管理リモート アクセスの設定
ここでは、ASDM 用の ASA アクセス、Telnet または SSH、およびログイン バナーなどのその他のパラメータの設定方法について説明します。
SSH アクセスの設定
クライアント IP アドレスを指定して、ASA に SSH を使用して接続できるユーザを定義するには、次の手順を実行します。次のガイドラインを参照してください。
-
また、ASA インターフェイスに SSH アクセスの目的でアクセスするために、ホスト IP アドレスを許可するアクセス ルールは必要ありません。このセクションの手順に従って、SSH アクセスを設定する必要があるだけです。
-
ASA への通過ルートとなるインターフェイス以外のインターフェイスへの SSH アクセスはサポートされません。たとえば、SSH ホストが外部インターフェイスにある場合、外部インターフェイスへの直接管理接続のみ開始できます。このルールの例外は、VPN 接続を介した場合のみです。VPN トンネルを介した管理アクセスの設定を参照してください。
-
ASA は、コンテキスト/単一のモードあたり最大 5 つの同時 SSH 接続と、すべてのコンテキストにまたがり分散された最大 100 の接続を許容します。
-
(8.4 以降)SSH デフォルト ユーザ名はサポートされなくなりました。pix または asa ユーザ名とログイン パスワードで SSH を使用して ASA に接続することができなくなりました。SSH を使用するには、aaa authentication ssh console LOCAL コマンドを使用して AAA 認証を設定してから、username コマンドを入力してローカル ユーザを定義します。ローカル データベースの代わりに AAA サーバを認証に使用する場合、ローカル認証もバックアップの手段として設定しておくことをお勧めします。
-
SSH バージョン 2 のみがサポートされます。
始める前に
-
マルチ コンテキスト モードでは、コンテキスト実行スペースで次の手順を実行します。システムからコンテキスト コンフィギュレーションに変更するには、changeto context name を入力します。
手順
ステップ 1 |
SSH に必要な RSA キー ペアを生成します(物理 ASA の場合のみ)。 例:
ASAv の場合、RSA キー ペアは導入後に自動的に作成されます。 係数の値(ビット単位)は 512、768、1024、2048、3072、または 4096 です。指定するキー係数のサイズが大きいほど、RSA キー ペアの生成にかかる時間は長くなります。2048 文字以上の値を推奨します。 |
ステップ 2 |
RSA キーを永続的なフラッシュ メモリに保存します。 write memory 例:
|
ステップ 3 |
SSH アクセスに使用できるユーザをローカル データベースに作成します。ユーザ アクセスに AAA サーバを使用することもできますが、ローカル ユーザ名の使用を推奨します。 username name [ password password] privilege level 例:
デフォルトの特権レベルは 2 です。0 ~ 15 の範囲でレベルを入力します。15 を指定すると、すべての特権を使用できます。ユーザにパスワード認証ではなく公開キー認証(ssh authentication )を強制する場合は、パスワードなしでユーザを作成することを推奨します。username コマンドで公開キー認証およびパスワードの両方を設定した場合、ユーザはいずれの方法でもログインできます(この手順で AAA 認証を明示的に設定した場合)。注:ユーザ名とパスワードを作成しなければならないという事態を回避するため、username コマンド nopassword オプションnopassword オプションでは、任意のパスワードを入力できますが、パスワードなしは不可能です。 |
ステップ 4 |
(任意) パスワード認証ではなく公開キー認証のみ、またはこれら両方の認証をユーザに許可し、ASA で公開キーを入力します。 username name attributes ssh authentication {pkf | publickey key} 例:
