ユーザの管理

管理者のユーザ名とパスワードの設定

管理者のユーザ名とパスワードの設定について

管理者のユーザ名とパスワードを設定しておくと、権限のないユーザによるコントローラの設定変更や設定情報の表示を防ぐことができます。この項では、初期設定とパスワード リカバリの手順を説明します。

ユーザ名とパスワードの設定(GUI)

手順

ステップ 1

[Management] > [Local Management Users] を選択します。

ステップ 2

[New] をクリックします。

ステップ 3

ユーザ名およびパスワードを入力し、パスワードを確認します。

ユーザ名とパスワードは大文字と小文字が区別されます。いずれも、最大 24 文字の ASCII 文字列を使用できます。ユーザ名とパスワードにスペースを使用することはできません。
ステップ 4

[User Access Mode] として、次のいずれかを選択します。

  • ReadOnly

  • ReadWrite

  • LobbyAdmin
ステップ 5

[Apply] をクリックします。

ユーザ名とパスワードの設定(CLI)

手順

ステップ 1

次のいずれかのコマンドを入力して、ユーザ名とパスワードを設定します。

  • config mgmtuser add username password read-write description :読み取り/書き込み権限を持つユーザ名とパスワードのペアを作成します。

  • config mgmtuser add username password read-only description :読み取り専用権限を持つユーザ名とパスワードのペアを作成します。

    ユーザ名とパスワードは大文字と小文字が区別されます。いずれも、最大 24 文字の ASCII 文字列を使用できます。ユーザ名とパスワードにスペースを使用することはできません。

    (注)   
    既存のユーザ名のパスワードを変更する場合は、 config mgmtuser password username new_password コマンドを入力します。

  • config mgmtuser add username password lobby-admin description :ロビー管理者権限を持つユーザ名とパスワードのペアを作成します。

ステップ 2

次のコマンドを入力して、設定されているユーザのリストを表示します。

show mgmtuser

Lobby Ambassador アカウントの作成

ロビー アンバサダー アカウントの作成(GUI)

手順

ステップ 1

[Management] > [Local Management Users] の順に選択して、[Local Management Users] ページを開きます。

このページには、ローカル管理ユーザの名前やアクセス権限の一覧が表示されます。

(注)   
コントローラから任意のユーザ アカウントを削除するには、青いドロップダウンの矢印の上にカーソルを置いて、[Remove] を選択します。ただし、デフォルトの管理ユーザを削除すると、GUI および CLI によるコントローラへのアクセスは両方とも禁止されます。したがって、デフォルトのユーザを削除する前に、管理権限(ReadWrite)を持つユーザを作成しなければなりません。
ステップ 2

[New] をクリックして、ロビー アンバサダー アカウントを作成します。[Local Management Users > New] ページが表示されます。

ステップ 3

[User Name] テキスト ボックスに、ロビー アンバサダー アカウントのユーザ名を入力します。

(注)   
管理ユーザ名は、すべて単一データベース内に保存されるため、一意である必要があります。
ステップ 4

[Password] テキスト ボックスおよび [Confirm Password] テキスト ボックスに、ロビー アンバサダー アカウントのパスワードを入力します。

(注)   
パスワードは大文字と小文字が区別されます。管理の [User Details] のパラメータの設定は、[Password Policy] ページで行う設定によって異なります。パスワードについて、次の要件が実施されます。

  • パスワードには、小文字、大文字、数字、特殊文字のうち、3 つ以上の文字クラスが含まれる必要があります。

  • パスワード内で同じ文字を連続して 4 回以上繰り返すことはできません。

  • パスワードに管理ユーザ名やユーザ名を逆にした文字列を含めることはできません。

  • パスワードには、Cisco、oscic、admin、nimda や、大文字と小文字を変更したり、1、|、または ! を代用したり、o の代わりに 0 や、s の代わりに $ を使用したりするだけの変形文字列は使用しないでください。

  • リリース 8.6 からリリース 8.5 またはそれより前のリリースにダウングレードする場合は、以前のリリースとの互換性を確保するために、管理ユーザ アカウントのパスワードが 24 文字以下であることを確認してください。24 文字を超えている場合、ダウングレード中およびコントローラのリブート前に、次のメッセージが表示されます。

