CHAPTER
37
管理アクセスの設定
この章では、Telnet、SSH、および HTTPS(Adaptive Security Device Manager(ASDM)を使用)を
介してシステム管理のために適応型セキュリティ アプライアンスにアクセスする方法について説明しま
す。また、ユーザを認証および認可する方法とログイン バナーを作成する方法についても説明します。
この章には、次の項があります。
• 「Telnet アクセスの許可」(P.37-1)
• 「SSH アクセスの許可」(P.37-2)
• 「ASDM での HTTPS アクセスの許可」(P.37-4)
• 「異なるインターフェイスでの VPN トンネル終端インターフェイスからのセキュリティ アプライ
アンスの管理」(P.37-5)
• 「システム管理者用 AAA の設定」(P.37-5)
• 「ログイン バナーの設定」(P.37-21)
(注)
また、管理アクセス用の適応型セキュリティ アプライアンス インターフェイスにアクセスする場合は、
ホスト IP アドレスを許可するアクセスリストは不要です。必要なのは、この章の各項の説明に従って
管理アクセスを設定することだけです。
Telnet アクセスの許可
適応型セキュリティ アプライアンスは、管理目的で適応型セキュリティ アプライアンスへの Telnet 接
続を許可します。IPSec トンネル内で Telnet を使用する場合を除き、最も低いセキュリティ インター
フェイスに対して Telnet は使用できません。
適応型セキュリティ アプライアンスは、コンテキストごとに最大 5 つの同時 Telnet 接続を許可し、可
能な場合は、最大 100 の接続がすべてのコンテキストの間で分割されます。
適応型セキュリティ アプライアンスへの Telnet アクセスを設定するには、次の手順を実行します。
ステップ 1
適応型セキュリティ アプライアンスが接続を受け入れる送信元 IP アドレスを指定するには、アドレス
またはサブネットごとに、次のコマンドを入力します。
hostname(config)# telnet source_IP_address mask source_interface
インターフェイスが 1 つしかない場合は、インターフェイスのセキュリティ レベルが 100 である限り、
そのインターフェイスにアクセスするように Telnet を設定することができます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
37-1
第 37 章
管理アクセスの設定
SSH アクセスの許可
ステップ 2
(オプション)適応型セキュリティ アプライアンスが Telnet セッションを切断するまでに、セッション
がアイドル状態を維持する時間の長さを設定するには、次のコマンドを入力します。
hostname(config)# telnet timeout minutes
タイムアウトは 1 ~ 1440 分に設定します。デフォルトは 5 分です。デフォルト値では一般に短すぎる
ので、実働前のテストとトラブルシューティングがすべて完了するまでは、長めに設定しておいてくだ
さい。
たとえば、192.168.1.2 というアドレスを持つ内部インターフェイス上のホストから適応型セキュリ
ティ アプライアンスにアクセスするには、次のように入力します。
hostname(config)# telnet 192.168.1.2 255.255.255.255 inside
hostname(config)# telnet timeout 30
192.168.3.0 ネットワーク上のすべてのユーザが内部インターフェイス上の適応型セキュリティ アプラ
イアンスにアクセスできるようにするには、次のコマンドを入力します。
hostname(config)# telnet 192.168.3.0 255.255.255.0 inside
SSH アクセスの許可
適応型セキュリティ アプライアンスは、管理目的で適応型セキュリティ アプライアンスへの SSH 接続
を許可します。適応型セキュリティ アプライアンスは、コンテキストごとに最大 5 つの同時 SSH 接続
を許可し、可能な場合は、最大 100 の接続がすべてのコンテキストの間で分割されます。
SSH は、強力な認証と暗号化機能を提供する TCP/IP など、信頼性の高いトランスポート層で実行され
るアプリケーションです。適応型セキュリティ アプライアンスは SSH バージョン 1 および 2 で提供さ
れている SSH リモート シェル機能をサポートし、DES 暗号および 3DES 暗号をサポートします。
(注)
SSL および SSH での XML 管理はサポートされていません。
この項は、次の内容で構成されています。
• 「SSH アクセスの設定」(P.37-2)
• 「SSH クライアントの使用」(P.37-3)
SSH アクセスの設定
適応型セキュリティ アプライアンスへの SSH アクセスを設定するには、次の手順を実行します。
ステップ 1
SSH に必要な RSA キー ペアを生成するには、次のコマンドを入力します。
hostname(config)# crypto key generate rsa modulus modulus_size
係数(ビット単位)は 512、768、1024、または 2048 です。指定するキー係数のサイズが大きいほど、
RSA の生成にかかる時間は長くなります。値は 1024 にすることをお勧めします。
ステップ 2
永続的なフラッシュ メモリに RSA キーを保存するには、次のコマンドを入力します。
hostname(config)# write mem
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
37-2
OL-18970-01-J
第 37 章
管理アクセスの設定
SSH アクセスの許可
ステップ 3
適応型セキュリティ アプライアンスが接続を受け入れる送信元 IP アドレスを指定するには、アドレス
またはサブネットごとに、次のコマンドを入力します。
hostname(config)# ssh source_IP_address mask source_interface
適応型セキュリティ アプライアンスは、最も低いセキュリティ レベルの接続も含め、すべてのイン
ターフェイスから SSH 接続を受け入れます。
ステップ 4
(オプション)適応型セキュリティ アプライアンスが SSH セッションを切断するまでに、セッション
がアイドル状態を維持する時間の長さを設定するには、次のコマンドを入力します。
hostname(config)# ssh timeout minutes
タイムアウトは 1 ~ 60 分に設定します。デフォルトは 5 分です。デフォルト値では一般に短すぎるので、
実働前のテストとトラブルシューティングがすべて完了するまでは、長めに設定しておいてください。
たとえば、RSA キーを生成し、192.168.1.2 というアドレスを持つ内部インターフェイス上のホストか
ら適応型セキュリティ アプライアンスにアクセスするには、次のように入力します。
hostname(config)#
hostname(config)#
hostname(config)#
hostname(config)#
hostname(config)#
crypto key generate rsa modulus 1024
write mem
ssh 192.168.1.2 255.255.255.255 inside
ssh 192.168.1.2 255.255.255.255 inside
ssh timeout 30
192.168.3.0 ネットワーク上のすべてのユーザが内部インターフェイス上の適応型セキュリティ アプラ
イアンスにアクセスできるようにするには、次のコマンドを入力します。
hostname(config)# ssh 192.168.3.0 255.255.255.0 inside
デフォルトでは、SSH はバージョン 1 とバージョン 2 の両方を許可します。バージョン番号を指定す
るには、次のコマンドを入力します。
hostname(config)# ssh version version_number
version_number には 1 または 2 を指定します。
SSH クライアントの使用
SSH を使用して適応型セキュリティ アプライアンス コンソールにアクセスできるようにするには、
SSH クライアントでユーザ名を pix と入力し、password コマンドで設定したログイン パスワードを入
力します(「ログイン パスワードの変更」(P.8-1)を参照してください)。
SSH セッションを開始すると、次のように SSH ユーザ認証プロンプトが表示される前に、適応型セ
キュリティ アプライアンス コンソール上にドット(.)が表示されます。
hostname(config)# .