ローカル username の場合、パスワード認証ではなく公開キー認証のみ、またはこれら両方の認証を有効にできます。SSH-RSA raw キー(証明書なし)を生成可能な任意の SSH キー生成ソフトウェア(ssh keygen など)を使用して、公開キー/秘密キーのペアを生成できます。ASA で公開キーを入力します。その後、SSH クライアントは秘密キー(およびキー ペアを作成するために使用したパスフレーズ)を使用して ASA に接続します。 pkf キーの場合、PKF でフォーマットされたキーを最大 4096 ビット貼り付けるよう求められます。Base64 形式では大きすぎてインラインで貼り付けることができないキーにはこのフォーマットを使用します。たとえば、ssh keygen を使って 4096 ビットのキーを生成してから PKF に変換し、そのキーに対して pkf キーワードが求められるようにすることができます。注: フェールオーバーで pkf オプションを使用することはできますが、PKF キーは、スタンバイ システムに自動的に複製されません。PKF キーを同期するには、write standby コマンドを入力する必要があります。 publickey キー の場合、これは Base64 でエンコードされた公開キーのことです。SSH-RSA raw キー(証明書なし)を生成可能な任意の SSH キー生成ソフトウェア(ssh keygen など)を使用して、キーを生成できます。 |
ステップ 5 |
(パスワード アクセスの場合)SSH アクセスのためにローカル(または AAA サーバ)認証を有効にします。 aaa authentication ssh console {LOCAL | server_group [LOCAL]} 例:
このコマンドは、ssh authentication コマンドでのユーザ名のローカル公開キー認証には影響しません。ASA では、公開キー認証に対し、ローカル データベースを暗黙的に使用します。このコマンドは、ユーザ名とパスワードにのみ影響します。ローカル ユーザが公開キー認証またはパスワードを使用できるようにするには、パスワード アクセスを有効にするため、このコマンドで明示的にローカル認証を設定する必要があります。 |
ステップ 6 |
ASA がアドレスまたはサブネットごとに接続を受け入れる IP アドレスと、SSH を使用可能なインターフェイスを特定します。 ssh source_IP_address mask source_interface
Telnet と異なり、SSH は最も低いセキュリティ レベルのインターフェイスで実行できます。 例:
|
ステップ 7 |
(任意) ASA がセッションを切断するまでに SSH がアイドル状態を維持する時間の長さを設定します。 ssh timeout minutes 例:
タイムアウトは 1 ~ 60 分に設定します。デフォルトは 5 分です。デフォルトの期間では一般に短すぎるので、実働前のテストとトラブルシューティングがすべて完了するまでは、長めに設定しておいてください。 |
ステップ 8 |
(任意) SSH 暗号の暗号化アルゴリズムを設定します。 ssh cipher encryption {all | fips | high | low | medium | custom colon-delimited_list_of_encryption_ciphers} 例:
デフォルトは medium です。
|
ステップ 9 |
(任意) SSH 暗号の整合性アルゴリズムを設定します。 ssh cipher integrity {all | fips | high | low | medium | custom colon-delimited_list_of_integrity_ciphers} 例:
デフォルトは high です。
|
ステップ 10 |
(任意) Diffie-Hellman(DH)キー交換モードを設定します。 ssh key-exchange group {dh-group1-sha1 | dh-group14-sha1 | dh-group14-sha256} 例:
デフォルトは dh-group14-sha256 DH キー交換では、いずれの当事者も単独では決定できない共有秘密を使用します。キー交換を署名およびホスト キーと組み合わせることで、ホスト認証が実現します。このキー交換方式により、明示的なサーバ認証が可能となります。DH キー交換の使用方法の詳細については、RFC 4253 を参照してください。 |
例
次に、PKF 形式のキーを使用して認証する例を示します。
ciscoasa(config)# crypto key generate rsa modulus 4096
ciscoasa(config)# write memory
ciscoasa(config)# username exampleuser1 password examplepassword1 privilege 15
ciscoasa(config)# username exampleuser1 attributes
ciscoasa(config-username)# ssh authentication pkf
Enter an SSH public key formatted file.
