管理アクセス

この章では、Telnet、SSH、および HTTPS（ASDM を使用）経由でシステム管理を行うために Cisco ASA にアクセスする方法と、ユーザーを認証および許可する方法、ログインバナーを作成する方法について説明します。

管理リモートアクセスの設定

ここでは、ASDM 用の ASA アクセス、Telnet または SSH、およびログインバナーなどのその他のパラメータの設定方法について説明します。

HTTPS、Telnet、または SSH の ASA アクセスの設定

この項では、ASDM および CSM、Telnet、または SSH など、HTTPS に ASA アクセスを設定する方法について説明します。次のガイドラインを参照してください。

ASA インターフェイスに管理アクセスの目的でアクセスするには、ホスト IP アドレスを許可するアクセスルールは必要ありません。必要なのは、この章の各項の説明に従って管理アクセスを設定することだけです。ただし、HTTP リダイレクトを設定して HTTP 接続を HTTPS に自動的にリダイレクトするには、HTTP を許可するアクセスルールを有効化する必要があります。そうしないと、インターフェイスが HTTP ポートをリッスンできません。
ASA への通過ルートとなるインターフェイス以外のインターフェイスへの管理アクセスはサポートされません。たとえば、管理ホストが外部インターフェイスにある場合、外部インターフェイスへの直接管理接続のみ開始できます。このルールの例外は、VPN 接続を介した場合のみです。VPN トンネルを介した管理アクセスの設定を参照してください。
ASA では以下の接続が許可されます。
- コンテキストごとに最大 5 つの同時 Telnet 接続を許可し、可能な場合は、最大 100 の接続がすべてのコンテキストの間で分割されます。
- コンテキストごとに最大 5 つの同時 SSH 接続を許可し、可能な場合は、最大 100 の接続がすべてのコンテキストの間で分割されます。
- シングルコンテキストモードでは、最大 30 の ASDM 同時セッション。マルチコンテキストモードでは、コンテキストごとに最大 5 つの同時 ASDM セッションを使用でき、全コンテキスト間で最大 32 の ASDM インスタンスの使用が可能です。
  
  ASDM セッションでは、2 つの HTTPS 接続が使用されます。一方は常に存在するモニタ用で、もう一方は変更を行ったときにだけ存在する設定変更用です。たとえば、マルチコンテキストモードシステムの ASDM セッションの制限が 32 の場合、HTTPS セッション数は 64 に制限されます。
- シングルコンテキストモードまたはコンテキストごとに最大 6 つの非 ASDM HTTPS 同時セッション（使用可能な場合）、すべてのコンテキスト間で最大または 100 の HTTPS セッション。

ASDM、その他のクライアントの HTTPS アクセスの設定

この項では、ASDM や CSM など、HTTPS に ASA アクセスを設定する方法について説明します。

始める前に

マルチコンテキストモードでは、コンテキスト実行スペースで次の手順を実行します。システムコンフィギュレーションからコンテキストコンフィギュレーションに切り替えるには、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にあるコンテキスト名をダブルクリックします。

手順

ステップ 1	[Configuration] > [Device Management] > [Management Access] > [ASDM/HTTPS/Telnet/SSH] の順に選択し、[Add] をクリックします。 [Add Device Access Configuration] ダイアログボックスが表示されます。
ステップ 2	[ASDM/HTTPS] を選択します。
ステップ 3	管理インターフェイスを選択し、許可するホスト IP アドレス設定して、[OK] をクリックします。名前付きインターフェイスを指定します。ブリッジグループの場合、ブリッジグループメンバインターフェイスを指定します。VPN 管理アクセスのみ（VPN トンネルを介した管理アクセスの設定を参照してください）の場合、名前付き BVI インターフェイスを指定します。
ステップ 4	証明書認証を要件にするには、[Specify the interface requires client certificate to access ASDM] 領域で [Add] をクリックし、インターフェイスとオプションで証明書マップを指定します。証明書マップを指定する場合、その証明書マップと一致しなければ、認証は成功しません。証明書マップを作成するには、[Configuration] > [Remote Access VPN] > [Network (Client) Access] > [Advanced] > [IPSec] > [Certificate to Connection Map] > [Rules] を表示します。詳細については、ASDM 証明書認証の設定を参照してください。
ステップ 5	[HTTP Settings] を設定します。 [Enable HTTP Server]：HTTPS サーバーを有効にします。 [Port Number]：ポート番号を設定します。デフォルトは 443 です。 [Idle Timeout]：ASDM 接続のアイドルタイムアウトを 1 ～ 1440 分の範囲で設定します。デフォルトは 20 分です。ASA は、設定した期間アイドル状態の ASDM 接続を切断します。 [Session Timeout]：ASDM セッションのセッションタイムアウトを 1 ～ 1440 分の範囲で設定します。このタイムアウトはデフォルトで無効になっています。ASA は、設定した期間を超えた ASDM 接続を切断します。 [Connection Session Timeout]：ASDM、WebVPN、および他のクライアントを含むすべての HTTPS 接続のアイドルタイムアウトを 10 ～ 86400 秒の範囲で設定します。このタイムアウトはデフォルトで無効になっています。ASA は、設定した期間アイドル状態の接続を切断します。[Idle Timeout] と [Connection Session Timeout] の両方を設定した場合は、[Connection Session Timeout] が優先されます。
ステップ 6	[Apply] をクリックします。
ステップ 7	（任意）非ブラウザベースの HTTPS クライアントが ASA 上の HTTPS サービスにアクセスできるようにすることができます。デフォルトでは、ASDM、CSM、および REST API が許可されています。多くの専門クライアント（python ライブラリ、curl、wget など）は、クロスサイト要求の偽造（CSRF）トークンベースの認証をサポートしていないため、これらのクライアントが ASA 基本認証方式を使用することを明確に許可する必要があります。セキュリティ上の理由から、必要なクライアントのみを許可する必要があります。 [Configuration] > [Device Management] > [Management Access] > [HTTP Non-Browser Client Support] を選択し、[Add] をクリックします。 [User-Agent String from the HTTP Header] フィールドに、HTTP 要求の HTTP ヘッダーにあるクライアントの User-Agent 文字列を指定します。完全な文字列または部分文字列を指定できます。部分文字列については、User-Agent 文字列の先頭と一致している必要があります。セキュリティを強化するために完全な文字列をお勧めします。文字列では大文字と小文字が区別されることに注意してください。たとえば、 `curl` は次の User-Agent 文字列と一致します。 `curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.19.1 Basic ECC zlib/1.2.3 libidn/1.18 libssh2/1.4.2` `curl` は、次の User-Agent 文字列とは一致しません。 `abcd curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.19.1 Basic ECC zlib/1.2.3 libidn/1.18 libssh2/1.4.2` `CURL` は、次の User-Agent 文字列とは一致しません。 `curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.19.1 Basic ECC zlib/1.2.3 libidn/1.18 libssh2/1.4.2`

