パスワードおよび権限レベルによるスイッチ アクセスの制御

パスワードおよび権限によるスイッチ アクセスの制御の制約事項

パスワードおよび権限によるスイッチ アクセスの制御の制約事項は、次のとおりです。

  • boot manual グローバル コンフィギュレーション コマンドを使用して、スイッチを手動で起動するように設定している場合は、パスワード回復をディセーブルにできません。このコマンドは、スイッチの電源の再投入後、ブートローダ プロンプト(switch:)を表示させます。

可逆的パスワードタイプの制約事項とガイドライン

  • パスワードタイプ 0 および 7 は、パスワードタイプ 6 に置き換えられます。したがって、コンソール、Telnet、SSH、WebUI、NETCONF への管理者ログインに使用されるパスワードタイプ 0 およびタイプ 7 は、パスワードタイプ 6 に移行する必要があります。CHAP、EAP などのローカル認証でユーザー名とパスワードがタイプ 0 およびタイプ 7 の場合、アクションは不要です。

  • スタートアップ コンフィギュレーションにタイプ 6 のパスワードがあり、タイプ 6 のパスワードがサポートされていないバージョンにダウングレードすると、デバイスからロックアウトされる可能性があります。

不可逆的パスワードタイプの制約事項とガイドライン

  • ユーザ名シークレット パスワード タイプ 5 およびイネーブル シークレット パスワード タイプ 5 は、より強力なパスワードタイプ 8 または 9 に移行する必要があります。詳細については、「暗号化によるイネーブルおよびイネーブル シークレット パスワードの保護」を参照してください。

  • デバイスのスタートアップ コンフィギュレーションに複雑なタイプ 9 シークレット($14$ で始まるパスワード)がある場合、ダウングレードは複雑なタイプ 9 シークレットがサポートされているリリースでのみ実行できます。複雑なタイプ 9 シークレットは、Cisco IOS XE Gibraltar 16.11.2 以降のリリースでサポートされます。スタートアップ コンフィギュレーションに複雑なタイプ 9 シークレットが含まれており、Cisco IOS XE Gibraltar 16.11.2 より前のリリースにダウングレードすると、デバイスからロックアウトされます。

    複雑なタイプ 9 シークレットがサポートされていないリリースにダウングレードする前に、複雑なタイプ 9 シークレット($14$ で始まるパスワード)またはタイプ 5 シークレット($1$ で始まるパスワード)ではなく、タイプ 9 シークレット($9$ で始まるパスワード)がスタートアップ コンフィギュレーションに含まれていることを確認します。

    デバイスが、Cisco IOS XE Fuji 16.9.xCisco IOS XE Gibraltar 16.10.x、または Cisco IOS XE Gibraltar 16.11.x から Cisco IOS XE Gibraltar 16.12.x へアップグレードされると、タイプ 5 シークレットは複雑なタイプ 9 シークレット($14$ で始まるパスワード)に自動変換されます。たとえば、username user1 secret 5 $1$dNmW$7jWhqdtZ2qBVz2R4CSZZC0username user1 secret 9 $14$dNmW$QykGZEEGmiEGrE$C9D/fD0czicOtgaZAa1CTa2sgygi0Leyw3/cLqPY426 に自動変換されます。デバイスがアップグレードされたら、特権 EXEC モードで write memory コマンドを実行し、複雑なタイプ 9 シークレットをスタートアップ コンフィギュレーションに永続的に書き込みます。

  • プレーンテキストパスワードは、不可逆的暗号化パスワードタイプ 9 に変換されます。


    (注)  

    これは、Cisco IOS XE Gibraltar 16.10.1 以降のリリースでサポートされています。

  • シークレット パスワード タイプ 4 はサポートされていません。

パスワードおよび権限によるスイッチアクセス制御に関する情報

ここでは、パスワードおよび権限によるスイッチアクセス制御に関する情報を示します。

不正アクセスの防止

不正ユーザーによる、スイッチの再設定や設定情報の閲覧を防止できます。一般的には、ネットワーク管理者からスイッチへのアクセスを許可する一方、非同期ポートを用いてネットワーク外からダイヤルアップ接続するユーザーや、シリアル ポートを通じてネットワーク外から接続するユーザー、またはローカル ネットワーク内の端末またはワークステーションから接続するユーザーによるアクセスを制限します。