End with the word "quit" on a line by itself:
---- BEGIN SSH2 PUBLIC KEY ----
Comment: "4096-bit RSA, converted by xxx@xxx from OpenSSH"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---- END SSH2 PUBLIC KEY ----
quit
INFO: Import of an SSH public key formatted file SUCCEEDED.
ciscoasa(config)# ssh 192.168.1.2 255.255.255.255 inside
次の例では、Linux または Macintosh システムの SSH の共有キーを生成して、ASA にインポートします。
-
コンピュータで 4096 ビットの ssh-rsa 公開キーおよび秘密キーを生成します。
jcrichton-mac:~ john$ ssh-keygen -b 4096 Generating public/private rsa key pair. Enter file in which to save the key (/Users/john/.ssh/id_rsa): /Users/john/.ssh/id_rsa already exists. Overwrite (y/n)? y Enter passphrase (empty for no passphrase): pa$$phrase Enter same passphrase again: pa$$phrase Your identification has been saved in /Users/john/.ssh/id_rsa. Your public key has been saved in /Users/john/.ssh/id_rsa.pub. The key fingerprint is: c0:0a:a2:3c:99:fc:00:62:f1:ee:fa:f8:ef:70:c1:f9 john@jcrichton-mac The key's randomart image is: +--[ RSA 4096]----+ | . | | o . | |+... o | |B.+..... | |.B ..+ S | | = o | | + . E | | o o | | ooooo | +-----------------+
-
PKF 形式にキーを変換します。
jcrichton-mac:~ john$ cd .ssh jcrichton-mac:.ssh john$ ssh-keygen -e -f id_rsa.pub ---- BEGIN SSH2 PUBLIC KEY ---- Comment: "4096-bit RSA, converted by ramona@rboersma-mac from OpenSSH" AAAAB3NzaC1yc2EAAAADAQABAAACAQDNUvkgza37lB/Q/fljpLAv1BbyAd5PJCJXh/U4LO hleR/qgIROjpnDaS7Az8/+sjHmq0qXC5TXkzWihvRZbhefyPhPHCi0hIt4oUF2ZbXESA/8 jUT4ehXIUE7FrChffBBtbD4d9FkV8A2gwZCDJBxEM26ocbZCSTx9QC//wt6E/zRcdoqiJG p4ECEdDaM+56l+yf73NUigO7wYkqcrzjmI1rZRDLVcqtj8Q9qD3MqsV+PkJGSGiqZwnyIl QbfYxXHU9wLdWxhUbA/xOjJuZ15TQMa7KLs2u+RtrpQgeTGTffIh6O+xKh93gwTgzaZTK4 CQ1kuMrRdNRzza0byLeYPtSlv6Lv6F6dGtwlqrX5a+w/tV/aw9WUg/rapekKloz3tsPTDe p866AFzU+Z7pVR1389iNuNJHQS7IUA2m0cciIuCM2we/tVqMPYJl+xgKAkuHDkBlMS4i8b Wzyd+4EUMDGGZVeO+corKTLWFO1wIUieRkrUaCzjComGYZdzrQT2mXBcSKQNWlSCBpCHsk /r5uTGnKpCNWfL7vd/sRCHyHKsxjsXR15C/5zgHmCTAaGOuIq0Rjo34+61+70PCtYXebxM Wwm19e3eH2PudZd+rj1dedfr2/IrislEBRJWGLoR/N+xsvwVVM1Qqw1uL4r99CbZF9NghY NRxCQOY/7K77IQ== ---- END SSH2 PUBLIC KEY ---- jcrichton-mac:.ssh john$
-
キーをクリップボードにコピーします。
-
ASA CLI に接続し、公開キーをユーザ名に追加します。
