パスワードおよび権限レベルによるスイッチアクセスの制御
パスワードおよび権限によるスイッチアクセスの制御の制約事項
- 可逆的パスワードタイプの制約事項とガイドライン
- 不可逆的パスワードタイプの制約事項とガイドライン
パスワードおよび権限によるスイッチアクセス制御に関する情報
パスワードおよび権限によるスイッチアクセスの設定方法
パスワードおよび権限によるスイッチアクセスのモニタ
パスワードおよび権限レベルによるスイッチアクセスの設定例
パスワードおよび権限によるスイッチアクセスの制御の機能履歴

パスワードおよび権限レベルによるスイッチアクセスの制御

パスワードおよび権限によるスイッチアクセスの制御の制約事項

パスワードおよび権限によるスイッチアクセスの制御の制約事項は、次のとおりです。

boot manual グローバルコンフィギュレーションコマンドを使用して、スイッチを手動で起動するように設定している場合は、パスワード回復をディセーブルにできません。このコマンドは、スイッチの電源の再投入後、ブートローダプロンプト（switch:）を表示させます。

可逆的パスワードタイプの制約事項とガイドライン

パスワードタイプ 0 および 7 は、パスワードタイプ 6 に置き換えられます。したがって、コンソール、Telnet、SSH、WebUI、NETCONF への管理者ログインに使用されるパスワードタイプ 0 およびタイプ 7 は、パスワードタイプ 6 に移行する必要があります。CHAP、EAP などのローカル認証でユーザ名とパスワードがタイプ 0 およびタイプ 7 の場合、アクションは不要です。

（注）

タイプ 6 の暗号化パスワードは、Cisco IOS XE Gibraltar 16.10.1 以降のリリースでサポートされています。パスワードタイプ 6 への自動変換は、Cisco IOS XE Gibraltar 16.11.1 以降のリリースでサポートされています。

スタートアップコンフィギュレーションにタイプ 6 のパスワードがあり、タイプ 6 のパスワードがサポートされていないバージョンにダウングレードすると、デバイスからロックアウトされる可能性があります。

不可逆的パスワードタイプの制約事項とガイドライン

ユーザ名シークレットパスワードタイプ 5 およびイネーブルシークレットパスワードタイプ 5 は、より強力なパスワードタイプ 8 または 9 に移行する必要があります。詳細については、「暗号化によるイネーブルおよびイネーブルシークレットパスワードの保護」を参照してください。
デバイスのスタートアップコンフィギュレーションに複雑なタイプ 9 シークレット（$14$ で始まるパスワード）がある場合、ダウングレードは複雑なタイプ 9 シークレットがサポートされているリリースでのみ実行できます。複雑なタイプ 9 シークレットは、Cisco IOS XE Gibraltar 16.11.2 以降のリリースでサポートされます。スタートアップコンフィギュレーションに複雑なタイプ 9 シークレットが含まれており、Cisco IOS XE Gibraltar 16.11.2 より前のリリースにダウングレードすると、デバイスからロックアウトされる可能性があります。

複雑なタイプ 9 シークレットがサポートされていないリリースにダウングレードする前に、複雑なタイプ 9 シークレット（$14$ で始まるパスワード）またはタイプ 5 シークレット（$1$ で始まるパスワード）ではなく、タイプ 9 シークレット（$9$ で始まるパスワード）がスタートアップコンフィギュレーションに含まれていることを確認します。

デバイスが、Cisco IOS XE Fuji 16.9.x、Cisco IOS XE Gibraltar 16.10.x、または Cisco IOS XE Gibraltar 16.11.x から Cisco IOS XE Gibraltar 16.12.x へアップグレードされると、タイプ 5 シークレットは複雑なタイプ 9 シークレット（$14$ で始まるパスワード）に自動変換されます。たとえば、username user1 secret 5 $1$dNmW$7jWhqdtZ2qBVz2R4CSZZC0 は username user1 secret 9 $14$dNmW$QykGZEEGmiEGrE$C9D/fD0czicOtgaZAa1CTa2sgygi0Leyw3/cLqPY426 に自動変換されます。デバイスがアップグレードされたら、特権 EXEC モードで write memory コマンドを実行し、複雑なタイプ 9 シークレットをスタートアップコンフィギュレーションに永続的に書き込みます。