ドットが表示されても、SSH の機能には影響を与えません。コンソールにドットが表示されるのは、
ユーザ認証が始まる前で、サーバ キーを生成する場合か、または SSH キー交換中に秘密キーを使用し
てメッセージを暗号化する場合です。これらのタスクには 2 分以上かかることがあります。ドットは、
適応型セキュリティ アプライアンスがビジー状態で、ハングしていないことを示す進捗インジケータ
です。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
37-3
第 37 章
管理アクセスの設定
ASDM での HTTPS アクセスの許可
ASDM での HTTPS アクセスの許可
ASDM を使用するには、HTTPS サーバをイネーブルにし、適応型セキュリティ アプライアンスへの
HTTPS 接続を許可する必要があります。setup コマンドを使用すると、これらのタスクがすべて完了し
ます。この項では、ASDM アクセスを手動で設定し、ASDM にログインする方法について説明します。
セキュリティ アプライアンスは、コンテキストごとに最大 5 つの同時 ASDM インスタンスを許可し、
可能な場合は、最大 32 の ASDM インスタンスがすべてのコンテキストの間で許可されます。
この項は、次の内容で構成されています。
• 「HTTPS アクセスのイネーブル化」(P.37-4)
• 「PC から ASDM へのアクセス」(P.37-4)
HTTPS アクセスのイネーブル化
ASDM アクセスを設定するには、次の手順を実行します。
ステップ 1
適応型セキュリティ アプライアンスが HTTPS 接続を受け入れる送信元 IP アドレスを指定するには、
アドレスまたはサブネットごとに、次のコマンドを入力します。
hostname(config)# http source_IP_address mask source_interface
ステップ 2
HTTPS サーバをイネーブルにするには、次のコマンドを入力します。
hostname(config)# http server enable [port]
デフォルトでは、port は 443 です。ポート番号を変更する場合は、必ず ASDM アクセス URL に新し
いポートを含める必要があります。たとえば、ポート 444 に変更する場合は、次のように入力します。
https://10.1.1.1:444
ステップ 3
ASDM イメージのロケーションを指定するには、次のコマンドを入力します。
hostname(config)# asdm image disk0:/asdmfile
たとえば、HTTPS サーバをイネーブルにして、192.168.1.2 というアドレスを持つ内部インターフェイ
ス上のホストが ASDM にアクセスできるようにするには、次のように入力します。
hostname(config)#
hostname(config)#
hostname(config)#
hostname(config)#
crypto key generate rsa modulus 1024
write mem
http server enable
http 192.168.1.2 255.255.255.255 inside
192.168.3.0 ネットワーク上のすべてのユーザが内部インターフェイス上の ASDM にアクセスできる
ようにするには、次のコマンドを入力します。
hostname(config)# http 192.168.3.0 255.255.255.0 inside
PC から ASDM へのアクセス
適応型セキュリティ アプライアンス ネットワーク上のサポートされる Web ブラウザで、次の URL を
入力します。
https://interface_ip_address[:port]
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
37-4
OL-18970-01-J
第 37 章
管理アクセスの設定
異なるインターフェイスでの VPN トンネル終端インターフェイスからのセキュリティ アプライアンスの管理
透過ファイアウォール モードで、管理 IP アドレスを入力します。
異なるインターフェイスでの VPN トンネル終端インター
フェイスからのセキュリティ アプライアンスの管理
IPSec VPN トンネルが 1 つのインターフェイスで終端するときに、別のインターフェイスにアクセス
して適応型セキュリティ アプライアンスを管理する場合は、次のコマンドを入力します。
hostname(config)# management access management_interface
management_interface には、別のインターフェイスからセキュリティ アプライアンスに入るときにア
クセスする管理インターフェイスの名前を指定します。
たとえば、外部インターフェイスから適応型セキュリティ アプライアンスに入る場合は、このコマン
ドを使用して、Telnet 経由で内部インターフェイスに接続するか、外部インターフェイスから入るとき
に内部インターフェイスに ping を実行できます。
管理アクセス インターフェイスは 1 つだけ定義できます。
システム管理者用 AAA の設定
この項では、システム管理者の認証とコマンド認可をイネーブルにする方法について説明します。シス
テム管理者の AAA を設定する前に、まず第 36 章「AAA サーバおよびローカル データベースのサ
ポート」に従ってローカル データベースまたは AAA サーバを設定します。
この項は、次の内容で構成されています。
• 「CLI および ASDM アクセスの認証の設定」(P.37-5)
• 「特権 EXEC モードにアクセスするための認証の設定(enable コマンド)」(P.37-6)
• 「管理認可によるユーザ CLI および ASDM アクセスの制限」(P.37-7)
• 「コマンド認可の設定」(P.37-9)
• 「コマンド アカウンティングの設定」(P.37-18)
• 「現在のログイン ユーザの表示」(P.37-18)
• 「ロックアウトからの回復」(P.37-20)
CLI および ASDM アクセスの認証の設定
CLI 認証をイネーブルにすると、適応型セキュリティ アプライアンスはログインのためユーザ名とパ
スワードの入力を求めるプロンプトを表示します。情報を入力した後、ユーザ EXEC モードにアクセ
スできるようになります。
特権 EXEC モードに入るには、enable コマンドまたは login コマンドを入力します(ローカル データ
ベースを使用している場合に限る)。
enable 認証を設定する場合(「enable コマンドの認証の設定」(P.37-6)を参照)は、適応型セキュリ
ティ アプライアンスによってユーザ名とパスワードの入力を求めるプロンプトが表示されます。
(enable password コマンドで設定
enable 認証を設定しない場合は、enable コマンドを入力する際に、
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
37-5
第 37 章
管理アクセスの設定
システム管理者用 AAA の設定
した)システム イネーブル パスワードを入力します。ただし、enable 認証を使用しない場合は、
enable コマンドを入力した後、特定のユーザとしてログインしていないことになります。ユーザ名を
保持するには、enable 認証を使用します。
ローカル データベースを使用して認証する場合は、login コマンドを使用できます。これにより、ユー
ザ名が保持されますが、認証をオンにする設定は必要ありません。
(注)
適応型セキュリティ アプライアンスで Telnet、SSH、または HTTP ユーザを認証できるようにするに
は、まず telnet、ssh、および http コマンドを使用して適応型セキュリティ アプライアンスへのアクセ
スを設定する必要があります。これらのコマンドは、適応型セキュリティ アプライアンスとの通信が
許可された IP アドレスを識別します。
CLI にアクセスするユーザを認証するには、次のコマンドを入力します。