SSH アクセスの設定

この項では、SSH に ASA アクセスを設定する方法について説明します。次のガイドラインを参照してください。

ASA インターフェイスに SSH アクセスの目的でアクセスするために、ホスト IP アドレスを許可するアクセスルールは必要ありません。このセクションの手順に従って、SSH アクセスを設定する必要があるだけです。
ASA への通過ルートとなるインターフェイス以外のインターフェイスへの SSH アクセスはサポートされません。たとえば、SSH ホストが外部インターフェイスにある場合、外部インターフェイスへの直接管理接続のみ開始できます。このルールの例外は、VPN 接続を介した場合のみです。VPN トンネルを介した管理アクセスの設定を参照してください。
ASA は、コンテキスト/単一のモードあたり最大 5 つの同時 SSH 接続と、すべてのコンテキストにまたがり分散された最大 100 の接続を許容します。ただし、設定コマンドは変更されるリソースをロックする可能性があるため、すべての変更が正しく適用されるように、一度に 1 つの SSH セッションで変更を行う必要があります。
SSH バージョン 2 のみがサポートされます。
（8.4 以降）SSH デフォルトユーザー名はサポートされなくなりました。pix または asa ユーザー名とログインパスワードで SSH を使用して ASA に接続することができなくなりました。SSH を使用するには、AAA 認証を設定し（[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authentication] の順に選択）、続いてローカルユーザーを定義する必要があります（[Configuration] > [Device Management] > [Users/AAA] の順に選択）。ローカルデータベースの代わりに AAA サーバーを認証に使用する場合、ローカル認証もバックアップの手段として設定しておくことをお勧めします。

始める前に

マルチコンテキストモードでは、コンテキスト実行スペースで次の手順を実行します。システムコンフィギュレーションからコンテキストコンフィギュレーションに切り替えるには、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にあるコンテキスト名をダブルクリックします。

