セキュア コピーの前提条件
-
デバイス上でセキュアシェル(SSH)、認証、および許可を設定します。
-
SCP は SSH を使用してセキュアな転送を実行するため、デバイスには RSA キーのペアが必要です。
この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
このドキュメントでは、セキュアコピー(SCP)サーバー側機能用にシスコデバイスを設定する手順について説明します。
デバイス上でセキュアシェル(SSH)、認証、および許可を設定します。
SCP は SSH を使用してセキュアな転送を実行するため、デバイスには RSA キーのペアが必要です。
Secure Copy Protocol(SCP)機能は、スイッチの設定やイメージ ファイルのコピーにセキュアな認証方式を提供します。SCP にはセキュア シェル(SSH)が必要です(Berkeley の r-tool に代わるセキュリティの高いアプリケーションおよびプロトコルです)。
SCP は一連の Berkeley の r ツール(Berkeley 大学独自のネットワーキング アプリケーション セット)に基づいて設計されているため、その動作内容は Remote Copy Protocol(RCP)と類似しています。ただし、SCP は SSH のセキュリティに対応している点は除きます。加えて、SCP では、ユーザーが正しい権限レベルを持っていることをデバイス上で判断できるように、認証、許可、およびアカウンティング(AAA)を設定する必要があります。
SCP を使用すると、copy コマンドを使用して Cisco IOS ファイルシステム(Cisco IFS)内の任意のファイルのコピーをデバイスとの間で実行できるのは、特権レベルが 15 のユーザーのみになります。許可された管理者はワークステーションからこの操作を実行することもできます。
(注) |
|
シスコデバイスに SCP サーバー側機能の設定をするには、次の手順を実行します。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。 プロンプトが表示されたらパスワードを入力します。 |
||
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 3 |
aaa new-model 例:
|
ログイン時の AAA 認証を設定します。 |
||
ステップ 4 |
aaa authentication login {default | list-name } method1 [ method2... ] 例:
|
AAA アクセス コントロール システムをイネーブルにします。 |
||
ステップ 5 |
username name [privilege level ] password encryption-type encrypted-password 例:
|
ユーザ名をベースとした認証システムを構築します。
|
||
ステップ 6 |
ip scp server enable 例:
|
SCP サーバ側機能を有効にします。 |
||
ステップ 7 |
exit 例:
|
グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
||
ステップ 8 |
debug ip scp 例:
|
(任意)SCP 認証問題を解決します。 |
次のタスクでは、SCP のサーバー側機能の設定方法を示します。このタスクは、デバイスでリモートのワークステーションからファイルを安全にコピーできる一般的な設定を示しています。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。 プロンプトが表示されたらパスワードを入力します。 |
||
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 3 |
aaa new-model 例:
|
認証、許可、アカウンティング(AAA)アクセス コントロール モデルをイネーブルにします。 |
||
ステップ 4 |
aaa authentication login default local 例:
|
ログイン時の認証にローカルのユーザー名データベースを使用するように AAA 認証を設定します。 |
||
ステップ 5 |
aaa authorization exec default local 例:
|
ユーザ アクセスを制限するパラメータをネットワークに設定します。許可を実行し、ユーザ ID で EXEC シェルの実行を許可するかどうかを定義します。その後、システムで許可にローカル データベースを使用する必要があることを指定します。 |
||
ステップ 6 |
username name privilege privilege-level password password 例:
|
ユーザ名ベースの認証システムを確立し、ユーザ名、権限レベル、および非暗号化パスワードを指定します。
|
||
ステップ 7 |
ip ssh time-out seconds 例:
|
デバイスが SSH クライアントの応答を待つ時間間隔を、秒単位で設定します。 |
||
ステップ 8 |
ip ssh authentication-retries 整数 例:
|
インターフェイスのリセット後、認証を試行する回数を設定します。 |
||
ステップ 9 |
ip scp server enable 例:
|
デバイスで、リモート ワークステーションから安全にファイルをコピーできるようにします。 |
||
ステップ 10 |
ip ssh bulk-mode 例:
|
(任意)SSH 一括データ転送モードをイネーブルにして、SCP のスループットパフォーマンスを強化します。 |
||
ステップ 11 |
exit 例:
|
グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
||
ステップ 12 |
debug ip scp 例:
|
(任意)SCP 認証の問題に関する診断情報を提供します。 |
次の例は、SCP のサーバー側機能の設定方法を示しています。この例では、ローカルに定義されたユーザ名とパスワードを使用します。
! AAA authentication and authorization must be configured properly in order for SCP to work.
Device> enable
Device# configure terminal
Device(config)# aaa new-model
Device(config)# aaa authentication login default local
Device(config)# aaa authorization exec default local
Device(config)# username user1 privilege 15 password 0 lab
! SSH must be configured and functioning properly.
Device(config)# ip scp server enable
Device(config)# end
次の例は、ネットワークベースの認証メカニズムを使用した SCP のサーバ側機能の設定方法を示しています。
! AAA authentication and authorization must be configured properly for SCP to work.
Device> enable
Device# configure terminal
Device(config)# aaa new-model
Device(config)# aaa authentication login default group tacacs+
Device(config)# aaa authorization exec default group tacacs+
! SSH must be configured and functioning properly.
Device(config)# ip ssh time-out 120
Device(config)# ip ssh authentication-retries 3
Device(config)# ip scp server enable
Device(config)# end
関連項目 |
マニュアル タイトル |
---|---|
セキュア シェル バージョン 1 と 2 のサポート |
セキュア シェルの設定 |
説明 |
リンク |
---|---|
右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。 |
次の表に、このモジュールで説明する機能のリリースおよび関連情報を示します。
これらの機能は、特に明記されていない限り、導入されたリリース以降のすべてのリリースで使用できます。
リリース |
機能 |
機能情報 |
---|---|---|
Cisco IOS XE Everest 16.5.1a |
セキュア コピー |
Secure Copy 機能は、デバイス設定またはデバイスイメージファイルをコピーするための安全で認証された方式を提供します。SCP は、SSH、アプリケーション、および Berkeley r ツールのセキュアな代替手段を提供するプロトコルに依存します。 次のコマンドが導入または変更されました。debug ip scp および ip scp server enanle |
Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェアイメージのサポート情報を検索できます。Cisco Feature Navigator には、http://www.cisco.com/go/cfn [英語] からアクセスします。