hostname(config)# aaa authentication {telnet | ssh | http | serial} console {LOCAL |
server_group [LOCAL]}
http キーワードは、HTTPS を使用して適応型セキュリティ アプライアンスにアクセスする ASDM ク
ライアントを認証します。AAA サーバを使用する場合は、HTTP 認証だけを設定する必要があります。
デフォルトでは、このコマンドを設定しない場合でも、ASDM は認証にローカル データベースを使用
します。HTTP 管理認証では、AAA サーバ グループの SDI プロトコルをサポートしていません。
認証に AAA サーバ グループを使用する場合は、AAA サーバが使用できないときにローカル データ
ベースをフォールバック方式として使用するように適応型セキュリティ アプライアンスを設定できま
す。サーバ グループ名の後ろに LOCAL を指定します(LOCAL は大文字と小文字を区別します)。
適応型セキュリティ アプライアンスは、どちらの方式を使用しているかを示すプロンプトを表示しな
いため、ローカル データベースと AAA サーバで同じユーザ名とパスワードを使用することをお勧めし
ます。
LOCAL だけを入力して、ローカル データベースを認証の主要方式として(フォールバックなしで)
使用することもできます。
特権 EXEC モードにアクセスするための認証の設定(enable コマンド)
ユーザが enable コマンドを入力したときに AAA サーバまたはローカル データベースでそれらのユー
ザを認証するように適応型セキュリティ アプライアンスを設定することができます。あるいは、ユー
ザは login コマンドを入力したときにローカル データベースで自動的に認証されます。この場合も、
ローカル データベース内のユーザ レベルに応じて特権 EXEC モードにアクセスします。
この項は、次の内容で構成されています。
• 「enable コマンドの認証の設定」(P.37-6)
• 「login コマンドによるユーザの認証」(P.37-7)
enable コマンドの認証の設定
ユーザが enable コマンドを入力したときに認証されるように、適応型セキュリティ アプライアンスを
設定できます。enable コマンドを認証しない場合は、enable を入力したときに、適応型セキュリティ
アプライアンスがシステム イネーブル パスワード(enable password コマンドで設定)の入力を求め
るプロンプトを表示します。この場合、特定のユーザとしてログインする必要はありません。enable
コマンドに認証を適用すると、ユーザ名が保持されます。この機能は、ユーザが入力できるコマンドを
判別するためにユーザ名が重要な役割を果たすコマンド認可を実行する場合に特に役立ちます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
37-6
OL-18970-01-J
第 37 章
管理アクセスの設定
システム管理者用 AAA の設定
enable コマンドを入力するユーザを認証するには、次のコマンドを入力します。
hostname(config)# aaa authentication enable console {LOCAL | server_group [LOCAL]}
ユーザ名とパスワードの入力を求めるプロンプトがユーザに対して表示されます。
認証に AAA サーバ グループを使用する場合は、AAA サーバが使用できないときにローカル データ
ベースをフォールバック方式として使用するように適応型セキュリティ アプライアンスを設定できま
す。サーバ グループ名の後ろに LOCAL を指定します(LOCAL は大文字と小文字を区別します)。
適応型セキュリティ アプライアンスは、どちらの方式を使用しているかを示すプロンプトを表示しな
いため、ローカル データベースと AAA サーバで同じユーザ名とパスワードを使用することをお勧めし
ます。
LOCAL だけを入力して、ローカル データベースを認証の主要方式として(フォールバックなしで)
使用することもできます。
login コマンドによるユーザの認証
ユーザ EXEC モードから、login コマンドを使用してローカル データベース内のユーザ名でログイン
することができます。
この機能を使用すると、ユーザは独自のユーザ名とパスワードでログインして特権 EXEC モードにア
クセスすることができるので、システム イネーブル パスワードを全員に提供する必要がなくなります。
ユーザがログインしたときに特権 EXEC モード(およびすべてのコマンド)へのアクセスを許可する
には、ユーザ特権レベルを 2(デフォルト)~ 15 に設定します。ローカル コマンド認可を設定した場
合、ユーザはその特権レベルまたはそれ以下のレベルに割り当てられたコマンドだけを入力できます。
詳細については、「ローカル コマンド認可の設定」(P.37-11)を参照してください。
注意
CLI へのアクセス権を取得できるユーザを特権 EXEC モードに入れないようにするには、そのユー
ザをローカル データベースに追加する際にコマンド認可を設定する必要があります。コマンド認可
がない場合、ユーザは、特権レベルが 2 以上(デフォルトは 2)であれば、CLI で独自のパスワー
ドを使用して特権 EXEC モード(およびすべてのコマンド)にアクセスすることができます。ある
いは、認証処理で AAA サーバを使用するか、またはすべてのローカル ユーザをレベル 1 に設定す
ることにより、システム イネーブル パスワードを使用して特権 EXEC モードにアクセスできる
ユーザを制御できます。
ローカル データベースからユーザとしてログインするには、次のコマンドを入力します。
hostname> login
適応型セキュリティ アプライアンスにより、ユーザ名とパスワードの入力を求めるプロンプトが表示
されます。パスワードを入力すると、適応型セキュリティ アプライアンスにより、ユーザはローカル
データベースで指定されている特権レベルに置かれます。
管理認可によるユーザ CLI および ASDM アクセスの制限
CLI 認証または enable 認証を設定すると、ローカル ユーザ、RADIUS、TACACS+、または LDAP
ユーザ(LDAP アトリビュートを RADIUS アトリビュートにマッピングする場合)からの CLI、
ASDM、または enable コマンドへのアクセスを制限できます。
(注)
シリアル アクセスは管理認可に含まれていないため、aaa authentication serial console を設定する
と、認証を行うすべてのユーザがコンソール ポートにアクセスできます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
37-7
第 37 章
管理アクセスの設定
システム管理者用 AAA の設定
管理認可を設定するには、次の手順を実行します。
ステップ 1
管理認可をイネーブルにするには、次のコマンドを入力します。
hostname(config)# aaa authorization exec authentication-server
このコマンドによって、RADIUS からの管理ユーザ特権レベルのサポートもイネーブルになります。
この特権レベルは、コマンド認可でのローカル コマンドの特権レベルと併用できます。詳細について
は、「ローカル コマンド認可の設定」(P.37-11)を参照してください。
ステップ 2
管理認可を与えるユーザを設定するには、AAA サーバ タイプまたはローカル ユーザごとに次の要件を
確認してください。
• RADIUS または LDAP(マッピングされた)ユーザ:次のいずれかの値にマッピングされる、
IETF RADIUS の Service-Type 数値アトリビュートを使用します (LDAP アトリビュートをマッ
ピングするには、「LDAP アトリビュートのマッピング」(P.36-15)を参照してください)。
