コモン クライテリアに準拠したパスワードの強度と管理の制約事項
-
vty を使用して同時にシステムにログインできるユーザは 4 人までです。
この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
コモン クライテリアに準拠したパスワードの強度と管理機能は、ユーザ パスワードを指定するルールの保存、検索、提供のためのパスワード ポリシーおよびセキュリティ メカニズムを指定するために使用されます。
ローカル ユーザについては、ユーザのプロファイルとパスワード情報が重要なパラメータとともにシスコ デバイスに保存され、このプロファイルを使用して、ユーザのローカル認証が行われます。このユーザになり得るのは、管理者(ターミナル アクセス)またはネットワーク ユーザ(たとえば、ネットワーク アクセスのために認証された PPP ユーザ)です。
リモート ユーザについては、ユーザ プロファイル情報がリモート サーバに保存されている場合、管理アクセスとネットワーク アクセスの双方にサードパーティの認証、許可、およびアカウンティング(AAA)サーバを使って AAA サービスが提供される可能性があります。
vty を使用して同時にシステムにログインできるユーザは 4 人までです。
パスワード構成ポリシーでは、パスワードを作成するために、英字の大文字小文字、数字、特殊文字(「!」、「@」、「#」、「$」、「%」、「^」、「&」、「*」、「(」、「)」など)を自由に組み合わせて使用できます。
パスワードの最小長と最大長は、管理者により柔軟に設定することが可能です。推奨されるパスワードの最小長は 8 文字です。管理者は、パスワードの最小長(1)も最大長(64)も指定できます。
セキュリティ管理者は、パスワードのライフタイムを最大限にするための設定可能オプションを提供できます。ライフタイム パラメータが設定されていない場合、設定済みのパスワードは無限に有効です。最大ライフタイムは、設定可能な値を年、月、日、時間、分、および秒単位で入力することにより設定できます。ライフタイム設定は設定の一部であるためリロード後も有効ですが、パスワード作成時刻はシステムがリブートするたびに新しい時刻に更新されます。たとえば、パスワードに 1 ヵ月のライフタイムが設定されており、29 日目にシステムがリブートした場合、そのパスワードはシステム リブート後 1 ヵ月間有効になります。
月数を使用してライフタイムを設定すると、ポリシーは、指定された月の日数に関係なくライフタイムを 30 日に設定します。
ユーザがログインを試みたときにこのユーザのパスワード クレデンシャルが期限切れになっていた場合、次の処理が行われます。
ユーザは、期限切れのパスワードの入力に成功した後、新しいパスワードを設定するよう求められます。
ユーザが新しいパスワードを入力すると、パスワード セキュリティ ポリシーに照らしてそのパスワードが検証されます。
新しいパスワードがパスワード セキュリティ ポリシーに適合していれば、AAA データベースが更新され、ユーザーは新しいパスワードで認証されます。
新しいパスワードがパスワード セキュリティ ポリシーに適合していない場合、ユーザは再度パスワードの入力を求められます。再試行数は、AAA では制限されていません。認証失敗の場合のパスワード プロンプトの再試行数は、それぞれのターミナル アクセス インタラクティブ モジュールによって制御されます。たとえば Telnet では、3 回失敗するとセッションが終了します。
パスワードのライフタイムを設定されていないユーザがすでにログインしているときに、セキュリティ管理者がそのユーザのライフタイムを設定すると、ライフタイムがデータベースに設定されます。同じユーザが次回に認証されるときに、システムがパスワードの期限を確認します。パスワード期限がチェックされるのは認証フェーズの間のみです。
すでに認証済みかつシステムにログイン中のユーザのパスワードが期限切れになっても、何のアクションも起こりません。同じユーザが次に認証されるときに初めて、ユーザにパスワード変更が求められます。
新しいパスワードは、前のパスワードから 4 文字以上変更されている必要があります。パスワード変更のきっかけとなるシナリオとしては、次のようなものが考えられます。
セキュリティ管理者がパスワードの変更を求める場合。
ユーザがプロファイル使用による認証を試みたが、そのプロファイルのパスワードが期限切れになっている場合。
セキュリティ管理者がパスワード セキュリティ ポリシーを変更し、既存のプロファイルがそのパスワード セキュリティ ポリシー ルールに適合しなくなっても、ユーザがすでにシステムにログインしている場合には、何のアクションも起こりません。ユーザは、パスワード セキュリティ制限に適合しないプロファイルを使用して認証を試みたときに初めて、パスワードを変更するよう求められます。
ユーザがパスワードを変更すると、セキュリティ管理者によって古いプロファイルに設定されているライフタイム パラメータが、新しいパスワードのライフタイム パラメータとして引き継がれます。
dot1x などの非インタラクティブ クライアントでは、パスワードの期限が切れると、適切なエラー メッセージがクライアントに送られます。クライアントは、セキュリティ管理者に連絡してパスワードを更新する必要があります。
ユーザがパスワードを変更すると、ユーザの再認証が行われます。
期限満了時にパスワードを変更すると、新しいパスワードに対してユーザ認証が行われます。このような場合、実際には、以前のクレデンシャルに基づいて認証が行われ、データベースで新しいパスワードが更新されます。
Note |
ユーザがパスワードを変更できるのは、ログイン中かつ古いパスワードの期限が切れた後のみです。ただし、セキュリティ管理者はこのユーザのパスワードをいつでも変更できます。 |
dot1x などのクライアントがローカル データベースを使用して認証を行うときには、コモン クライテリアに準拠したパスワードの強度と管理機能が適用されます。ただし、パスワードの期限が切れると、クライアントによるパスワード変更はできなくなります。そのようなクライアントには適切なエラー メッセージが送られます。そのユーザは、セキュリティ管理者にパスワードの変更を要求する必要があります。
パスワード セキュリティ ポリシーを作成し、そのポリシーを特定のユーザー プロファイルに適用するには、次の作業を実行します。
Command or Action | Purpose | |
---|---|---|
Step 1 |