プレーンテキストパスワードは、不可逆的暗号化パスワードタイプ 9 に変換されます。

（注）

これは、Cisco IOS XE Gibraltar 16.10.1 以降のリリースでサポートされています。

シークレットパスワードタイプ 4 はサポートされていません。

パスワードおよび権限によるスイッチアクセス制御に関する情報

ここでは、パスワードおよび権限によるスイッチアクセス制御に関する情報を示します。

不正アクセスの防止

不正ユーザによる、スイッチの再設定や設定情報の閲覧を防止できます。一般的には、ネットワーク管理者からスイッチへのアクセスを許可する一方、非同期ポートを用いてネットワーク外からダイヤルアップ接続するユーザや、シリアルポートを通じてネットワーク外から接続するユーザ、またはローカルネットワーク内の端末またはワークステーションから接続するユーザによるアクセスを制限します。

スイッチへの不正アクセスを防止するには、次のセキュリティ機能を 1 つまたは複数設定します。

最低限のセキュリティとして、各スイッチポートでパスワードおよび権限を設定します。このパスワードは、スイッチにローカルに保存されます。ユーザがポートまたは回線を通じてスイッチにアクセスしようとするとき、ポートまたは回線に指定されたパスワードを入力してからでなければ、スイッチにアクセスできません。
追加のセキュリティレイヤとして、ユーザ名とパスワードをペアで設定できます。このペアはスイッチでローカルに保存されます。このペアは回線またはポートに割り当てられ、各ユーザを認証します。ユーザは認証後、スイッチにアクセスできます。権限レベルを定義している場合は、ユーザ名とパスワードの各ペアに特定の権限レベルを、対応する権利および権限とともに割り当てることもできます。
ユーザ名とパスワードのペアを使用したいが、そのペアをローカルではなく中央のサーバに保存したい場合は、セキュリティサーバ上のデータベースに保存できます。これにより、複数のネットワーキングデバイスが同じデータベースを使用してユーザ認証情報を（必要に応じて許可情報も）得ることができます。
また、失敗したログイン試行をログに記録するログイン拡張機能もイネーブルにすることもできます。ログイン拡張は、設定した回数のログインが失敗したあとに、それ以降のログイン試行をブロックするために設定することもできます。

デフォルトのパスワードおよび権限レベル設定

ネットワークで端末のアクセスコントロールを行う簡単な方法は、パスワードを使用して権限レベルを割り当てることです。パスワード保護によって、ネットワークまたはネットワークデバイスへのアクセスが制限されます。権限レベルによって、ネットワークデバイスにログイン後、ユーザがどのようなコマンドを使用できるかが定義されます。

次の表に、デフォルトのパスワードおよび権限レベル設定を示します。

表 1. デフォルトのパスワードおよび権限レベル設定
機能	デフォルト設定
イネーブルパスワードおよび権限レベル	パスワードは定義されていません。デフォルトはレベル 15 です（特権 EXEC レベル）。パスワードは、コンフィギュレーションファイル内では暗号化されていない状態です。
イネーブルシークレットパスワードおよび権限レベル	パスワードは定義されていません。デフォルトはレベル 15 です（特権 EXEC レベル）。パスワードは、暗号化されてからコンフィギュレーションファイルに書き込まれます。
回線パスワード	パスワードは定義されていません。

追加のパスワードセキュリティ

セキュリティレベルを強化するために、特にネットワークを超えるパスワードや Trivial File Transfer Protocol（TFTP; 簡易ファイル転送プロトコル）サーバに保存されたパスワードについて、グローバルコンフィギュレーションコマンド enable password または enable secret を使用できます。コマンドの作用はどちらも同じです。このコマンドにより、暗号化されたパスワードを設定できます。特権 EXEC モード（デフォルト設定）または特定の権限レベルにアクセスするユーザは、このパスワードを入力する必要があります。

より高度な暗号化アルゴリズムが使用されるので、enable secret コマンドを使用することを推奨します。

enable secret コマンドを設定した場合、このコマンドは enable password コマンドよりも優先されます。同時に 2 つのコマンドを有効にはできません。

パスワードの暗号化をイネーブルにすると、ユーザ名パスワード、認証キーパスワード、イネーブルコマンドパスワード、コンソールおよび仮想端末回線パスワードなど、すべてのパスワードに適用されます。