– Service-Type 6(管理):aaa authentication console コマンドで指定されるすべてのサービス
にフル アクセスできます。
:aaa authentication {telnet | ssh} console コマンドを設定
– Service-Type 7(NAS プロンプト)
する場合には CLI へのアクセスを許可しますが、aaa authentication http console コマンドを
設定する場合には ASDM コンフィギュレーション アクセスを拒否します。ASDM のモニタリ
ング アクセスは許可されます。aaa authentication enable console コマンドを使用して
enable 認証を設定すると、ユーザは enable コマンドを使用して特権 EXEC モードにアクセス
できません。
– Service-Type 5(発信):管理アクセスを拒否します。ユーザは aaa authentication console コ
マンドで指定されるサービスを使用できません(serial キーワードは除外され、シリアル アク
セスは許可されます)。リモート アクセス(IPSec および SSL)ユーザは、引き続きリモート
アクセス セッションを認証および終了することができます。
• TACACS+ ユーザ:「service=shell」で認可が要求され、サーバは PASS または FAIL で応答します。
– PASS、特権レベル 1:aaa authentication console コマンドで指定されるすべてのサービスに
フル アクセスできます。
– PASS、特権レベル 2 以上:aaa authentication {telnet | ssh} console コマンドを設定する場合
には CLI へのアクセスを許可しますが、aaa authentication http console コマンドを設定する
場合には ASDM コンフィギュレーション アクセスを拒否します。ASDM のモニタリング アク
セスは許可されます。aaa authentication enable console コマンドを使用して enable 認証を設
定すると、ユーザは enable コマンドを使用して特権 EXEC モードにアクセスできません。
– FAIL:管理アクセスを拒否します。ユーザは aaa authentication console コマンドで指定され
るサービスを使用できません(serial キーワードは除外され、シリアル アクセスは許可されま
す)。
• ローカル ユーザ:service-type コマンドを設定します。「ローカル データベースの設定」(P.36-8)
を参照してください。デフォルトでは、service-type は admin です。これにより、aaa
authentication console コマンドで指定されるすべてのサービスにフル アクセスできます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
37-8
OL-18970-01-J
第 37 章
管理アクセスの設定
システム管理者用 AAA の設定
コマンド認可の設定
コマンドへのアクセスを制御する場合は、適応型セキュリティ アプライアンスでコマンド認可を設定
し、ユーザが使用できるコマンドを決定することができます。デフォルトでは、ログイン時に、最小限
のコマンドだけが提供されるユーザ EXEC モードにアクセスできます。enable コマンド(またはロー
カル データベースを使用する場合は login コマンド)を入力すると、特権 EXEC モードおよびコン
フィギュレーション コマンドなどの拡張コマンドにアクセスできます。
この項は、次の内容で構成されています。
• 「コマンド認可の概要」(P.37-9)
• 「ローカル コマンド認可の設定」(P.37-11)
• 「TACACS+ コマンド認可の設定」(P.37-14)
コマンド認可の概要
この項では、コマンド認可について説明します。次の項目を取り上げます。
• 「サポートされるコマンド認可方式」(P.37-9)
• 「ユーザ クレデンシャルの維持について」(P.37-10)
• 「セキュリティ コンテキストとコマンド認可」(P.37-10)
サポートされるコマンド認可方式
次の 2 つのコマンド認可方法のいずれかを使用します。
• ローカル特権レベル:適応型セキュリティ アプライアンスでコマンド特権レベルを設定します。
ローカル、RADIUS、または LDAP(LDAP アトリビュートを RADIUS アトリビュートにマッピ
ングする場合)のユーザが CLI アクセスのための認証を行うと、適応型セキュリティ アプライア
ンスは、ローカル データベース、RADIUS、または LDAP サーバで定義される特権レベルにその
ユーザを割り当てます。ユーザは、そのユーザの特権レベル以下のコマンドにアクセスできます。
すべてのユーザは、初めてログインするときに、ユーザ EXEC モード(レベル 0 または 1 のコマ
ンド)にアクセスします。ユーザは、特権 EXEC モード(レベル 2 以上のコマンド)にアクセス
するために再び enable コマンドで認証するか、login コマンドでログイン(ローカル データベー
スに限る)できます。
(注)
ローカル データベース内にユーザが存在しなくても、また CLI 認証や enable 認証がない場合
でも、ローカル コマンド認可を使用できます。代わりに、enable コマンドを入力するときに
システム イネーブル パスワードを入力すると、適応型セキュリティ アプライアンスによって
レベル 15 に置かれます。次に、すべてのレベルのイネーブル パスワードを作成します。これ
により、enable n(2 ~ 15 )を入力したときに、適応型セキュリティ アプライアンスによって
レベル n に置かれるようになります。これらのレベルは、ローカル コマンド認可をオンにする
(enable
まで使用されません(後述の「ローカル コマンド認可の設定」を参照してください)。
の詳細については、『Cisco ASA 5500 Series Command Reference』を参照してください)。
• TACACS+ サーバの特権レベル:TACACS+ サーバで、ユーザまたはグループが CLI アクセスの
認証後に使用できるコマンドを設定します。CLI でユーザが入力するコマンドはすべて TACACS+
サーバでチェックされます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
37-9
第 37 章
管理アクセスの設定
システム管理者用 AAA の設定
ユーザ クレデンシャルの維持について
ユーザが適応型セキュリティ アプライアンスにログインする場合、ユーザとパスワードを入力して認
証される必要があります。適応型セキュリティ アプライアンスは、同じセッションで後ほど認証が再
び必要になる場合に備えて、これらのセッション クレデンシャルを保持します。
次のコンフィギュレーションが設定されている場合、ユーザはログイン時にローカル サーバだけで認
証されればよいことになります。その後に続く認可では、保存されたクレデンシャルが使用されます。
また、特権レベル 15 のパスワードの入力を求めるプロンプトが表示されます。特権モードを出るとき
に、ユーザは再び認証されます。ユーザのクレデンシャルは特権モードでは保持されません。
• ローカル サーバは、ユーザ アクセスの認証を行うように設定されます。
• 特権レベル 15 のコマンド アクセスは、パスワードを要求するように設定されます。
• ユーザのアカウントは、シリアル認可専用(コンソールまたは ASDM へのアクセスなし)として
設定されます。
• ユーザのアカウントは、特権レベル 15 のコマンド アクセス用に設定されます。
次の表に、適応型セキュリティ アプライアンスでのクレデンシャルの使用方法を示します。
必要なクレデンシャ
ル
ユーザ名とパス
ワードによる認証
シリアル
認可
特権モード コマ
ンド認可
特権
モード終了認可
ユーザ名
あり
なし
なし
あり
パスワード
あり
なし
