コモン クライテリアに準拠したパスワードの強度と管理

コモン クライテリアに準拠したパスワードの強度と管理機能は、ユーザ パスワードを指定するルールの保存、検索、提供のためのパスワード ポリシーおよびセキュリティ メカニズムを指定するために使用されます。

ローカル ユーザについては、ユーザのプロファイルとパスワード情報が重要なパラメータとともにシスコ デバイスに保存され、このプロファイルを使用して、ユーザのローカル認証が行われます。このユーザになり得るのは、管理者(ターミナル アクセス)またはネットワーク ユーザ(たとえば、ネットワーク アクセスのために認証された PPP ユーザ)です。

リモート ユーザについては、ユーザ プロファイル情報がリモート サーバに保存されている場合、管理アクセスとネットワーク アクセスの双方にサードパーティの認証、許可、およびアカウンティング(AAA)サーバを使って AAA サービスが提供される可能性があります。

コモン クライテリアに準拠したパスワードの強度と管理の制約事項

  • vty を使用して同時にシステムにログインできるユーザは 4 人までです。

コモン クライテリアに準拠したパスワードの強度と管理に関する情報

パスワード構成ポリシー

パスワード構成ポリシーでは、パスワードを作成するために、英字の大文字小文字、数字、特殊文字(「!」、「@」、「#」、「$」、「%」、「^」、「&」、「*」、「(」、「)」など)を自由に組み合わせて使用できます。

パスワード長ポリシー

パスワードの最小長と最大長は、管理者により柔軟に設定することが可能です。推奨されるパスワードの最小長は 8 文字です。管理者は、パスワードの最小長(1)も最大長(64)も指定できます。

パスワード ライフタイム ポリシー

セキュリティ管理者は、パスワードのライフタイムを最大限にするための設定可能オプションを提供できます。ライフタイム パラメータが設定されていない場合、設定済みのパスワードは無限に有効です。最大ライフタイムは、設定可能な値を年、月、日、時間、分、および秒単位で入力することにより設定できます。ライフタイム設定は設定の一部であるためリロード後も有効ですが、パスワード作成時刻はシステムがリブートするたびに新しい時刻に更新されます。たとえば、パスワードに 1 ヵ月のライフタイムが設定されており、29 日目にシステムがリブートした場合、そのパスワードはシステム リブート後 1 ヵ月間有効になります。

月数を使用してライフタイムを設定すると、ポリシーは、指定された月の日数に関係なくライフタイムを 30 日に設定します。

パスワード有効期限ポリシー

ユーザがログインを試みたときにこのユーザのパスワード クレデンシャルが期限切れになっていた場合、次の処理が行われます。

  1. ユーザは、期限切れのパスワードの入力に成功した後、新しいパスワードを設定するよう求められます。

  2. ユーザが新しいパスワードを入力すると、パスワード セキュリティ ポリシーに照らしてそのパスワードが検証されます。

  3. 新しいパスワードがパスワード セキュリティ ポリシーに適合していれば、AAA データベースが更新され、ユーザーは新しいパスワードで認証されます。

  4. 新しいパスワードがパスワード セキュリティ ポリシーに適合していない場合、ユーザは再度パスワードの入力を求められます。再試行数は、AAA では制限されていません。認証失敗の場合のパスワード プロンプトの再試行数は、それぞれのターミナル アクセス インタラクティブ モジュールによって制御されます。たとえば Telnet では、3 回失敗するとセッションが終了します。

パスワードのライフタイムを設定されていないユーザがすでにログインしているときに、セキュリティ管理者がそのユーザのライフタイムを設定すると、ライフタイムがデータベースに設定されます。同じユーザが次回に認証されるときに、システムがパスワードの期限を確認します。パスワード期限がチェックされるのは認証フェーズの間のみです。

すでに認証済みかつシステムにログイン中のユーザのパスワードが期限切れになっても、何のアクションも起こりません。同じユーザが次に認証されるときに初めて、ユーザにパスワード変更が求められます。