マスクされていないシークレットパスワード

より高度な暗号化アルゴリズムが使用されるので、enable secret コマンドを使用することを推奨します。

enable secret コマンドを設定した場合、このコマンドは enable password コマンドよりも優先されます。同時に 2 つのコマンドを有効にはできません。

マスクされたシークレットパスワード

enable secret コマンドを使用すると、パスワードは暗号化されますが、パスワードを入力するときに端末に表示されます。端末でパスワードをマスクするには、masked-secret グローバルコンフィギュレーションコマンドを使用します。このパスワードの暗号化タイプは、デフォルトではタイプ 9 です。

このコマンドを使用して、コモンクライテリアポリシーのマスクされたシークレットパスワードを設定できます。

パスワードの回復

スイッチに物理的にアクセスできるエンドユーザは、デフォルトで、スイッチの電源投入時にブートプロセスに割り込み、新しいパスワードを入力することによって、失われたパスワードを回復できます。

パスワード回復ディセーブル化機能では、この機能の一部をディセーブルにすることによりスイッチのパスワードへのアクセスを保護できます。この機能がイネーブルの場合、エンドユーザは、システムをデフォルト設定に戻すことに同意した場合に限り、ブートプロセスに割り込むことができます。パスワード回復をディセーブルにしても、ブートプロセスに割り込んでパスワードを変更できますが、コンフィギュレーションファイル（config.text）および VLAN データベースファイル（vlan.dat）は削除されます。

パスワード回復をディセーブルにする場合は、エンドユーザがブートプロセスに割り込んでシステムをデフォルトの状態に戻すような場合に備え、セキュアサーバにコンフィギュレーションファイルのバックアップコピーを保存しておくことを推奨します。スイッチ上でコンフィギュレーションファイルのバックアップコピーを保存しないでください。VTP（VLAN トランキングプロトコル）トランスペアレントモードでスイッチが動作している場合は、VLAN データベースファイルのバックアップコピーも同様にセキュアサーバに保存してください。スイッチがシステムのデフォルト設定に戻ったときに、XMODEM プロトコルを使用して、保存したファイルをスイッチにダウンロードできます。

パスワードの回復を再びイネーブルにするには、service password-recovery グローバルコンフィギュレーションコマンドを使用します。

端末回線の Telnet 設定

初めてスイッチに電源を投入すると、自動セットアッププログラムが起動して IP 情報を割り当て、この後続けて使用できるようにデフォルト設定を作成します。さらに、セットアッププログラムは、パスワードによる Telnet アクセス用にスイッチを設定することを要求します。セットアッププログラムの実行中にこのパスワードを設定しなかった場合は、端末回線に対する Telnet パスワードを設定するときに設定できます。

ユーザ名とパスワードのペア

ユーザ名とパスワードのペアを設定できます。このペアはスイッチ上でローカルに保存されます。このペアは回線またはポートに割り当てられ、各ユーザを認証します。ユーザは認証後、スイッチにアクセスできます。権限レベルを定義している場合は、ユーザ名とパスワードの各ペアに特定の権限レベルを、対応する権利および権限とともに割り当てることもできます。

権限レベル

シスコデバイスでは、権限レベルを使用して、スイッチ動作の異なるレベルに対してパスワードセキュリティを提供します。デフォルトでは、Cisco IOS XE ソフトウェアは、パスワードセキュリティの 2 つのモード（権限レベル）で動作します。ユーザ EXEC（レベル 1）および特権 EXEC（レベル 15）です。各モードに、最大 16 個の階層レベルからなるコマンドを設定できます。複数のパスワードを設定することにより、ユーザグループ別に特定のコマンドへのアクセスを許可することができます。

回線の権限レベル

ユーザは、回線にログインし、別の権限レベルを有効に設定することにより、privilege level ラインコンフィギュレーションコマンドを使用して設定された権限レベルを上書きできます。また、disable コマンドを使用することにより、権限レベルを引き下げることができます。上位の権限レベルのパスワードがわかっていれば、ユーザはそのパスワードを使用して上位の権限レベルをイネーブルにできます。回線の使用を制限するには、コンソール回線に高いレベルまたは権限レベルを指定してください。

たとえば、多くのユーザに clear line コマンドへのアクセスを許可する場合、レベル 2 のセキュリティを割り当て、レベル 2 のパスワードを広範囲のユーザに配布できます。また、configure コマンドへのアクセス制限を強化する場合は、レベル 3 のセキュリティを割り当て、そのパスワードを限られたユーザグループに配布することもできます。

