この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
ユーザ アカウントは、システムにアクセスするために使用されます。最大 48 個のローカル ユーザ アカウントを設定できます。各ユーザ アカウントには、一意のユーザ名とパスワードが必要です。
管理者アカウントはデフォルト ユーザ アカウントで、変更や削除はできません。このアカウントは、システム管理者またはスーパーユーザ アカウントであり、すべての権限が与えられています。admin アカウントには、デフォルトのパスワードは割り当てられません。初期システム セットアップ時にパスワードを選択する必要があります。
管理者アカウントは常にアクティブになっており、有効期限がありません。管理者アカウントを非アクティブに設定できません。
ローカル認証されたユーザ アカウントは、シャーシを通じて直接認証され、管理者権限または AAA 権限があれば誰でも有効化または無効化できます。ローカル ユーザ アカウントを無効にすると、ユーザはログインできません。データベースは無効化されたローカル ユーザ アカウントの設定の詳細を削除しません。無効化されたローカル ユーザ アカウントを再び有効にすると、そのアカウントは、ユーザ名とパスワードを含め、既存の設定で再びアクティブになります。
リモート認証されたユーザ アカウントとは、LDAP、RADIUS、または TACACS+ を通じて認証されたユーザ アカウントのことです。
ユーザがローカル ユーザ アカウントとリモート ユーザ アカウントを同時に保持している場合は、ローカル ユーザ アカウントで定義されたロールによってリモート ユーザ アカウントのロールが上書きされます。
ユーザ アカウントは、事前に定義した時間に有効期限が切れるように設定できます。有効期限に達すると、ユーザ アカウントは無効になります。
デフォルトでは、ユーザ アカウントの有効期限はありません。
ユーザ アカウントに有効期限を設定した後、有効期限なしに再設定することはできません。ただし、アカウントの有効期限を使用可能な最も遅い日付に設定することは可能です。
ユーザ名は、Firepower Chassis Manager および FXOS CLI のログイン ID としても使用されます。ユーザ アカウントにログイン ID を割り当てるときは、次のガイドラインおよび制約事項を考慮してください。
ローカル認証されたユーザ アカウントそれぞれにパスワードが必要です。admin または AAA 権限を持つユーザについては、ユーザ パスワードのパスワード強度チェックを実行するようにシステムを設定できます。パスワードの強度チェックが有効になっている場合は、各ユーザが強力なパスワードを使用する必要があります。
各ユーザに強力なパスワードを設定することを推奨します。ローカル認証されたユーザのパスワード強度チェックを有効にすると、Firepower eXtensible Operating System は次の要件を満たしていないパスワードを拒否します。
システムには、次のデフォルトのユーザ ロールが用意されています。
システム全体に対する完全な読み取りと書き込みのアクセス権。デフォルトの admin アカウントは、デフォルトでこのロールが割り当てられ、変更はできません。
システム設定に対する読み取り専用アクセス権。システム状態を変更する権限はありません。
パスワードのプロファイルには、ローカル認証されたユーザすべてのパスワード履歴やパスワード変更間隔プロパティが含まれます。ローカル認証されたユーザのそれぞれに異なるパスワードのプロファイルを指定することはできません。
パスワード履歴カウントによって、ローカル認証されたユーザが何度も同じパスワードを再利用しないようにすることができます。このプロパティが設定されている場合、Firepower のシャーシは、ローカル認証されたユーザがこれまでに使用した最大 15 個のパスワードを保存します。パスワードは最近のものから時系列に逆順で格納され、履歴カウントがしきい値に達すると、最も古いパスワードだけが再利用可能になります。
あるパスワードが再利用可能になるまでに、ユーザはパスワード履歴カウントで設定された数だけパスワードを作成して使用する必要があります。たとえば、パスワード履歴カウントを 8 に設定した場合、ローカル認証されたユーザは最初のパスワードを 9 番目のパスワードが期限切れになった後まで、最初のパスワードを再利用できません。
デフォルトでは、パスワード履歴は 0 に設定されます。この値によって履歴カウントが無効化されるため、ユーザはいつでも以前のパスワードを使用できます。
必要に応じて、ローカル認証されたユーザのパスワード履歴カウントをクリアし、以前のパスワードの再利用を有効にできます。
パスワード変更間隔によって、ローカル認証されたユーザが特定の時間内に実施できるパスワード変更の回数を制限することができます。次の表で、パスワード変更間隔の 2 つの設定オプションについて説明します。
間隔の設定 | 説明 | 例 |
---|---|---|
パスワード変更禁止(No password change allowed) |