スイッチへの不正アクセスを防止するには、次のセキュリティ機能を 1 つまたは複数設定します。

  • 最低限のセキュリティとして、各スイッチ ポートでパスワードおよび権限を設定します。このパスワードは、スイッチにローカルに保存されます。ユーザーがポートまたは回線を通じてスイッチにアクセスしようとするとき、ポートまたは回線に指定されたパスワードを入力してからでなければ、スイッチにアクセスできません。

  • 追加のセキュリティ レイヤとして、ユーザー名とパスワードをペアで設定できます。このペアはスイッチでローカルに保存されます。このペアは回線またはポートに割り当てられ、各ユーザを認証します。ユーザは認証後、スイッチにアクセスできます。権限レベルを定義している場合は、ユーザ名とパスワードの各ペアに特定の権限レベルを、対応する権利および権限とともに割り当てることもできます。

  • ユーザ名とパスワードのペアを使用したいが、そのペアをローカルではなく中央のサーバに保存したい場合は、セキュリティ サーバ上のデータベースに保存できます。これにより、複数のネットワーキング デバイスが同じデータベースを使用してユーザ認証情報を(必要に応じて許可情報も)得ることができます。

  • また、失敗したログイン試行をログに記録するログイン拡張機能もイネーブルにすることもできます。ログイン拡張は、設定した回数のログインが失敗したあとに、それ以降のログイン試行をブロックするために設定することもできます。

デフォルトのパスワードおよび権限レベル設定

ネットワークで端末のアクセス コントロールを行う簡単な方法は、パスワードを使用して権限レベルを割り当てることです。パスワード保護によって、ネットワークまたはネットワーク デバイスへのアクセスが制限されます。権限レベルによって、ネットワーク デバイスにログイン後、ユーザがどのようなコマンドを使用できるかが定義されます。

次の表に、デフォルトのパスワードおよび権限レベル設定を示します。

表 1. デフォルトのパスワードおよび権限レベル設定

機能

デフォルト設定

イネーブル パスワードおよび権限レベル

パスワードは定義されていません。デフォルトはレベル 15 です(特権 EXEC レベル)。パスワードは、コンフィギュレーション ファイル内では暗号化されていない状態です。

イネーブル シークレット パスワードおよび権限レベル

パスワードは定義されていません。デフォルトはレベル 15 です(特権 EXEC レベル)。パスワードは、暗号化されてからコンフィギュレーション ファイルに書き込まれます。

回線パスワード

パスワードは定義されていません。

追加のパスワード セキュリティ

セキュリティレベルを強化するために、特にネットワークを超えるパスワードや Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)サーバーに保存されたパスワードについて、グローバル コンフィギュレーション コマンド enable password または enable secret を使用できます。コマンドの作用はどちらも同じです。このコマンドにより、暗号化されたパスワードを設定できます。特権 EXEC モード(デフォルト設定)または特定の権限レベルにアクセスするユーザは、このパスワードを入力する必要があります。

より高度な暗号化アルゴリズムが使用されるので、enable secret コマンドを使用することを推奨します。

enable secret コマンドを設定した場合、このコマンドは enable password コマンドよりも優先されます。同時に 2 つのコマンドを有効にはできません。

パスワードの暗号化をイネーブルにすると、ユーザー名パスワード、認証キー パスワード、イネーブル コマンド パスワード、コンソールおよび仮想端末回線パスワードなど、すべてのパスワードに適用されます。

パスワードの回復

スイッチに物理的にアクセスできるエンド ユーザは、デフォルトで、スイッチの電源投入時にブート プロセスに割り込み、新しいパスワードを入力することによって、失われたパスワードを回復できます。

パスワード回復ディセーブル化機能では、この機能の一部をディセーブルにすることによりスイッチのパスワードへのアクセスを保護できます。この機能がイネーブルの場合、エンド ユーザは、システムをデフォルト設定に戻すことに同意した場合に限り、ブート プロセスに割り込むことができます。パスワード回復をディセーブルにしても、ブート プロセスに割り込んでパスワードを変更できますが、コンフィギュレーション ファイル(config.text)および VLAN データベース ファイル(vlan.dat)は削除されます。

パスワード回復をディセーブルにする場合は、エンド ユーザがブート プロセスに割り込んでシステムをデフォルトの状態に戻すような場合に備え、セキュア サーバにコンフィギュレーション ファイルのバックアップ コピーを保存しておくことを推奨します。スイッチ上でコンフィギュレーション ファイルのバックアップ コピーを保存しないでください。VTP(VLAN トランキング プロトコル)トランスペアレント モードでスイッチが動作している場合は、VLAN データベース ファイルのバックアップ コピーも同様にセキュア サーバに保存してください。スイッチがシステムのデフォルト設定に戻ったときに、XMODEM プロトコルを使用して、保存したファイルをスイッチにダウンロードできます。