コマンド権限レベル

コマンドをある権限レベルに設定すると、構文がそのコマンドのサブセットであるコマンドはすべて、そのレベルに設定されます。たとえば、show ip traffic コマンドをレベル 15 に設定すると、show コマンドと show ip コマンドは、異なるレベルに個別に設定しない限り、権限レベルは自動的に 15 に設定されます。

AES パスワード暗号化およびマスター暗号キー

強力で、反転可能な 128 ビットの高度暗号化規格（AES）パスワード暗号化（タイプ 6 暗号化ともいう）を有効にできます。タイプ 6 暗号化の使用を開始するには、AES パスワード暗号化機能を有効にし、パスワードを暗号化および復号するためのマスター暗号キーを設定します。

AES パスワード暗号化を有効にしてマスターキーを設定すると、タイプ 6 パスワード暗号化を無効にしない限り、サポートされているアプリケーションの既存および新規作成されたクリアテキストパスワードがすべて、タイプ 6 暗号化の形式で保存されます。また、既存の弱いすべての暗号化パスワードをタイプ 6 暗号化パスワードに変換するようにデバイスを設定することもできます。

AES パスワード暗号化機能とマスター暗号キーが設定されている場合、タイプ 0 および 7 のパスワードはタイプ 6 に自動変換できます。

（注）

タイプ 6 のユーザ名とパスワードには Cisco IOS XE Gibraltar 16.10.x と下位互換性があります。Cisco IOS XE Gibraltar 16.10.1 より前のリリースにダウングレードすると、タイプ 6 のユーザ名とパスワードは拒否されます。自動変換後、管理者パスワードがダウングレード中に拒否されないようにするには、管理者ログイン（管理アクセス）に使用されるパスワードを不可逆的なパスワードタイプに手動で移行します。

パスワードおよび権限によるスイッチアクセスの設定方法

スタティック有効パスワードの設定または変更

イネーブルパスワードは、特権 EXEC モードへのアクセスを制御します。スタティックイネーブルパスワードを設定または変更するには、次の手順を実行します。

手順

	コマンドまたはアクション	目的
ステップ 1	enable 例: `Device> enable`	特権 EXEC モードを有効にします。プロンプトが表示されたらパスワードを入力します。
ステップ 2	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 3	enable password `password` 例: `Device(config)# enable password secret321`	特権 EXEC モードにアクセスするための新しいパスワードを定義するか、既存のパスワードを変更します。デフォルトでは、パスワードは定義されません。 `password` には、1 ～ 25 文字の英数字のストリングを指定します。ストリングを数字で始めることはできません。大文字と小文字を区別し、スペースを使用できますが、先行スペースは無視されます。疑問符（?）は、パスワードを作成する場合に、疑問符の前に Ctrl+v を入力すれば使用できます。たとえば、パスワード abc?123 を作成するときは、次のようにします。 abc を入力します。 Ctrl+v を入力します。 ?123 を入力します。システムからイネーブルパスワードを入力するように求められた場合、疑問符の前に Ctrl+v を入力する必要はなく、パスワードのプロンプトにそのまま abc?123 と入力できます。
ステップ 4	end 例: `Device(config)# end`	グローバルコンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

暗号化によるイネーブルおよびイネーブルシークレットパスワードの保護

特権 EXEC モード（デフォルト）または指定された特権レベルにアクセスするためにユーザが入力する必要がある暗号化パスワードを確立するには、次の手順を実行します。

手順

コマンドまたはアクション目的

ステップ 1

enable

例:


Device> enable

特権 EXEC モードを有効にします。プロンプトが表示されたらパスワードを入力します。

ステップ 2

configure terminal

例:


Device# configure terminal

グローバルコンフィギュレーションモードを開始します。

ステップ 3

次のいずれかを使用します。

enable password [level level] {unencrypted-password | encryption-type encrypted-password}
enable secret [level level] {unencrypted-password | encryption-type encrypted-password}

例:

Device(config)# enable password level 12 example123

または

Device(config)# enable secret 9 $9$sMLBsTFXLnnHTk$0L82

特権 EXEC モードにアクセスするための新しいパスワードを定義するか、既存のパスワードを変更します。

シークレットパスワードを定義します。これは非可逆的な暗号化方式を使用して保存されます。

（任意）level に指定できる範囲は 0 ～ 15 です。レベル 1 が通常のユーザ EXEC モード権限です。デフォルトレベルは 15 です（特権 EXEC モード権限）。
unencrypted-password には、1 ～ 25 文字の英数字の文字列を指定します。ストリングを数字で始めることはできません。大文字と小文字を区別し、スペースを使用できますが、先行スペースは無視されます。デフォルトでは、パスワードは定義されません。

encryption-type の場合、enable password に使用可能なオプションはタイプ 0 と 7、enable secret に使用可能なオプションはタイプ 0、5、8、および 9 です。暗号化タイプを指定する場合は、暗号化されたパスワードを使用する必要があります。この暗号化パスワードは、別のスイッチの設定からコピーします。シークレット暗号化タイプ 9 はより安全であるため、アップグレードまたはダウングレード時に問題が発生しないように、タイプ 9 を選択することを推奨します。

（注）

シークレットパスワードの暗号化タイプを指定しない場合、パスワードはタイプ 9 に自動的に変換されます。これは、Cisco IOS XE Gibraltar 16.10.1 以降のリリースで適用されます。
暗号化タイプを指定してクリアテキストパスワードを入力した場合は、エラーが発生します。
グローバルコンフィギュレーションモードで algorithm-type scrypt コマンドを使用して、シークレットパスワードにタイプ 9 暗号化を手動で設定することもできます。次に例を示します。
```
Device(config)# username user1 algorithm-type scrypt secret cisco
```
または
```
Device(config)# enable algorithm-type scrypt secret cisco
```
特権 EXEC モードで write memory コマンドを実行し、タイプ 9 シークレットをスタートアップコンフィギュレーションに永続的に書き込みます。

ステップ 4

service password-encryption

例:


Device(config)# service password-encryption

（任意）パスワードの定義時または設定の書き込み時に、パスワードを暗号化します。

暗号化を行うと、コンフィギュレーションファイル内でパスワードが読み取り可能な形式になるのを防止できます。

ステップ 5

end

例:


Device(config)# end

グローバルコンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

パスワード回復のディセーブル化

パスワードの回復をディセーブルにしてスイッチのセキュリティを保護するには、次の手順を実行します。

始める前に

手順

	コマンドまたはアクション	目的
ステップ 1	enable 例: `Device> enable`	特権 EXEC モードを有効にします。プロンプトが表示されたらパスワードを入力します。
ステップ 2	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 3	system disable password recovery switch {`all` \| `<1-9>` } 例: `Device(config)# system disable password recovery switch all`	パスワード回復をディセーブルにします。 `all` ：スタック内のスイッチで設定を行います。 `<1-9>` ：選択したスイッチ番号で設定を行います。この設定は、フラッシュメモリの中で、ブートローダおよび Cisco IOS イメージがアクセスできる領域に保存されますが、ファイルシステムには含まれません。また、ユーザがアクセスすることはできません。
ステップ 4	end 例: `Device(config)# end`	グローバルコンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

次のタスク

disable password recovery を削除するには、no system disable password recovery switch all グローバルコンフィギュレーションコマンドを使用します。

端末回線に対する Telnet パスワードの設定

接続された端末回線に対する Telnet パスワードを設定するには、ユーザ EXEC モードで次の手順を実行します。

始める前に

エミュレーションソフトウェアを備えた PC またはワークステーションをスイッチコンソールポートに接続するか、または PC をイーサネット管理ポートに接続します。
コンソールポートのデフォルトのデータ特性は、9600 ボー、8 データビット、1 ストップビット、パリティなしです。コマンドラインプロンプトが表示されるまで、Return キーを何回か押す必要があります。

手順

	コマンドまたはアクション	目的
ステップ 1	enable 例: `Device> enable`	特権 EXEC モードを有効にします。パスワードを入力します（要求された場合）。
ステップ 2	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 3	line vty 0 97 例: `Device(config)# line vty 0 97`	Telnet セッション（回線）の数を設定し、ラインコンフィギュレーションモードを開始します。コマンド対応 device では、最大 98 のセッションが可能です。0 および 97 は、可能なすべての 98 Telnet セッションを設定していることを意味します。
ステップ 4	password `password` 例: `Device(config-line)# password abcxyz543`	1 つまたは複数の回線に対応する Telnet パスワードを設定します。 `password` には、1 ～ 25 文字の英数字のストリングを指定します。ストリングを数字で始めることはできません。大文字と小文字を区別し、スペースを使用できますが、先行スペースは無視されます。デフォルトでは、パスワードは定義されません。
ステップ 5	end 例: `Device(config-line)# end`	特権 EXEC モードに戻ります。

