管理者のユーザ名とパスワードの設定について
管理者のユーザ名とパスワードを設定しておくと、権限のないユーザによるコントローラの設定変更や設定情報の表示を防ぐことができます。この項では、初期設定とパスワード リカバリの手順を説明します。
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
管理者のユーザ名とパスワードの設定
管理者のユーザ名とパスワードを設定しておくと、権限のないユーザによるコントローラの設定変更や設定情報の表示を防ぐことができます。この項では、初期設定とパスワード リカバリの手順を説明します。
ステップ 1 |
を選択します。 |
ステップ 2 |
[New] をクリックします。 |
ステップ 3 |
ユーザ名およびパスワードを入力し、パスワードを確認します。 ユーザ名とパスワードは大文字と小文字が区別されます。いずれも、最大 24 文字の ASCII 文字列を使用できます。ユーザ名とパスワードにスペースを使用することはできません。 |
ステップ 4 |
[User Access Mode] として、次のいずれかを選択します。
|
ステップ 5 |
[Apply] をクリックします。 |
ステップ 1 |
次のいずれかのコマンドを入力して、ユーザ名とパスワードを設定します。
|
||
ステップ 2 |
次のコマンドを入力して、設定されているユーザのリストを表示します。 show mgmtuser |
ロビー アンバサダー アカウントの作成
ステップ 1 |
[Management] > [Local Management Users] の順に選択して、[Local Management Users] ページを開きます。 このページには、ローカル管理ユーザの名前やアクセス権限の一覧が表示されます。
|
||
ステップ 2 |
[New] をクリックして、ロビー アンバサダー アカウントを作成します。[Local Management Users > New] ページが表示されます。 |
||
ステップ 3 |
[User Name] テキスト ボックスに、ロビー アンバサダー アカウントのユーザ名を入力します。
|
||
ステップ 4 |
[Password] テキスト ボックスおよび [Confirm Password] テキスト ボックスに、ロビー アンバサダー アカウントのパスワードを入力します。
|
||
ステップ 5 |
[User Access Mode] ドロップダウン リストから [LobbyAdmin] を選択します。このオプションを使用すると、ロビー アンバサダーでゲスト ユーザ アカウントを生成できます。
|
||
ステップ 6 |
[Apply] をクリックして、変更を確定します。ローカル管理ユーザのリストに、新しいロビー アンバサダー アカウントが表示されます。 |
||
ステップ 7 |
[Save Configuration] をクリックして、変更を保存します。 |
ステップ 1 |
ユーザ名とパスワードを使用して、ロビー アンバサダーとしてコントローラにログインします。[Lobby Ambassador Guest Management > Guest Users List] ページが表示されます。 |
||||
ステップ 2 |
[New] をクリックして、ゲスト ユーザ アカウントを作成します。[Lobby Ambassador Guest Management > Guest Users List > New] ページが表示されます。 |
||||
ステップ 3 |
[User Name] テキスト ボックスに、ゲスト ユーザの名前を入力します。最大 24 文字を入力することができます。 |
||||
ステップ 4 |
次のいずれかの操作を行います。
|
||||
ステップ 5 |
[Lifetime] ドロップダウン リストから、このゲスト ユーザ アカウントをアクティブにする時間(日数、時間数、分数、秒数)を選択します。4 つのテキスト ボックスの値をすべてゼロ(0)にすると、永続的なアカウントとなります。 デフォルト:1 日 範囲:5 分から 30 日
|
||||
ステップ 6 |
[WLAN SSID] ドロップダウン リストから、ゲスト ユーザが使用する SSID を選択します。表示された WLAN だけが、レイヤ 3 の Web 認証が設定された WLAN です。
|
||||
ステップ 7 |
[Description] テキスト ボックスに、ゲスト ユーザ アカウントの説明を入力します。最大 32 文字を入力することができます。 |
||||
ステップ 8 |
