この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
ユーザ アカウントは、システムにアクセスするために使用されます。最大 48 個のローカル ユーザ アカウントを設定できます。各ユーザ アカウントには、一意のユーザ名とパスワードが必要です。
管理者アカウントはデフォルト ユーザ アカウントで、変更や削除はできません。このアカウントは、システム管理者またはスーパーユーザ アカウントであり、すべての権限が与えられています。admin アカウントには、デフォルトのパスワードは割り当てられません。初期システム セットアップ時にパスワードを選択する必要があります。
管理者アカウントは常にアクティブになっており、有効期限がありません。管理者アカウントを非アクティブに設定できません。
ローカル認証されたユーザ アカウントは、シャーシを通じて直接認証され、管理者権限または AAA 権限があれば誰でも有効化または無効化できます。ローカル ユーザ アカウントを無効にすると、ユーザはログインできません。データベースは無効化されたローカル ユーザ アカウントの設定の詳細を削除しません。無効化されたローカル ユーザ アカウントを再び有効にすると、そのアカウントは、ユーザ名とパスワードを含め、既存の設定で再びアクティブになります。
リモート認証されたユーザ アカウントとは、LDAP、RADIUS、または TACACS+ を通じて認証されたユーザ アカウントのことです。
ユーザがローカル ユーザ アカウントとリモート ユーザ アカウントを同時に保持している場合は、ローカル ユーザ アカウントで定義されたロールによってリモート ユーザ アカウントのロールが上書きされます。
ユーザ アカウントは、事前に定義した時間に有効期限が切れるように設定できます。有効期限に達すると、ユーザ アカウントは無効になります。
デフォルトでは、ユーザ アカウントの有効期限はありません。
ユーザ アカウントに有効期限を設定した後、有効期限なしに再設定することはできません。ただし、アカウントの有効期限を使用可能な最も遅い日付に設定することは可能です。
ユーザ名は、Firepower Chassis Manager および FXOS CLI のログイン ID としても使用されます。ユーザ アカウントにログイン ID を割り当てるときは、次のガイドラインおよび制約事項を考慮してください。
ローカル認証されたユーザ アカウントそれぞれにパスワードが必要です。admin または AAA 権限を持つユーザについては、ユーザ パスワードのパスワード強度チェックを実行するようにシステムを設定できます。パスワードの強度チェックが有効になっている場合は、各ユーザが強力なパスワードを使用する必要があります。
各ユーザに強力なパスワードを設定することを推奨します。ローカル認証されたユーザのパスワード強度チェックを有効にすると、Firepower eXtensible Operating System は次の要件を満たしていないパスワードを拒否します。
システムには、次のデフォルトのユーザ ロールが用意されています。
システム全体に対する完全な読み取りと書き込みのアクセス権。デフォルトの admin アカウントは、デフォルトでこのロールが割り当てられ、変更はできません。
システム設定に対する読み取り専用アクセス権。システム状態を変更する権限はありません。
パスワードのプロファイルには、ローカル認証されたユーザすべてのパスワード履歴やパスワード変更間隔プロパティが含まれます。ローカル認証されたユーザのそれぞれに異なるパスワードのプロファイルを指定することはできません。
パスワード履歴カウントによって、ローカル認証されたユーザが何度も同じパスワードを再利用しないようにすることができます。このプロパティが設定されている場合、Firepower のシャーシは、ローカル認証されたユーザがこれまでに使用した最大 15 個のパスワードを保存します。パスワードは最近のものから時系列に逆順で格納され、履歴カウントがしきい値に達すると、最も古いパスワードだけが再利用可能になります。
あるパスワードが再利用可能になるまでに、ユーザはパスワード履歴カウントで設定された数だけパスワードを作成して使用する必要があります。たとえば、パスワード履歴カウントを 8 に設定した場合、ローカル認証されたユーザは最初のパスワードを 9 番目のパスワードが期限切れになった後まで、最初のパスワードを再利用できません。
デフォルトでは、パスワード履歴は 0 に設定されます。この値によって履歴カウントが無効化されるため、ユーザはいつでも以前のパスワードを使用できます。
必要に応じて、ローカル認証されたユーザのパスワード履歴カウントをクリアし、以前のパスワードの再利用を有効にできます。
パスワード変更間隔によって、ローカル認証されたユーザが特定の時間内に実施できるパスワード変更の回数を制限することができます。次の表で、パスワード変更間隔の 2 つの設定オプションについて説明します。
間隔の設定 | 説明 | 例 |
---|---|---|
パスワード変更禁止(No password change allowed) |
このオプションを設定すると、ローカル認証されたユーザは、パスワードを変更してから指定された時間内はパスワードを変更できなくなります。 1 ~ 745 時間の変更禁止間隔を指定できます。デフォルトでは、変更禁止間隔は 24 時間です。 |
たとえば、ローカル認証されたユーザが 48 時間以内にパスワードを変更できないようにするには、次のように設定します。 |
変更間隔内のパスワード変更を許可(Password changes allowed within change interval) |
このオプションでは、事前に定義した時間内にローカル認証ユーザがパスワードを変更できる最大回数を指定します。 変更間隔を 1 ~ 745 時間、パスワード変更の最大回数を 0 ~ 10 に指定できます。デフォルトでは、ローカル認証されたユーザは、48 時間以内に最大 2 回パスワードを変更できます。 |
たとえば、ローカル認証されたユーザがパスワードを変更した後 24 時間以内に最大 1 回そのパスワードを変更できるようにするには、次のように設定します。 |
次の例では、デフォルトの認証を RADIUS に設定し、デフォルトの認証プロバイダー グループを provider1 に設定し、二要素認証を有効にし、更新間隔を 7200 秒(2 時間)に設定し、セッションのタイムアウト時間を 28800 秒(8 時間)に設定し、二要素認証を有効にします。その後で、トランザクションを確定します。