ユーザ名とパスワードのペアの設定

ユーザ名とパスワードのペアを設定するには、次の手順を実行します。

手順

	コマンドまたはアクション	目的
ステップ 1	enable 例: `Device> enable`	特権 EXEC モードを有効にします。プロンプトが表示されたらパスワードを入力します。
ステップ 2	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 3	username `name` [ privilege `level`] { password `encryption-type` `password`} 例: `Device(config)# username adamsample privilege 1 password secret456` `Device(config)# username 111111111111 mac attribute`	各ユーザのユーザ名、権限レベル、パスワードを設定します。 `name` には、ユーザ ID を 1 ワードで指定するか、または MAC アドレスを指定します。スペースと引用符は使用できません。ユーザ名と MAC フィルタの両方に対し、最大 12000 のクライアントを個別に設定できます。（任意）`level` には、アクセス権を得たユーザに設定する権限レベルを指定します。指定できる範囲は 0 ～ 15 です。レベル 15 では特権 EXEC モードでのアクセスが可能です。レベル 1 では、ユーザ EXEC モードでのアクセスとなります。 `encryption-type` に、暗号化されていないパスワードが後ろに続く場合は 0 を入力します。非表示パスワードが後ろに続く場合は 7 を入力します。暗号化されたパスワードが後ろに続く場合は 6 を入力します。 `password` には、デバイスにアクセスするためにユーザが入力する必要のあるパスワードを指定します。パスワードは 1 ～ 25 文字で、埋め込みスペースを使用でき、username コマンドの最後のオプションとして指定します。
ステップ 4	次のいずれかを使用します。 line console 0 line vty 0 97 例: `Device(config)# line console 0` または `Device(config)# line vty 0 97`	ラインコンフィギュレーションモードを開始し、コンソールポート（回線 0）または VTY 回線（回線 0 ～ 97）を設定します。
ステップ 5	end 例: `Device(config-line)# end`	回線コンフィギュレーションモードを終了します。続いて、特権 EXEC モードに戻ります。

コマンドの特権レベルの設定

コマンドの権限レベルを設定するには、次の手順を実行します。

手順

	コマンドまたはアクション	目的
ステップ 1	enable 例: `Device> enable`	特権 EXEC モードを有効にします。プロンプトが表示されたらパスワードを入力します。
ステップ 2	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 3	privilege `mode` level `level` `command` 例: `Device(config)# privilege exec level 14 configure`	コマンドの特権レベルを設定します。 `mode` には、グローバルコンフィギュレーションモードの場合は configure を、EXEC モードの場合は exec を、インターフェイスコンフィギュレーションモードの場合は interface を、ラインコンフィギュレーションモードの場合は line をそれぞれ入力します。 `level` の範囲は 0 ～ 15 です。レベル 1 が通常のユーザ EXEC モード権限です。レベル 15 は、enable パスワードによって許可されるアクセスレベルです。 `command` には、アクセスを制限したいコマンドを指定します。
ステップ 4	enable password level `level` `password` 例: `Device(config)# enable password level 14 SecretPswd14`	権限レベルをイネーブルにするためのパスワードを指定します。 `level` の範囲は 0 ～ 15 です。レベル 1 が通常のユーザ EXEC モード権限です。 `password` には、1 ～ 25 文字の英数字のストリングを指定します。ストリングを数字で始めることはできません。大文字と小文字を区別し、スペースを使用できますが、先行スペースは無視されます。デフォルトでは、パスワードは定義されません。
ステップ 5	end 例: `Device(config)# end`	グローバルコンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