パスワードの回復を再びイネーブルにするには、no system disable password recovery switch number| all グローバル コンフィギュレーション コマンドを使用します。

端末回線の Telnet 設定

初めてスイッチに電源を投入すると、自動セットアップ プログラムが起動して IP 情報を割り当て、この後続けて使用できるようにデフォルト設定を作成します。さらに、セットアップ プログラムは、パスワードによる Telnet アクセス用にスイッチを設定することを要求します。セットアップ プログラムの実行中にこのパスワードを設定しなかった場合は、端末回線に対する Telnet パスワードを設定するときに設定できます。

ユーザ名とパスワードのペア

ユーザ名とパスワードのペアを設定できます。このペアはスイッチ上でローカルに保存されます。このペアは回線またはポートに割り当てられ、各ユーザを認証します。ユーザは認証後、スイッチにアクセスできます。権限レベルを定義している場合は、ユーザ名とパスワードの各ペアに特定の権限レベルを、対応する権利および権限とともに割り当てることもできます。

権限レベル

シスコ デバイスでは、権限レベルを使用して、スイッチ動作の異なるレベルに対してパスワード セキュリティを提供します。デフォルトでは、Cisco IOS XE ソフトウェアは、パスワードセキュリティの 2 つのモード(権限レベル)で動作します。ユーザー EXEC(レベル 1)および特権 EXEC(レベル 15)です。各モードに、最大 16 個の階層レベルからなるコマンドを設定できます。複数のパスワードを設定することにより、ユーザ グループ別に特定のコマンドへのアクセスを許可することができます。

回線の権限レベル

ユーザーは、回線にログインし、別の権限レベルを有効に設定することにより、privilege level ライン コンフィギュレーション コマンドを使用して設定された権限レベルを上書きできます。また、disable コマンドを使用することにより、権限レベルを引き下げることができます。上位の権限レベルのパスワードがわかっていれば、ユーザはそのパスワードを使用して上位の権限レベルをイネーブルにできます。回線の使用を制限するには、コンソール回線に高いレベルまたは権限レベルを指定してください。

たとえば、多くのユーザに clear line コマンドへのアクセスを許可する場合、レベル 2 のセキュリティを割り当て、レベル 2 のパスワードを広範囲のユーザに配布できます。また、configure コマンドへのアクセス制限を強化する場合は、レベル 3 のセキュリティを割り当て、そのパスワードを限られたユーザグループに配布することもできます。

コマンド権限レベル

コマンドをある権限レベルに設定すると、構文がそのコマンドのサブセットであるコマンドはすべて、そのレベルに設定されます。たとえば、show ip traffic コマンドをレベル 15 に設定すると、show コマンドと show ip コマンドは、異なるレベルに個別に設定しない限り、権限レベルは自動的に 15 に設定されます。

AES パスワード暗号化およびマスター暗号キー

強力で、反転可能な 128 ビットの高度暗号化規格(AES)パスワード暗号化(タイプ 6 暗号化ともいう)を有効にできます。タイプ 6 暗号化の使用を開始するには、AES パスワード暗号化機能を有効にし、パスワードを暗号化および復号するためのマスター暗号キーを設定します。

AES パスワード暗号化を有効にしてマスターキーを設定すると、タイプ 6 パスワード暗号化を無効にしない限り、サポートされているアプリケーションの既存および新規作成されたクリアテキストパスワードがすべて、タイプ 6 暗号化の形式で保存されます。また、既存の弱いすべての暗号化パスワードをタイプ 6 暗号化パスワードに変換するようにデバイスを設定することもできます。

AES パスワード暗号化機能とマスター暗号キーが設定されている場合、タイプ 0 および 7 のパスワードはタイプ 6 に自動変換できます。


(注)  

  • TACACS および RADIUS 関連キーのタイプ 6 CLI サポートは、Cisco IOS XE Everest 16.5.x 以降のリリースでサポートされています。

  • ユーザー名パスワードのタイプ 6 の暗号化パスワードは、Cisco IOS XE Gibraltar 16.10.1 以降のリリースでサポートされています。パスワードタイプ 6 への自動変換は、Cisco IOS XE Gibraltar 16.11.1 以降のリリースでサポートされています。