Firepower-chassis# scope security Firepower-chassis /security # scope default-auth Firepower-chassis /security/default-auth # set realm radius Firepower-chassis /security/default-auth* # set auth-server-group provider1 Firepower-chassis /security/default-auth* # set use-2-factor yes Firepower-chassis /security/default-auth* # set refresh-period 7200 Firepower-chassis /security/default-auth* # set session-timeout 28800 Firepower-chassis /security/default-auth* # commit-buffer Firepower-chassis /security/default-auth #
デフォルトでは、LDAP、RADIUS、または TACACS プロトコルを使用してリモート サーバから Firepower Chassis Manager または FXOS CLI にログインしているすべてのユーザに読み取り専用アクセス権が付与されます。セキュリティ上の理由から、確立されたユーザ ロールに一致するユーザへのアクセスを制限するのが望ましい場合があります。
ユーザがログインしようとしたときにリモート認証プロバイダーが認証情報付きのユーザ ロールを提供しなかった場合、そのユーザは読み取り専用ユーザ ロールでのログインが許可されます。
これはデフォルトの動作です。
ユーザがログインしようとしたときにリモート認証プロバイダーが認証情報付きのユーザ ロールを提供しなかった場合は、アクセスが拒否されます。
ステップ 1 |
セキュリティ モードに入ります。 Firepower-chassis # scopesecurity |
ステップ 2 |
ユーザ ロールに基づいて Firepower Chassis Manager および FXOS CLI へのユーザ アクセスを制限するかどうかを指定します。 Firepower-chassis /security # set remote-user default-role {assign-default-role | no-login} |
ステップ 3 |
トランザクションをシステムの設定に対して確定します。 Firepower-chassis /security # commit-buffer |
Firepower-chassis# scope security Firepower-chassis /security # set remote-user default-role no-login Firepower-chassis /security* # commit-buffer Firepower-chassis /security #
パスワードの強度チェックが有効になっている場合、Firepower eXtensible Operating System では、強力なパスワードのガイドラインを満たしていないパスワードを選択できません(パスワードに関するガイドライン を参照)。
ステップ 1 |
セキュリティ モードに入ります。 Firepower-chassis # scopesecurity |
ステップ 2 |
パスワードの強度チェックを有効にするか、または無効にするかを指定します。 Firepower-chassis /security # set enforce-strong-password {yes | no} |
次に、パスワード強度チェックを有効にする例を示します。
Firepower-chassis# scope security Firepower-chassis /security # set enforce-strong-password yes Firepower-chassis /security* # commit-buffer Firepower-chassis /security #
ステップ 1 |
セキュリティ モードに入ります。 Firepower-chassis # scopesecurity |
ステップ 2 |
パスワード プロファイル セキュリティ モードに入ります。 Firepower-chassis /security # scope password-profile |
ステップ 3 |
ローカル認証されたユーザが指定された時間内に実行できるパスワード変更の回数を制限します。 Firepower-chassis /security/password-profile # set change-during-interval enable |
ステップ 4 |
ローカル認証されたユーザが変更間隔の間に自分のパスワードを変更できる最大回数を指定します。 Firepower-chassis /security/password-profile # set change-count pass-change-num この値は、0 ~ 10 の範囲で自由に設定できます。 |
ステップ 5 |
[変更カウント(Change Count)] フィールドで指定したパスワード変更回数が適用される最大時間数を指定します。 Firepower-chassis /security/password-profile # set change-interval num-of-hours この値は、1 ~ 745 時間の範囲で自由に設定できます。 たとえば、このフィールドが 48 に設定され、[変更カウント(Change Count)] フィールドが 2 に設定されている場合、ローカル認証されたユーザは 48 時間以内に 2 回を超えるパスワード変更を実行することはできません。 |
ステップ 6 |
トランザクションをシステムの設定に対して確定します。 Firepower-chassis /security/password-profile # commit-buffer |
次の例は、[間隔中の変更(Change During Interval)] オプションを有効にし、変更回数を 5 回、変更間隔を 72 時間に設定し、トランザクションを確定する例を示します。
Firepower-chassis # scope security Firepower-chassis /security # scope password-profile Firepower-chassis /security/password-profile # set change-during-interval enable Firepower-chassis /security/password-profile* # set change-count 5 Firepower-chassis /security/password-profile* # set change-interval 72 Firepower-chassis /security/password-profile* # commit-buffer Firepower-chassis /security/password-profile #
ステップ 1 |
セキュリティ モードに入ります。 Firepower-chassis # scopesecurity |
ステップ 2 |
パスワード プロファイル セキュリティ モードに入ります。 Firepower-chassis /security # scope password-profile |
