この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
ユーザ アカウントは、システムにアクセスするために使用されます。最大 48 のローカル ユーザ アカウントを設定できます。各ユーザ アカウントには、一意のユーザ名とパスワードが必要です。
管理者アカウントはデフォルト ユーザ アカウントであり、変更や削除はできません。このアカウントは、システム管理者またはスーパーユーザ アカウントであり、すべての権限が与えられています。admin アカウントには、デフォルトのパスワードは割り当てられません。初期システム セットアップ時にパスワードを選択する必要があります。
管理者アカウントは常にアクティブで、有効期限がありません。管理者アカウントを非アクティブに設定することはできません。
ローカル認証されたユーザ アカウントは、シャーシによって直接認証され、admin 権限か AAA 権限を持つユーザが有効または無効にできます。ローカル ユーザ アカウントが無効になっている場合、ユーザはログインできません。無効化されたローカル ユーザ アカウントの設定の詳細はデータベースから削除されません。無効ローカル ユーザ アカウントを再度有効にすると、アカウントはユーザ名とパスワードを含め、既存の設定で再びアクティブになります。
リモート認証されたユーザ アカウントとは、LDAP、RADIUS、または TACACS+ で認証されたユーザ アカウントです。
ユーザがローカル ユーザ アカウントとリモート ユーザ アカウントを同時に保持する場合、ローカル ユーザ アカウントで定義されたロールがリモート ユーザ アカウントに保持された値を上書きします。
リモート認証のガイドラインの詳細や、リモート認証プロバイダーの設定および削除方法については、次のトピックを参照してください。
ユーザ アカウントは、事前に定義した時間に有効期限が切れるように設定できます。有効期限の時間になると、ユーザ アカウントはディセーブルになります。
デフォルトでは、ユーザ アカウントの有効期限はありません。
ユーザ アカウントに有効期限日付を設定した後は、アカウントの有効期限をなくすよう再設定できません。ただし、使用できる最新の有効期限日付でアカウントを設定することは可能です。
ユーザ名は、Firepower Chassis Manager および FXOS CLI のログイン ID としても使用されます。ユーザ アカウントにログイン ID を割り当てるときは、次のガイドラインおよび制約事項を考慮してください。
ローカル認証された各ユーザ アカウントにパスワードが必要です。admin 権限または AAA 権限を持つユーザは、ユーザ パスワードのパスワード強度チェックを実行するようにシステムを設定できます。パスワード強度チェックをイネーブルにすると、各ユーザが強力なパスワードを使用する必要があります。
各ユーザが強力なパスワードを設定することを推奨します。ローカル認証されたユーザのパスワード強度チェックを有効化した場合、Firepower eXtensible Operating System は次の要件を満たしていないパスワードをすべて拒否します。
8 ~ 80 文字を含む。
(注) | コモン クライテリア要件に準拠するために、オプションでシステムの最小文字数 15 文字の長さのパスワードを設定できます。詳細については、最小パスワード長チェックの設定を参照してください。 |
アルファベットの大文字を少なくとも 1 文字含む。
アルファベットの小文字を少なくとも 1 文字含む。
英数字以外の文字(特殊文字)を少なくとも 1 文字含む。
aaabbb など連続して 3 回を超えて繰り返す文字を含まない。
passwordABC や password321 などの 3 つの連続した数字や文字をどのような順序であっても含まない。
ユーザ名と同一、またはユーザ名を逆にしたものではない。
パスワード ディクショナリ チェックに合格する。たとえば、パスワードには辞書に記載されている標準的な単語に基づいたものを指定することはできません。
次の記号を含まない。$(ドル記号)、? (疑問符)、=(等号)。
ローカル ユーザ アカウントおよび admin アカウントの場合は空白にしない。
システムを、サポートされているリモート認証サービスのいずれかに設定する場合は、そのサービス用のプロバイダーを作成して、Firepower 4100/9300 シャーシ がそのシステムと通信できるようにする必要があります。ユーザ認証に影響する注意事項は次のとおりです。
ユーザ アカウントは、Firepower 4100/9300 シャーシ にローカルに存在するか、またはリモート認証サーバに存在することができます。
リモート認証サービスを介してログインしているユーザの一時的なセッションを、Firepower Chassis Manager または FXOS CLI から表示できます。
リモート認証サーバでユーザ アカウントを作成する場合は、ユーザが Firepower 4100/9300 シャーシ で作業するために必要なロールをそれらのアカウントに含めること、およびそれらのロールの名前を FXOS で使用される名前と一致させることが必要です。ロール ポリシーによっては、ユーザがログインできない場合や読み取り専用権限しか付与されない場合があります。
RADIUS および TACAS+ 構成では、ユーザが Firepower Chassis Manager または FXOS CLI へのログインに使用する各リモート認証プロバイダーで Firepower 4100/9300 シャーシ 用のユーザ属性を設定する必要があります。このユーザ属性には、各ユーザに割り当てられたロールとロケールが含まれています。
ユーザがログインすると、FXOS は次を実行します。
リモート認証サービスに問い合わせます。
ユーザを検証します。
ユーザが検証されると、そのユーザに割り当てられているロールとロケールをチェックします。
次の表は、FXOS でサポートしているリモート認証プロバイダーのユーザ属性要件を比較したものです。