    「Warning!!! Please Configure Mgmt user compatible with older release」
ステップ 5

[User Access Mode] ドロップダウン リストから [LobbyAdmin] を選択します。このオプションを使用すると、ロビー アンバサダーでゲスト ユーザ アカウントを生成できます。

(注)   
[ReadOnly] オプションでは、読み取り専用の権限を持つアカウントを作成し、[ReadWrite] オプションでは、読み取りと書き込みの両方の権限を持つ管理アカウントを作成します。
ステップ 6

[Apply] をクリックして、変更を確定します。ローカル管理ユーザのリストに、新しいロビー アンバサダー アカウントが表示されます。

ステップ 7

[Save Configuration] をクリックして、変更を保存します。

ロビー アンバサダー アカウントの作成(CLI)

手順

  • ロビー アンバサダー アカウントを作成するには、次のコマンドを使用します。

    config mgmtuser add lobbyadmin_username lobbyadmin_pwd lobby-admin


    (注)  
    lobby-admin read-only に置き換えて、読み取り専用権限を持つアカウントを作成します。lobby-admin read-write に置き換えて、読み取りと書き込みの両方の権限を持つ管理アカウントを作成します。

ロビー アンバサダーとしてのゲスト ユーザ アカウントの作成(GUI)

手順

ステップ 1

ユーザ名とパスワードを使用して、ロビー アンバサダーとしてコントローラにログインします。[Lobby Ambassador Guest Management > Guest Users List] ページが表示されます。
ステップ 2

[New] をクリックして、ゲスト ユーザ アカウントを作成します。[Lobby Ambassador Guest Management > Guest Users List > New] ページが表示されます。

ステップ 3

[User Name] テキスト ボックスに、ゲスト ユーザの名前を入力します。最大 24 文字を入力することができます。
ステップ 4

次のいずれかの操作を行います。

  • このゲスト ユーザ用のパスワードを自動的に生成する場合は、[Generate Password] チェックボックスをオンにします。生成されたパスワードは、[Password] テキスト ボックスおよび [Confirm Password] テキスト ボックスに自動的に入力されます。

  • このゲスト ユーザ用にパスワードを作成する場合は、[Generate Password] チェックボックスをオフのままにし、[Password] および [Confirm Password] の両テキスト ボックスにパスワードを入力します。

    (注)   
    パスワードには最大 24 文字(リリース 8.5 以前)または 127 文字(リリース 8.6 以降)を使用できます。ただし、大文字と小文字が区別されます。
ステップ 5

[Lifetime] ドロップダウン リストから、このゲスト ユーザ アカウントをアクティブにする時間(日数、時間数、分数、秒数)を選択します。4 つのテキスト ボックスの値をすべてゼロ(0)にすると、永続的なアカウントとなります。

デフォルト:1 日

範囲:5 分から 30 日

(注)   
小さい方の値、またはゲスト アカウントが作成された WLAN であるゲスト WLAN のセッション タイムアウトが、優先します。たとえば、WLAN セッションのタイムアウトが 30 分でも、ゲスト アカウントのライフタイムが 10 分の場合、アカウントはゲスト アカウントの失効に従い、10 分で削除されます。同様に、WLAN セッションがゲスト アカウントのライフタイムより前にタイムアウトする場合、クライアントは、再認証を要求するセッション タイムアウトを繰り返すことになります。
(注)   
ゼロ以外の値がライフタイムに設定されているゲスト ユーザ アカウントの値は、アカウントがアクティブになっている間、いつでも別の値に変更できます。しかし、コントローラ GUI を使用してゲスト ユーザ アカウントを永続的なアカウントにするには、そのアカウントを一度削除した後、再度アカウントを作成しなければなりません。必要に応じて、config netuser lifetime user_name 0 コマンドを使用して、ゲスト ユーザ アカウントを削除して再作成することなく、ゲスト ユーザ アカウントを永続的なアカウントにすることができます。
ステップ 6

[WLAN SSID] ドロップダウン リストから、ゲスト ユーザが使用する SSID を選択します。表示された WLAN だけが、レイヤ 3 の Web 認証が設定された WLAN です。