このオプションを設定すると、ローカル認証されたユーザは、パスワードを変更してから指定された時間内はパスワードを変更できなくなります。 1 ~ 745 時間の変更禁止間隔を指定できます。デフォルトでは、変更禁止間隔は 24 時間です。 |
たとえば、ローカル認証されたユーザが 48 時間以内にパスワードを変更できないようにするには、次のように設定します。 |
変更間隔内のパスワード変更を許可(Password changes allowed within change interval) |
このオプションでは、事前に定義した時間内にローカル認証ユーザがパスワードを変更できる最大回数を指定します。 変更間隔を 1 ~ 745 時間、パスワード変更の最大回数を 0 ~ 10 に指定できます。デフォルトでは、ローカル認証されたユーザは、48 時間以内に最大 2 回パスワードを変更できます。 |
たとえば、ローカル認証されたユーザがパスワードを変更した後 24 時間以内に最大 1 回そのパスワードを変更できるようにするには、次のように設定します。 |
ステップ 1 | を選択します。 | ||||||||||||||||||||||||||
ステップ 2 | [ローカル ユーザ(Local Users)] タブをクリックします。 | ||||||||||||||||||||||||||
ステップ 3 | [ユーザの追加(Add User)] をクリックし、[ユーザの追加(Add User)] ダイアログボックスを表示します。 | ||||||||||||||||||||||||||
ステップ 4 |
ユーザに関して要求される情報を使用して、次のフィールドに値を入力します。
|
||||||||||||||||||||||||||
ステップ 5 | [追加(Add)] をクリックします。 |
ステップ 1 | を選択します。 |
ステップ 2 | [ローカル ユーザ(Local Users)] タブをクリックします。 |
ステップ 3 | 削除するユーザ アカウントの行で、[削除(Delete)]をクリックします。 |
ステップ 4 | [Confirm] ダイアログボックスで、[Yes] をクリックします。 |
ローカル ユーザ アカウントをアクティブ化または非アクティブ化できるのは、管理者または AAA の権限を持つユーザのみです。
ステップ 1 | を選択します。 |
ステップ 2 | [ローカル ユーザ(Local Users)] タブをクリックします。 |
ステップ 3 | アクティブ化または非アクティブ化するユーザ アカウントの行で、[編集(Edit)](鉛筆アイコン)をクリックします。 |
ステップ 4 |
[ユーザの編集(Edit User] ダイアログボックスで、次のいずれかの操作を実行します。
admin ユーザ アカウントは常にアクティブに設定されます。変更はできません。 |
ステップ 5 | [保存(Save)] をクリックします。 |
目次
ユーザ アカウント
ユーザ アカウントは、システムにアクセスするために使用されます。最大 48 個のローカル ユーザ アカウントを設定できます。各ユーザ アカウントには、一意のユーザ名とパスワードが必要です。
管理者アカウント
管理者アカウントはデフォルト ユーザ アカウントで、変更や削除はできません。このアカウントは、システム管理者またはスーパーユーザ アカウントであり、すべての権限が与えられています。admin アカウントには、デフォルトのパスワードは割り当てられません。初期システム セットアップ時にパスワードを選択する必要があります。
管理者アカウントは常にアクティブになっており、有効期限がありません。管理者アカウントを非アクティブに設定できません。
ローカル認証されたユーザ アカウント
ローカル認証されたユーザ アカウントは、シャーシを通じて直接認証され、管理者権限または AAA 権限があれば誰でも有効化または無効化できます。ローカル ユーザ アカウントを無効にすると、ユーザはログインできません。データベースは無効化されたローカル ユーザ アカウントの設定の詳細を削除しません。無効化されたローカル ユーザ アカウントを再び有効にすると、そのアカウントは、ユーザ名とパスワードを含め、既存の設定で再びアクティブになります。
リモート認証されたユーザ アカウント
リモート認証されたユーザ アカウントとは、LDAP、RADIUS、または TACACS+ を通じて認証されたユーザ アカウントのことです。
ユーザがローカル ユーザ アカウントとリモート ユーザ アカウントを同時に保持している場合は、ローカル ユーザ アカウントで定義されたロールによってリモート ユーザ アカウントのロールが上書きされます。
ユーザ アカウントの有効期限
ユーザ アカウントは、事前に定義した時間に有効期限が切れるように設定できます。有効期限に達すると、ユーザ アカウントは無効になります。
デフォルトでは、ユーザ アカウントの有効期限はありません。
ユーザ アカウントに有効期限を設定した後、有効期限なしに再設定することはできません。ただし、アカウントの有効期限を使用可能な最も遅い日付に設定することは可能です。
ユーザ名に関するガイドライン
ユーザ名は、Firepower Chassis Manager および FXOS CLI のログイン ID としても使用されます。ユーザ アカウントにログイン ID を割り当てるときは、次のガイドラインおよび制約事項を考慮してください。