手順

ステップ 1	[Configuration] > [Device Management] > [Management Access] > [ASDM/HTTPS/Telnet/SSH] の順に選択し、[Add] をクリックします。 [Add Device Access Configuration] ダイアログボックスが表示されます。
ステップ 2	[SSH] を選択します。
ステップ 3	管理インターフェイスを選択し、許可するホスト IP アドレス設定して、[OK] をクリックします。名前付きインターフェイスを指定します。ブリッジグループの場合、ブリッジグループメンバインターフェイスを指定します。VPN 管理アクセスのみ（VPN トンネルを介した管理アクセスの設定を参照してください）の場合、名前付き BVI インターフェイスを指定します。
ステップ 4	（任意） [SSH Settings] を設定します。 [Allowed SSH Versions]：サポートされているのはバージョン 2 のみです。 [SSH Timeout]：1 ～ 60 分にタイムアウトを設定します。デフォルトは 5 分です。デフォルトの期間では一般に短すぎるので、実働前のテストとトラブルシューティングがすべて完了するまでは、長めに設定しておいてください。 [DHキー交換（DH Key Exchange）]（管理コンテキストのみ）：該当するオプションボタンをクリックして、Diffie-Hellman（DH）キー交換グループを選択します。DH グループキー交換方式を指定しないと、DH グループ 14 SHA256 のキー交換方式が使用されます。DH キー交換の使用方法の詳細については、RFC 4253 を参照してください。キー交換は管理コンテキストでのみ設定できます。この値はすべてのコンテキストで使用されます。
ステップ 5	[Apply] をクリックします。
ステップ 6	SSH ユーザー認証を設定します。（パスワードアクセス用）[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authentication] の順に選択します。 AAA 認証は、[Public Key Using PKF] オプションが指定されたユーザー名に対するローカル公開キー認証には影響しません。ASA では、公開キー認証に対し、ローカルデータベースを暗黙的に使用します。SSH 認証は、パスワードを持つユーザー名にのみ影響します。ローカルユーザーが公開キー認証またはパスワードを使用できるようにするには、この手順を使用してローカル認証を明示的に設定し、パスワードアクセスを許可する必要があります。 [SSH] チェックボックスをオンにします。 [Server Group] ドロップダウンリストから [LOCAL] データベース（または AAA サーバー）を選択します。 [Apply] をクリックします。ローカルユーザーを追加します。ユーザーアクセスに AAA サーバーを使用することもできますが、ローカルユーザー名の使用を推奨します。[Configuration] > [Device Management] > [Users/AAA] > [User Accounts] の順に選択し、[Add] をクリックします。 [Add User Account-Identity] ダイアログボックスが表示されます。ユーザー名とパスワードを入力し、パスワードを確認します。ユーザーにパスワード認証ではなく公開キー認証を強制する場合は、パスワードなしでユーザーを作成することを推奨します。公開キー認証およびパスワードの両方を設定した場合、ユーザーはいずれの方法でもログインできます（この手順で AAA 認証を明示的に設定した場合）。（任意）個々のユーザーごとに、パスワード認証ではなく公開キー認証のみ、またはこれら両方の認証を有効にするには、次のいずれかのペインを選択します。 [Public Key Authentication]：Base64 でエンコードされた公開キーに貼り付けます。ssh-rsa raw キー（証明書なし）を生成可能な任意の SSH キー生成ソフトウェア（ssh keygen など）を使用して、キーを生成できます。既存のキーを表示する場合は、キーは SHA-256 ハッシュを使用して暗号化されます。ハッシュキーをコピーして貼りつける場合は、[Key is hashed] チェックボックスをオンにします。認証キーを削除するには、[Delete Key] をクリックして、確認ダイアログボックスを表示します。認証キーを削除する場合は [Yes] をクリックし、認証キーを保持する場合は [No] をクリックします。 [Public Key Using PKF]：[Specify a new PKF key] チェックボックスをクリックして、公開キーファイル（PKF）でフォーマットされたキー（4096 ビットまで）を貼りつけるかインポートします。Base64 形式で貼り付けるには大きすぎるキーにはこのフォーマットを使用します。たとえば、ssh の keygen を使用して 4096 ビットキーを生成し、PKF に変換して、このペインでインポートします。既存のキーを表示する場合は、SHA-256 ハッシュを使用して暗号化されます。ハッシュキーをコピーして貼り付ける必要がある場合は、[Public Key Athentication] ペインからコピーし、[Key is hashed] チェックボックスをオンにした新しい ASA のペインに貼り付けます。認証キーを削除するには、[Delete Key] をクリックして、確認ダイアログボックスを表示します。認証キーを削除する場合は [Yes] をクリックし、認証キーを保持する場合は [No] をクリックします。 [OK] をクリックし、続いて [Apply] をクリックします。
ステップ 7	キーペアを生成します（物理 ASA の場合のみ）。 ASAv の場合、キーペアは導入後に自動的に作成されます。ASAv は RSA キーのみをサポートします。 [構成（Configuration）] > [デバイス管理（Device Management）] > [証明書管理（Certificate Management）] > [ID証明書（Identity Certificates）] の順に選択します。 [Add] をクリックし、[Add a new identity certificate] オプションボタンをクリックします。 [New] をクリックします。 [キーペアを追加（Add Key Pair）] ダイアログボックスで、タイプとサイズを指定して [今すぐ生成（Generate Now）] をクリックします。使用されるデフォルトのキーペアは、RSA。キーペアを生成するだけであるため、証明書のダイアログボックスをキャンセルできます。
ステップ 8	（任意） SSH 暗号の暗号化アルゴリズムと整合性アルゴリズムを設定します。 [Configuration] > [Device Management] > [Advanced] > [SSH Ciphers] の順に選択します。 [Encryption] を選択し、[Edit] をクリックします。 [SSH cipher security level] ドロップダウンリストから、次のいずれかのレベルを選択します。暗号方式は、リストされた順に使用されます。事前定義されたリストでは、暗号方式が最も高いの順で、最も低いセキュリティに割り当てられています。 [すべて（All）]：すべての暗号方式（3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr）を使用する場合は、このオプションを選択します [Custom]：カスタム暗号ストリングを設定する場合はこのオプションを選択し、[Cipher algorithms/custom string] フィールドに各暗号ストリングをコロンで区切って入力します。 [Fips]：FIPS 対応の暗号方式（aes128-cbc aes256-cbc）のみを使用する場合は、このオプションを選択します [高（High）]：強度が高の暗号方式のみ（aes256-cbc aes256-ctr）を使用する場合は、このオプションを選択します [Low]：強度が低、中、高の暗号方式（3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr）を使用する場合は、このオプションを選択します。 [Medium]：強度が中および高の暗号方式（3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr）を使用する場合は、このオプションを選択します（デフォルト）。 [Integrity] を選択し、[Edit] をクリックします。 [SSH cipher security level] ドロップダウンリストから、次のいずれかのレベルを選択します。 [All]：すべての暗号方式（hmac-sha1 hmac-sha1-96 hmac-sha2-256 hmac-md5 hmac-md5-96）を使用することを指定します。 [Custom]：カスタム暗号ストリングを設定する場合はこのオプションを選択し、[Cipher algorithms/custom string] フィールドに各暗号ストリングをコロンで区切って入力します。 [Fips]：FIPS 対応の暗号方式のみ（hmac-sha1 hmac-sha2-256 ）を指定します。 [High]：強度が高の暗号方式のみ（ hmac-sha2-256）を指定します（デフォルト）。 [Low]：強度が低、中、高の暗号方式（hmac-sha1 hmac-sha1-96 hmac-md5 hmac-md5-96）を使用する場合は、このオプションを選択します。 [Medium]：強度が中および高の暗号方式（hmac-sha1 hmac-sha1-96）を指定します。