(注)   
潜在的な競合を阻止するために、特定のゲスト WLAN を作成することを推奨します。ゲスト アカウントの有効期限が切れ、RADIUS サーバ上でアカウント名が競合し、両アカウントとも同じ WLAN 上にある場合、両アカウントにアソシエートしているユーザのアソシエートが解除されてから、ゲスト アカウントが削除されます。
ステップ 7

[Description] テキスト ボックスに、ゲスト ユーザ アカウントの説明を入力します。最大 32 文字を入力することができます。
ステップ 8

[Apply] をクリックして、変更を確定します。新しいゲスト ユーザ アカウントが、[Guest Users List] ページのゲスト ユーザ リストに表示されます。

このページから、すべてのゲスト ユーザ アカウント、それぞれの WLAN SSID およびライフタイムを表示できます。また、ゲスト ユーザ アカウントを編集、または削除することができます。ゲスト ユーザ アカウントを削除する場合、ゲスト WLAN を使用し、そのアカウントのユーザ名を使用してログインしているクライアントはすべて削除されます。

ステップ 9

新しいゲスト ユーザ アカウントを作成するには、この手順を繰り返します。

ゲスト ユーザ アカウントの設定

ゲスト アカウントの作成について

コントローラは、ゲスト ユーザ アカウントを作成する必要がある WLAN に対するゲスト ユーザ アクセスを提供できます。ゲスト ユーザ アカウントはネットワーク管理者が作成できます。 また、要求に応じて、管理者以外にゲスト ユーザ アカウントを作成させたい場合は、ロビー管理者アカウントを使用して行うことができます。ロビー アンバサダーの設定権限は限定的で、ゲスト ユーザ アカウントの管理に使用する Web ページだけにアクセスできます。

ロビー アンバサダーは、ゲスト ユーザ アカウントを利用できる時間を指定できます。指定した時間を経過すると、ゲスト ユーザ アカウントは、自動的に無効になります。

ユーザ アカウントの管理に関する制約事項

  • ローカル ユーザ データベースは、最大エントリ数が 12000(デフォルト値)に制限されています。データベースは、ローカル管理ユーザ(ロビー アンバサダーを含む)、ローカル ネットワーク ユーザ(ゲスト ユーザを含む)、MAC フィルタ エントリ、除外リスト エントリ、およびアクセス ポイントの認可リスト エントリで共有します。これらを合わせて、設定されている最大値を超えることはできません。

  • ネット ユーザ アカウントやゲスト ユーザ アカウントには、英数字とともに次の特殊文字を使用できます。~、@、#、$、%、^、&、(、)、!、_、-、`、.、[、]、=、+、*、:、;、{、}、,、/、および \。

ゲスト ユーザ アカウントの表示

ゲスト アカウントの表示(GUI)

手順

[Security] > [AAA] > [Local Net Users] を選択します。[Local Net Users] ページが表示されます。

このページから、すべてのローカル ネット ユーザ アカウント(ゲスト ユーザ アカウントを含む)を表示し、必要に応じて編集または削除することができます。ゲスト ユーザ アカウントを削除する場合、ゲスト WLAN を使用し、そのアカウントのユーザ名を使用してログインしているクライアントはすべて削除されます。

ゲスト アカウントの表示(CLI)

手順

コマンドまたはアクション 目的

コントローラ CLI を使用して、すべてのローカル ネット ユーザ アカウント(ゲスト ユーザ アカウントを含む)を表示するには、次のコマンドを入力します。

show netuser summary

クライアントのホワイトリスト登録

クライアントのホワイトリスト化について

大学のような場所では、複数のデバイスで多くのゲストを受け入れます。そのため、不正利用や不正アクセスからネットワークを保護し、正当なクライアントがネットワークに接続できるようにすることが重要になっています。クライアントの登録や登録解除は、定期的に実行する退屈で時間がかかる作業です。そのため、よりシンプルなソリューションが求められます。

この機能は、MAC アドレスに基づいた特定の WLAN または SSID でのクライアントのホワイトリスト化のニーズに対応します。この機能の目的は、WLAN の MAC フィルタリング オプション、ロビー管理者ユーザの追加、WLAN でホワイトリスト化されたクライアントのリストを保存するための AAA DB の再利用など、既存の機能を再利用することにあります。