ステップ 3 |
間隔中の変更機能を無効にします。 Firepower-chassis /security/password-profile # set change-during-interval disable |
ステップ 4 |
ローカル認証されたユーザが、新しく作成されたパスワードを変更する前に待機する最小時間数を指定します。 Firepower-chassis /security/password-profile # set no-change-interval min-num-hours この値は、1 ~ 745 時間の範囲で自由に設定できます。 この間隔は、[間隔中の変更(Change During Interval)] プロパティが [無効(Disable)] に設定されていない場合は無視されます。 |
ステップ 5 |
トランザクションをシステムの設定に対して確定します。 Firepower-chassis /security/password-profile # commit-buffer |
次に、間隔中の変更オプションを無効にし、変更禁止間隔を 72 時間に設定し、トランザクションを確定する例を示します。
Firepower-chassis # scope security Firepower-chassis /security # scope password-profile Firepower-chassis /security/password-profile # set change-during-interval disable Firepower-chassis /security/password-profile* # set no-change-interval 72 Firepower-chassis /security/password-profile* # commit-buffer Firepower-chassis /security/password-profile #
ステップ 1 |
セキュリティ モードに入ります。 Firepower-chassis # scopesecurity |
ステップ 2 |
パスワード プロファイル セキュリティ モードに入ります。 Firepower-chassis /security # scope password-profile |
ステップ 3 |
ローカル認証されたユーザが、以前に使用していたパスワードを再利用できるまでに作成する必要がある一意のパスワードの数を指定します。 Firepower-chassis /security/password-profile # set history-count num-of-passwords この値は、0 ~ 15 の範囲で自由に設定できます。 デフォルトでは、[履歴(History Count)] フィールドは 0 に設定されます。これにより、履歴カウントが無効になるため、ユーザはいつでも以前に使用していたパスワードを再利用できます。 |
ステップ 4 |
トランザクションをシステムの設定に対して確定します。 Firepower-chassis /security/password-profile # commit-buffer |
次に、パスワード履歴カウントを設定し、トランザクションを確定する例を示します。
Firepower-chassis # scope security Firepower-chassis /security # scope password-profile Firepower-chassis /security/password-profile # set history-count 5 Firepower-chassis /security/password-profile* # commit-buffer Firepower-chassis /security/password-profile #
ステップ 1 |
セキュリティ モードに入ります。 Firepower-chassis# scope security |
||
ステップ 2 |
ユーザ アカウントを作成します。 Firepower-chassis /security # create local-user local-user-name |
||
ステップ 3 |
ローカル ユーザ アカウントを有効にするか、または無効にするかを指定します。 Firepower-chassis /security/local-user # set account-status {active| inactive} |
||
ステップ 4 |
ユーザ アカウントのパスワードを設定します。 Firepower-chassis /security/local-user # set password パスワード password を入力します。 パスワード password を確認します。 |
||
ステップ 5 |
(任意)ユーザの名を指定します。 Firepower-chassis /security/local-user # set firstname first-name |
||
ステップ 6 |
(任意)ユーザの姓を指定します。 Firepower-chassis /security/local-user # set lastname last-name |
||
ステップ 7 |
(任意)ユーザ アカウントが期限切れになる日付を指定します。month 引数は、月の英名の最初の 3 文字です。 Firepower-chassis /security/local-user # set expiration month day-of-month year
|
||
ステップ 8 |
(任意)ユーザの電子メール アドレスを指定します。 Firepower-chassis /security/local-user # set email email-addr |
||
ステップ 9 |
(任意)ユーザの電話番号を指定します。 Firepower-chassis /security/local-user # set phone phone-num |
||
ステップ 10 |
(任意)パスワードレス アクセスに使用する SSH キーを指定します。 Firepower-chassis /security/local-user # set sshkey ssh-key |
||
ステップ 11 |
トランザクションを確定します。 Firepower-chassis security/local-user # commit-buffer |
次の例は、kikipopo という名前のユーザ アカウントを作成し、ユーザ アカウントをイネーブルにし、foo12345 にパスワードを設定し、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # create local-user kikipopo Firepower-chassis /security/local-user* # set account-status active Firepower-chassis /security/local-user* # set password Enter a password: Confirm the password: Firepower-chassis /security/local-user* # commit-buffer Firepower-chassis /security/local-user #
