この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
ユーザ アカウントは、システムにアクセスするために使用されます。 最大 48 個のローカル ユーザ アカウントを設定できます。 各ユーザ アカウントには、一意のユーザ名とパスワードが必要です。
管理者アカウントはデフォルト ユーザ アカウントで、変更や削除はできません。 このアカウントは、システム管理者またはスーパーユーザ アカウントであり、すべての権限が与えられています。 admin アカウントには、デフォルトのパスワードは割り当てられません。初期システム セットアップ時にパスワードを選択する必要があります。
管理者アカウントは常にアクティブで、有効期限がありません。 管理者アカウントを非アクティブに設定することはできません。
ローカル認証されたユーザ アカウントは、シャーシによって直接認証され、admin 権限か AAA 権限を持つユーザが有効または無効にできます。 ローカル ユーザ アカウントが無効になっている場合、ユーザはログインできません。無効化されたローカル ユーザ アカウントの設定の詳細はデータベースから削除されません。 無効ローカル ユーザ アカウントを再度有効にすると、アカウントはユーザ名とパスワードを含め、既存のコンフィギュレーションで再びアクティブになります。
リモート認証されたユーザ アカウントとは、LDAP、RADIUS、または TACACS+ で認証されたユーザ アカウントです。
ユーザがローカル ユーザ アカウントとリモート ユーザ アカウントを同時に保持する場合、ローカル ユーザ アカウントで定義されたロールがリモート ユーザ アカウントに保持された値を上書きします。
ユーザ アカウントは、事前に定義した時間に有効期限が切れるように設定できます。 有効期限の時間になると、ユーザ アカウントはディセーブルになります。
デフォルトでは、ユーザ アカウントの有効期限はありません。
ユーザ アカウントに有効期限日付を設定した後は、アカウントの有効期限をなくすよう再設定できません。 ただし、使用できる最新の有効期限日付でアカウントを設定することは可能です。
ユーザ名は、Firepower Chassis Manager および FXOS CLI のログイン ID としても使用されます。 ユーザ アカウントにログイン ID を割り当てるときは、次のガイドラインおよび制約事項を考慮してください。
ローカル認証された各ユーザ アカウントにパスワードが必要です。 admin 権限または AAA 権限を持つユーザは、ユーザ パスワードのパスワード強度チェックを実行するようにシステムを設定できます。 パスワード強度チェックをイネーブルにすると、各ユーザが強力なパスワードを使用する必要があります。
各ユーザが強力なパスワードを設定することを推奨します。 ローカル認証されたユーザのパスワード強度チェックを有効化した場合、Firepower eXtensible Operating System は次の要件を満たしていないパスワードをすべて拒否します。
システムには、次のデフォルトのユーザ ロールが用意されています。
システム全体に対する完全な読み取りと書き込みのアクセス権。 デフォルトの admin アカウントは、デフォルトでこのロールが割り当てられ、変更はできません。
システム設定に対する読み取り専用アクセス権。システム状態を変更する権限はありません。
パスワード プロファイルには、ローカル認証されたすべてのユーザのパスワード履歴やパスワード変更間隔プロパティが含まれます。 ローカル認証されたユーザのそれぞれに異なるパスワード プロファイルを指定することはできません。
パスワード履歴のカウントにより、ローカル認証されたユーザが何度も同じパスワードを再利用しないようにすることができます。 このプロパティが設定されている場合、Firepower シャーシは、ローカル認証されたユーザが以前に使用したパスワードを最大 15 個まで保存します。 パスワードは最近のものから時系列の逆順で格納され、履歴カウントがしきい値に達した場合に、最も古いパスワードだけを再利用可能にします。
あるパスワードが再利用可能になる前に、ユーザはパスワード履歴カウントで設定された数のパスワードを作成して使用する必要があります。 たとえば、パスワード履歴カウントを 8 に設定した場合、ローカル認証されたユーザは最初のパスワードを 9 番目のパスワードが期限切れになった後まで、最初のパスワードを再利用できません。
デフォルトでは、パスワード履歴は 0 に設定されます。 この値は、履歴のカウントをディセーブルにし、ユーザはいつでも前のパスワードを使用できます。
必要に応じて、ローカル認証されたユーザについてパスワード履歴カウントをクリアし、以前のパスワードの再利用をイネーブルにできます。
パスワード変更間隔は、ローカル認証されたユーザが特定の時間内に行えるパスワード変更回数を制限することができます。 次の表で、パスワード変更間隔の 2 つの設定オプションについて説明します。