  • タイプ 6 のユーザー名とパスワードには Cisco IOS XE Gibraltar 16.10.x と下位互換性があります。Cisco IOS XE Gibraltar 16.10.1 より前のリリースにダウングレードすると、タイプ 6 のユーザー名とパスワードは拒否されます。自動変換後、管理者パスワードがダウングレード中に拒否されないようにするには、管理者ログイン(管理アクセス)に使用されるパスワードを不可逆的なパスワードタイプに手動で移行します。

パスワードおよび権限によるスイッチアクセスの設定方法

スタティック 有効 パスワードの設定または変更

イネーブル パスワードは、特権 EXEC モードへのアクセスを制御します。スタティック イネーブル パスワードを設定または変更するには、次の手順を実行します。

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:


Device> enable

特権 EXEC モードを有効にします。

プロンプトが表示されたらパスワードを入力します。

ステップ 2

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

enable password password

例:


Device(config)# enable password secret321

特権 EXEC モードにアクセスするための新しいパスワードを定義するか、既存のパスワードを変更します。

デフォルトでは、パスワードは定義されません。

password には、1 ~ 25 文字の英数字のストリングを指定します。ストリングを数字で始めることはできません。大文字と小文字を区別し、スペースを使用できますが、先行スペースは無視されます。疑問符(?)は、パスワードを作成する場合に、疑問符の前に Ctrl+v を入力すれば使用できます。たとえば、パスワード abc?123 を作成するときは、次のようにします。

  1. abc を入力します。

  2. Ctrl+v を入力します。

  3. ?123 を入力します。

システムからイネーブル パスワードを入力するように求められた場合、疑問符の前に Ctrl+v を入力する必要はなく、パスワードのプロンプトにそのまま abc?123 と入力できます。

ステップ 4

end

例:


Device(config)# end

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

暗号化によるイネーブルおよびイネーブル シークレット パスワードの保護

特権 EXEC モード(デフォルト)または指定された特権レベルにアクセスするためにユーザーが入力する必要がある暗号化パスワードを確立するには、次の手順を実行します。

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:


Device> enable

特権 EXEC モードを有効にします。プロンプトが表示されたらパスワードを入力します。

ステップ 2

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

次のいずれかを使用します。

  • enable password [level level] {unencrypted-password | encryption-type encrypted-password}
  • enable secret [level level] {unencrypted-password | encryption-type encrypted-password}

例:

Device(config)# enable password level 12 example123

または 

Device(config)# enable secret 9 $9$sMLBsTFXLnnHTk$0L82

  • 特権 EXEC モードにアクセスするための新しいパスワードを定義するか、既存のパスワードを変更します。

  • シークレット パスワードを定義します。これは非可逆的な暗号化方式を使用して保存されます。

    • (任意)level に指定できる範囲は 0 ~ 15 です。レベル 1 が通常のユーザ EXEC モード権限です。デフォルト レベルは 15 です(特権 EXEC モード権限)。

    • unencrypted-password には、1 ~ 25 文字の英数字の文字列を指定します。ストリングを数字で始めることはできません。大文字と小文字を区別し、スペースを使用できますが、先行スペースは無視されます。デフォルトでは、パスワードは定義されません。

    • encryption-type の場合、enable password に使用可能なオプションはタイプ 0 と 7、enable secret に使用可能なオプションはタイプ 0、5、8、および 9 です。暗号化タイプを指定する場合は、暗号化されたパスワードを使用する必要があります。この暗号化パスワードは、別のスイッチの設定からコピーします。シークレット暗号化タイプ 9 はより安全であるため、アップグレードまたはダウングレード時に問題が発生しないように、タイプ 9 を選択することを推奨します。

      (注)  

       

      • シークレットパスワードの暗号化タイプを指定しない場合、パスワードはタイプ 9 に自動的に変換されます。これは、Cisco IOS XE Gibraltar 16.10.1 以降のリリースで適用されます。

      • 暗号化タイプを指定してクリアテキストパスワードを入力した場合は、エラーが発生します。

      • グローバル コンフィギュレーション モードで algorithm-type scrypt コマンドを使用して、シークレットパスワードにタイプ 9 暗号化を手動で設定することもできます。次に例を示します。
        Device(config)# username user1 algorithm-type scrypt secret cisco