次の例は、lincey という名前のユーザ アカウントを作成し、ユーザ アカウントをイネーブルにし、パスワードレス アクセス用の OpenSSH キーを設定し、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # create local-user lincey Firepower-chassis /security/local-user* # set account-status active Firepower-chassis /security/local-user* # set sshkey "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAuo9VQ2CmWBI9/S1f30klCWjnV3lgdXMzO0WUl5iPw85lkdQqap+NFuNmHcb4K iaQB8X/PDdmtlxQQcawclj+k8f4VcOelBxlsGk5luq5ls1ob1VOIEwcKEL/h5lrdbNlI8y3SS9I/gGiBZ9ARlop9LDpD m8HPh2LOgyH7Ei1MI8=" Firepower-chassis /security/local-user* # commit-buffer Firepower-chassis /security/local-user #
次の例は、jforlenz という名前のユーザ アカウントを作成し、ユーザ アカウントを有効にし、パスワードレス アクセス用のセキュア SSH キーを設定し、トランザクションを確定します。
Firepower-chassis# scope security Firepower-chassis /security # create local-user jforlenz Firepower-chassis /security/local-user* # set account-status active Firepower-chassis /security/local-user* # set sshkey Enter lines one at a time. Enter ENDOFBUF to finish. Press ^C to abort. User's SSH key: > ---- BEGIN SSH2 PUBLIC KEY ---- >AAAAB3NzaC1yc2EAAAABIwAAAIEAuo9VQ2CmWBI9/S1f30klCWjnV3lgdXMzO0WUl5iPw8 >5lkdQqap+NFuNmHcb4KiaQB8X/PDdmtlxQQcawclj+k8f4VcOelBxlsGk5luq5ls1ob1VO >IEwcKEL/h5lrdbNlI8y3SS9I/gGiBZ9ARlop9LDpDm8HPh2LOgyH7Ei1MI8= > ---- END SSH2 PUBLIC KEY ---- > ENDOFBUF Firepower-chassis /security/local-user* # commit-buffer Firepower-chassis /security/local-user #
ステップ 1 |
セキュリティ モードに入ります。 Firepower-chassis# scope security |
ステップ 2 |
ローカル ユーザ アカウントを削除します。 Firepower-chassis /security # delete local-userlocal-user-name |
ステップ 3 |
トランザクションをシステムの設定に対して確定します。 Firepower-chassis /security #commit-buffer |
次に、foo というユーザ アカウントを削除し、トランザクションを確定する例を示します。
Firepower-chassis# scope security Firepower-chassis /security # delete local-user foo Firepower-chassis /security* # commit-buffer Firepower-chassis /security #
ローカル ユーザ アカウントをアクティブ化または非アクティブ化できるのは、管理者または AAA の権限を持つユーザのみです。
ステップ 1 |
セキュリティ モードに入ります。 Firepower-chassis# scope security |
||
ステップ 2 |
アクティブ化または非アクティブ化するユーザのローカル ユーザ セキュリティ モードに入ります。 Firepower-chassis /security # scope local-userlocal-user-name |
||
ステップ 3 |
ローカル ユーザ アカウントをアクティブ化するか、または非アクティブ化するかを指定します。 Firepower-chassis /security/local-user # set account-status {active | inactive}
|
次に、accounting というローカル ユーザ アカウントを有効にする例を示します。
Firepower-chassis# scope security Firepower-chassis /security # scope local-user accounting Firepower-chassis /security/local-user # set account-status active
ステップ 1 |
セキュリティ モードに入ります。 Firepower-chassis # scopesecurity |
ステップ 2 |
指定されたユーザ アカウントのローカル ユーザ セキュリティ モードに入ります。 Firepower-chassis /security # scope local-user user-name |
ステップ 3 |
指定されたユーザ アカウントのパスワード履歴をクリアします。 Firepower-chassis /security/local-user # clear password-history |
ステップ 4 |
トランザクションをシステムの設定に対して確定します。 Firepower-chassis /security/local-user # commit-buffer |
次に、パスワード履歴カウントを設定し、トランザクションを確定する例を示します。
Firepower-chassis # scope security Firepower-chassis /security # scope local-user admin Firepower-chassis /security/local-user # clear password-history Firepower-chassis /security/local-user* # commit-buffer Firepower-chassis /security/local-user #