enable Example:
|
特権 EXEC モードを有効にします。
|
Step 2 |
configure terminal Example:
|
グローバル コンフィギュレーション モードを開始します。 |
Step 3 |
aaa new-model Example:
|
AAA をグローバルに有効にします。 |
Step 4 |
aaa common-criteria policy policy-name Example:
|
AAA セキュリティ パスワード ポリシーを作成し、コモン クライテリア設定ポリシー モードを開始します。 |
Step 5 |
char-changes number Example:
|
(任意)古いパスワードから新規のパスワードへの変更文字数を指定します。 |
Step 6 |
max-length number Example:
|
(任意)パスワードの最大長を指定します。 |
Step 7 |
min-length number Example:
|
(任意)パスワードの最小長を指定します。 |
Step 8 |
numeric-count number Example:
|
(任意)パスワード内の数字の数を指定します。 |
Step 9 |
special-case number Example:
|
(任意)パスワード内の特殊文字の数を指定します。 |
Step 10 |
exit Example:
|
(任意)コモン クライテリア設定ポリシー モードを終了し、グローバル コンフィギュレーション モードに戻ります。 |
Step 11 |
username username common-criteria-policy policy-name password password Example:
|
(任意)ユーザ プロファイルに特定のポリシーとパスワードを適用します。 |
Step 12 |
end Example:
|
特権 EXEC モードに戻ります。 |
すべてのコモン クライテリア セキュリティ ポリシーを確認するには、次の作業を実行します。
Step 1 |
enable 特権 EXEC モードをイネーブルにします。 Example:
|
Step 2 |
show aaa common-criteria policy name policy-name 特定のポリシーのパスワード セキュリティ ポリシー情報を表示します。 Example:
|
Step 3 |
show aaa common-criteria policy all 設定されたすべてのポリシーのパスワード セキュリティ ポリシー情報を表示します。 Example:
|
debug aaa common-criteria コマンドを使用して、AAA コモンクライテリアをトラブルシューティングします。
次の例は、コモン クライテリア セキュリティ ポリシーを作成し、特定のポリシーをユーザ プロファイルに適用する方法を示しています。
Device> enable
Device# configure terminal
Device(config)# aaa new-model
Device(config)# aaa common-criteria policy policy1
Device(config-cc-policy)# char-changes 4
Device(config-cc-policy)# max-length 20
Device(config-cc-policy)# min-length 6
Device(config-cc-policy)# numeric-count 2
Device(config-cc-policy)# special-case 2
Device(config-cc-policy)# exit
Device(config)# username user1 common-criteria-policy policy1 password password1
Device(config)# end
次の項で、RADIUS パケット オブ ディスコネクト機能に関する参考資料を紹介します。
関連項目 |
マニュアル タイトル |
---|---|
AAA |
『Cisco IOS XE Security Configuration Guide, Securing User Services, Release 2』の「Authentication, Authorization, and Accounting (AAA)」 |
セキュリティ コマンド |
『Cisco IOS Security Command Reference』 |
CLI 設定 |
『Cisco IOS XE Configuration Fundamentals Configuration Guide, Release 2』 |
標準 |
タイトル |
---|---|
この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。 |
-- |
MIB |
MIB のリンク |
---|---|
この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。 |
選択したプラットフォーム、Cisco IOS XE ソフトウェア リリース、およびフィーチャ セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。 |
RFC |
タイトル |
---|---|
RFC 2865 |
『Remote Authentication Dial-in User Service』 |
RFC 3576 |
『Dynamic Authorization Extensions to RADIUS』 |
説明 |
リンク |
---|---|
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
機能名 |
リリース |
機能情報 |
---|---|---|
コモン クライテリアに準拠したパスワードの強度と管理 |
コモン クライテリアに準拠したパスワードの強度と管理機能は、ユーザー パスワードを指定するルールの保存、検索、提供のためのパスワード ポリシーおよびセキュリティ メカニズムを指定するために使用されます。 次のコマンドが導入または変更されました。aaa common-criteria policy 、debug aaa common-criteria 、および show aaa common-criteria policy。 |