ciscoasa(config)# username test attributes ciscoasa(config-username)# ssh authentication pkf Enter an SSH public key formatted file. End with the word "quit" on a line by itself: ---- BEGIN SSH2 PUBLIC KEY ---- Comment: "4096-bit RSA, converted by ramona@rboersma-mac from OpenSSH" AAAAB3NzaC1yc2EAAAADAQABAAACAQDNUvkgza37lB/Q/fljpLAv1BbyAd5PJCJXh/U4LO hleR/qgIROjpnDaS7Az8/+sjHmq0qXC5TXkzWihvRZbhefyPhPHCi0hIt4oUF2ZbXESA/8 jUT4ehXIUE7FrChffBBtbD4d9FkV8A2gwZCDJBxEM26ocbZCSTx9QC//wt6E/zRcdoqiJG p4ECEdDaM+56l+yf73NUigO7wYkqcrzjmI1rZRDLVcqtj8Q9qD3MqsV+PkJGSGiqZwnyIl QbfYxXHU9wLdWxhUbA/xOjJuZ15TQMa7KLs2u+RtrpQgeTGTffIh6O+xKh93gwTgzaZTK4 CQ1kuMrRdNRzza0byLeYPtSlv6Lv6F6dGtwlqrX5a+w/tV/aw9WUg/rapekKloz3tsPTDe p866AFzU+Z7pVR1389iNuNJHQS7IUA2m0cciIuCM2we/tVqMPYJl+xgKAkuHDkBlMS4i8b Wzyd+4EUMDGGZVeO+corKTLWFO1wIUieRkrUaCzjComGYZdzrQT2mXBcSKQNWlSCBpCHsk /r5uTGnKpCNWfL7vd/sRCHyHKsxjsXR15C/5zgHmCTAaGOuIq0Rjo34+61+70PCtYXebxM Wwm19e3eH2PudZd+rj1dedfr2/IrislEBRJWGLoR/N+xsvwVVM1Qqw1uL4r99CbZF9NghY NRxCQOY/7K77IQ== ---- END SSH2 PUBLIC KEY ---- quit INFO: Import of an SSH public key formatted file completed successfully.
-
ユーザが ASA に SSH できることを確認(テスト)します。
jcrichton-mac:.ssh john$ ssh test@10.86.118.5 The authenticity of host '10.86.118.5 (10.86.118.5)' can't be established. RSA key fingerprint is 39:ca:ed:a8:75:5b:cc:8e:e2:1d:96:2b:93:b5:69:94. Are you sure you want to continue connecting (yes/no)? yes
次のダイアログボックスが、パスフレーズを入力するために表示されます。
一方、端末セッションでは、以下が表示されます。
Warning: Permanently added '10.86.118.5' (RSA) to the list of known hosts. Identity added: /Users/john/.ssh/id_rsa (/Users/john/.ssh/id_rsa) Type help or '?' for a list of available commands. asa>
Telnet アクセスの設定
Telnet を使用して ASA にアクセス可能なクライアント IP アドレスを指定するには、次の手順を実行します。次のガイドラインを参照してください。
-
また、ASA インターフェイスに Telnet アクセスの目的でアクセスするために、ホスト IP アドレスを許可するアクセス ルールは必要ありません。このセクションの手順に従って、Telnet アクセスを設定する必要があるだけです。
-
ASA への通過ルートとなるインターフェイス以外のインターフェイスへの Telnet アクセスはサポートされません。たとえば、Telnet ホストが外部インターフェイスにある場合、外部インターフェイスへの直接 Telnet 接続のみ開始できます。このルールの例外は、VPN 接続を介した場合のみです。VPN トンネルを介した管理アクセスの設定を参照してください。
-
VPN トンネル内で Telnet を使用する場合を除き、最も低いセキュリティ インターフェイスに対して Telnet は使用できません。
-
ASA は、コンテキスト/単一のモードあたり最大 5 つの同時 Telnet 接続と、すべてのコンテキストにまたがり分散された最大 100 の接続を許容します。