目次
ユーザ アカウント
ユーザ アカウントは、システムにアクセスするために使用されます。最大 48 個のローカル ユーザ アカウントを設定できます。各ユーザ アカウントには、一意のユーザ名とパスワードが必要です。
管理者アカウント
管理者アカウントはデフォルト ユーザ アカウントで、変更や削除はできません。このアカウントは、システム管理者またはスーパーユーザ アカウントであり、すべての権限が与えられています。admin アカウントには、デフォルトのパスワードは割り当てられません。初期システム セットアップ時にパスワードを選択する必要があります。
管理者アカウントは常にアクティブになっており、有効期限がありません。管理者アカウントを非アクティブに設定できません。
ローカル認証されたユーザ アカウント
ローカル認証されたユーザ アカウントは、シャーシを通じて直接認証され、管理者権限または AAA 権限があれば誰でも有効化または無効化できます。ローカル ユーザ アカウントを無効にすると、ユーザはログインできません。データベースは無効化されたローカル ユーザ アカウントの設定の詳細を削除しません。無効化されたローカル ユーザ アカウントを再び有効にすると、そのアカウントは、ユーザ名とパスワードを含め、既存の設定で再びアクティブになります。
リモート認証されたユーザ アカウント
リモート認証されたユーザ アカウントとは、LDAP、RADIUS、または TACACS+ を通じて認証されたユーザ アカウントのことです。
ユーザがローカル ユーザ アカウントとリモート ユーザ アカウントを同時に保持している場合は、ローカル ユーザ アカウントで定義されたロールによってリモート ユーザ アカウントのロールが上書きされます。
ユーザ アカウントの有効期限
ユーザ アカウントは、事前に定義した時間に有効期限が切れるように設定できます。有効期限に達すると、ユーザ アカウントは無効になります。
デフォルトでは、ユーザ アカウントの有効期限はありません。
ユーザ アカウントに有効期限を設定した後、有効期限なしに再設定することはできません。ただし、アカウントの有効期限を使用可能な最も遅い日付に設定することは可能です。
ユーザ名に関するガイドライン
ユーザ名は、Firepower Chassis Manager および FXOS CLI のログイン ID としても使用されます。ユーザ アカウントにログイン ID を割り当てるときは、次のガイドラインおよび制約事項を考慮してください。
デフォルトのユーザ ロール
システムには、次のデフォルトのユーザ ロールが用意されています。
- 管理者
システム全体に対する完全な読み取りと書き込みのアクセス権。デフォルトの admin アカウントは、デフォルトでこのロールが割り当てられ、変更はできません。
- Read-Only
システム設定に対する読み取り専用アクセス権。システム状態を変更する権限はありません。
ローカル認証されたユーザのパスワードのプロファイル
パスワードのプロファイルには、ローカル認証されたユーザすべてのパスワード履歴やパスワード変更間隔プロパティが含まれます。ローカル認証されたユーザのそれぞれに異なるパスワードのプロファイルを指定することはできません。
パスワード履歴カウント
パスワード履歴カウントによって、ローカル認証されたユーザが何度も同じパスワードを再利用しないようにすることができます。このプロパティが設定されている場合、Firepower のシャーシは、ローカル認証されたユーザがこれまでに使用した最大 15 個のパスワードを保存します。パスワードは最近のものから時系列に逆順で格納され、履歴カウントがしきい値に達すると、最も古いパスワードだけが再利用可能になります。
あるパスワードが再利用可能になるまでに、ユーザはパスワード履歴カウントで設定された数だけパスワードを作成して使用する必要があります。たとえば、パスワード履歴カウントを 8 に設定した場合、ローカル認証されたユーザは最初のパスワードを 9 番目のパスワードが期限切れになった後まで、最初のパスワードを再利用できません。
デフォルトでは、パスワード履歴は 0 に設定されます。この値によって履歴カウントが無効化されるため、ユーザはいつでも以前のパスワードを使用できます。
必要に応じて、ローカル認証されたユーザのパスワード履歴カウントをクリアし、以前のパスワードの再利用を有効にできます。
パスワード変更間隔
パスワード変更間隔によって、ローカル認証されたユーザが特定の時間内に実施できるパスワード変更の回数を制限することができます。次の表で、パスワード変更間隔の 2 つの設定オプションについて説明します。
間隔の設定 説明 例 パスワード変更禁止(No password change allowed)
このオプションを設定すると、ローカル認証されたユーザは、パスワードを変更してから指定された時間内はパスワードを変更できなくなります。
1 ~ 745 時間の変更禁止間隔を指定できます。デフォルトでは、変更禁止間隔は 24 時間です。
たとえば、ローカル認証されたユーザが 48 時間以内にパスワードを変更できないようにするには、次のように設定します。
変更間隔内のパスワード変更を許可(Password changes allowed within change interval)
このオプションでは、事前に定義した時間内にローカル認証ユーザがパスワードを変更できる最大回数を指定します。
変更間隔を 1 ~ 745 時間、パスワード変更の最大回数を 0 ~ 10 に指定できます。デフォルトでは、ローカル認証されたユーザは、48 時間以内に最大 2 回パスワードを変更できます。
たとえば、ローカル認証されたユーザがパスワードを変更した後 24 時間以内に最大 1 回そのパスワードを変更できるようにするには、次のように設定します。
デフォルトの認証サービスの選択
手順
ステップ 1 セキュリティ モードに入ります。 Firepower-chassis # scope security
ステップ 2 デフォルトの認証セキュリティ モードに入ります。 Firepower-chassis /security # scopedefault-auth
ステップ 3 デフォルトの認証を指定します。 Firepower-chassis /security/default-auth # set realmauth-type
auth-type に、次のいずれかのキーワードを指定します。
ステップ 4 (任意)関連付けられたプロバイダー グループが存在する場合は、そのグループを指定します。 Firepower-chassis /security/default-auth # set auth-server-groupauth-serv-group-name
ステップ 5 (任意) このドメインのユーザに許可する更新要求間隔の最大時間数を指定します。 Firepower-chassis /security/default-auth # set refresh-periodseconds