間隔の設定 | 説明 | 例 |
---|---|---|
パスワード変更不許可 |
このオプションでは、ローカル認証されたユーザは、パスワードの変更後、指定された時間内にはパスワードを変更できません。 1 ~ 745 時間の変更禁止間隔を指定できます。 デフォルトでは、変更禁止間隔は 24 時間です。 |
たとえば、ローカル認証されたユーザが 48 時間の間パスワードを変更できないようにする場合、次のように設定します。 |
変更間隔内のパスワード変更許可 |
このオプションは、ローカル認証されたユーザのパスワードを事前に定義された時間内に変更できる最大回数を指定します。 変更間隔を 1 ~ 745 時間で、パスワード変更の最大回数を 0 ~ 10 で指定できます。 デフォルトでは、ローカル認証されたユーザに対して、48 時間間隔内で最大 2 回のパスワード変更が許可されます。 |
たとえば、ローカル認証されたユーザがパスワードを変更した後 24 時間以内に 1 回まで変更できるようにする場合、次のように設定します。 |
ステップ 1 | を選択します。 | ||||||||||||||||||||||||||
ステップ 2 | [Local Users] タブをクリックします。 | ||||||||||||||||||||||||||
ステップ 3 | [Add User] をクリックして [Add User] ダイアログボックスを開きます。 | ||||||||||||||||||||||||||
ステップ 4 |
ユーザに関して要求される情報を使用して、次のフィールドに値を入力します。
|
||||||||||||||||||||||||||
ステップ 5 | [Add] をクリックします。 |
ステップ 1 | を選択します。 |
ステップ 2 | [Local Users] タブをクリックします。 |
ステップ 3 | 削除するユーザ アカウントの行で、[Delete] をクリックします。 |
ステップ 4 | [Confirm] ダイアログボックスで、[Yes] をクリックします。 |
ローカル ユーザ アカウントをアクティブ化または非アクティブ化できるのは、admin 権限または AAA 権限を持つユーザのみです。
ステップ 1 | を選択します。 |
ステップ 2 | [Local Users] タブをクリックします。 |
ステップ 3 | アクティブ化または非アクティブ化するユーザ アカウントの行で、[Edit](鉛筆アイコン)をクリックします。 |
ステップ 4 |
[Edit User] ダイアログボックスで、次のいずれかを実行します。
admin ユーザ アカウントは常にアクティブに設定されます。 変更はできません。 |
ステップ 5 | [Save(保存)] をクリックします。 |
目次
User Accounts
ユーザ アカウントは、システムにアクセスするために使用されます。 最大 48 個のローカル ユーザ アカウントを設定できます。 各ユーザ アカウントには、一意のユーザ名とパスワードが必要です。
管理者アカウント
管理者アカウントはデフォルト ユーザ アカウントで、変更や削除はできません。 このアカウントは、システム管理者またはスーパーユーザ アカウントであり、すべての権限が与えられています。 admin アカウントには、デフォルトのパスワードは割り当てられません。初期システム セットアップ時にパスワードを選択する必要があります。
管理者アカウントは常にアクティブで、有効期限がありません。 管理者アカウントを非アクティブに設定することはできません。
ローカル認証されたユーザ アカウント
ローカル認証されたユーザ アカウントは、シャーシによって直接認証され、admin 権限か AAA 権限を持つユーザが有効または無効にできます。 ローカル ユーザ アカウントが無効になっている場合、ユーザはログインできません。無効化されたローカル ユーザ アカウントの設定の詳細はデータベースから削除されません。 無効ローカル ユーザ アカウントを再度有効にすると、アカウントはユーザ名とパスワードを含め、既存のコンフィギュレーションで再びアクティブになります。
リモート認証されたユーザ アカウント
リモート認証されたユーザ アカウントとは、LDAP、RADIUS、または TACACS+ で認証されたユーザ アカウントです。
ユーザがローカル ユーザ アカウントとリモート ユーザ アカウントを同時に保持する場合、ローカル ユーザ アカウントで定義されたロールがリモート ユーザ アカウントに保持された値を上書きします。
ユーザ アカウントの有効期限
ユーザ アカウントは、事前に定義した時間に有効期限が切れるように設定できます。 有効期限の時間になると、ユーザ アカウントはディセーブルになります。
デフォルトでは、ユーザ アカウントの有効期限はありません。
ユーザ アカウントに有効期限日付を設定した後は、アカウントの有効期限をなくすよう再設定できません。 ただし、使用できる最新の有効期限日付でアカウントを設定することは可能です。