始める前に
-
マルチ コンテキスト モードでは、コンテキスト実行スペースで次の手順を実行します。システムからコンテキスト コンフィギュレーションに変更するには、changeto context name を入力します。
-
Telnet を使用して ASA CLI にアクセスするには、password コマンドで設定した ログイン パスワードを入力します。Telnet を使用する前に手動でパスワードを設定する必要があります。
手順
ステップ 1 |
ASA が指定したインターフェイスのアドレスまたはサブネットごとに接続を受け入れる IP アドレスを特定します。
インターフェイスが 1 つしかない場合は、インターフェイスのセキュリティ レベルが 100 である限り、そのインターフェイスにアクセスするように Telnet を設定することができます。 例:
|
ステップ 2 |
ASA がセッションを切断するまで Telnet セッションがアイドル状態を維持する時間の長さを設定します。 telnet timeout minutes 例:
タイムアウトは 1 ~ 1440 分に設定します。デフォルトは 5 分です。デフォルトの期間では一般に短すぎるので、実働前のテストとトラブルシューティングがすべて完了するまでは、長めに設定しておいてください。 |
例
次の例は、アドレスが 192.168.1.2 の内部インターフェイスのホストで ASA にアクセスする方法を示しています。
ciscoasa(config)# telnet 192.168.1.2 255.255.255.255 inside
次の例は、192.168.3.0 のネットワーク上のすべてのユーザが内部インターフェイス上の ASA にアクセスできるようにする方法を示しています。
ciscoasa(config)# telnet 192.168.3.0. 255.255.255.255 inside
ASDM、その他のクライアントの HTTPS アクセスの設定
ASDM または CSM などの他の HTTPS クライアントを使用するには、HTTPS サーバを有効にし、ASA への HTTPS 接続を許可する必要があります。HTTPS アクセスは工場出荷時のデフォルト設定の一部として有効化されています。HTTPS アクセスを設定するには、次のステップを実行します。次のガイドラインを参照してください。
-
また、ASA インターフェイスに HTTPS アクセスの目的でアクセスするために、ホスト IP アドレスを許可するアクセス ルールは必要ありません。このセクションの手順に従って、HTTPS アクセスを設定する必要があるだけです。ただし、HTTP リダイレクトを設定して HTTP 接続を HTTPS に自動的にリダイレクトするには、HTTP を許可するアクセス ルールを有効化する必要があります。そうしないと、インターフェイスが HTTP ポートをリッスンできません。
-
ASA への通過ルートとなるインターフェイス以外のインターフェイスへの管理アクセスはサポートされません。たとえば、管理ホストが外部インターフェイスにある場合、外部インターフェイスへの直接管理接続のみ開始できます。このルールの例外は、VPN 接続を介した場合のみです。VPN トンネルを介した管理アクセスの設定を参照してください。
-
ASA では、コンテキストごとに最大 5 つの同時 ASDM インスタンスを使用でき、全コンテキスト間で最大 32 の ASDM インスタンスの使用が可能です。
ASDM セッションでは、2 つの HTTPS 接続が使用されます。一方は常に存在するモニタ用で、もう一方は変更を行ったときにだけ存在する設定変更用です。たとえば、ASDM セッションのシステム制限が 32 の場合、HTTPS セッション数は 64 に制限されます。
始める前に
-
マルチ コンテキスト モードでは、コンテキスト実行スペースで次の手順を実行します。システムからコンテキスト コンフィギュレーションに変更するには、changeto context name を入力します。
手順
ステップ 1 |
ASA が指定したインターフェイスのアドレスまたはサブネットごとに HTTPS 接続を受け入れる IP アドレスを特定します。 http source_IP_address mask source_interface
例:
|
ステップ 2 |
HTTPS サーバをイネーブルにします。 http server enable [port] 例:
デフォルトでは、port は 443 です。ポート番号を変更する場合は、必ず ASDM アクセス URL に変更したポート番号を含めてください。たとえば、ポート番号を 444 に変更する場合は、次の URL を入力します。 https://10.1.1.1:444 |
ステップ 3 |
非ブラウザベースの HTTPS クライアントが ASA 上の HTTPS サービスにアクセスできるようにすることができます。デフォルトでは、ASDM、CSM、および REST API が許可されています。 http server basic-auth-client user_agent