パスワード変更ポリシー

新しいパスワードは、前のパスワードから 4 文字以上変更されている必要があります。パスワード変更のきっかけとなるシナリオとしては、次のようなものが考えられます。

  • セキュリティ管理者がパスワードの変更を求める場合。

  • ユーザがプロファイル使用による認証を試みたが、そのプロファイルのパスワードが期限切れになっている場合。

セキュリティ管理者がパスワード セキュリティ ポリシーを変更し、既存のプロファイルがそのパスワード セキュリティ ポリシー ルールに適合しなくなっても、ユーザがすでにシステムにログインしている場合には、何のアクションも起こりません。ユーザは、パスワード セキュリティ制限に適合しないプロファイルを使用して認証を試みたときに初めて、パスワードを変更するよう求められます。

ユーザがパスワードを変更すると、セキュリティ管理者によって古いプロファイルに設定されているライフタイム パラメータが、新しいパスワードのライフタイム パラメータとして引き継がれます。

dot1x などの非インタラクティブ クライアントでは、パスワードの期限が切れると、適切なエラー メッセージがクライアントに送られます。クライアントは、セキュリティ管理者に連絡してパスワードを更新する必要があります。

ユーザ再認証ポリシー

ユーザがパスワードを変更すると、ユーザの再認証が行われます。

期限満了時にパスワードを変更すると、新しいパスワードに対してユーザ認証が行われます。このような場合、実際には、以前のクレデンシャルに基づいて認証が行われ、データベースで新しいパスワードが更新されます。


Note


ユーザがパスワードを変更できるのは、ログイン中かつ古いパスワードの期限が切れた後のみです。ただし、セキュリティ管理者はこのユーザのパスワードをいつでも変更できます。


フレームド(非インタラクティブ)セッションのサポート

dot1x などのクライアントがローカル データベースを使用して認証を行うときには、コモン クライテリアに準拠したパスワードの強度と管理機能が適用されます。ただし、パスワードの期限が切れると、クライアントによるパスワード変更はできなくなります。そのようなクライアントには適切なエラー メッセージが送られます。そのユーザは、セキュリティ管理者にパスワードの変更を要求する必要があります。

コモン クライテリアに準拠したパスワードの強度と管理の設定方法

パスワード セキュリティ ポリシーの設定

パスワード セキュリティ ポリシーを作成し、そのポリシーを特定のユーザー プロファイルに適用するには、次の作業を実行します。

SUMMARY STEPS

  1. enable
  2. configure terminal
  3. aaa new-model
  4. aaa common-criteria policy policy-name
  5. char-changes number
  6. max-length number
  7. min-length number
  8. numeric-count number
  9. special-case number
  10. exit
  11. username username common-criteria-policy policy-name password password
  12. end

DETAILED STEPS

  Command or Action Purpose

Step 1

enable

Example:

Device> enable
          

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

configure terminal

Example:

Device# configure terminal
          

グローバル コンフィギュレーション モードを開始します。

Step 3

aaa new-model

Example:

Device(config)# aaa new-model
          

AAA をグローバルに有効にします。

Step 4

aaa common-criteria policy policy-name

Example:

Device(config)# aaa common-criteria policy policy1
          

AAA セキュリティ パスワード ポリシーを作成し、コモン クライテリア設定ポリシー モードを開始します。

Step 5

char-changes number

Example:

Device(config-cc-policy)# char-changes 4
          

(任意)古いパスワードから新規のパスワードへの変更文字数を指定します。

Step 6

max-length number

Example:

Device(config-cc-policy)# max-length 25
          

(任意)パスワードの最大長を指定します。

Step 7

min-length number

Example:

Device(config-cc-policy)# min-length 8
          

(任意)パスワードの最小長を指定します。

Step 8

numeric-count number

Example:

Device(config-cc-policy)# numeric-count 4
          

(任意)パスワード内の数字の数を指定します。

Step 9

special-case number

Example:

Device(config-cc-policy)# special-case 3
          

(任意)パスワード内の特殊文字の数を指定します。

Step 10

exit

Example:

Device(config-cc-policy)# exit
          

(任意)コモン クライテリア設定ポリシー モードを終了し、グローバル コンフィギュレーション モードに戻ります。

Step 11

username username common-criteria-policy policy-name password password

Example:

Device(config)# username user1 common-criteria-policy policy1 password password1
          

(任意)ユーザ プロファイルに特定のポリシーとパスワードを適用します。

Step 12

end

Example:

Device(config)# end
          

特権 EXEC モードに戻ります。

コモン クライテリア ポリシーの確認

すべてのコモン クライテリア セキュリティ ポリシーを確認するには、次の作業を実行します。

SUMMARY STEPS

  1. enable
  2. show aaa common-criteria policy name policy-name
  3. show aaa common-criteria policy all

DETAILED STEPS


Step 1

enable

特権 EXEC モードをイネーブルにします。

Example:

Device> enable
          

Step 2

show aaa common-criteria policy name policy-name

特定のポリシーのパスワード セキュリティ ポリシー情報を表示します。

Example:

Device# show aaa common-criteria policy name policy1

Policy name: policy1
Minimum length: 1
Maximum length: 64
Upper Count: 20
Lower Count: 20
Numeric Count: 5
Special Count: 2
Number of character changes 4
Valid forever. User tied to this policy will not expire.

Step 3

show aaa common-criteria policy all

設定されたすべてのポリシーのパスワード セキュリティ ポリシー情報を表示します。

Example:

Device# show aaa common-criteria policy all
====================================================================
Policy name: policy1
Minimum length: 1
Maximum length: 64
Upper Count: 20
Lower Count: 20
Numeric Count: 5
Special Count: 2
Number of character changes 4
Valid forever. User tied to this policy will not expire.
====================================================================
Policy name: policy2
Minimum length: 1
Maximum length: 34
Upper Count: 10
Lower Count: 5
Numeric Count: 4
Special Count: 2
Number of character changes 2
Valid forever. User tied to this policy will not expire.
=====================================================================

トラブルシューティングのヒント

debug aaa common-criteria コマンドを使用して、AAA コモンクライテリアをトラブルシューティングします。

コモンクライテリアに準拠したパスワードの強度と管理の機能の設定例

例:コモン クライテリアに準拠したパスワードの強度と管理

次の例は、コモン クライテリア セキュリティ ポリシーを作成し、特定のポリシーをユーザ プロファイルに適用する方法を示しています。

Device> enable
Device# configure terminal
Device(config)# aaa new-model
Device(config)# aaa common-criteria policy policy1
Device(config-cc-policy)# char-changes 4
Device(config-cc-policy)# max-length 20
Device(config-cc-policy)# min-length 6
Device(config-cc-policy)# numeric-count 2
Device(config-cc-policy)# special-case 2
Device(config-cc-policy)# exit
Device(config)# username user1 common-criteria-policy policy1 password password1
Device(config)# end
      

その他の参考資料

次の項で、RADIUS パケット オブ ディスコネクト機能に関する参考資料を紹介します。

関連資料

関連項目

マニュアル タイトル

AAA

Cisco IOS XE Security Configuration Guide, Securing User Services, Release 2』の「Authentication, Authorization, and Accounting (AAA)」

セキュリティ コマンド

『Cisco IOS Security Command Reference』

CLI 設定

『Cisco IOS XE Configuration Fundamentals Configuration Guide, Release 2』

標準

標準

タイトル

この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。

--

MIB

MIB

MIB のリンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。またこの機能による既存 MIB のサポートに変更はありません。

選択したプラットフォーム、Cisco IOS XE ソフトウェア リリース、およびフィーチャ セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC

タイトル

RFC 2865

『Remote Authentication Dial-in User Service』

RFC 3576

『Dynamic Authorization Extensions to RADIUS』

シスコのテクニカル サポート

説明

リンク

シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。

お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。

シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。

http://www.cisco.com/en/US/support/index.html

コモン クライテリアに準拠したパスワードの強度と管理の機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。

プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
Table 1. コモン クライテリアに準拠したパスワードの強度と管理の機能情報

機能名

リリース

機能情報

コモン クライテリアに準拠したパスワードの強度と管理

コモン クライテリアに準拠したパスワードの強度と管理機能は、ユーザー パスワードを指定するルールの保存、検索、提供のためのパスワード ポリシーおよびセキュリティ メカニズムを指定するために使用されます。

次のコマンドが導入または変更されました。aaa common-criteria policy debug aaa common-criteria 、および show aaa common-criteria policy