[Apply] をクリックして、変更を確定します。新しいゲスト ユーザ アカウントが、[Guest Users List] ページのゲスト ユーザ リストに表示されます。 このページから、すべてのゲスト ユーザ アカウント、それぞれの WLAN SSID およびライフタイムを表示できます。また、ゲスト ユーザ アカウントを編集、または削除することができます。ゲスト ユーザ アカウントを削除する場合、ゲスト WLAN を使用し、そのアカウントのユーザ名を使用してログインしているクライアントはすべて削除されます。 |
||||
ステップ 9 |
新しいゲスト ユーザ アカウントを作成するには、この手順を繰り返します。 |
ゲスト ユーザ アカウントの設定
コントローラは、ゲスト ユーザ アカウントを作成する必要がある WLAN に対するゲスト ユーザ アクセスを提供できます。ゲスト ユーザ アカウントはネットワーク管理者が作成できます。 また、要求に応じて、管理者以外にゲスト ユーザ アカウントを作成させたい場合は、ロビー管理者アカウントを使用して行うことができます。ロビー アンバサダーの設定権限は限定的で、ゲスト ユーザ アカウントの管理に使用する Web ページだけにアクセスできます。
ロビー アンバサダーは、ゲスト ユーザ アカウントを利用できる時間を指定できます。指定した時間を経過すると、ゲスト ユーザ アカウントは、自動的に無効になります。
ローカル ユーザ データベースは、最大エントリ数が 12000(デフォルト値)に制限されています。データベースは、ローカル管理ユーザ(ロビー アンバサダーを含む)、ローカル ネットワーク ユーザ(ゲスト ユーザを含む)、MAC フィルタ エントリ、除外リスト エントリ、およびアクセス ポイントの認可リスト エントリで共有します。これらを合わせて、設定されている最大値を超えることはできません。
ネット ユーザ アカウントまたはゲスト ユーザ アカウント用に、次の特殊文字が英数字とともに許可されています。~、@、#、$、%、^、&、(、)、!、_、-、`、.、[、]、=、+、*、:、;、{、}、,、/、および \。
ゲスト ユーザ アカウントの表示
を選択します。[Local Net Users] ページが表示されます。 このページから、すべてのローカル ネット ユーザ アカウント(ゲスト ユーザ アカウントを含む)を表示し、必要に応じて編集または削除することができます。ゲスト ユーザ アカウントを削除する場合、ゲスト WLAN を使用し、そのアカウントのユーザ名を使用してログインしているクライアントはすべて削除されます。 |
コマンドまたはアクション | 目的 |
---|---|
コントローラ CLI を使用して、すべてのローカル ネット ユーザ アカウント(ゲスト ユーザ アカウントを含む)を表示するには、次のコマンドを入力します。 |
show netuser summary |
クライアントのホワイトリスト化
大学のような場所では、複数のデバイスで多くのゲストを受け入れます。そのため、不正利用や不正アクセスからネットワークを保護し、正当なクライアントがネットワークに接続できるようにすることが重要になっています。クライアントの登録や登録解除は、定期的に実行する退屈で時間がかかる作業です。そのため、よりシンプルなソリューションが求められます。
この機能は、MAC アドレスに基づいた特定の WLAN または SSID でのクライアントのホワイトリスト化のニーズに対応します。この機能の目的は、WLAN の MAC フィルタリング オプション、ロビー管理者ユーザの追加、WLAN でホワイトリスト化されたクライアントのリストを保存するための AAA DB の再利用など、既存の機能を再利用することにあります。
次の 2 種類の管理者が機能管理を管理します。
グローバル管理者:WLC でロビー管理者ユーザを作成し、WLAN でのロビー管理者アクセス権を有効にします。
ロビー管理者:GUI インターフェイスだけを使用して WLAN または SSID への関連付けを管理するために、ホワイトリストからクライアントを追加または削除します。既存のロビー管理者も、ホワイトリストを設定するために使用できます。
Cisco vWLC の場合、AAA データベースは 2048 エントリまでに制限されています。
Cisco 5520、 3504、 および 8540 WLC の場合、AAA データベースのサイズは 12000 エントリまで増えます。
MAC アドレスは、複数の WLAN または SSID に登録することはできません。
ロビー管理者は、GUI インターフェイスを使用してのみ設定できます。
(注) |
AAA データベースは、以下の間で共有されます。
|