次の 2 種類の管理者が機能管理を管理します。

  • グローバル管理者:WLC でロビー管理者ユーザを作成し、WLAN でのロビー管理者アクセス権を有効にします。

  • ロビー管理者:GUI インターフェイスだけを使用して WLAN または SSID への関連付けを管理するために、ホワイトリストからクライアントを追加または削除します。既存のロビー管理者も、ホワイトリストを設定するために使用できます。

クライアントのホワイトリスト登録の制約事項

  • Cisco 2504、5508 WLC、および vWLC の場合、AAA データベースは 2048 エントリまでに制限されています。

  • Cisco 5520、3504、Flex 7510、8510、および 8540 WLC の場合、AAA データベースのサイズは 12000 エントリまで増えます。

  • MAC アドレスは、複数の WLAN または SSID に登録することはできません。

  • ロビー管理者は、GUI インターフェイスを使用してのみ設定できます。


(注)  

AAA データベースは、以下の間で共有されます。

  • MAC フィルタリング

  • ローカル ネット ユーザ

  • 管理ユーザ

  • 手動ブラックリスト ユーザ

  • AP 認証リスト ユーザ

  • ゲスト ユーザ

グローバル管理者によるロビー管理者の設定(GUI)

このセクションでは、グローバル管理者によるゲスト ユーザとホワイトリスト ユーザの管理のために、WLC でロビー管理者を作成または削除する手順について説明します。

手順

ステップ 1

[Management] > [Local Management Users] を選択します。

ステップ 2

[Local Management Users] セクションで、ロビー管理者を追加します。

  1. [New] をクリックします。

  2. [User Name] を入力します。

  3. [Password] を入力します。

  4. [Password] を確認します。

  5. [User Access Mode] ドロップダウン リストで [lobby admin] を選択します。

  6. [Apply] をクリックします。

次のタスク

WLAN でロビー管理者アクセスを設定します。

グローバル管理者によるロビー管理者の設定(CLI)

手順

ステップ 1

次のコマンドを入力して、WLC にローカル ロビー管理者を追加します。

config mgmtuser add username password lobby-admin

ステップ 2

次のコマンドを入力して、WLAN でのロビー管理者アクセスを有効または無効にします。

config wlan lobby-admin-access { enable | disable } wlan-id

グローバル管理者によるクライアントのホワイトリストの設定(CLI)

グローバル管理者は、次のコマンドを使用してクライアントのホワイトリストを設定できます。

手順

ステップ 1

次のコマンドを入力して、WLAN ロビーのアクセス ステータスを表示します。

show wlan lobby-admin-access

ステップ 2

次のコマンドを入力して、WLAN の関連クライアント リストを表示します。

show client wlan wlan-id

ステップ 3

次のコマンドを入力して、選択したクライアントまたはホワイトリスト グループのすべてのクライアントを追加します。

config mac-filter add mac-address wlan-id interface description

(注)   
この機能の場合、[interface] フィールドの値は 0 に設定されます。
ステップ 4

次のコマンドを入力して、選択したクライアントまたはホワイトリスト グループの選択したすべてのクライアントを削除します。

config mac-filter delete mac-addr

ステップ 5

次のコマンドを入力して、すべての WLAN のすべての MAC フィルタ エントリの概要を表示します。

show macfilter summary

ステップ 6

次のコマンドを入力して、特定の WLAN のすべての MAC フィルタ エントリのリストを表示します。

show macfilter wlan wlan-id

ステップ 7

次のコマンドを入力して、WLAN の MAC フィルタリングを有効または無効にします。

config wlan mac-filtering { enable | disable } wlan-id

グローバル管理者による WLAN でのロビー管理者アクセスの設定(GUI)

このセクションでは、WLAN のロビー管理者を有効にする手順について説明します。

手順

ステップ 1

[WLANs] > [WLAN ID] > [Security] タブを選択します。

ステップ 2

[Lobby Admin Access] チェックボックスをオンにします。

ステップ 3

[Apply] をクリックします。

ロビー管理者によるクライアントのホワイトリストの作成(GUI)