個別のコマンドを使用して、各クライアント文字列を入力します。 例:
|
例
次の例は、HTTPS サーバを有効化し、アドレスが 192.168.1.2 の内部インターフェイス上のホストで ASDM にアクセスする方法を示しています。
ciscoasa(config)# http server enable
ciscoasa(config)# http 192.168.1.2 255.255.255.255 inside
次の例は、192.168.3.0/24 のネットワーク上のすべてのユーザが内部インターフェイス上の ASDM にアクセスできるようにする方法を示しています。
ciscoasa(config)# http 192.168.3.0 255.255.255.0 inside
ASDM アクセスまたはクライアントレス SSL VPN のための HTTP リダイレクトの設定
ASDM またはクライアントレス SSL VPN を使用して ASA に接続するには、HTTPS を使用する必要があります。利便性のために、HTTP 管理接続を HTTPS にリダイレクトすることができます。たとえば、HTTP をリダイレクトすることによって、http://10.1.8.4/admin/ または https://10.1.8.4/admin/ と入力し、ASDM 起動ページで HTTPS アドレスにアクセスできます。
IPv4 と IPv6 の両方のトラフィックをリダイレクトできます。
始める前に
通常、ホスト IP アドレスを許可するアクセス ルールは必要ありません。ただし、HTTP リダイレクトのためには、HTTP を許可するアクセス ルールを有効化する必要があります。そうしないと、インターフェイスが HTTP ポートをリッスンできません。
手順
Enable HTTP redirect: http redirect interface_name [port] 例:
port は、インターフェイスが HTTP 接続のリダイレクトに使用するポートを指定します。デフォルトは 80 です。 |
VPN トンネルを介した管理アクセスの設定
あるインターフェイスで VPN トンネルが終端している場合、別のインターフェイスにアクセスして ASA を管理するには、そのインターフェイスを管理アクセス インターフェイスとして指定する必要があります。たとえば、outside インターフェイスから ASA に入る場合は、この機能を使用して、ASDM、SSH、Telnet、または SNMP 経由で Inside インターフェイスに接続するか、outside インターフェイスから入るときに Inside インターフェイスに ping を実行できます。
ASA への通過ルートとなるインターフェイス以外のインターフェイスへの VPN アクセスはサポートされません。たとえば、VPN アクセスが外部インターフェイスにある場合、外部インターフェイスへの直接接続のみ開始できます。複数のアドレスを覚える必要がないように、ASA の直接アクセス可能インターフェイスの VPN を有効にし、名前解決を使用してください。
管理アクセスは、IPsec クライアント、IPsec サイト間、Easy VPN、AnyConnect SSL VPN クライアントの VPN トンネル タイプ経由で行えます。
始める前に
別個の管理/データ ルーティング テーブルでのルーティングを考慮すると、VPN の端末インターフェイスと管理アクセス インターフェイスは同じ種類である(つまり両方とも管理専用インターフェイスであるか、通常のデータ インターフェイスである)必要があります。
手順
別のインターフェイスから ASA に入るときにアクセスする管理インターフェイスの名前を指定します。 management-access management_interface Easy VPN およびサイト間トンネルでは、名前付き BVI を指定できます(ルーテッド モード)。 例:
|
Firepower 2100 プラットフォーム モード データ インターフェイスでの FXOS の管理アクセスの設定
データインターフェイスからプラットフォームモードの Firepower 2100 の FXOS を管理する場合、SSH、HTTPS、および SNMP アクセスを設定できます。この機能は、デバイスをリモート管理する場合、および管理 1/1 を隔離されたネットワークに維持する場合に役立ち、隔離されたネットワーク上の FXOS にアクセスするためのネイティブな方法です。この機能を有効にすると、ローカル アクセスに対し管理 1/1 を使用し続けることができます。この機能を使用しながら FXOS の管理 1/1 からのリモート アクセスは許可できないことに注意してください。この機能には、内部パス(デフォルト)を使用した ASA データ インターフェイスへのトラフィックの転送が必要で、FXOS 管理ゲートウェイを 1 つだけ指定できます。