回線のデフォルト特権レベルの変更

指定した回線のデフォルトの権限レベルを変更するには、次の手順を実行します。

手順

	コマンドまたはアクション	目的
ステップ 1	enable 例: `Device> enable`	特権 EXEC モードを有効にします。パスワードを入力します（要求された場合）。
ステップ 2	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 3	line vty `line` 例: `Device(config)# line vty 10`	アクセスを制限する仮想端末回線を選択します。
ステップ 4	privilege exec level `level` 例: `Device(config-line)# privilege exec level 15`	回線のデフォルト特権レベルを変更します。 `level` の範囲は 0 ～ 15 です。レベル 1 が通常のユーザ EXEC モード権限です。レベル 15 は、enable パスワードによって許可されるアクセスレベルです。
ステップ 5	end 例: `Device(config-line)# end`	回線コンフィギュレーションモードを終了します。続いて、特権 EXEC モードに戻ります。

次のタスク

権限レベルへのログインおよび終了

指定した権限レベルにログインする、または指定した権限レベルを終了するには、ユーザ EXEC モードで次の手順を実行します。

手順

コマンドまたはアクション目的

	コマンドまたはアクション	目的
ステップ 1	enable `level` 例: `Device> enable 15`	指定された特権レベルにログインします。この例では、レベル 15 は特権 EXEC モードです。 `level` に指定できる範囲は 0 ～ 15 です。
ステップ 2	disable `level` 例: `Device# disable 1`	指定した特権レベルを終了します。この例では、レベル 1 はユーザ EXEC モードです。 `level` に指定できる範囲は 0 ～ 15 です。

ステップ 1

enable level

例:


Device> enable 15

指定された特権レベルにログインします。

この例では、レベル 15 は特権 EXEC モードです。

level に指定できる範囲は 0 ～ 15 です。

ステップ 2

disable level

例:


Device# disable 1

指定した特権レベルを終了します。

この例では、レベル 1 はユーザ EXEC モードです。

level に指定できる範囲は 0 ～ 15 です。

暗号化事前共有キーの設定

暗号化事前共有キーを設定するには、次の手順を実行します。

手順

	コマンドまたはアクション	目的
ステップ 1	enable 例: `Device> enable`	特権 EXEC モードを有効にします。パスワードを入力します（要求された場合）。
ステップ 2	configure terminal 例: `Device# configure terminal`	グローバルコンフィギュレーションモードを開始します。
ステップ 3	key config-key password-encrypt [`text`] 例: `Device(config)# key config-key password-encrypt`	タイプ 6 の暗号キーをプライベート NVRAM に保存します。（Enter キーを使用して）インタラクティブにキーボード操作を行う場合、暗号キーがすでに存在すれば、Old key、New key、Confirm key という 3 つのプロンプトが表示されます。インタラクティブにキーボード操作を行う場合、暗号キーが存在しなければ、New key、Confirm key という 2 つのプロンプトが表示されます。すでに暗号化されているパスワードを削除しようとすると、次のプロンプトが表示されます。 `WARNING: All type 6 encrypted keys will become unusable. Continue with master key deletion? [yes/no]:"`
ステップ 4	password encryption aes 例: `Device(config)# password encryption aes`	暗号化事前共有キーのイネーブル化
ステップ 5	end 例: `Device(config)# end`	グローバルコンフィギュレーションモードを終了し、特権 EXEC モードに戻ります。

パスワードおよび権限によるスイッチアクセスのモニタ

表 2. 特権レベル情報を表示するためのコマンド
コマンド	情報
show privilege	権限レベルの設定を表示します。

パスワードおよび権限レベルによるスイッチアクセスの設定例

例：スタティックイネーブルパスワードの設定または変更

次の例は、イネーブルパスワードを l1u2c3k4y5 に変更する方法を示しています。パスワードは暗号化されておらず、レベル 15 のアクセスが与えられます（従来の特権 EXEC モードアクセス）。

Device> enable
Device# configure terminal
Device(config)# enable password l1u2c3k4y5
Device(config)# end

例：暗号化によるイネーブルおよびイネーブルシークレットパスワードの保護

次に、権限レベル 2 に対して暗号化パスワード $9$sMLBsTFXLnnHTk$0L82 を設定する例を示します。

Device> enable
Device# configure terminal
Device(config)# enable secret level 2 9 $9$sMLBsTFXLnnHTk$0L82
Device(config)# end

例：端末回線に対する Telnet パスワードの設定

次に、Telnet パスワードを let45me67in89 に設定する例を示します。

Device> enable
Device# configure terminal
Device(config)# line vty 10
Device(config-line)# password let45me67in89
Device(config-line)# end