        または

        Device(config)# enable algorithm-type scrypt secret cisco

        特権 EXEC モードで write memory コマンドを実行し、タイプ 9 シークレットをスタートアップ コンフィギュレーションに永続的に書き込みます。

ステップ 4

service password-encryption

例:


Device(config)# service password-encryption

(任意)パスワードの定義時または設定の書き込み時に、パスワードを暗号化します。

暗号化を行うと、コンフィギュレーション ファイル内でパスワードが読み取り可能な形式になるのを防止できます。

ステップ 5

end

例:


Device(config)# end

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

パスワード回復のディセーブル化

パスワードの回復をディセーブルにしてスイッチのセキュリティを保護するには、次の手順を実行します。

始める前に

パスワード回復をディセーブルにする場合は、エンド ユーザがブート プロセスに割り込んでシステムをデフォルトの状態に戻すような場合に備え、セキュア サーバにコンフィギュレーション ファイルのバックアップ コピーを保存しておくことを推奨します。スイッチ上でコンフィギュレーション ファイルのバックアップ コピーを保存しないでください。VTP(VLAN トランキング プロトコル)トランスペアレント モードでスイッチが動作している場合は、VLAN データベース ファイルのバックアップ コピーも同様にセキュア サーバに保存してください。スイッチがシステムのデフォルト設定に戻ったときに、XMODEM プロトコルを使用して、保存したファイルをスイッチにダウンロードできます。

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:


Device> enable

特権 EXEC モードを有効にします。

プロンプトが表示されたらパスワードを入力します。

ステップ 2

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

system disable password recovery switch {all | <1-9> }

例:


Device(config)# system disable password recovery switch all

パスワード回復をディセーブルにします。

  • all :スタック内のスイッチで設定を行います。

  • <1-9> :選択したスイッチ番号で設定を行います。

この設定は、フラッシュメモリの中で、ブートローダおよび Cisco IOS イメージがアクセスできる領域に保存されますが、ファイルシステムには含まれません。また、ユーザーがアクセスすることはできません。

ステップ 4

end

例:


Device(config)# end

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

次のタスク

disable password recovery を削除するには、no system disable password recovery switch all グローバル コンフィギュレーション コマンドを使用します。

端末回線に対する Telnet パスワードの設定

接続された端末回線に対する Telnet パスワードを設定するには、ユーザー EXEC モードで次の手順を実行します。

始める前に

  • エミュレーション ソフトウェアを備えた PC またはワークステーションをスイッチ コンソール ポートに接続するか、または PC をイーサネット管理ポートに接続します。

  • コンソール ポートのデフォルトのデータ特性は、9600 ボー、8 データ ビット、1 ストップ ビット、パリティなしです。コマンドライン プロンプトが表示されるまで、Return キーを何回か押す必要があります。

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:

Device> enable

特権 EXEC モードを有効にします。

プロンプトが表示されたらパスワードを入力します。

ステップ 2

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

line vty 0 97

例:

Device(config)# line vty 0 97

Telnet セッション(回線)の数を設定し、ライン コンフィギュレーション モードを開始します。

コマンド対応 device では、最大 98 のセッションが可能です。0 および 97 は、可能なすべての 98 Telnet セッションを設定していることを意味します。

ステップ 4

password password

例:

Device(config-line)# password abcxyz543

1 つまたは複数の回線に対応する Telnet パスワードを設定します。

password には、1 ~ 25 文字の英数字のストリングを指定します。ストリングを数字で始めることはできません。大文字と小文字を区別し、スペースを使用できますが、先行スペースは無視されます。デフォルトでは、パスワードは定義されません。

ステップ 5

end

例:

Device(config-line)# end

特権 EXEC モードに戻ります。

ユーザ名とパスワードのペアの設定

ユーザー名とパスワードのペアを設定するには、次の手順を実行します。

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:


Device> enable

特権 EXEC モードを有効にします。

プロンプトが表示されたらパスワードを入力します。

ステップ 2

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

username name [ privilege level] { password encryption-type password}

例:


Device(config)# username adamsample privilege 1 password secret456


Device(config)# username 111111111111 mac attribute

各ユーザのユーザ名、権限レベル、パスワードを設定します。

  • name には、ユーザー ID を 1 ワードで指定するか、または MAC アドレスを指定します。スペースと引用符は使用できません。

  • ユーザ名と MAC フィルタの両方に対し、最大 12000 のクライアントを個別に設定できます。

  • (任意)level には、アクセス権を得たユーザーに設定する権限レベルを指定します。指定できる範囲は 0 ~ 15 です。レベル 15 では特権 EXEC モードでのアクセスが可能です。レベル 1 では、ユーザ EXEC モードでのアクセスとなります。