例

次の例では、Linux または Macintosh システムの SSH の共有キーを生成して、ASA にインポートします。

コンピュータで 4096 ビットの RSA 公開キーおよび秘密キーを生成します。


jcrichton-mac:~ john$ ssh-keygen -b 4096
Generating public/private rsa key pair.
Enter file in which to save the key (/Users/john/.ssh/id_rsa):
/Users/john/.ssh/id_rsa already exists.
Overwrite (y/n)? y
Enter passphrase (empty for no passphrase): pa$$phrase
Enter same passphrase again: pa$$phrase
Your identification has been saved in /Users/john/.ssh/id_rsa.
Your public key has been saved in /Users/john/.ssh/id_rsa.pub.
The key fingerprint is:
c0:0a:a2:3c:99:fc:00:62:f1:ee:fa:f8:ef:70:c1:f9 john@jcrichton-mac
The key's randomart image is:
+--[ RSA 4096]----+
| .               |
|  o  .           |
|+...  o          |
|B.+.....         |
|.B ..+  S        |
|  =   o          |
|   + . E         |
|  o o            |
| ooooo           |
+-----------------+

PKF 形式にキーを変換します。


jcrichton-mac:~ john$ cd .ssh
jcrichton-mac:.ssh john$ ssh-keygen -e -f id_rsa.pub
---- BEGIN SSH2 PUBLIC KEY ----
Comment: "4096-bit RSA, converted by john@jcrichton-mac from OpenSSH"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---- END SSH2 PUBLIC KEY ----
jcrichton-mac:.ssh john$

キーをクリップボードにコピーします。
ASDM で、[Configuration] > [Device Management] > [Users/AAA] > [User Accounts] の順に選択し、ユーザー名を選択してから [Edit] をクリックします。[Public Key Using PKF] をクリックして、ウィンドウにキーを貼り付けます。

ユーザが ASA に SSH できることを確認します。パスワードには、キーペアの作成時に指定した SSH キーパスワードを入力します。


jcrichton-mac:.ssh john$ ssh test@10.86.118.5
The authenticity of host '10.86.118.5 (10.86.118.5)' can't be established.
RSA key fingerprint is 39:ca:ed:a8:75:5b:cc:8e:e2:1d:96:2b:93:b5:69:94.
Are you sure you want to continue connecting (yes/no)? yes

次のダイアログボックスが、パスフレーズを入力するために表示されます。

一方、端末セッションでは、以下が表示されます。


Warning: Permanently added '10.86.118.5' (RSA) to the list of known hosts.
Identity added: /Users/john/.ssh/id_rsa (/Users/john/.ssh/id_rsa)
Type help or '?' for a list of available commands.
asa>

Telnet アクセスの設定

この項では、Telnet に ASA アクセスを設定する方法について説明します。VPN トンネル内で Telnet を使用する場合を除き、最も低いセキュリティインターフェイスに対して Telnet は使用できません。

始める前に

マルチコンテキストモードでは、コンテキスト実行スペースで次の手順を実行します。システムコンフィギュレーションからコンテキストコンフィギュレーションに切り替えるには、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にあるコンテキスト名をダブルクリックします。
ASA CLI に Telnet を使用してアクセスするには、ログインパスワードを入力します。Telnet を使用する前に手動でパスワードを設定する必要があります。

手順

ステップ 1	[Configuration] > [Device Management] > [Management Access] > [ASDM/HTTPS/Telnet/SSH] の順に選択し、[Add] をクリックします。 [Add Device Access Configuration] ダイアログボックスが表示されます。
ステップ 2	[Telnet] を選択します。
ステップ 3	管理インターフェイスを選択し、許可するホスト IP アドレス設定して、[OK] をクリックします。名前付きインターフェイスを指定します。ブリッジグループの場合、ブリッジグループメンバインターフェイスを指定します。VPN 管理アクセスのみ（VPN トンネルを介した管理アクセスの設定を参照してください）の場合、名前付き BVI インターフェイスを指定します。
ステップ 4	（任意） [Telnet Timeout] を設定します。デフォルトのタイムアウト値は 5 分です。
ステップ 5	[Apply] をクリックします。
ステップ 6	Telnet で接続する前に、ログインパスワードを設定します。デフォルトのパスワードはありません。 [Configuration] > [Device Setup] > [Device Name/Password] の順に選択します。 [Telnet Password] 領域で [Change the password to access the console of the security appliance] チェックボックスをオンにします。古いパスワードを入力して（新しい ASA の場合はこのフィールドを空白にする）、新しいパスワードを入力してから、確認として新しいパスワードを再入力します。 [Apply] をクリックします。

ASDM アクセスまたはクライアントレス SSL VPN のための HTTP リダイレクトの設定

ASDM またはクライアントレス SSL VPN を使用して ASA に接続するには、HTTPS を使用する必要があります。利便性のために、HTTP 管理接続を HTTPS にリダイレクトすることができます。たとえば、HTTP をリダイレクトすることによって、http://10.1.8.4/admin/ または https://10.1.8.4/admin/ と入力し、ASDM 起動ページで HTTPS アドレスにアクセスできます。

IPv4 と IPv6 の両方のトラフィックをリダイレクトできます。

始める前に

通常、ホスト IP アドレスを許可するアクセスルールは必要ありません。ただし、HTTP リダイレクトのためには、HTTP を許可するアクセスルールを有効化する必要があります。そうしないと、インターフェイスが HTTP ポートをリッスンできません。

手順

ステップ 1	[Configuration] > [Device Management] > [HTTP Redirect] の順に選択します。表には、現在設定されているインターフェイスと、リダイレクトがインターフェイスで有効化されているかどうかを示しています。
ステップ 2	ASDM に使用するインターフェイスを選択し、[Edit] をクリックします。
ステップ 3	[Edit HTTP/HTTPS Settings] ダイアログボックスで次のオプションを設定します。 [Redirect HTTP to HTTPS]：HTTP 要求を HTTPS にリダイレクトします。 [HTTP Port]：インターフェイスが HTTP 接続のリダイレクトに使用するポートを指定します。デフォルトは 80 です。
ステップ 4	[OK] をクリックします。