60 ~ 172800 の整数を指定します。デフォルトは 600 秒です。
この時間制限を超えると、Firepower eXtensible Operating System は Web セッションを非アクティブであると見なしますが、セッションの終了は行いません。
ステップ 6 (任意) Firepower eXtensible Operating System が Web セッションを終了したと見なすまでの、最後の更新要求後からの最大経過時間を指定します。
Firepower-chassis /security/default-auth # set session-timeoutseconds
60 ~ 172800 の整数を指定します。デフォルトは 7200 秒です。
(注) RADIUS または TACACS+ レルムに対して二要素認証を設定する場合は、リモート ユーザが頻繁に再認証する必要がないよう、セッションの更新時間およびセッションのタイムアウト時間を増やすことを検討してください。
ステップ 7 (任意) レルムの二要素認証に認証方式を設定します。 Firepower-chassis /security/default-auth # set use-2-factor yes
(注) 二要素認証は、RADIUS および TACACS+ レルムにのみ適用されます。
ステップ 8 トランザクションをシステムの設定に対して確定します。 commit-buffer
次の例では、デフォルトの認証を RADIUS に設定し、デフォルトの認証プロバイダー グループを provider1 に設定し、二要素認証を有効にし、更新間隔を 7200 秒(2 時間)に設定し、セッションのタイムアウト時間を 28800 秒(8 時間)に設定し、二要素認証を有効にします。その後で、トランザクションを確定します。
Firepower-chassis# scope security Firepower-chassis /security # scope default-auth Firepower-chassis /security/default-auth # set realm radius Firepower-chassis /security/default-auth* # set auth-server-group provider1 Firepower-chassis /security/default-auth* # set use-2-factor yes Firepower-chassis /security/default-auth* # set refresh-period 7200 Firepower-chassis /security/default-auth* # set session-timeout 28800 Firepower-chassis /security/default-auth* # commit-buffer Firepower-chassis /security/default-auth #リモート ユーザのロール ポリシーの設定
手順デフォルトでは、LDAP、RADIUS、または TACACS プロトコルを使用してリモート サーバから Firepower Chassis Manager または FXOS CLI にログインしているすべてのユーザに読み取り専用アクセス権が付与されます。セキュリティ上の理由から、確立されたユーザ ロールに一致するユーザへのアクセスを制限するのが望ましい場合があります。
リモート ユーザのロール ポリシーは、次の方法で設定できます。
- assign-default-role
ユーザがログインしようとしたときにリモート認証プロバイダーが認証情報付きのユーザ ロールを提供しなかった場合、そのユーザは読み取り専用ユーザ ロールでのログインが許可されます。
これはデフォルトの動作です。
- no-login
ユーザがログインしようとしたときにリモート認証プロバイダーが認証情報付きのユーザ ロールを提供しなかった場合は、アクセスが拒否されます。
ステップ 1 セキュリティ モードに入ります。 Firepower-chassis # scopesecurity
ステップ 2 ユーザ ロールに基づいて Firepower Chassis Manager および FXOS CLI へのユーザ アクセスを制限するかどうかを指定します。 Firepower-chassis /security # set remote-user default-role {assign-default-role | no-login}
ステップ 3 トランザクションをシステムの設定に対して確定します。 Firepower-chassis /security # commit-buffer
ローカル認証されたユーザのパスワード強度チェックの有効化
手順パスワードの強度チェックが有効になっている場合、Firepower eXtensible Operating System では、強力なパスワードのガイドラインを満たしていないパスワードを選択できません(パスワードに関するガイドライン を参照)。
ステップ 1 セキュリティ モードに入ります。 Firepower-chassis # scopesecurity
ステップ 2 パスワードの強度チェックを有効にするか、または無効にするかを指定します。 Firepower-chassis /security # set enforce-strong-password {yes | no}
変更間隔のパスワード変更の最大数の設定
手順
ステップ 1 セキュリティ モードに入ります。 Firepower-chassis # scopesecurity
ステップ 2 パスワード プロファイル セキュリティ モードに入ります。 Firepower-chassis /security # scope password-profile
ステップ 3 ローカル認証されたユーザが指定された時間内に実行できるパスワード変更の回数を制限します。 Firepower-chassis /security/password-profile # set change-during-interval enable
ステップ 4 ローカル認証されたユーザが変更間隔の間に自分のパスワードを変更できる最大回数を指定します。 Firepower-chassis /security/password-profile # set change-count pass-change-num
この値は、0 ~ 10 の範囲で自由に設定できます。
ステップ 5 [変更カウント(Change Count)] フィールドで指定したパスワード変更回数が適用される最大時間数を指定します。 Firepower-chassis /security/password-profile # set change-interval num-of-hours
この値は、1 ~ 745 時間の範囲で自由に設定できます。
たとえば、このフィールドが 48 に設定され、[変更カウント(Change Count)] フィールドが 2 に設定されている場合、ローカル認証されたユーザは 48 時間以内に 2 回を超えるパスワード変更を実行することはできません。