なし
あり
特権モードのパス
ワード
なし
なし
あり
なし
セキュリティ コンテキストとコマンド認可
マルチ セキュリティ コンテキストでコマンド認可を実装する場合の重要な考慮点を次に示します。
• AAA 設定は、コンテキストごとに分離しており、コンテキスト間で共有されることはありません。
コマンド認可を設定する場合は、各セキュリティ コンテキストを別々に設定する必要があります。
これにより、さまざまなセキュリティ コンテキストで異なるコマンド認可を強化することができ
ます。
セキュリティ コンテキストを切り替える場合、管理者は、ログイン時に指定したユーザ名で許可さ
れるコマンドが新しいコンテキスト セッションでは異なる可能性があることや、新しいコンテキス
トではコマンド認可がまったく設定されていない可能性があることを念頭に置いてください。コマン
ド認可がセキュリティ コンテキストによって異なる場合があることを管理者が理解していないと、
混乱が生じる可能性があります。この動作は、次の仕組みによってさらに複雑になります。
• changeto コマンドによって開始された新しいコンテキスト セッションでは、前のコンテキスト
セッションで使用されていたユーザ名に関係なく、管理者 ID として必ずデフォルトの
「enable_15」というユーザ名が使用されます。これにより、enable_15 ユーザに対してコマンド認
可が設定されていない場合や、enable_15 ユーザの認可が前のコンテキスト セッションでのユーザ
の認可と異なる場合に、混乱が生じる可能性があります。
これは、発行される各コマンドを特定の管理者に正確に関連付けることができる場合に限り有効と
なる、コマンド アカウンティングにも影響します。changeto コマンドの使用が許可されているす
べての管理者は enable_15 ユーザ名を他のコンテキストで使用できるため、enable_15 ユーザ名で
ログインしたユーザをコマンド アカウンティング レコードで簡単に特定できるとは限りません。
コンテキストごとに異なるアカウンティング サーバを使用する場合は、enable_15 ユーザ名を使用
していたユーザを追跡するために数台のサーバのデータを相関させる必要が生じます。
コマンド認可を設定する場合は、次の点を考慮します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
37-10
OL-18970-01-J
第 37 章
管理アクセスの設定
システム管理者用 AAA の設定
– changeto コマンドの使用が許可されている管理者は、実質的に、他のコンテキストそれぞれ
で enable_15 ユーザに許可されているすべてのコマンドを使用する許可を持ちます。
– コンテキストごとに別々にコマンドを認可する場合は、changeto コマンドの使用許可を持つ
管理者に対しても拒否されるコマンドが enable_15 ユーザ名でも拒否されることを、各コンテ
キストで確認してください。
セキュリティ コンテキストを切り替える場合、管理者は特権 EXEC モードを終了し、enable コマ
ンドを再度入力して、必要とするユーザ名を使用できます。
(注)
システム実行スペースでは AAA コマンドがサポートされないため、システム実行スペースではコマン
ド認可を使用できません。
ローカル コマンド認可の設定
ローカル コマンド認可を使用して、コマンドを 16 の特権レベル(0 ~ 15)の 1 つに割り当てることが
できます。デフォルトでは、各コマンドは特権レベル 0 または 15 に割り当てられます。各ユーザを特
定の特権レベルに定義でき、各ユーザは定義された特権レベル以下のコマンドを入力できます。適応型
セキュリティ アプライアンスは、ローカル データベース、RADIUS サーバ、または LDAP サーバ
(LDAP アトリビュートを RADIUS アトリビュートにマッピングする場合。「LDAP アトリビュートの
マッピング」(P.36-15)を参照)で定義されるユーザ特権レベルをサポートします。
この項は、次の内容で構成されています。
• 「ローカル コマンド認可の前提条件」(P.37-11)
• 「デフォルトのコマンド特権レベル」(P.37-12)
• 「コマンドへの特権レベルの割り当てと認可のイネーブル化」(P.37-12)
• 「コマンド特権レベルの表示」(P.37-14)
ローカル コマンド認可の前提条件
コマンド認可コンフィギュレーションの一部として、次のタスクを実行します。
• enable 認証を設定します (「特権 EXEC モードにアクセスするための認証の設定(enable コマン
ド)」(P.37-6)を参照してください)。
enable 認証は、ユーザが enable コマンドにアクセスした後にユーザ名を保持するためには不可欠
です。
あるいは、設定を必要としない login コマンド(これは、認証されている enable コマンドと同じ
でローカル データベースの場合に限る)を使用することもできます。このオプションは enable 認
証ほど安全ではないため、お勧めしません。
CLI 認証を使用することもできますが、必須ではありません。
• 次に示すユーザ タイプごとの前提条件を確認してください。
– ローカル データベース ユーザ:ローカル データベース内の各ユーザの特権レベルを 0 ~ 15 で
設定します。
ローカル データベースを設定するには、「ローカル データベースの設定」(P.36-8)を参照し
てください。
– RADIUS ユーザ:ユーザの Cisco VSA CVPN3000-Privilege-Level を、0 ~ 15 の値で設定し
ます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
37-11
第 37 章
管理アクセスの設定
システム管理者用 AAA の設定
– LDAP ユーザ:ユーザを特権レベル 0 ~ 15 の間で設定し、次に 「LDAP アトリビュートの
マッピング」(P.36-15)の説明に従って、LDAP アトリビュートを Cisco VAS
CVPN3000-Priviledge-Level にマッピングします。
デフォルトのコマンド特権レベル
デフォルトでは、次のコマンドが特権レベル 0 に割り当てられます。その他のコマンドはすべてレベ
ル 15 です。
• show checksum
• show curpriv
• enable
• help
• show history
• login
• logout
• pager
• show pager
• clear pager
• quit
• show version
設定モード コマンドを 15 より低いレベルに移動する場合は、configure コマンドも同じレベルに移動し
てください。このようにしないと、ユーザはコンフィギュレーション モードに入ることができません。
すべての特権レベルを表示する方法は、「コマンド特権レベルの表示」(P.37-14)を参照してください。
コマンドへの特権レベルの割り当てと認可のイネーブル化
コマンドを新しい特権レベルに割り当て、認可をイネーブル化するには、次の手順を実行します。
ステップ 1
特権レベルにコマンドを割り当てるには、次のコマンドを入力します。
hostname(config)# privilege [show | clear | cmd] level level [mode {enable | cmd}] command
command
再割り当てする各コマンドに対してこのコマンドを繰り返します。
このコマンド内のオプションについては、次の情報を参照してください。
• show | clear | cmd:これらのオプション キーワードを使用すると、コマンドの show、clear、また
は configure 形式に対してだけ特権を設定できます。コマンドの configure 形式は、通常、未修正
コマンド(show または clear プレフィックスなしで)または no 形式として、コンフィギュレー
ションの変更を引き起こす形式です。これらのキーワードのいずれかを使用しない場合は、コマン
ドのすべての形式が影響を受けます。