VPN トンネルを介した管理アクセスの設定

あるインターフェイスで VPN トンネルが終端している場合、別のインターフェイスにアクセスして ASA を管理するには、そのインターフェイスを管理アクセスインターフェイスとして指定する必要があります。たとえば、outside インターフェイスから ASA に入る場合は、この機能を使用して、ASDM、SSH、Telnet、または SNMP 経由で Inside インターフェイスに接続するか、outside インターフェイスから入るときに Inside インターフェイスに ping を実行できます。

（注）

サイト間 VPN 経由のセキュアな SNMP ポーリングの場合、VPN 設定の一部として外部インターフェイスの IP アドレスを暗号マップアクセスリストに含めます。次に、外部インターフェイスをポーリングして、SNMP が設定されている内部インターフェイスから情報を取得します。

ASA への通過ルートとなるインターフェイス以外のインターフェイスへの VPN アクセスはサポートされません。たとえば、VPN アクセスが外部インターフェイスにある場合、外部インターフェイスへの直接接続のみ開始できます。複数のアドレスを覚える必要がないように、ASA の直接アクセス可能インターフェイスの VPN を有効にし、名前解決を使用してください。

管理アクセスは、IPsec クライアント、IPsec サイト間、Easy VPN、AnyConnect SSL VPN クライアントの VPN トンネルタイプ経由で行えます。

始める前に

別個の管理/データルーティングテーブルでのルーティングを考慮すると、VPN の端末インターフェイスと管理アクセスインターフェイスは同じ種類である（つまり両方とも管理専用インターフェイスであるか、通常のデータインターフェイスである）必要があります。

手順

ステップ 1

[Configuration] > [Device Management] > [Management Access] > [Management Interface] の順に選択します。

ステップ 2

[Management Access Interface] ドロップダウンリストからセキュリティが最も高いインターフェイス（内部インターフェイス）を選択します。

Easy VPN およびサイト間トンネルでは、名前付き BVI を指定できます（ルーテッドモード）。

ステップ 3

[Apply] をクリックします。

管理インターフェイスが割り当てられ、変更内容が実行コンフィギュレーションに保存されます。

Firepower 2100 プラットフォームモードデータインターフェイスでの FXOS の管理アクセスの設定

データインターフェイスからプラットフォームモードの Firepower 2100 の FXOS を管理する場合、SSH、HTTPS、および SNMP アクセスを設定できます。この機能は、デバイスをリモートで管理しつつ、管理 1/1 を隔離されたネットワークに維持する場合に役立ちます。これは、隔離されたネットワーク上の FXOS にアクセスするためのネイティブな方法です。この機能を有効にすると、ローカルアクセスに対してのみ管理 1/1 を使用し続けることができます。ただし、この機能を使用しながら FXOS の管理 1/1 からのリモートアクセスは許可することはできません。この機能には、内部パス（デフォルト）を使用した ASA データインターフェイスへのトラフィックの転送が必要で、FXOS 管理ゲートウェイを 1 つだけ指定できます。

ASA は、FXOS アクセスに非標準ポートを使用します。標準ポートは同じインタフェースで ASA が使用するため予約されています。ASA が FXOS にトラフィックを転送するときに、非標準の宛先ポートはプロトコルごとに FXOS ポートに変換されます（FXOS の HTTPS ポートは変更しません）。パケット宛先 IP アドレス（ASA インターフェイス IP アドレス）も、FXOS で使用する内部アドレスに変換されます。送信元アドレスは変更されません。トラフィックを返す場合、ASA は自身のデータルーティングテーブルを使用して正しい出力インターフェイスを決定します。管理アプリケーションの ASA データ IP アドレスにアクセスする場合、FXOS ユーザー名を使用してログインする必要があります。ASA ユーザー名は ASA 管理アクセスのみに適用されます。

ASA データインターフェイスで FXOS 管理トラフィック開始を有効にすることもできます。これは、たとえば、SNMP トラップ、NTP と DNS のサーバーアクセスなどに必要です。デフォルトでは、FXOS 管理トラフィック開始は、DNS および NTP のサーバー通信（スマートソフトウェアライセンシング通信で必要）用の ASA 外部インターフェイスで有効になっています。

始める前に

シングルコンテキストモードのみ。
ASA 管理専用インターフェイスは除外します。
ASA データインターフェイスに VPN トンネルを使用して、FXOS に直接アクセスすることはできません。SSH の回避策として、ASA に VPN 接続し、ASA CLI にアクセスし、connect fxos コマンドを使用して FXOS CLI にアクセスします。SSH、HTTPS、および SNMPv3 は暗号化できるため、データインターフェイスへの直接接続は安全です。
FXOS ゲートウェイが ASA データインターフェイス（デフォルト）にトラフィックを転送するように設定されていることを確認します。ゲートウェイの設定の詳細については、『getting started guide』を参照してください。