SSID 別のホワイトリストへの MAC アドレスの追加

このセクションでは、ロビー管理者が WLAN 用の有効なユーザのホワイトリストを作成するために使用できるいくつかの方法について説明します。

始める前に

  1. ロビー管理者は、必要な WLAN においてコンフィギュレーション モードである必要があります。

  2. 特定の SSID にデバイスを接続するように対象ユーザに通知します。

手順

ステップ 1

ロビー管理者としてコントローラにログインします。
ステップ 2

[White List Users] を選択します。

ステップ 3

ホワイトリストを適用する必要がある WLAN をドロップダウン リストから選択します。
ステップ 4

[Config Mode] を選択します。

ステップ 5

[Apply] をクリックします。

ステップ 6

[Filter by] をクリックします。

[AP Name] を選択し、AP 名を入力します。
ステップ 7

[Search] アイコンをクリックします。

結果には、選択した AP に接続されているクライアントが表示されます。
ステップ 8

[Select All] チェックボックスをオンにします。

表示されたすべてのクライアントが選択されます。
ステップ 9

[Description] フィールドに説明を入力します。

管理を簡単にするため、このリストにアイデンティ タグを入力します。
ステップ 10

[Add] をクリックします。

ステップ 11

[Running Mode] を選択します。

ステップ 12

[Apply] をクリックします。

無線が再起動して、新しい WLAN の設定が有効になります。

ホワイトリスト内のクライアントの関連付けだけが継続され、残りのクライアントは AP から関連付けを解除されます。

ホワイトリストへの単一の MAC アドレスの追加

手順

ステップ 1

ロビー アンバサダとしてコントローラにログインします。
ステップ 2

[White List Users] を選択します。

ステップ 3

ホワイトリストを適用する必要がある WLAN をドロップダウン リストから選択します。
ステップ 4

MAC アドレスを入力します。

ステップ 5

説明を入力します。

ステップ 6

[Add] をクリックします。

(注)   
単一の MAC アドレスをさらに追加するには、ステップ 4 ~ 6 を繰り返します。

ホワイトリストへの MAC アドレス CSV リストのインポート

手順

ステップ 1

ロビー アンバサダとしてコントローラにログインします。
ステップ 2

[White List Users] を選択します。

ステップ 3

ホワイトリストを適用する必要がある WLAN をドロップダウン リストから選択します。
ステップ 4

[Config Mode] ラジオ ボタンをクリックします。

ステップ 5

[Apply] をクリックします。

ステップ 6

[Upload CSV file] チェックボックスをオンにします。

ステップ 7

[Browse File] をクリックします。

ステップ 8

インポートする CSV ファイルを選択します。

ダイアログボックスで [OK] をクリックします。

ステップ 9

[Add] をクリックします。

ホワイトリストからの MAC アドレスの削除(GUI)

1 つの MAC アドレスを削除するか、またはホワイトリストから一括で削除することができます。

手順

ステップ 1

ロビー管理者としてコントローラにログインします。
ステップ 2

[White List Users] を選択します。

ステップ 3

ドロップダウン リストから WLAN を選択してホワイトリストを取得します。
ステップ 4

次の削除方法のいずれかを選択します。

  1. 1 つのクライアントの削除:クライアントの MAC アドレスを入力し、[Delete] をクリックするか、またはを削除する MAC アドレスの前にある [X] 削除アイコンをクリックします。

  2. 複数のクライアントの削除:削除するクライアントを AP 名か説明に基づいてフィルタリングし、すべての MAC アドレスまたは選択した複数の MAC アドレスを選択して [Delete] をクリックします。

パスワード ポリシー

パスワード ポリシーについて

パスワード ポリシーを使用すると、コントローラおよびアクセス ポイントの追加管理ユーザ用に新しく作成されたパスワードに対し、強力なパスワード チェックを適用できます。新規パスワードには次の要件が適用されます。

  • コントローラが旧バージョンからアップグレードされた場合、古いパスワードはすべて現状のまま維持されます。ただし、パスワードの強度は低下します。システムのアップグレード後、強力なパスワード チェックが有効になると、それ以降は強力なパスワード チェックが適用され、以前に追加されたパスワードの強度のチェックまたは変更は行われません。