• level level:0 ~ 15 のレベル。
• mode {enable | configure}:ユーザ EXEC/ 特権 EXEC モードおよびコンフィギュレーション モー
ドでコマンドを入力することができ、そのコマンドが各モードで異なるアクションを実行する場合
は、それらのモードの特権レベルを個別に設定することができます。
– enable:ユーザ EXEC モードと特権 EXEC モードの両方を指定します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
37-12
OL-18970-01-J
第 37 章
管理アクセスの設定
システム管理者用 AAA の設定
– configure:configure terminal コマンドを使用してアクセスされるコンフィギュレーション
モードを指定します。
• command command:設定しているコマンド。設定できるのは、main コマンドの特権レベルだけ
です。たとえば、すべての aaa コマンドのレベルを設定できますが、aaa authentication コマンド
と aaa authorization コマンドのレベルを個別に設定できません。
ステップ 2
RADIUS からの管理ユーザ特権レベルをサポートするには、次のコマンドを入力します。
hostname(config)# aaa authorization exec authentication-server
このコマンドを入力しない場合、適応型セキュリティ アプライアンスは、ローカル データベース ユー
ザの特権レベルだけをサポートし、他のタイプのユーザをすべてデフォルトでレベル 15 に割り当てま
す。
このコマンドは、ローカル、RADIUS、LDAP(マッピング済み)、および TACACS+ の各ユーザの管
理認可もイネーブルにします。詳細については、「管理認可によるユーザ CLI および ASDM アクセス
の制限」(P.37-7)を参照してください。
ステップ 3
ローカル コマンドの特権レベルは、ローカル データベース、RADIUS サーバ、または LDAP サーバ
(マッピングされたアトリビュートを持つ)のユーザの特権レベルと比較して検査できます。ローカル
コマンドの特権レベルをイネーブルにするには、次のコマンドを入力します。
hostname(config)# aaa authorization command LOCAL
コマンド特権レベルを設定する場合は、このコマンドでコマンド認可を設定しない限り、コマンド認可
は実行されません。
たとえば、filter コマンドには次の形式があります。
• filter(configure オプションで表されます)
• show running-config filter
• clear configure filter
特権レベルを形式ごとに個別に設定することができます。または、このオプションを省略してすべての
形式に同じ特権レベルを設定することもできます。たとえば、次のように、各形式を個別に設定します。
hostname(config)# privilege show level 5 command filter
hostname(config)# privilege clear level 10 command filter
hostname(config)# privilege cmd level 10 command filter
または、すべての filter コマンドを同じレベルに設定することもできます。
hostname(config)# privilege level 5 command filter
show privilege コマンドは、形式を分けて表示します。
次の例では、mode キーワードの使用方法を示します。enable コマンドはユーザ EXEC モードから入
力する必要がありますが、コンフィギュレーション モードでアクセスできる enable password コマン
ドには最も高い特権レベルが必要です。
hostname(config)# privilege cmd level 0 mode enable command enable
hostname(config)# privilege cmd level 15 mode cmd command enable
hostname(config)# privilege show level 15 mode cmd command enable
次の例では、mode キーワードを使用する追加コマンドである configure コマンドを示します。
hostname(config)#
hostname(config)#
hostname(config)#
hostname(config)#
privilege
privilege
privilege
privilege
show level 5 mode cmd command configure
clear level 15 mode cmd command configure
cmd level 15 mode cmd command configure
cmd level 15 mode enable command configure
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
37-13
第 37 章
管理アクセスの設定
システム管理者用 AAA の設定
(注)
この最後の行は、configure terminal コマンドで使用します。
コマンド特権レベルの表示
次のコマンドを使用すると、コマンドの特権レベルを表示できます。
• すべてのコマンドを表示するには、次のコマンドを入力します。
hostname(config)# show running-config all privilege all
• 特定のレベルのコマンドを表示するには、次のコマンドを入力します。
hostname(config)# show running-config privilege level level
level は 0 ~ 15 の整数です。
• 特定のコマンドのレベルを表示するには、次のコマンドを入力します。
hostname(config)# show running-config privilege command command
たとえば、show running-config all privilege all コマンドの場合、システムは特権レベルに対する各
CLI コマンドの現在の割り当てを表示します。次に、このコマンドの出力例を示します。
hostname(config)# show running-config all privilege all
privilege show level 15 command aaa
privilege clear level 15 command aaa
privilege configure level 15 command aaa
privilege show level 15 command aaa-server
privilege clear level 15 command aaa-server
privilege configure level 15 command aaa-server
privilege show level 15 command access-group
privilege clear level 15 command access-group
privilege configure level 15 command access-group
privilege show level 15 command access-list
privilege clear level 15 command access-list
privilege configure level 15 command access-list
privilege show level 15 command activation-key
privilege configure level 15 command activation-key
....