カスタム CiscoAVPair 属性のサンプル OID は、次のとおりです。
CN=CiscoAVPair,CN=Schema, CN=Configuration,CN=X objectClass: top objectClass: attributeSchema cn: CiscoAVPair distinguishedName: CN=CiscoAVPair,CN=Schema,CN=Configuration,CN=X instanceType: 0x4 uSNCreated: 26318654 attributeID: 1.3.6.1.4.1.9.287247.1 attributeSyntax: 2.5.5.12 isSingleValued: TRUE showInAdvancedViewOnly: TRUE adminDisplayName: CiscoAVPair adminDescription: UCS User Authorization Field oMSyntax: 64 lDAPDisplayName: CiscoAVPair name: CiscoAVPair objectCategory: CN=Attribute-Schema,CN=Schema,CN=Configuration,CN=X
システムには、次のユーザ ロールが用意されています。
システム全体に対する完全な読み取りと書き込みのアクセス権。デフォルトの admin アカウントは、デフォルトでこのロールが割り当てられ、変更はできません。
システム設定に対する読み取り専用アクセス権。システム状態を変更する権限はありません。
NTP の設定、Smart Licensing のための Smart Call Home の設定、システム ログ(syslog サーバとエラーを含む)に対する読み取りと書き込みのアクセス権。システムの残りの部分に対する読み取りアクセス権。
ユーザ、ロール、および AAA 設定に対する読み取りと書き込みのアクセス権。システムの残りの部分に対する読み取りアクセス権。
パスワード プロファイルには、ローカル認証されたすべてのユーザのパスワード履歴やパスワード変更間隔プロパティが含まれます。ローカル認証されたユーザのそれぞれに異なるパスワード プロファイルを指定することはできません。
パスワード履歴のカウントにより、ローカル認証されたユーザが何度も同じパスワードを再利用しないようにすることができます。このプロパティが設定されている場合、Firepower シャーシは、ローカル認証されたユーザが以前に使用したパスワードを最大 15 個まで保存します。パスワードは最近のものから時系列の逆順で格納され、履歴カウントがしきい値に達した場合に、最も古いパスワードだけを再利用可能にします。
あるパスワードが再利用可能になる前に、ユーザはパスワード履歴カウントで設定された数のパスワードを作成して使用する必要があります。たとえば、パスワード履歴カウントを 8 に設定した場合、ローカル認証されたユーザは最初のパスワードを 9 番目のパスワードが期限切れになった後まで、最初のパスワードを再利用できません。
デフォルトでは、パスワード履歴は 0 に設定されます。この値は、履歴のカウントをディセーブルにし、ユーザはいつでも前のパスワードを使用できます。
必要に応じて、ローカル認証されたユーザについてパスワード履歴カウントをクリアし、以前のパスワードの再利用をイネーブルにできます。
パスワード変更間隔は、ローカル認証されたユーザが特定の時間内に行えるパスワード変更回数を制限することができます。次の表で、パスワード変更間隔の 2 つの設定オプションについて説明します。
間隔の設定 | 説明 | 例 |
---|---|---|
パスワード変更不許可 |
このオプションでは、ローカル認証されたユーザは、パスワードの変更後、指定された時間内にはパスワードを変更できません。 1 ~ 745 時間の変更禁止間隔を指定できます。デフォルトでは、変更禁止間隔は 24 時間です。 |
たとえば、ローカル認証されたユーザが 48 時間の間パスワードを変更できないようにする場合、次のように設定します。 |
変更間隔内のパスワード変更許可 |
このオプションは、ローカル認証されたユーザのパスワードを事前に定義された時間内に変更できる最大回数を指定します。 変更間隔を 1 ~ 745 時間で、パスワード変更の最大回数を 0 ~ 10 で指定できます。デフォルトでは、ローカル認証されたユーザに対して、48 時間間隔内で最大 2 回のパスワード変更が許可されます。 |
たとえば、ローカル認証されたユーザがパスワードを変更した後 24 時間以内に 1 回まで変更できるようにする場合、次のように設定します。 |
ステップ 1 | を選択します。 | ||||||||||||||||||||||||
ステップ 2 | [Settings] タブをクリックします。 | ||||||||||||||||||||||||
ステップ 3 | 次のフィールドに必要な情報を入力します。
| ||||||||||||||||||||||||
ステップ 4 | [Save] をクリックします。 |
FXOS CLI を使用することにより、ユーザ アクティビティなしで経過可能な時間を指定できます。この時間が経過した後、Firepower 4100/9300 シャーシはユーザ セッションを閉じます。コンソール セッションと、HTTPS、SSH、および Telnet セッションとで、異なる設定を行うことができます。
タイムアウトとして 3600 秒(60 分)以下の値を設定できます。デフォルト値は 600 秒です。この設定を無効にするには、セッション タイムアウト値を 0 に設定します。
Firepower 4100/9300 シャーシには絶対セッション タイムアウト設定があり、セッションの使用状況に関係なく、絶対セッション タイムアウト期間が経過するとユーザ セッションは閉じられます。この絶対タイムアウト機能は、シリアル コンソール、SSH、HTTPS を含むすべての形式のアクセスに対してグローバルに適用されます。
