パスワードおよび権限によるスイッチ アクセスの制御の制約事項
パスワードおよび権限によるスイッチ アクセスの制御の制約事項は、次のとおりです。
-
boot manual グローバル コンフィギュレーション コマンドを使用して、スイッチを手動で起動するように設定している場合は、パスワード回復をディセーブルにできません。このコマンドは、スイッチの電源の再投入後、ブートローダ プロンプト(switch:)を表示させます。
可逆的パスワードタイプの制約事項とガイドライン
-
パスワードタイプ 0 および 7 は、パスワードタイプ 6 に置き換えられます。したがって、コンソール、Telnet、SSH、WebUI、NETCONF への管理者ログインに使用されるパスワードタイプ 0 およびタイプ 7 は、パスワードタイプ 6 に移行する必要があります。CHAP、EAP などのローカル認証でユーザー名とパスワードがタイプ 0 およびタイプ 7 の場合、アクションは不要です。
-
スタートアップ コンフィギュレーションにタイプ 6 のパスワードがあり、タイプ 6 のパスワードがサポートされていないバージョンにダウングレードすると、デバイスからロックアウトされる可能性があります。
不可逆的パスワードタイプの制約事項とガイドライン
-
ユーザ名シークレット パスワード タイプ 5 およびイネーブル シークレット パスワード タイプ 5 は、より強力なパスワードタイプ 8 または 9 に移行する必要があります。詳細については、「暗号化によるイネーブルおよびイネーブル シークレット パスワードの保護」を参照してください。
-
デバイスのスタートアップ コンフィギュレーションに複雑なタイプ 9 シークレット($14$ で始まるパスワード)がある場合、ダウングレードは複雑なタイプ 9 シークレットがサポートされているリリースでのみ実行できます。複雑なタイプ 9 シークレットは、Cisco IOS XE Gibraltar 16.11.2 以降のリリースでサポートされます。スタートアップ コンフィギュレーションに複雑なタイプ 9 シークレットが含まれており、Cisco IOS XE Gibraltar 16.11.2 より前のリリースにダウングレードすると、デバイスからロックアウトされます。
複雑なタイプ 9 シークレットがサポートされていないリリースにダウングレードする前に、複雑なタイプ 9 シークレット($14$ で始まるパスワード)またはタイプ 5 シークレット($1$ で始まるパスワード)ではなく、タイプ 9 シークレット($9$ で始まるパスワード)がスタートアップ コンフィギュレーションに含まれていることを確認します。
デバイスが、Cisco IOS XE Fuji 16.9.x、Cisco IOS XE Gibraltar 16.10.x、または Cisco IOS XE Gibraltar 16.11.x から Cisco IOS XE Gibraltar 16.12.x へアップグレードされると、タイプ 5 シークレットは複雑なタイプ 9 シークレット($14$ で始まるパスワード)に自動変換されます。たとえば、
username user1 secret 5 $1$dNmW$7jWhqdtZ2qBVz2R4CSZZC0
はusername user1 secret 9 $14$dNmW$QykGZEEGmiEGrE$C9D/fD0czicOtgaZAa1CTa2sgygi0Leyw3/cLqPY426
に自動変換されます。デバイスがアップグレードされたら、特権 EXEC モードで write memory コマンドを実行し、複雑なタイプ 9 シークレットをスタートアップ コンフィギュレーションに永続的に書き込みます。 -
プレーンテキストパスワードは、不可逆的暗号化パスワードタイプ 9 に変換されます。
(注)
これは、Cisco IOS XE Gibraltar 16.10.1 以降のリリースでサポートされています。
-
シークレット パスワード タイプ 4 はサポートされていません。