  • [Password Policy] ページで設定された内容によっては、ローカル管理ユーザおよびアクセス ポイント ユーザの設定が影響を受けます。

パスワード ポリシーの制約事項

  • WLAN-CC 要件に基づいた強力なパスワード要件は、WLAN 管理者ログイン パスワードにのみ適用され、AP 管理パスワードには適用できません。

  • シリアル接続またはターミナル サーバ接続経由で Cisco WLC へのアクセスを試み、試行回数に制限がない場合、強力なパスワード:ロックアウト機能は適用されません。

パスワード ポリシーの設定(GUI)

手順

ステップ 1

[Security] > [AAA] > [Password Policies] の順に選択して、[Password Policies] ページを開きます。

ステップ 2

小文字、大文字、数字、特殊文字の中から少なくとも 3 種類の文字をパスワードに含める場合は、[Password must contain characters from at least 3 different classes] チェックボックスをオンにします。

ステップ 3

新規パスワード内で同じ文字が 4 回以上連続して繰り返されないようにするには、[No character can be repeated more than 3 times consecutively] チェックボックスをオンにします。

ステップ 4

パスワードに Cisco、ocsic、admin、nimda や、大文字と小文字を変更したり、1、|、または ! を代用したり、o の代わりに 0 や、s の代わりに $ を使用したりするだけの変形文字列をパスワードに含めないようにするには、[Password cannot be the default words like cisco, admin] チェックボックスをオンにします。

ステップ 5

パスワードにユーザ名またはユーザ名を逆にした文字を含めないようにするには、[Password cannot contain username or reverse of username] チェックボックスをオンにします。

ステップ 6

[Apply] をクリックして、変更を確定します。

ステップ 7

[Save Configuration] をクリックして、変更を保存します。

パスワード ポリシーの設定(CLI)

手順

  • 次のコマンドを入力して、AP および WLC に対して強力なパスワード チェックを有効または無効にします。

    config switchconfig strong-pwd {case-check | consecutive-check | default-check | username-check | all-checks | position-check | case-digit-check } {enable | disable }

    値は次のとおりです。
    • case-check :同じ文字が 3 回連続して使用されているかを確認します。
    • consecutive-check :デフォルト値またはそのバリアントが使用されているかを確認します。
    • default-check :ユーザ名またはそれを逆にした文字が使用されているかを確認します。
    • all-checks :強力なパスワード チェックをすべて有効または無効にします。
    • position-check :古いパスワードからの 4 文字の流用を確認します。
    • case-digit-check :小文字、大文字、数字、特殊文字の 4 つすべての組み合わせが含まれているかを確認します。

  • 次のコマンドを入力して、パスワード内の小文字、大文字、数字、特殊文字の最小数を設定します。

    config switchconfig strong-pwd minimum {upper-case | lower-case | digits | special-chars } num-of-chars

  • 次のコマンドを入力して、パスワードの最小長を設定します。

    config switchconfig strong-pwd min-length pwd-length

  • 次のコマンドを入力して、管理または SNMPv3 ユーザのロックアウトを設定します。

    config switchconfig strong-pwd lockout {mgmtuser | snmpv3user } {enable | disable }

  • 次のコマンドを入力して、管理または SNMPv3 ユーザのロックアウト時間を設定します。

    config switchconfig strong-pwd lockout time {mgmtuser | snmpv3user } timeout-in-mins

  • 次のコマンドを入力して、管理または SNMPv3 ユーザの試行連続失敗回数を設定します。

    config switchconfig strong-pwd lockout attempts {mgmtuser | snmpv3user } num-of-failure-attempts

  • 次のコマンドを入力して、管理または SNMPv3 ユーザのライフタイムを設定します。

    config switchconfig strong-pwd lifetime {mgmtuser | snmpv3user } lifetime-in-days

  • 次のコマンドを入力して、強力なパスワード チェックに設定されたオプションを表示します。

    show switchconfig

    以下に類似した情報が表示されます。 

    
802.3x Flow Control Mode......................... Disabled
FIPS prerequisite features....................... Disabled
secret obfuscation............................... Enabled
Strong Password Check Features:

         case-check ...........Enabled
         consecutive-check ....Enabled
         default-check .......Enabled
         username-check ......Enabled