デフォルトのユーザ ロール
システムには、次のデフォルトのユーザ ロールが用意されています。
- 管理者
システム全体に対する完全な読み取りと書き込みのアクセス権。デフォルトの admin アカウントは、デフォルトでこのロールが割り当てられ、変更はできません。
- 読み取り専用
システム設定に対する読み取り専用アクセス権。システム状態を変更する権限はありません。
ローカル認証されたユーザのパスワードのプロファイル
パスワードのプロファイルには、ローカル認証されたユーザすべてのパスワード履歴やパスワード変更間隔プロパティが含まれます。ローカル認証されたユーザのそれぞれに異なるパスワードのプロファイルを指定することはできません。
パスワード履歴カウント
パスワード履歴カウントによって、ローカル認証されたユーザが何度も同じパスワードを再利用しないようにすることができます。このプロパティが設定されている場合、Firepower のシャーシは、ローカル認証されたユーザがこれまでに使用した最大 15 個のパスワードを保存します。パスワードは最近のものから時系列に逆順で格納され、履歴カウントがしきい値に達すると、最も古いパスワードだけが再利用可能になります。
あるパスワードが再利用可能になるまでに、ユーザはパスワード履歴カウントで設定された数だけパスワードを作成して使用する必要があります。たとえば、パスワード履歴カウントを 8 に設定した場合、ローカル認証されたユーザは最初のパスワードを 9 番目のパスワードが期限切れになった後まで、最初のパスワードを再利用できません。
デフォルトでは、パスワード履歴は 0 に設定されます。この値によって履歴カウントが無効化されるため、ユーザはいつでも以前のパスワードを使用できます。
必要に応じて、ローカル認証されたユーザのパスワード履歴カウントをクリアし、以前のパスワードの再利用を有効にできます。
パスワード変更間隔
パスワード変更間隔によって、ローカル認証されたユーザが特定の時間内に実施できるパスワード変更の回数を制限することができます。次の表で、パスワード変更間隔の 2 つの設定オプションについて説明します。
間隔の設定 説明 例 パスワード変更禁止(No password change allowed)
このオプションを設定すると、ローカル認証されたユーザは、パスワードを変更してから指定された時間内はパスワードを変更できなくなります。
1 ~ 745 時間の変更禁止間隔を指定できます。デフォルトでは、変更禁止間隔は 24 時間です。
たとえば、ローカル認証されたユーザが 48 時間以内にパスワードを変更できないようにするには、次のように設定します。
変更間隔内のパスワード変更を許可(Password changes allowed within change interval)
このオプションでは、事前に定義した時間内にローカル認証ユーザがパスワードを変更できる最大回数を指定します。
変更間隔を 1 ~ 745 時間、パスワード変更の最大回数を 0 ~ 10 に指定できます。デフォルトでは、ローカル認証されたユーザは、48 時間以内に最大 2 回パスワードを変更できます。
たとえば、ローカル認証されたユーザがパスワードを変更した後 24 時間以内に最大 1 回そのパスワードを変更できるようにするには、次のように設定します。
ユーザ設定の構成
手順
ステップ 1 を選択します。 ステップ 2 [Settings] タブをクリックします。 ステップ 3 次のフィールドに必要な情報を入力します。
名前 説明 リモート ログイン中にユーザが認証されるデフォルトの方法。次のいずれかになります。
[ローカル(Local)]:ユーザ アカウントは Firepower のシャーシでローカルに定義する必要があります。
[Radius]:ユーザ アカウントは、Firepower のシャーシに指定された RADIUS サーバで定義する必要があります。
[TACACS]:ユーザ アカウントは、Firepower のシャーシに指定された TACACS+ サーバで定義する必要があります。
[LDAP]:ユーザ アカウントは、Firepower のシャーシに指定された LDAP/MS-AD サーバで定義する必要があります。
[なし(None)]:ユーザ アカウントが Firepower のシャーシにローカルである場合、ユーザがリモートでログインするときにパスワードは必要ありません。
リモート ユーザの設定
リモート ユーザのロール ポリシー
ユーザがログインしようとしたときに、リモート認証プロバイダーが認証情報を使用してユーザ ロールを指定しない場合のアクションを制御します。
ローカル ユーザの設定
[パスワード強度チェック(Password Strength Check)] チェックボックス
オンにすると、すべてのローカル ユーザ パスワードは、次のパスワード セキュリティの要件に準拠する必要があります。
以前に使用したパスワードを再使用できるようになるまでに、ユーザが作成する必要がある一意のパスワードの数。履歴カウントは、最も新しいパスワードが最初に表示される時系列とは逆の順番で表示され、履歴カウントのしきい値に到達した場合に、最も古いパスワードのみを使用できるようになります。