ユーザ名に関するガイドライン
ユーザ名は、Firepower Chassis Manager および FXOS CLI のログイン ID としても使用されます。 ユーザ アカウントにログイン ID を割り当てるときは、次のガイドラインおよび制約事項を考慮してください。
デフォルト ユーザ ロール
システムには、次のデフォルトのユーザ ロールが用意されています。
- 管理者
システム全体に対する完全な読み取りと書き込みのアクセス権。 デフォルトの admin アカウントは、デフォルトでこのロールが割り当てられ、変更はできません。
- Read-Only
システム設定に対する読み取り専用アクセス権。システム状態を変更する権限はありません。
ローカル認証されたユーザのパスワード プロファイル
パスワード プロファイルには、ローカル認証されたすべてのユーザのパスワード履歴やパスワード変更間隔プロパティが含まれます。 ローカル認証されたユーザのそれぞれに異なるパスワード プロファイルを指定することはできません。
Password History Count
パスワード履歴のカウントにより、ローカル認証されたユーザが何度も同じパスワードを再利用しないようにすることができます。 このプロパティが設定されている場合、Firepower シャーシは、ローカル認証されたユーザが以前に使用したパスワードを最大 15 個まで保存します。 パスワードは最近のものから時系列の逆順で格納され、履歴カウントがしきい値に達した場合に、最も古いパスワードだけを再利用可能にします。
あるパスワードが再利用可能になる前に、ユーザはパスワード履歴カウントで設定された数のパスワードを作成して使用する必要があります。 たとえば、パスワード履歴カウントを 8 に設定した場合、ローカル認証されたユーザは最初のパスワードを 9 番目のパスワードが期限切れになった後まで、最初のパスワードを再利用できません。
デフォルトでは、パスワード履歴は 0 に設定されます。 この値は、履歴のカウントをディセーブルにし、ユーザはいつでも前のパスワードを使用できます。
必要に応じて、ローカル認証されたユーザについてパスワード履歴カウントをクリアし、以前のパスワードの再利用をイネーブルにできます。
パスワード変更間隔
パスワード変更間隔は、ローカル認証されたユーザが特定の時間内に行えるパスワード変更回数を制限することができます。 次の表で、パスワード変更間隔の 2 つの設定オプションについて説明します。
間隔の設定 説明 例 パスワード変更不許可
このオプションでは、ローカル認証されたユーザは、パスワードの変更後、指定された時間内にはパスワードを変更できません。
1 ~ 745 時間の変更禁止間隔を指定できます。 デフォルトでは、変更禁止間隔は 24 時間です。
たとえば、ローカル認証されたユーザが 48 時間の間パスワードを変更できないようにする場合、次のように設定します。
変更間隔内のパスワード変更許可
このオプションは、ローカル認証されたユーザのパスワードを事前に定義された時間内に変更できる最大回数を指定します。
変更間隔を 1 ~ 745 時間で、パスワード変更の最大回数を 0 ~ 10 で指定できます。 デフォルトでは、ローカル認証されたユーザに対して、48 時間間隔内で最大 2 回のパスワード変更が許可されます。
たとえば、ローカル認証されたユーザがパスワードを変更した後 24 時間以内に 1 回まで変更できるようにする場合、次のように設定します。
ユーザ設定
手順
ステップ 1 を選択します。 ステップ 2 [Settings] タブをクリックします。 ステップ 3 次のフィールドに必要な情報を入力します。
名前 説明 リモート ログイン中にユーザが認証されるデフォルトの方法。 次のいずれかになります。
[Local]:ユーザ アカウントは、Firepower シャーシでローカルに定義する必要があります。
[Radius]:ユーザ アカウントは、Firepower シャーシに指定された RADIUS サーバで定義する必要があります。
[TACACS]:ユーザ アカウントは、Firepower シャーシに指定された TACACS+ サーバで定義する必要があります。
[LDAP]:ユーザ アカウントは、Firepower シャーシに指定された LDAP/MS-AD サーバで定義する必要があります。
[None]:ユーザ アカウントが Firepower シャーシに対してローカルである場合は、ユーザがリモート ログインするときにパスワードは必要ありません。
リモート ユーザ設定
[Remote User Role Policy]
ユーザがログインを試みたときに、リモート認証プロバイダーが認証情報を含むユーザ ロールを提供しない場合の動作を制御します。
ローカル ユーザ設定
[Password Strength Check] チェックボックス
オンにすると、すべてのローカル ユーザ パスワードは、次のパスワード セキュリティ要件に準拠する必要があります。