次のコマンドを使用すると、特権レベル 10 のコマンド割り当てが表示されます。
hostname(config)# show running-config privilege level 10
privilege show level 10 command aaa
次のコマンドを使用すると、access-list コマンドのコマンド割り当てが表示されます。
hostname(config)# show running-config privilege command access-list
privilege show level 15 command access-list
privilege clear level 15 command access-list
privilege configure level 15 command access-list
TACACS+ コマンド認可の設定
TACACS+ コマンド認可をイネーブルにし、ユーザが CLI でコマンドを入力すると、適応型セキュリ
ティ アプライアンスはそのコマンドとユーザ名を TACACS+ サーバに送信し、コマンドが認可されて
いるかどうかを判別します。
TACACS+ サーバでコマンド認可を設定するときは、設定どおりに動作することを確認するまで、コ
マンド認可機能の設定を保存しないでください。誤ってロックアウトされた場合は、通常、適応型セ
キュリティ アプライアンスを再起動することによってアクセスを回復できます。それでもロックアウ
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
37-14
OL-18970-01-J
第 37 章
管理アクセスの設定
システム管理者用 AAA の設定
トされたままの場合は、「ロックアウトからの回復」(P.37-20)を参照してください。
使用している TACACS+ システムが完全に安定していて、高い信頼性があることを確認してください。
通常、必要なレベルの信頼性を得るには、完全冗長の TACACS+ サーバ システムと、適応型セキュリ
ティ アプライアンスに対する完全な冗長接続が確立されていることが必要です。たとえば、
TACACS+ サーバ プールに、インターフェイス 1 に接続されたサーバと、インターフェイス 2 に接続
された別のサーバを組み込みます。また、TACACS+ サーバを使用できない場合は、ローカル コマン
ド認可をフォールバック方式として設定できます。この場合は、「コマンド認可の設定」(P.37-9)に
従ってローカル ユーザとコマンド特権レベルを設定する必要があります。
この項は、次の内容で構成されています。
• 「TACACS+ コマンド認可の前提条件」(P.37-15)
• 「TACACS+ サーバでのコマンドの設定」(P.37-15)
• 「TACACS+ コマンド認可のイネーブル化」(P.37-18)
TACACS+ コマンド認可の前提条件
コマンド認可コンフィギュレーションの一部として、次のタスクを実行します。
• CLI 認証を設定する(「ローカル コマンド認可の設定」(P.37-11)を参照)。
• enable 認証を設定する(「特権 EXEC モードにアクセスするための認証の設定(enable コマン
ド)」(P.37-6)を参照)。
TACACS+ サーバでのコマンドの設定
グループまたは個々のユーザの共有プロファイル コンポーネントとしての Cisco Secure Access
Control Server(ACS)TACACS+ サーバでコマンドを設定できます。サードパーティの TACACS+
サーバの場合は、コマンド認可サポートの詳細については、ご使用のサーバのマニュアルを参照してく
ださい。
Cisco Secure ACS バージョン 3.1 でコマンドを設定する場合は、次のガイドラインを参照してくださ
い。
• 適応型セキュリティ アプライアンスは、「シェル」コマンドとして認可するコマンドを送信し、
TACACS+ サーバでシェル コマンドとしてコマンドを設定します。
(注)
Cisco Secure ACS には、「pix-shell」と呼ばれるコマンド タイプが含まれている場合がありま
す。このタイプは適応型セキュリティ アプライアンス コマンド認可に使用しないでください。
• コマンドの最初のワードは、メイン コマンドと見なされます。その他のワードはすべて引数と見
なされます。これは、permit または deny の後に置く必要があります。
たとえば、show running-configuration aaa-server コマンドを許可するには、show
running-configuration をコマンド ボックスに追加し、permit aaa-server を引数ボックスに入力
します。
• Permit Unmatched Args チェックボックスを選択することによって、明示的に拒否していないコ
マンドのすべての引数を許可することができます。
たとえば、特定の show コマンドを設定するだけで、すべての show コマンドが許可されます。
CLI の使用法を示す ? や省略形など、コマンドの変形をすべて予想する必要がなくなるので、この
方法を使用することをお勧めします(図 37-1 を参照)。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
37-15
第 37 章
管理アクセスの設定
システム管理者用 AAA の設定
図 37-1
関連するすべてのコマンドの許可
• enable や help など、単一ワードのコマンドについては、そのコマンドに引数がない場合でも、一
致しない引数を許可する必要があります(図 37-2 を参照)。
図 37-2
単一ワードのコマンドの許可
• 引数を拒否するには、その引数の前に deny を入力します。
たとえば、enable を許可し、enable password を許可しない場合は、コマンド ボックスに enable
と入力し、引数ボックスに deny password と入力します。enable だけが許可されるように、
Permit Unmatched Args チェックボックスを選択してください(図 37-3 を参照)。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
37-16
OL-18970-01-J
第 37 章
管理アクセスの設定
システム管理者用 AAA の設定
図 37-3
引数の拒否
• コマンドラインでコマンドを省略形で入力した場合、適応型セキュリティ アプライアンスはプレ
フィックスとメイン コマンドを完全なテキストに展開しますが、その他の引数は入力したとおり
に TACACS+ サーバに送信します。
たとえば、sh log と入力すると、適応型セキュリティ アプライアンスは完全なコマンド show
logging を TACACS+ サーバに送信します。一方、sh log mess と入力すると、適応型セキュリ
ティ アプライアンスは展開されたコマンド show logging message ではなく、show logging mess
を TACACS+ サーバに送信します。省略形を予想して同じ引数に複数のスペルを設定できます
(図 37-4 を参照)。
図 37-4
省略形の指定
• すべてのユーザに対して次の基本コマンドを許可することをお勧めします。
– show checksum
– show curpriv
– enable
– help
– show history
– login
– logout
– pager
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
37-17
第 37 章
管理アクセスの設定
システム管理者用 AAA の設定
– show pager
– clear pager
– quit
– show version
TACACS+ コマンド認可のイネーブル化
TACACS+ コマンド認可をイネーブルにする前に、TACACS+ サーバで定義されたユーザとして適応
型セキュリティ アプライアンスにログインしていること、および適応型セキュリティ アプライアンス
の設定を続けるために必要なコマンド認可があることを確認してください。たとえば、すべてのコマン
ドが認可された管理ユーザとしてログインする必要があります。このようにしないと、意図せずロック
アウトされる可能性があります。
TACACS+ サーバを使用したコマンド認可を実行するには、次のコマンドを入力します。
hostname(config)# aaa authorization command tacacs+_server_group [LOCAL]
TACACS+ サーバを使用できない場合は、ローカル データベースをフォールバック方式として使用す
るように適応型セキュリティ アプライアンスを設定できます。フォールバックをイネーブルにするに
は、サーバ グループ名の後ろに LOCAL を指定します(LOCAL は大文字と小文字を区別します)。
適応型セキュリティ アプライアンスは、どちらの方式を使用しているかを示すプロンプトを表示しな
いため、ローカル データベースと TACACS+ サーバで同じユーザ名とパスワードを使用することをお
勧めします。必ずローカル データベースのユーザ(「コマンド認可の設定」(P.37-9)を参照)とコマン
ド特権レベル(「ローカル コマンド認可の設定」(P.37-11)を参照)を設定してください。
コマンド アカウンティングの設定