ASA は、FXOS アクセスに非標準ポートを使用します。標準ポートは同じインタ フェースで ASA が使用するため予約されています。ASA が FXOS にトラフィックを転送するときに、非標準の宛先ポートはプロトコルごとに FXOS ポートに変換されます(FXOS の HTTPS ポートは変更しません)。パケット宛先 IP アドレス(ASA インターフェイス IP アドレス)も、FXOS で使用する内部アドレスに変換されます。送信元アドレスは変更されません。トラフィックを返す場合、ASA は自身のデータ ルーティング テーブルを使用して正しい出力インターフェイスを決定します。管理アプリケーションの ASA データ IP アドレスにアクセスする場合、FXOS ユーザ名を使用してログインする必要があります。ASA ユーザ名は ASA 管理アクセスのみに適用されます。
ASA データ インターフェイスで FXOS 管理トラフィック開始を有効にすることもできます。これは、たとえば、SNMP トラップ、NTP と DNS のサーバ アクセスなどに必要です。デフォルトでは、FXOS 管理トラフィック開始は、DNS および NTP のサーバ通信(スマート ソフトウェア ライセンシング通信で必要)用の ASA 外部インターフェイスで有効になっています。
始める前に
-
シングル コンテキスト モードのみ。
-
ASA 管理専用インターフェイスは除外します。
-
ASA データ インターフェイスに VPN トンネルを使用して、FXOS に直接アクセスすることはできません。SSH の回避策として、ASA に VPN 接続し、ASA CLI にアクセスし、connect fxos コマンドを使用して FXOS CLI にアクセスします。SSH、HTTPS、および SNMPv3 は暗号化できるため、データ インターフェイスへの直接接続は安全です。
手順
ステップ 1 |
FXOS リモート管理を有効にします。 fxos {https | ssh | snmp} permit {ipv4_address netmask | ipv6_address/prefix_length} interface_name 例:
|
ステップ 2 |
(任意) サービスのデフォルトのポートを変更します。 fxos {https | ssh | snmp} port port 次のデフォルトを参照してください。
例:
|
ステップ 3 |
FXOS が ASA インターフェイスから管理接続を開始できるようにします。 ip-client interface_name デフォルトでは、外部インターフェイスは有効になっています。 例:
|
ステップ 4 |
管理 1/1 上の Firepower Chassis Manager に接続します(デフォルトでは、https://192.168.45.45、ユーザ名:admin、パスワード:Admin123)。 |
ステップ 5 |
[Platform Settings] タブをクリックし、[SSH]、[HTTPS]、または [SNMP] を有効にします。 SSH と HTTPS はデフォルトで有効になっています。 |
ステップ 6 |
[Platform Settings] タブで、管理アクセスを許可するように [Access List] を設定します。デフォルトでは、SSH および HTTPS は管理 1/1 192.168.45.0 ネットワークのみを許可します。ASA の [FXOS Remote Management] 設定で指定したアドレスを許可する必要があります。 |
コンソール タイムアウトの変更
コンソール タイムアウトでは、接続を特権 EXEC モードまたはコンフィギュレーション モードにしておくことができる時間を設定します。タイムアウトに達すると、セッションはユーザ EXEC モードになります。デフォルトでは、セッションはタイムアウトしません。この設定は、コンソール ポートへの接続を保持できる時間には影響しません。接続がタイムアウトすることはありません。
手順
特権セッションが終了するまでのアイドル時間を分単位(0 ~ 60)で指定します。 console timeout number 例:
デフォルトのタイムアウトは 0 であり、セッションがタイムアウトしないことを示します。 |
CLI プロンプトのカスタマイズ
プロンプトに情報を追加する機能により、複数のモジュールが存在する場合にログインしている ASA を一目で確認することができます。この機能は、フェールオーバー時に、両方の ASA に同じホスト名が設定されている場合に便利です。
マルチ コンテキスト モードでは、システム実行スペースまたは管理コンテキストにログインするときに、拡張プロンプトを表示できます。非管理コンテキスト内では、デフォルトのプロンプト(ホスト名およびコンテキスト名)のみが表示されます。