  • encryption-type に、暗号化されていないパスワードが後ろに続く場合は 0 を入力します。非表示パスワードが後ろに続く場合は 7 を入力します。暗号化されたパスワードが後ろに続く場合は 6 を入力します。

  • password には、デバイスにアクセスするためにユーザーが入力する必要のあるパスワードを指定します。パスワードは 1 ~ 25 文字で、埋め込みスペースを使用でき、username コマンドの最後のオプションとして指定します。

ステップ 4

次のいずれかを使用します。

  • line console 0
  • line vty 0 97

例:

Device(config)# line console 0

または 

Device(config)# line vty 0 97

ライン コンフィギュレーション モードを開始し、コンソールポート(回線 0)または VTY 回線(回線 0 ~ 97)を設定します。

ステップ 5

end

例:


Device(config-line)# end

回線コンフィギュレーション モードを終了します。続いて、特権 EXEC モードに戻ります。

コマンドの特権レベルの設定

コマンドの権限レベルを設定するには、次の手順を実行します。

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:


Device> enable

特権 EXEC モードを有効にします。

プロンプトが表示されたらパスワードを入力します。

ステップ 2

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

privilege mode level level command

例:


Device(config)# privilege exec level 14 configure

コマンドの特権レベルを設定します。

  • mode には、グローバル コンフィギュレーション モードの場合は configure を、EXEC モードの場合は exec を、インターフェイス コンフィギュレーション モードの場合は interface を、ライン コンフィギュレーション モードの場合は line をそれぞれ入力します。

  • level の範囲は 0 ~ 15 です。レベル 1 が通常のユーザー EXEC モード権限です。レベル 15 は、enable パスワードによって許可されるアクセス レベルです。

  • command には、アクセスを制限したいコマンドを指定します。

ステップ 4

enable password level level password

例:


Device(config)# enable password level 14 SecretPswd14

権限レベルをイネーブルにするためのパスワードを指定します。

  • level の範囲は 0 ~ 15 です。レベル 1 が通常のユーザー EXEC モード権限です。

  • password には、1 ~ 25 文字の英数字のストリングを指定します。ストリングを数字で始めることはできません。大文字と小文字を区別し、スペースを使用できますが、先行スペースは無視されます。デフォルトでは、パスワードは定義されません。

ステップ 5

end

例:


Device(config)# end

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

回線のデフォルト特権レベルの変更

指定した回線のデフォルトの権限レベルを変更するには、次の手順を実行します。

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:


Device> enable

特権 EXEC モードを有効にします。

パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

line vty line

例:


Device(config)# line vty 10

アクセスを制限する仮想端末回線を選択します。

ステップ 4

privilege exec level level

例:


Device(config-line)# privilege exec level 15

回線のデフォルト特権レベルを変更します。

level の範囲は 0 ~ 15 です。レベル 1 が通常のユーザー EXEC モード権限です。レベル 15 は、enable パスワードによって許可されるアクセス レベルです。

ステップ 5

end

例:


Device(config-line)# end

回線コンフィギュレーション モードを終了します。続いて、特権 EXEC モードに戻ります。

次のタスク

ユーザーは、回線にログインし、別の権限レベルを有効に設定することにより、privilege level ライン コンフィギュレーション コマンドを使用して設定された権限レベルを上書きできます。また、disable コマンドを使用することにより、権限レベルを引き下げることができます。上位の権限レベルのパスワードがわかっていれば、ユーザはそのパスワードを使用して上位の権限レベルをイネーブルにできます。回線の使用を制限するには、コンソール回線に高いレベルまたは権限レベルを指定してください。

権限レベルへのログインおよび終了

指定した権限レベルにログインする、または指定した権限レベルを終了するには、ユーザー EXEC モードで次の手順を実行します。

手順

  コマンドまたはアクション 目的

ステップ 1

enable level

例:


Device> enable 15

指定された特権レベルにログインします。

この例では、レベル 15 は特権 EXEC モードです。

level に指定できる範囲は 0 ~ 15 です。

ステップ 2

disable level

例:


Device# disable 1

指定した特権レベルを終了します。

この例では、レベル 1 はユーザー EXEC モードです。

level に指定できる範囲は 0 ~ 15 です。

暗号化事前共有キーの設定

暗号化事前共有キーを設定するには、次の手順を実行します。

手順

  コマンドまたはアクション 目的

ステップ 1

enable

例:


Device> enable

特権 EXEC モードを有効にします。

パスワードを入力します(要求された場合)。

ステップ 2

configure terminal

例:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

key config-key password-encrypt [text]

例:


Device(config)# key config-key password-encrypt

タイプ 6 の暗号キーをプライベート NVRAM に保存します。

  • Enter キーを使用して)インタラクティブにキーボード操作を行う場合、暗号キーがすでに存在すれば、Old key、New key、Confirm key という 3 つのプロンプトが表示されます。

  • インタラクティブにキーボード操作を行う場合、暗号キーが存在しなければ、New key、Confirm key という 2 つのプロンプトが表示されます。

  • すでに暗号化されているパスワードを削除しようとすると、次のプロンプトが表示されます。

    WARNING: All type 6 encrypted keys will become unusable. Continue with master key deletion? [yes/no]:"

ステップ 4

password encryption aes

例:


Device(config)# password encryption aes

暗号化事前共有キーのイネーブル化

ステップ 5

end

例:


Device(config)# end

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

パスワードおよび権限によるスイッチアクセスのモニター

表 2. 特権レベル情報を表示するためのコマンド
コマンド 情報

show privilege

権限レベルの設定を表示します。

パスワードおよび権限レベルによるスイッチアクセスの設定例

例:スタティック イネーブル パスワードの設定または変更

次の例は、イネーブルパスワードを l1u2c3k4y5 に変更する方法を示しています。パスワードは暗号化されておらず、レベル 15 のアクセスが与えられます(従来の特権 EXEC モード アクセス)。 

Device> enable
Device# configure terminal
Device(config)# enable password l1u2c3k4y5
Device(config)# end

例:暗号化によるイネーブルおよびイネーブル シークレット パスワードの保護

次に、権限レベル 2 に対して暗号化パスワード $9$sMLBsTFXLnnHTk$0L82 を設定する例を示します。 

Device> enable
Device# configure terminal
Device(config)# enable secret level 2 9 $9$sMLBsTFXLnnHTk$0L82
Device(config)# end

例:端末回線に対する Telnet パスワードの設定

次に、Telnet パスワードを let45me67in89 に設定する例を示します。 

Device> enable
Device# configure terminal
Device(config)# line vty 10
Device(config-line)# password let45me67in89
Device(config-line)# end

例:コマンドの権限レベルの設定

次の例は、configure コマンドを権限レベル 14 に設定し、ユーザがレベル 14 のコマンドを使用する場合に入力するパスワードとして SecretPswd14 を定義する方法を示しています。 

Device> enable
Device# configure terminal
Device(config)# privilege exec level 14 configure
Device(config)# enable password level 14 SecretPswd14
Device(config)# end

例:暗号化事前共有キーの設定

以下に、タイプ 6 の事前共有キーに暗号化を行った場合の設定例を示します。この中には、ユーザに対して表示されるプロンプトやメッセージも含まれています。

Device> enable
Device# configure terminal
Device(config)# password encryption aes
Device(config)# key config-key password-encrypt
New key:
Confirm key:
Device(config)# 
01:46:40: TYPE6_PASS: New Master key configured, encrypting the keys with
the new master key
Device(config)# end

パスワードおよび権限によるスイッチアクセスの制御の機能履歴

次の表に、このモジュールで説明する機能のリリースおよび関連情報を示します。

これらの機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースで使用できます。

リリース

機能

機能情報

Cisco IOS XE Fuji 16.9.2

パスワードおよび権限によるスイッチ アクセスの制御

パスワード保護によって、ネットワークまたはネットワーク デバイスへのアクセスが制限されます。権限レベルによって、ネットワーク デバイスにログイン後、ユーザがどのようなコマンドを使用できるかが定義されます。

Cisco IOS XE Gibraltar 16.11.1

タイプ 0 およびタイプ 7 のユーザー名とパスワードのタイプ 6 への自動変換

このリリース以降は、タイプ 0 および 7 のユーザー名とパスワードをタイプ 6 に自動変換できます。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェアイメージのサポート情報を検索できます。Cisco Feature Navigator には、http://www.cisco.com/go/cfn [英語] からアクセスします。