[履歴(History Count)] フィールドを 0 に設定すると履歴カウントが無効になるため、ユーザはいつでも以前に使用していたパスワードを再利用できます。
ローカル認証されたユーザが自分のパスワードを変更するタイミングを制御します。ここに表示される値は次のとおりです。
[変更カウント(Change Count)] フィールドで指定したパスワード変更回数が適用される最大時間数。
たとえば、このフィールドが 48 に設定され、[変更カウント(Change Count)] フィールドが 2 に設定されている場合、ローカル認証されたユーザは 48 時間以内に 2 回を超えるパスワード変更を実行することはできません。
ローカル認証されたユーザが、新しく作成されたパスワードを変更する前に待機する最小時間数。
この間隔は、[間隔中の変更(Change During Interval)] プロパティが [無効(Disable)] に設定されていない場合は無視されます。
ステップ 4 [保存(Save)] をクリックします。
ローカル ユーザ アカウントの作成
手順
ステップ 1 を選択します。 ステップ 2 [ローカル ユーザ(Local Users)] タブをクリックします。 ステップ 3 [ユーザの追加(Add User)] をクリックし、[ユーザの追加(Add User)] ダイアログボックスを表示します。 ステップ 4 ユーザに関して要求される情報を使用して、次のフィールドに値を入力します。
名前 説明 このアカウントにログインするときに使用されるアカウント名。このアカウントは一意であるとともに、ユーザ アカウントに関する次のガイドラインと制約事項を満たしている必要があります。
ログイン ID には、次を含む 1 ~ 32 の文字を含めることができます。
ログイン ID は一意でなければなりません。
ログイン ID は、英文字から始まる必要があります。数字やアンダースコアなどの特殊文字から始めることはできません。
ログイン ID では、大文字と小文字が区別されます。
すべてが数字のログイン ID は作成できません。
ユーザ アカウントの作成後は、ログイン ID を変更できません。ユーザ アカウントを削除し、新しいユーザ アカウントを作成する必要があります。
ユーザを保存した後は、ログイン ID を変更できません。ユーザ アカウントを削除し、新しいユーザ アカウントを作成する必要があります。
このアカウントに関連付けられているパスワード。パスワード強度チェックを有効にした場合は、ユーザ パスワードを強固なものにする必要があります。Firepower eXtensible Operating System は次の要件を満たしていないパスワードを拒否します。
ステータスが [アクティブ(Active)] に設定されている場合、ユーザはこのログイン ID とパスワードを使用して Firepower Chassis Manager と FXOS CLI にログインできます。
[ユーザロール(User Role)] ドロップダウン リスト
ユーザ アカウントに割り当てる権限を表すロールです。
- 管理
システム全体に対する完全な読み取りと書き込みのアクセス権。デフォルトの admin アカウントは、デフォルトでこのロールが割り当てられ、変更はできません。
- 読み取り専用
システム設定に対する読み取り専用アクセス権。システム状態を変更する権限はありません。
オンにすると、このアカウントは [有効期限(Expiration Date)] フィールドで指定した日付に期限切れになり、それ以降は使用できなくなります。
(注) ユーザ アカウントに有効期限を設定した後、有効期限なしに再設定することはできません。ただし、アカウントの有効期限を使用可能な最も遅い日付に設定することは可能です。
アカウントの期限が切れる日付です。日付の形式は yyyy-mm-dd です。
このフィールドの終端にあるカレンダー アイコンをクリックするとカレンダーが表示されるので、それを使用して期限日を選択できます。
ステップ 5 [追加(Add)] をクリックします。
ローカル ユーザ アカウントのアクティブ化または非アクティブ化
手順
ステップ 1 を選択します。 ステップ 2 [ローカル ユーザ(Local Users)] タブをクリックします。 ステップ 3 アクティブ化または非アクティブ化するユーザ アカウントの行で、[編集(Edit)](鉛筆アイコン)をクリックします。 ステップ 4 [ユーザの編集(Edit User] ダイアログボックスで、次のいずれかの操作を実行します。
ユーザ アカウントをアクティブ化するには、[アカウント ステータス(Account Status)] フィールドで [アクティブ(Active)] オプション ボタンをクリックします。
ユーザ アカウントを非アクティブ化するには、[アカウント ステータス(Account Status)] フィールドで [非アクティブ(Inactive)] オプション ボタンをクリックします。
admin ユーザ アカウントは常にアクティブに設定されます。変更はできません。
ステップ 5 [保存(Save)] をクリックします。