シリアル コンソール セッションの絶対セッション タイムアウトを個別に設定できます。これにより、デバッグ ニーズに応えるシリアル コンソール絶対セッション タイムアウトは無効にしながら、他の形式のアクセスのタイムアウトは維持することができます。
絶対タイムアウト値のデフォルトは 3600 秒(60 分)であり、FXOS CLI を使用して変更できます。この設定を無効にするには、絶対セッション タイムアウト値を 0 に設定します。
ロックアウト前にユーザに許可されるログイン試行の最大回数を指定します。この回数を超えると、指定した時間だけ Firepower 4100/9300 シャーシからロックアウトされることになります。ユーザは、設定した最大回数を超えてログインを試行すると、システムからロックされます。ユーザがロックアウトされたことを示す通知は表示されません。これが起きると、ユーザは次にログインを試行できるようになるまで、指定された時間だけ待機する必要があります。
ログイン試行の最大数を設定するには、次の手順を実行します。
(注) |
|
このオプションは、システムのコモン クライテリア認定への準拠を取得するために提示される数の 1 つです。詳細については、セキュリティ認定準拠を参照してください。
ステップ 1 | FXOS CLI から、セキュリティ モードに入ります。
scopesystem scopesecurity |
ステップ 2 | 失敗できるログイン試行の最高回数を設定します。
setmax-login-attempts max_loginmax_login の値は、0 ~ 10 の範囲内の任意の整数です。 |
ステップ 3 | ログイン試行の最高回数に達した後、ユーザがシステムからロック アウトされる時間(秒単位)を指定します。
setuser-account-unlock-time unlock_time |
ステップ 4 | 設定をコミットします。
commit-buffer |
管理者ユーザは、失敗の回数が [Maximum Number of Login Attempts] CLI 設定で指定されたログイン最大試行回数を超えたら、Firepower 4100/9300 シャーシ からロックアウトされているユーザのロックアウト ステータスを表示およびクリアできます。詳細については、ログイン試行の最大回数の設定を参照してください。
ステップ 1 | FXOS CLI から、セキュリティ モードに入ります。
scopesystem scopesecurity |
ステップ 2 | 該当するユーザのユーザ情報(ロックアウト ステータスを含む)を次のように表示します。
Firepower-chassis /security # show local-user userdetail 例: Local User user: First Name: Last Name: Email: Phone: Expiration: Never Password: User lock status: Locked Account status: Active User Roles: Name: read-only User SSH public key: |
ステップ 3 | (任意)ユーザのロックアウト ステータスをクリアします。
Firepower-chassis /security # scope local-user user Firepower-chassis /security/local-user # clear lock-status |
最小パスワード長チェックを有効にした場合は、指定した最小文字を使用するパスワードを作成する必要があります。たとえば、min_length オプションを 15 に設定した場合、パスワードは 15 文字以上を使用して作成する必要があります。このオプションは、システムのコモン クライテリア認定への準拠のための数の 1 つです。詳細については、セキュリティ認定準拠を参照してください。
最小パスワード長チェックを設定するには、次の手順を実行します。
ステップ 1 | FXOS CLI から、セキュリティ モードに入ります。 |
ステップ 2 | scopesystem scopesecurity |
ステップ 3 | パスワード プロファイル セキュリティ モードを開始します。
scopepassword-profile |
ステップ 4 | パスワードの最小の長さを指定します。
setmin-password-length min_length |
ステップ 5 | 設定をコミットします。
commit-buffer |
ステップ 1 | を選択します。 | ||||||||||||||||||||||||||||
ステップ 2 | [Local Users] タブをクリックします。 | ||||||||||||||||||||||||||||
ステップ 3 | [Add User] をクリックして [Add User] ダイアログボックスを開きます。 | ||||||||||||||||||||||||||||
ステップ 4 | ユーザに関して要求される情報を使用して、次のフィールドに値を入力します。
| ||||||||||||||||||||||||||||
ステップ 5 | [Add] をクリックします。 |
ローカル ユーザ アカウントをアクティブ化または非アクティブ化できるのは、admin 権限または AAA 権限を持つユーザのみです。
次に、パスワード履歴を消去し、トランザクションを確定する例を示します。
Firepower-chassis # scope security Firepower-chassis /security # scope local-user admin Firepower-chassis /security/local-user # clear password-history Firepower-chassis /security/local-user* # commit-buffer Firepower-chassis /security/local-user #