ステップ 6 トランザクションをシステムの設定に対して確定します。 Firepower-chassis /security/password-profile # commit-buffer
次の例は、[間隔中の変更(Change During Interval)] オプションを有効にし、変更回数を 5 回、変更間隔を 72 時間に設定し、トランザクションを確定する例を示します。
Firepower-chassis # scope security Firepower-chassis /security # scope password-profile Firepower-chassis /security/password-profile # set change-during-interval enable Firepower-chassis /security/password-profile* # set change-count 5 Firepower-chassis /security/password-profile* # set change-interval 72 Firepower-chassis /security/password-profile* # commit-buffer Firepower-chassis /security/password-profile #パスワードの変更禁止間隔の設定
手順
ステップ 1 セキュリティ モードに入ります。 Firepower-chassis # scopesecurity
ステップ 2 パスワード プロファイル セキュリティ モードに入ります。 Firepower-chassis /security # scope password-profile
ステップ 3 間隔中の変更機能を無効にします。 Firepower-chassis /security/password-profile # set change-during-interval disable
ステップ 4 ローカル認証されたユーザが、新しく作成されたパスワードを変更する前に待機する最小時間数を指定します。 Firepower-chassis /security/password-profile # set no-change-interval min-num-hours
この値は、1 ~ 745 時間の範囲で自由に設定できます。
この間隔は、[間隔中の変更(Change During Interval)] プロパティが [無効(Disable)] に設定されていない場合は無視されます。
ステップ 5 トランザクションをシステムの設定に対して確定します。 Firepower-chassis /security/password-profile # commit-buffer
次に、間隔中の変更オプションを無効にし、変更禁止間隔を 72 時間に設定し、トランザクションを確定する例を示します。
Firepower-chassis # scope security Firepower-chassis /security # scope password-profile Firepower-chassis /security/password-profile # set change-during-interval disable Firepower-chassis /security/password-profile* # set no-change-interval 72 Firepower-chassis /security/password-profile* # commit-buffer Firepower-chassis /security/password-profile #パスワード履歴カウントの設定
手順
ステップ 1 セキュリティ モードに入ります。 Firepower-chassis # scopesecurity
ステップ 2 パスワード プロファイル セキュリティ モードに入ります。 Firepower-chassis /security # scope password-profile
ステップ 3 ローカル認証されたユーザが、以前に使用していたパスワードを再利用できるまでに作成する必要がある一意のパスワードの数を指定します。 Firepower-chassis /security/password-profile # set history-count num-of-passwords
この値は、0 ~ 15 の範囲で自由に設定できます。
デフォルトでは、[履歴(History Count)] フィールドは 0 に設定されます。これにより、履歴カウントが無効になるため、ユーザはいつでも以前に使用していたパスワードを再利用できます。
ステップ 4 トランザクションをシステムの設定に対して確定します。 Firepower-chassis /security/password-profile # commit-buffer
次に、パスワード履歴カウントを設定し、トランザクションを確定する例を示します。
Firepower-chassis # scope security Firepower-chassis /security # scope password-profile Firepower-chassis /security/password-profile # set history-count 5 Firepower-chassis /security/password-profile* # commit-buffer Firepower-chassis /security/password-profile #ローカル ユーザ アカウントの作成
手順
ステップ 1 セキュリティ モードに入ります。 Firepower-chassis# scope security
ステップ 2 ユーザ アカウントを作成します。 Firepower-chassis /security # create local-user local-user-name
ステップ 3 ローカル ユーザ アカウントを有効にするか、または無効にするかを指定します。 Firepower-chassis /security/local-user # set account-status {active| inactive}
ステップ 4 ユーザ アカウントのパスワードを設定します。 Firepower-chassis /security/local-user # set password
パスワード password を入力します。
パスワード password を確認します。
ステップ 5 (任意)ユーザの名を指定します。 Firepower-chassis /security/local-user # set firstname first-name
ステップ 6 (任意)ユーザの姓を指定します。 Firepower-chassis /security/local-user # set lastname last-name