デフォルトでは、プロンプトに ASA のホスト名が表示されます。マルチ コンテキスト モードでは、プロンプトにコンテキスト名も表示されます。CLI プロンプトには、次の項目を表示できます。
cluster-unit |
クラスタ ユニット名を表示します。クラスタの各ユニットは一意の名前を持つことができます。 |
コンテキスト |
(マルチ モードのみ)現在のコンテキストの名前を表示します。 |
domain |
ドメイン名を表示します。 |
hostname |
ホスト名を表示します。 |
priority |
フェールオーバー プライオリティを [pri](プライマリ)または [sec](セカンダリ)として表示します。 |
state |
ユニットのトラフィック通過状態またはロールを表示します。 フェールオーバーの場合、state キーワードに対して次の値が表示されます。
クラスタリングの場合、state キーワードに対して次の値が表示されます。
たとえば、prompt hostname cluster-unit state と設定して「ciscoasa/cl2/slave>」と表示された場合、ホスト名が ciscoasa、ユニット名が cl2、状態名が slave です。 |
手順
次のコマンドを入力して、CLI プロンプトをカスタマイズします。 例:
キーワードを入力する順序によって、プロンプト内の要素の順序が決まります。要素はスラッシュ(/)で区切ります。 |
ログイン バナーの設定
ユーザが ASA に接続するとき、ログインする前、または特権 EXEC モードに入る前に表示されるメッセージを設定できます。
始める前に
-
セキュリティの観点から、バナーで不正アクセスを防止することが重要です。「ウェルカム」や「お願いします」などの表現は侵入者を招き入れているような印象を与えるので使用しないでください。以下のバナーでは、不正アクセスに対して正しい表現を設定しています。
You have logged in to a secure device. If you are not authorized to access this device, log out immediately or risk possible criminal consequences.
-
バナーが追加された後、次の場合に ASA に対する Telnet または SSH セッションが終了する可能性があります。
-
バナー メッセージを処理するためのシステム メモリが不足している場合。
-
バナー メッセージの表示を試みたときに、TCP 書き込みエラーが発生した場合。
-
-
バナー メッセージのガイドラインについては、RFC 2196 を参照してください。
手順
ユーザが最初に接続したとき(「今日のお知らせ」(motd))、ユーザがログインしたとき(login)、ユーザが特権 EXEC モードにアクセスしたとき(exec)のいずれかに表示するバナーを追加します。 banner {exec | login | motd} text 例:
ユーザが ASA に接続すると、まず「今日のお知らせ」バナーが表示され、その後にログイン バナーとプロンプトが表示されます。ユーザが ASA に正常にログインすると、exec バナーが表示されます。 複数の行を追加する場合は、各行の前に banner コマンドを追加します。 バナー テキストに関する注意事項:
|
例
以下に、「今日のお知らせ」バナーを追加する例を示します。
ciscoasa(config)# banner motd Welcome to $(hostname).
ciscoasa(config)# banner motd Contact me at admin@example.com for any issues.
管理セッション クォータの設定
ASA で許可する ASDM、SSH、および Telnet の同時最大セッション数を設定できます。この最大値に達すると、それ以降のセッションは許可されず、syslog メッセージが生成されます。システム ロックアウトを回避するために、管理セッション割り当て量のメカニズムではコンソール セッションをブロックできません。
(注) |
マルチ コンテキスト モードでは HTTPS セッションの数を設定することはできず、最大セッション数は 5 で固定されています。 |
始める前に
マルチ コンテキスト モードでは、コンテキスト実行スペースで次の手順を実行します。システム コンフィギュレーションからコンテキスト コンフィギュレーションに切り替えるには、changeto context name コマンドを入力します。
手順
ステップ 1 |
次のコマンドを入力します。 quota management-session [ssh | telnet | http | user] number
例:
|
ステップ 2 |
使用中の現在のセッションを表示します。 show quota management-session[ssh |telnet |http |user] 例:
|