手順

ステップ 1	ASDM で、[Configuration] > [Firewall] > [Advanced] > [FXOS Remote Management] を選択します。
ステップ 2	FXOS リモート管理を有効にします。ナビゲーションウィンドウで、[HTTPS]、[SNMP]、または [SSH] を選択します。 [Add] をクリックし、管理を許可する [Interface] を設定し、接続を許可する [IP Address] を設定し、[OK] をクリックします。プロトコルタイプごとに複数のエントリを作成できます。以下のデフォルト値を使用しない場合は、[Port] を設定します。 HTTPS デフォルトポート：3443 SNMP デフォルトポート：3061 SSH デフォルトポート：3022
ステップ 3	FXOS が ASA インターフェイスから管理接続を開始できるようにします。ナビゲーションウィンドウで [FXOS Traffic Initiation] を選択します。 [Add] をクリックし、FXOS 管理トラフィックを送信する必要がある ASA インターフェイスを有効にします。デフォルトでは、外部インターフェイスは有効になっています。
ステップ 4	[Apply] をクリックします。
ステップ 5	管理 1/1 上の Firepower Chassis Manager に接続します（デフォルトでは、https://192.168.45.45、ユーザー名：admin、パスワード：Admin123）。
ステップ 6	[Platform Settings] タブをクリックし、[SSH]、[HTTPS]、または [SNMP] を有効にします。 SSH と HTTPS はデフォルトで有効になっています。
ステップ 7	[Platform Settings] タブで、管理アクセスを許可するように [Access List] を設定します。デフォルトでは、SSH および HTTPS は管理 1/1 192.168.45.0 ネットワークのみを許可します。ASA の [FXOS Remote Management] 設定で指定したアドレスを許可する必要があります。

コンソールタイムアウトの変更

コンソールタイムアウトでは、接続を特権 EXEC モードまたはコンフィギュレーションモードにしておくことができる時間を設定します。タイムアウトに達すると、セッションはユーザー EXEC モードになります。デフォルトでは、セッションはタイムアウトしません。この設定は、コンソールポートへの接続を保持できる時間には影響しません。接続がタイムアウトすることはありません。

手順

ステップ 1

[Configuration] > [Device Management] > [Management Access] > [Command Line (CLI)] > [Console Timeout] の順に選択します。

ステップ 2

新しいタイムアウト値を分単位で定義します。無制限の時間を指定する場合は、「0」と入力します。デフォルト値は 0 です

ステップ 3

[Apply] をクリックします。

タイムアウト値の変更が実行コンフィギュレーションに保存されます。

CLI プロンプトのカスタマイズ

プロンプトに情報を追加する機能により、複数のモジュールが存在する場合にログインしている ASA を一目で確認することができます。この機能は、フェールオーバー時に、両方の ASA に同じホスト名が設定されている場合に便利です。

マルチコンテキストモードでは、システム実行スペースまたは管理コンテキストにログインするときに、拡張プロンプトを表示できます。非管理コンテキスト内では、デフォルトのプロンプト（ホスト名およびコンテキスト名）のみが表示されます。

デフォルトでは、プロンプトに ASA のホスト名が表示されます。マルチコンテキストモードでは、プロンプトにコンテキスト名も表示されます。CLI プロンプトには、次の項目を表示できます。


cluster-unit	クラスタユニット名を表示します。クラスタの各ユニットは一意の名前を持つことができます。
コンテキスト	（マルチモードのみ）現在のコンテキストの名前を表示します。
domain	ドメイン名を表示します。
hostname	ホスト名を表示します。
priority	フェールオーバープライオリティを [pri]（プライマリ）または [sec]（セカンダリ）として表示します。
state	ユニットのトラフィック通過状態またはロールを表示します。フェールオーバーの場合、state キーワードに対して次の値が表示されます。 [act]：フェールオーバーが有効であり、装置ではトラフィックをアクティブに通過させています。 [stby]：フェールオーバーはイネーブルです。ユニットはトラフィックを通過させていません。スタンバイ、失敗、または他の非アクティブ状態です。 [actNoFailover]：フェールオーバーは無効であり、装置ではトラフィックをアクティブに通過させています。 [stbyNoFailover]：フェールオーバーは無効であり、装置ではトラフィックを通過させていません。これは、スタンバイユニットでしきい値を上回るインターフェイス障害が発生したときに生じることがあります。クラスタリングの場合、制御とデータの値が表示されます。

手順

ステップ 1

[Configuration] > [Device Management] > [Management Access] > [Command Line (CLI)] > [CLI Prompt] の順に選択します。

ステップ 2

次のいずれかを実行してプロンプトをカスタマイズします。

[Available Prompts] リストで属性をクリックしてから、[Add] をクリックします。プロンプトには複数の属性を追加できます。属性が [Available Prompts] リストから [Selected Prompts] リストに移動します。
[Selected Prompts] リストで属性をクリックしてから、[Delete] をクリックします。属性が [Selected Prompts] リストから [Available Prompts] リストに移動します。
[Selected Prompts] リストで属性をクリックして、[Move Up] または [Move Down] をクリックして属性の表示順序を変更します。

プロンプトが変化して、[CLI Prompt Preview] フィールドに表示されます。

ステップ 3

Apply をクリックします。

変更されたプロンプトが、実行コンフィギュレーションに保存されます。

ログインバナーの設定

ユーザーが ASA に接続するとき、ログインする前、または特権 EXEC モードに入る前に表示されるメッセージを設定できます。

始める前に

セキュリティの観点から、バナーで不正アクセスを防止することが重要です。「ウェルカム」や「お願いします」などの表現は侵入者を招き入れているような印象を与えるので使用しないでください。以下のバナーでは、不正アクセスに対して正しい表現を設定しています。
```
You have logged in to a secure device.
If you are not authorized to access this device,
log out immediately or risk possible criminal consequences.
```
バナーが追加された後、次の場合に ASA に対する Telnet または SSH セッションが終了する可能性があります。
- バナーメッセージを処理するためのシステムメモリが不足している場合。
- バナーメッセージの表示を試みたときに、TCP 書き込みエラーが発生した場合。
バナーメッセージのガイドラインについては、RFC 2196 を参照してください。

手順

ステップ 1

[Configuration] > [Device Management] > [Management Access] > [Command Line (CLI)] > [Banner] の順に選択します。