ステップ 7 (任意)ユーザ アカウントが期限切れになる日付を指定します。month 引数は、月の英名の最初の 3 文字です。 Firepower-chassis /security/local-user # set expiration month day-of-month year
(注) ユーザ アカウントに有効期限を設定した後、有効期限なしに再設定することはできません。ただし、アカウントの有効期限を使用可能な最も遅い日付に設定することは可能です。
ステップ 8 (任意)ユーザの電子メール アドレスを指定します。 Firepower-chassis /security/local-user # set email email-addr
ステップ 9 (任意)ユーザの電話番号を指定します。 Firepower-chassis /security/local-user # set phone phone-num
ステップ 10 (任意)パスワードレス アクセスに使用する SSH キーを指定します。 Firepower-chassis /security/local-user # set sshkey ssh-key
ステップ 11 トランザクションを確定します。 Firepower-chassis security/local-user # commit-buffer
次の例は、kikipopo という名前のユーザ アカウントを作成し、ユーザ アカウントをイネーブルにし、foo12345 にパスワードを設定し、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # create local-user kikipopo Firepower-chassis /security/local-user* # set account-status active Firepower-chassis /security/local-user* # set password Enter a password: Confirm the password: Firepower-chassis /security/local-user* # commit-buffer Firepower-chassis /security/local-user #次の例は、lincey という名前のユーザ アカウントを作成し、ユーザ アカウントをイネーブルにし、パスワードレス アクセス用の OpenSSH キーを設定し、トランザクションをコミットします。
Firepower-chassis# scope security Firepower-chassis /security # create local-user lincey Firepower-chassis /security/local-user* # set account-status active Firepower-chassis /security/local-user* # set sshkey "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAuo9VQ2CmWBI9/S1f30klCWjnV3lgdXMzO0WUl5iPw85lkdQqap+NFuNmHcb4K iaQB8X/PDdmtlxQQcawclj+k8f4VcOelBxlsGk5luq5ls1ob1VOIEwcKEL/h5lrdbNlI8y3SS9I/gGiBZ9ARlop9LDpD m8HPh2LOgyH7Ei1MI8=" Firepower-chassis /security/local-user* # commit-buffer Firepower-chassis /security/local-user #次の例は、jforlenz という名前のユーザ アカウントを作成し、ユーザ アカウントを有効にし、パスワードレス アクセス用のセキュア SSH キーを設定し、トランザクションを確定します。
Firepower-chassis# scope security Firepower-chassis /security # create local-user jforlenz Firepower-chassis /security/local-user* # set account-status active Firepower-chassis /security/local-user* # set sshkey Enter lines one at a time. Enter ENDOFBUF to finish. Press ^C to abort. User's SSH key: > ---- BEGIN SSH2 PUBLIC KEY ---- >AAAAB3NzaC1yc2EAAAABIwAAAIEAuo9VQ2CmWBI9/S1f30klCWjnV3lgdXMzO0WUl5iPw8 >5lkdQqap+NFuNmHcb4KiaQB8X/PDdmtlxQQcawclj+k8f4VcOelBxlsGk5luq5ls1ob1VO >IEwcKEL/h5lrdbNlI8y3SS9I/gGiBZ9ARlop9LDpDm8HPh2LOgyH7Ei1MI8= > ---- END SSH2 PUBLIC KEY ---- > ENDOFBUF Firepower-chassis /security/local-user* # commit-buffer Firepower-chassis /security/local-user #ローカル ユーザ アカウントの削除
ローカル ユーザ アカウントのアクティブ化または非アクティブ化
手順
ステップ 1 セキュリティ モードに入ります。 Firepower-chassis# scope security
ステップ 2 アクティブ化または非アクティブ化するユーザのローカル ユーザ セキュリティ モードに入ります。 Firepower-chassis /security # scope local-userlocal-user-name
ステップ 3 ローカル ユーザ アカウントをアクティブ化するか、または非アクティブ化するかを指定します。 Firepower-chassis /security/local-user # set account-status {active | inactive}
(注) admin ユーザ アカウントは常にアクティブに設定されます。変更はできません。
ローカル認証されたユーザのパスワード履歴のクリア
手順
ステップ 1 セキュリティ モードに入ります。 Firepower-chassis # scopesecurity
ステップ 2 指定されたユーザ アカウントのローカル ユーザ セキュリティ モードに入ります。 Firepower-chassis /security # scope local-user user-name
ステップ 3 指定されたユーザ アカウントのパスワード履歴をクリアします。 Firepower-chassis /security/local-user # clear password-history
ステップ 4 トランザクションをシステムの設定に対して確定します。 Firepower-chassis /security/local-user # commit-buffer