例：コマンドの権限レベルの設定

次の例は、configure コマンドを権限レベル 14 に設定し、ユーザがレベル 14 のコマンドを使用する場合に入力するパスワードとして SecretPswd14 を定義する方法を示しています。

Device> enable
Device# configure terminal
Device(config)# privilege exec level 14 configure
Device(config)# enable password level 14 SecretPswd14
Device(config)# end

例：暗号化事前共有キーの設定

以下に、タイプ 6 の事前共有キーに暗号化を行った場合の設定例を示します。この中には、ユーザに対して表示されるプロンプトやメッセージも含まれています。

Device> enable
Device# configure terminal
Device(config)# password encryption aes
Device(config)# key config-key password-encrypt
New key:
Confirm key:
Device(config)# 
01:46:40: TYPE6_PASS: New Master key configured, encrypting the keys with
the new master key
Device(config)# end

パスワードおよび権限によるスイッチアクセスの制御の機能履歴

次の表に、このモジュールで説明する機能のリリースおよび関連情報を示します。

これらの機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースで使用できます。


リリース	機能	機能情報
Cisco IOS XE Fuji 16.9.2	パスワードおよび権限によるスイッチアクセスの制御	パスワード保護によって、ネットワークまたはネットワークデバイスへのアクセスが制限されます。権限レベルによって、ネットワークデバイスにログイン後、ユーザがどのようなコマンドを使用できるかが定義されます。
Cisco IOS XE Gibraltar 16.11.1	タイプ 0 およびタイプ 7 のユーザ名とパスワードのタイプ 6 への自動変換	このリリース以降は、タイプ 0 および 7 のユーザ名とパスワードをタイプ 6 に自動変換できます。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェアイメージのサポート情報を検索できます。Cisco Feature Navigator には、http://www.cisco.com/go/cfn からアクセスします。

Cisco IOS XE Bengaluru 17.4.x（Catalyst 9200 スイッチ）セキュリティ コンフィギュレーション ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： パスワードおよび権限レベルによるスイッチ アクセスの制御

パスワードおよび権限レベルによるスイッチ アクセスの制御

パスワードおよび権限によるスイッチ アクセスの制御の制約事項

可逆的パスワードタイプの制約事項とガイドライン

不可逆的パスワードタイプの制約事項とガイドライン

パスワードおよび権限によるスイッチアクセス制御に関する情報

不正アクセスの防止

デフォルトのパスワードおよび権限レベル設定

追加のパスワード セキュリティ

マスクされていないシークレットパスワード

マスクされたシークレットパスワード

パスワードの回復

端末回線の Telnet 設定

ユーザ名とパスワードのペア

権限レベル

回線の権限レベル

コマンド権限レベル

AES パスワード暗号化およびマスター暗号キー

パスワードおよび権限によるスイッチアクセスの設定方法

スタティック 有効 パスワードの設定または変更

手順

例:

例:

例:

例:

暗号化によるイネーブルおよびイネーブル シークレット パスワードの保護

手順

例:

例:

例:

例:

例:

パスワード回復のディセーブル化

始める前に

手順

例:

例:

例:

例:

次のタスク

端末回線に対する Telnet パスワードの設定

始める前に

手順

例:

例:

例:

例:

例:

ユーザ名とパスワードのペアの設定

手順

例:

例:

例:

例:

例:

コマンドの特権レベルの設定

手順

例:

例:

例:

例:

例:

回線のデフォルト特権レベルの変更

手順

例:

例:

例:

例:

例:

次のタスク

権限レベルへのログインおよび終了

手順

例:

例:

暗号化事前共有キーの設定

手順

Cisco IOS XE Bengaluru 17.4.x（Catalyst 9200 スイッチ）セキュリティコンフィギュレーションガイド

章のタイトル：パスワードおよび権限レベルによるスイッチアクセスの制御

パスワードおよび権限レベルによるスイッチアクセスの制御

パスワードおよび権限によるスイッチアクセスの制御の制約事項

追加のパスワードセキュリティ

スタティック有効パスワードの設定または変更

暗号化によるイネーブルおよびイネーブルシークレットパスワードの保護

例：スタティックイネーブルパスワードの設定または変更

例：暗号化によるイネーブルおよびイネーブルシークレットパスワードの保護