この項では、グローバル管理者によるゲスト ユーザとホワイトリストのユーザの管理用に、WLC でロビー管理者を作成または削除する手順について説明します。
ステップ 1 |
を選択します。 |
ステップ 2 |
[Local Management Users] セクションで、ロビー管理者を追加します。
|
WLAN でロビー管理アクセスを設定します。
ステップ 1 |
次のコマンドを入力して、WLC にローカル ロビー管理者を追加します。 config mgmtuser add username password lobby-admin |
ステップ 2 |
次のコマンドを入力して、WLAN でのロビー管理者アクセスを有効または無効にします。 config wlan lobby-admin-access { enable | disable } wlan-id |
グローバル管理者は、次のコマンドを使用してクライアントのホワイトリストを設定できます。
ステップ 1 |
次のコマンドを入力して、WLAN ロビーのアクセス ステータスを表示します。 show wlan lobby-admin-access |
||
ステップ 2 |
次のコマンドを入力して、WLAN の関連クライアント リストを表示します。 show client wlan wlan-id |
||
ステップ 3 |
次のコマンドを入力して、選択したクライアントまたはホワイトリスト グループのすべてのクライアントを追加します。 config mac-filter add mac-address wlan-id interface description
|
||
ステップ 4 |
次のコマンドを入力して、選択したクライアントまたはホワイトリスト グループの選択したすべてのクライアントを削除します。 config mac-filter delete mac-addr |
||
ステップ 5 |
次のコマンドを入力して、すべての WLAN のすべての MAC フィルタ エントリのサマリを表示します。 show macfilter summary |
||
ステップ 6 |
次のコマンドを入力して、特定の WLAN のすべての MAC フィルタ エントリのリストを表示します。 show macfilter wlan wlan-id |
||
ステップ 7 |
次のコマンドを入力して、WLAN の MAC フィルタリングを有効または無効にします。 config wlan mac-filtering { enable | disable } wlan-id |
この項では、WLAN のロビー管理者を有効にする手順について説明します。
ステップ 1 |
タブを選択します。 |
ステップ 2 |
[Lobby Admin Access] チェック ボックスをオンにします。 |
ステップ 3 |
[Apply] をクリックします。 |
この項では、ロビー管理者が WLAN に有効なユーザのホワイトリストを WLAN に作成するために使用できるいくつかの方法を説明します。
ロビー管理者は、必要な WLAN においてコンフィギュレーション モードである必要があります。
特定の SSID にデバイスを接続するように対象ユーザに通知します。
ステップ 1 |
ロビー管理者としてコントローラにログインします。 |
ステップ 2 |
[White List Users] を選択します。 |
ステップ 3 |
ホワイトリストを適用する必要がある WLAN をドロップダウンリストから選択します。 |
ステップ 4 |
[Config Mode] を選択します。 |
ステップ 5 |
[Apply] をクリックします。 |
ステップ 6 |
[Filter by] をクリックします。 AP 名を選択し、AP 名を入力します。 |
ステップ 7 |
[Search] アイコンをクリックします。 結果には、選択した AP に接続されているクライアントが表示されます。 |
ステップ 8 |
[Select All] チェックボックスをオンにします。 表示されたすべてのクライアントが選択されます。 |
ステップ 9 |
[Description] フィールドに説明を入力します。 管理を簡単にするため、このリストにアイデンティ タグを入力します。 |
ステップ 10 |
[Add] をクリックします。 |
ステップ 11 |
[Running Mode] を選択します。 |
ステップ 12 |
[Apply] をクリックします。 |
無線が再起動して、新しい WLAN の設定が有効になります。
ホワイトリスト内のクライアントの関連付けだけが継続され、残りのクライアントは AP から関連付けを解除されます。
ステップ 1 |
