# ip ssh authentication-retries 3
Device(config)# ip scp server enable
Device(config)# end

セキュアコピーに関する追加情報

関連資料

関連項目

マニュアル タイトル

セキュア シェル バージョン 1 と 2 のサポート

セキュア シェルの設定

シスコのテクニカル サポート

説明

リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/cisco/web/support/index.html

セキュアコピーの機能履歴

次の表に、このモジュールで説明する機能のリリースおよび関連情報を示します。

これらの機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースで使用できます。

リリース

機能

機能情報

Cisco IOS XE Fuji 16.9.2

セキュア コピー

Secure Copy 機能は、デバイス設定またはデバイスイメージファイルをコピーするための安全で認証された方式を提供します。SCP は、SSH、アプリケーション、および Berkeley r ツールのセキュアな代替手段を提供するプロトコルに依存します。

次のコマンドが導入または変更されました:debug ip scp および ip scp server enable

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェアイメージのサポート情報を検索できます。Cisco Feature Navigator には、http://www.cisco.com/go/cfn [英語] からアクセスします。