CLI で show コマンド以外のコマンドを入力するときには、TACACS+ アカウンティング サーバにア
カウンティング メッセージを送信できます。privilege コマンドを使用してコマンド特権レベルをカス
タマイズする場合(「コマンドへの特権レベルの割り当てと認可のイネーブル化」(P.37-12)を参照)
は、最小特権レベルを指定することによって、適応型セキュリティ アプライアンスがアカウンティン
グを行うコマンドを制限できます。適応型セキュリティ アプライアンスは、その最小特権レベル未満
のコマンドにはアカウンティングを行いません。
コマンド アカウンティングをイネーブルにするには、次のコマンドを入力します。
hostname(config)# aaa accounting command [privilege level] server-tag
level は最小特権レベルで、server-tag は、適応型セキュリティ アプライアンスがコマンド アカウン
ティング メッセージを送信する TACACS+ サーバ グループの名前です。TACACS+ サーバ グループの
コンフィギュレーションはあらかじめ存在している必要があります。AAA サーバ グループを設定する
方法の詳細については、「AAA サーバ グループおよびサーバの識別」(P.36-10)を参照してください。
現在のログイン ユーザの表示
現在のログイン ユーザを表示するには、次のコマンドを入力します。
hostname# show curpriv
次の show curpriv コマンドの出力例を参照してください。各フィールドの説明については、下記を参
照してください。
hostname# show curpriv
Username : admin
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
37-18
OL-18970-01-J
第 37 章
管理アクセスの設定
システム管理者用 AAA の設定
Current privilege level : 15
Current Mode/s : P_PRIV
表 37-1 は、show curpriv コマンドの出力について説明しています。
表 37-1
show curpriv の表示の説明
フィールド
説明
Username
ユーザ名。デフォルト ユーザとしてログインすると、名前は enable_1(ユー
ザ EXEC)または enable_15(特権 EXEC)になります。
Current privilege level 0 ~ 15 のレベル。ローカル コマンド認可を設定してコマンドを中間特権レベ
ルに割り当てない限り、使用されるレベルはレベル 0 と 15 だけです。
Current Mode/s
アクセス モードを表示します。
• P_UNPR:ユーザ EXEC モード(レベル 0 と 1)
• P_PRIV:特権 EXEC モード(レベル 2 ~ 15)
• P_CONF:コンフィギュレーション モード
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
37-19
第 37 章
管理アクセスの設定
システム管理者用 AAA の設定
ロックアウトからの回復
状況によっては、コマンド認可や CLI 認証をオンにすると、適応型セキュリティ アプライアンス CLI
からロックアウトされる場合があります。通常は、適応型セキュリティ アプライアンスを再起動する
ことによってアクセスを回復できます。ただし、すでにコンフィギュレーションを保存した場合は、
ロックアウトされたままになる可能性があります。表 37-2 に、一般的なロックアウト条件と回復方法
を示します。
表 37-2
CLI 認証およびコマンド認可のロックアウト シナリオ
機能
ロックアウト条件 説明
ローカル CLI 認証
ローカル データ
ローカル データベー
ログインし、パスワードと
ベース内にユーザ ス内にユーザが存在し aaa コマンドをリセットし
が存在しない。
ない場合は、ログイン ます。
できず、ユーザの追加
もできません。
TACACS+ コマン
サーバがダウンし
ているか到達不能
で、フォールバッ
ク方式を設定して
いない。
ド認可
TACACS+ CLI 認
証
RADIUS CLI 認証
対応策:シングルモード
対応策:マルチモード
スイッチから適応型セキュ
リティ アプライアンスへの
セッションを接続します。
システム実行スペースから、
コンテキストに切り替えて
ユーザを追加することがで
きます。
サーバが到達不能であ 1. ログインし、パスワー
1. 適応型セキュリティ ア
ドと AAA コマンドをリ
プライアンスでネット
る場合は、ログインも
セットします。
ワーク コンフィギュ
コマンドの入力もでき
レーションが正しくな
ません。
2. サーバがダウンしたと
いためサーバが到達不
きにロックアウトされ
能である場合は、ス
ないように、ローカル
イッチから適応型セ
データベースをフォー
キュリティ アプライア
ルバック方式として設
ンスへのセッションを
定します。
接続します。システム
実行スペースから、コ
ンテキストに切り替え
てネットワークを再設
定することができます。
2. サーバがダウンしたと
きにロックアウトされ
ないように、ローカル
データベースをフォー
ルバック方式として設
定します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
37-20
OL-18970-01-J
第 37 章
管理アクセスの設定
ログイン バナーの設定
表 37-2
CLI 認証およびコマンド認可のロックアウト シナリオ (続き)
機能
ロックアウト条件 説明
対応策:シングルモード
対応策:マルチモード
TACACS+ コマン
十分な特権のない
ユーザまたは存在
しないユーザとし
てログインした。
TACACS+ サーバのユーザ
スイッチから適応型セキュ
リティ アプライアンスへの
セッションを接続します。
システム実行スペースから、
コンテキストに切り替えて
コンフィギュレーションの
変更を完了することができ
ます。また、TACACS+ コ
ンフィギュレーションを修
正するまでコマンド認可を
ディセーブルにすることも
できます。
ド認可
ローカル コマンド
認可
コマンド認可がイネー
ブルになりますが、
ユーザはこれ以上コマ
ンドを入力できなくな
ります。
アカウントを修正します。
TACACS+ サーバへのアク
セス権がなく、適応型セ
キュリティ アプライアンス
をすぐに設定する必要があ
る場合は、メンテナンス
パーティションにログイン
して、パスワードと aaa コ
マンドをリセットします。
十分な特権のない コマンド認可がイネー ログインし、パスワードと
ユーザとしてログ ブルになりますが、
aaa コマンドをリセットし
インしている。
ユーザはこれ以上コマ ます。
ンドを入力できなくな
ります。
スイッチから適応型セキュ
リティ アプライアンスへの
セッションを接続します。
システム実行スペースから、
コンテキストに切り替えて
ユーザ レベルを変更するこ
とができます。
ログイン バナーの設定
ユーザが適応型セキュリティ アプライアンスに接続し、ユーザがログインする前または特権 EXEC
モードに入る前に表示されるメッセージを設定できます。
ログイン バナーを設定するには、システム実行スペースまたはコンテキスト内で次のコマンドを入力
します。
hostname(config)# banner {exec | login | motd} text
ユーザが最初に接続したとき(「今日のお知らせ」(motd))、ユーザがログインしたとき(login)、
ユーザが特権 EXEC モードにアクセスしたとき(exec)のいずれかに表示するバナーを追加します。
ユーザが適応型セキュリティ アプライアンスに接続すると、まず「今日のお知らせ」バナーが表示さ
れ、その後にログイン バナーとプロンプトが表示されます。ユーザが適応型セキュリティ アプライア
ンスに正常にログインすると、exec バナーが表示されます。
バナー テキストには、スペースは許可されますが、タブは CLI を使用して入力できません。適応型セ
キュリティ アプライアンスのホスト名またはドメイン名は、$(hostname) 文字列と $(domain) 文字列
を組み込むことによって動的に追加できます。システム コンフィギュレーションでバナーを設定する
場合は、コンテキスト コンフィギュレーションで $(system) 文字列を使用することによって、コンテ
キスト内でそのバナー テキストを使用できます。
複数の行を追加する場合は、各行の前に banner コマンドを置きます。
たとえば、「今日のお知らせ」バナーを追加するには、次のように入力します。
hostname(config)# banner motd Welcome to $(hostname).
hostname(config)# banner motd Contact me at [email protected] for any
hostname(config)# banner motd issues.
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
OL-18970-01-J
37-21
第 37 章
管理アクセスの設定
ログイン バナーの設定
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
37-22
OL-18970-01-J
© Copyright 2026 Paperzz