ロビー アンバサダとしてコントローラにログインします。 |
||
ステップ 2 |
[White List Users] を選択します。 |
||
ステップ 3 |
ホワイトリストを適用する必要がある WLAN をドロップダウンリストから選択します。 |
||
ステップ 4 |
MAC アドレスを入力します。 |
||
ステップ 5 |
説明を入力します。 |
||
ステップ 6 |
[Add] をクリックします。
|
ステップ 1 |
ロビー アンバサダとしてコントローラにログインします。 |
ステップ 2 |
[White List Users] を選択します。 |
ステップ 3 |
ホワイトリストを適用する必要がある WLAN をドロップダウンリストから選択します。 |
ステップ 4 |
[Config Mode] ラジオボタンをクリックします。 |
ステップ 5 |
[Apply] をクリックします。 |
ステップ 6 |
[Upload CSV file] チェックボックスをオンにします。 |
ステップ 7 |
[Browse File] をクリックします。 |
ステップ 8 |
インポートする CSV ファイルを選択します。 ダイアログ ボックスで [OK] をクリックします。 |
ステップ 9 |
[Add] をクリックします。 |
1 つの MAC アドレスを削除するか、またはホワイトリストから一括で削除することができます。
ステップ 1 |
ロビー管理者としてコントローラにログインします。 |
ステップ 2 |
[White List Users] を選択します。 |
ステップ 3 |
ドロップダウンリストから WLAN を選択してホワイトリストを取得します。 |
ステップ 4 |
次の削除方法のいずれかを選択します。
|
パスワード ポリシー
パスワード ポリシーを使用すると、コントローラおよびアクセス ポイントの追加管理ユーザ用に新しく作成されたパスワードに対し、強力なパスワード チェックを適用できます。新規パスワードには次の要件が適用されます。
コントローラが旧バージョンからアップグレードされた場合、古いパスワードはすべて現状のまま維持されます。ただし、パスワードの強度は低下します。システムのアップグレード後、強力なパスワード チェックが有効になると、それ以降は強力なパスワード チェックが適用され、以前に追加されたパスワードの強度のチェックまたは変更は行われません。
[Password Policy] ページで設定された内容によっては、ローカル管理ユーザおよびアクセス ポイント ユーザの設定が影響を受けます。
WLAN-CC 要件に基づいた強力なパスワード要件は、WLAN 管理者ログイン パスワードにのみ適用され、AP 管理パスワードには適用できません。
シリアル接続またはターミナル サーバ接続経由で Cisco WLC へのアクセスを試み、試行回数に制限がない場合、強力なパスワード:ロックアウト機能は適用されません。
ステップ 1 |
[Security] > [AAA] > [Password Policies] の順に選択して、[Password Policies] ページを開きます。 |
ステップ 2 |
小文字、大文字、数字、特殊文字の中から少なくとも 3 種類の文字をパスワードに含める場合は、[Password must contain characters from at least 3 different classes] チェックボックスをオンにします。 |
ステップ 3 |
新規パスワード内で同じ文字が 4 回以上連続して繰り返されないようにするには、[No character can be repeated more than 3 times consecutively] チェックボックスをオンにします。 |
ステップ 4 |
パスワードに Cisco、ocsic、admin、nimda や、大文字と小文字を変更したり、1、|、または ! を代用したり、o の代わりに 0 や、s の代わりに $ を使用したりするだけの変形文字列をパスワードに含めないようにするには、[Password cannot be the default words like cisco, admin] チェックボックスをオンにします。 |
ステップ 5 |
パスワードにユーザ名またはユーザ名を逆にした文字を含めないようにするには、[Password cannot contain username or reverse of username] チェックボックスをオンにします。 |
ステップ 6 |
[Apply] をクリックして、変更を確定します。 |
ステップ 7 |
[Save Configuration] をクリックして、変更を保存します。 |