ステップ 2

CLI 用に作成するバナータイプ用のフィールドにバナーテキストを追加します。

[session (exec)] バナーは、ユーザーが CLI で特権 EXEC モードにアクセスした場合に表示されます。
[login] バナーは、ユーザが CLI にログインした場合に表示されます。
[message-of-the-day (motd)] バナーは、ユーザーが CLI に初めて接続する場合に表示されます。
[ASDM] バナーは、ユーザーが認証を受けた後 ASDM に接続した場合に表示されます。ユーザーは、次のいずれかのオプションを使用して、表示されたバナーを消去できます。
- [Continue]：バナーを消去して、ログインを完了します。
- [Disconnect]：バナーを消去して、接続を終了します。
使用できるのは、改行（Enter キー）も含めて ASCII 文字だけです。ただし、改行文字は 2 文字に相当します。
また、タブ文字は、CLI バージョンでは無視されるため、バナーには使用しないでください。
RAM およびフラッシュメモリに関するもの以外、バナーに長さ制限はありません。
ASA のホスト名またはドメイン名は、$(hostname) 文字列と $(domain) 文字列を組み込むことによって動的に追加できます。
システムコンフィギュレーションでバナーを設定する場合は、コンテキストコンフィギュレーションで $(system) という文字列を使用することにより、コンテキスト内でバナーテキストを使用できます。

ステップ 3

[Apply] をクリックします。

新しいバナーが、実行コンフィギュレーションに保存されます。

管理セッションクォータの設定

ASA で許可する ASDM、SSH、および Telnet の同時最大セッション数を設定できます。この最大値に達すると、それ以降のセッションは許可されず、syslog メッセージが生成されます。システムロックアウトを回避するために、管理セッション割り当て量のメカニズムではコンソールセッションをブロックできません。

（注）

マルチコンテキストモードでは ASDM セッションの数を設定することはできず、最大セッション数は 5 で固定されています。

（注）

また、最大管理セッション（SSH など）のコンテキストあたりのリソース制限を設定した場合は、小さい方の値が使用されます。

始める前に

マルチコンテキストモードでは、コンテキスト実行スペースで次の手順を実行します。システムコンフィギュレーションからコンテキストコンフィギュレーションに切り替えるには、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下のコンテキスト名をダブルクリックします。

手順

ステップ 1

[Configuration] > [Device Management] > [Management Access] > [Management Session Quota] の順に選択します。

ステップ 2

同時セッションの最大数を入力します。

Aggregate：1 ～ 15 のセッションの集約数を設定します。デフォルトは 15 です。
HTTP Sessions：1 ～ 5 の HTTPS（ASDM）セッションの最大数を設定します。デフォルトは 5 分です。
SSH Sessions：1 ～ 5 の SSH セッションの最大数を設定します。デフォルトは 5 分です。
Telnet Sessions：1 ～ 5 の Telnet セッションの最大数を設定します。デフォルトは 5 分です。
User Sessions：1 ～ 5 のユーザーごとのセッションの最大数を設定します。デフォルトは 5 分です。

ステップ 3

[Apply] をクリックして、設定の変更を保存します。

システム管理者用 AAA の設定

この項では、システム管理者の認証、管理許可、コマンド許可を設定する方法について説明します。

管理認証の設定

CLI および ASDM アクセスの認証を設定します。

管理認証について

ASA へのログイン方法は、認証を有効にしているかどうかによって異なります。

SSH 認証の概要

認証ありまたは認証なしでの SSH アクセスについては、次の動作を参照してください。

認証なし：SSH は認証なしでは使用できません。
認証あり：SSH 認証を有効にした場合は、AAA サーバーまたはローカルユーザーデータベースに定義されているユーザー名とパスワードを入力します。公開キーの認証では、ASA はローカルデータベースのみをサポートします。 SSH 公開キー認証を設定した場合、ASA ではローカルデータベースを暗黙的に使用します。ログインにユーザー名とパスワードを使用する場合に必要なのは、SSH 認証を明示的に設定することのみです。ユーザー EXEC モードにアクセスします。

Telnet 認証の概要

認証の有無にかかわらず、Telnet アクセスについては、次の動作を参照してください。

認証なし：Telnet の認証を有効にしていない場合は、ユーザー名を入力しません。ログインパスワードを入力します。デフォルトのパスワードはありません。したがって、ASA へ Telnet 接続するには、パスワードを設定する必要があります。ユーザー EXEC モードにアクセスします。
認証あり：Telnet 認証を有効にした場合は、AAA サーバーまたはローカルユーザーデータベースに定義されているユーザー名とパスワードを入力します。ユーザー EXEC モードにアクセスします。

ASDM 認証の概要

認証ありまたは認証なしでの ASDM アクセスに関しては、次の動作を参照してください。AAA 認証の有無にかかわらず、証明書認証を設定することも可能です。

認証なし：デフォルトでは、ブランクのユーザー名と enable password コマンドを使用して ASDM にログインできます。空白のままにしないように、できるだけ早くイネーブルパスワードを変更することをお勧めします。ホスト名、ドメイン名、およびイネーブルパスワードと Telnet パスワードの設定を参照してください。CLI で enable コマンドを最初に入力したときに、パスワードを変更するように求められます。ASDM にログインしたときには、この動作は適用されません。ログイン画面で（ユーザー名をブランクのままにしないで）ユーザー名とパスワードを入力した場合は、ASDM によってローカルデータベースで一致がチェックされることに注意してください。
証明書認証（シングル、ルーテッドモードのみ）：ユーザーに有効な証明書を要求できます。証明書のユーザー名とパスワードを入力すると、ASA が PKI トラストポイントに対して証明書を検証します。
AAA 認証：ASDM（HTTPS）認証を有効にした場合は、AAA サーバーまたはローカルユーザーデータベースに定義されているユーザー名とパスワードを入力します。これで、ブランクのユーザー名とイネーブルパスワードで ASDM を使用できなくなりました。
AAA 認証と証明書認証の併用（シングル、ルーテッドモードのみ）：ASDM（HTTPS）認証を有効にした場合は、AAA サーバーまたはローカルユーザーデータベースに定義されているユーザー名とパスワードを入力します。証明書認証用のユーザー名とパスワードが異なる場合は、これらも入力するように求められます。ユーザー名を証明書から取得してあらかじめ入力しておくよう選択できます。