自分が以前に使用したパスワードを再使用する前にユーザが作成する必要がある、一意のパスワードの数。 履歴カウントは、最も新しいパスワードを先頭に時系列とは逆の順番で表示され、履歴カウントのしきい値に到達すると、最も古いパスワードのみが使用可能になります。
[History Count] フィールドを 0 に設定して履歴カウントをディセーブルにすると、ユーザは以前のパスワードをいつでも再使用できます。
ローカル認証されたユーザがパスワードを変更できるタイミングを制御します。 ここに表示される値は次のとおりです。
[Change Count] フィールドで指定したパスワード変更回数が適用される時間数。
たとえば、このフィールドが 48 に設定され、[Change Count] フィールドが 2 に設定されている場合、ローカル認証されたユーザは 48 時間以内に 2 回を超えるパスワード変更を実行することはできません。
ローカル認証されたユーザが、新しく作成したパスワードを変更する前に待機する最小時間数。
この間隔は、[Change During Interval] プロパティが [Disable] に設定されていない場合、無視されます。
ステップ 4 [Save(保存)] をクリックします。
ローカル ユーザ アカウントの作成
手順
ステップ 1 を選択します。 ステップ 2 [Local Users] タブをクリックします。 ステップ 3 [Add User] をクリックして [Add User] ダイアログボックスを開きます。 ステップ 4 ユーザに関して要求される情報を使用して、次のフィールドに値を入力します。
名前 説明 このアカウントにログインするときに使用されるアカウント名。 このアカウントは固有であるとともに、ユーザ アカウントに関する次のガイドラインと制約事項を満たしている必要があります。
ログイン ID には、次を含む 1 ~ 32 の文字を含めることができます。
ログイン ID は一意である必要があります。
ログイン ID は、英文字で開始する必要があります。 数字やアンダースコアなどの特殊文字からは開始できません。
ログイン ID では、大文字と小文字が区別されます。
すべて数字のログイン ID は作成できません。
ユーザ アカウントの作成後は、ログイン ID を変更できません。 ユーザ アカウントを削除し、新しいユーザ アカウントを作成する必要があります。
ユーザを保存した後は、ログイン ID を変更できません。 ユーザ アカウントを削除し、新しいユーザ アカウントを作成する必要があります。
このアカウントに関連付けられているパスワード。 パスワード強度チェックを有効化した場合は、ユーザ パスワードを強固なものにする必要があります。Firepower eXtensible Operating System は次の要件を満たしていないパスワードを拒否します。
ステータスが [Active] に設定されている場合、ユーザはこのログイン ID とパスワードを使用して Firepower Chassis Manager および FXOS CLI にログインできます。
[User Role] ドロップダウン リスト
ユーザ アカウントに割り当てる権限を表すロール。
- Admin
システム全体に対する完全な読み取りと書き込みのアクセス権。 デフォルトの admin アカウントは、デフォルトでこのロールが割り当てられ、変更はできません。
- Read-Only
システム設定に対する読み取り専用アクセス権。システム状態を変更する権限はありません。
オンにすると、このアカウントは [Expiration Date] フィールドで指定した日付に期限切れになり、それ以降は使用できなくなります。
(注) ユーザ アカウントに有効期限を設定した後、「有効期限なし」に再設定することはできません。 ただし、アカウントの有効期限を使用可能な最も遅い日付に設定することは可能です。
アカウントが期限切れになる日付。 日付の形式は yyyy-mm-dd です。
このフィールドの終端にあるカレンダー アイコンをクリックするとカレンダーが表示され、それを使用して期限日を選択できます。
ステップ 5 [Add] をクリックします。
ローカル ユーザ アカウントのアクティブ化または非アクティブ化
手順
ステップ 1 を選択します。 ステップ 2 [Local Users] タブをクリックします。 ステップ 3 アクティブ化または非アクティブ化するユーザ アカウントの行で、[Edit](鉛筆アイコン)をクリックします。 ステップ 4 [Edit User] ダイアログボックスで、次のいずれかを実行します。
ユーザ アカウントをアクティブ化するには、[Account Status] フィールドの [Active] オプション ボタンをクリックします。
ユーザ アカウントを非アクティブ化するには、[Account Status] フィールドの [Inactive] オプション ボタンをクリックします。
admin ユーザ アカウントは常にアクティブに設定されます。 変更はできません。
ステップ 5 [Save(保存)] をクリックします。