シリアル認証の概要

認証ありまたは認証なしでのシリアルコンソールポートへのアクセスに関しては、次の動作を参照してください。

認証なし：シリアルアクセスの認証を有効にしていない場合は、ユーザー名、パスワードを入力しません。ユーザー EXEC モードにアクセスします。
認証あり：シリアルアクセスの認証を有効にした場合は、AAA サーバーまたはローカルユーザーデータベースで定義されているユーザー名とパスワードを入力します。ユーザー EXEC モードにアクセスします。

enable 認証の概要

ログイン後に特権 EXEC モードに入るには、enable コマンドを入力します。このコマンドの動作は、認証がイネーブルかどうかによって異なります。

認証なし：enable 認証を設定していない場合は、enable コマンドを入力するときにシステムイネーブルパスワードを入力します。デフォルトは空白です。enable コマンドを最初に入力したときに、それを変更するように求められます。ただし、enable 認証を使用しない場合、enable コマンドを入力した後は、特定のユーザーとしてログインしていません。これにより、コマンド認可などユーザーベースの各機能が影響を受けることがあります。ユーザー名を維持するには、enable 認証を使用してください。
認証あり：enable 認証を設定した場合は、ASA はプロンプトにより AAA サーバーまたはローカルユーザーデータベースで定義されているユーザー名とパスワードを要求します。この機能は、ユーザーが入力できるコマンドを判別するためにユーザー名が重要な役割を果たすコマンド許可を実行する場合に特に役立ちます。

ローカルデータベースを使用する enable 認証の場合は、enable コマンドの代わりに login コマンドを使用できます。login コマンドによりユーザー名が維持されますが、認証をオンにするための設定は必要ありません。

注意

CLI にアクセスできるユーザーや特権 EXEC モードを開始できないようにするユーザーをローカルデータベースに追加する場合は、コマンド認可を設定する必要があります。コマンド認可がない場合、特権レベルが 2 以上（2 がデフォルト）のユーザーは、CLI で自分のパスワードを使用して特権 EXEC モード（およびすべてのコマンド）にアクセスできます。あるいは、認証処理でローカルデータベースではなく AAA サーバーを使用してログインコマンドを回避するか、またはすべてのローカルユーザーをレベル 1 に設定することにより、システムイネーブルパスワードを使用して特権 EXEC モードにアクセスできるユーザーを制御できます。

ホストオペレーティングシステムから ASA へのセッション

一部のプラットフォームでは、ASA の実行を別のアプリケーションとしてサポートしています（例：Firepower 4100/9300 の ASA）。ホストオペレーティングシステムから ASA へのセッションの場合、接続のタイプに応じてシリアルおよび Telnet 認証を設定できます。たとえば、プラットフォームモードの Firepower 2100 では、connect asa コマンドはシリアル接続を使用します。

マルチコンテキストモードでは、システムコンフィギュレーションで AAA コマンドを設定できません。ただし、Telnet またはシリアル認証を管理コンテキストで設定した場合、認証はこれらのセッションにも適用されます。この場合、管理コンテキストの AAA サーバーまたはローカルユーザーデータベースが使用されます。

CLI、ASDM、および enable コマンドアクセス認証の設定

始める前に

Telnet、SSH、または HTTP アクセスを設定します。
外部認証の場合は、AAA サーバーグループを設定します。ローカル認証の場合は、ローカルデータベースにユーザーを追加します。
HTTP 管理認証では、AAA サーバーグループの SDI プロトコルをサポートしていません。
この機能は、ssh authentication コマンドによるローカルユーザー名に関する SSH 公開キー認証には影響しません。ASA では、公開キー認証に対し、ローカルデータベースを暗黙的に使用します。この機能は、ユーザー名とパスワードにのみ影響します。ローカルユーザーが公開キー認証またはパスワードを使用できるようにするには、この手順を使用してローカル認証を明示的に設定し、パスワードアクセスを許可する必要があります。

手順

ステップ 1

enable コマンドを使用するユーザーを認証する場合は、[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authentication] の順に選択し、次の設定を行います。

[Enable] チェックボックスを選択します。
サーバーグループ名または LOCAL データベースを選択します。
（オプション）AAA サーバーを選択する場合は、AAA サーバーが使用不可になった場合のフォールバック方式としてローカルデータベースが使用されるように ASA を設定できます。[Use LOCAL when server group fails] チェックボックスをオンにします。ローカルデータベースでは AAA サーバーと同じユーザー名およびパスワードを使用することを推奨します。これは、ASA のプロンプトでは、どの方式が使用されているかが示されないためです。

ステップ 2

CLI または ASDM にアクセスするユーザーを認証する場合は、[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authentication] の順に選択し、次の設定を行います。

次のチェックボックスをオンにします（複数可）。
- [HTTP/ASDM]：HTTPS を使用して ASA にアクセスする ASDM クライアントを認証します。
- [Serial]：コンソールポートを使用して ASA にアクセスするユーザーを認証します。プラットフォームモードの Firepower 2100 の場合、このキーワードは connect asa コマンドを使用して FXOS からアクセスする仮想コンソールに影響します。
- SSH：SSH を使用して ASA にアクセスするユーザーを認証します（パスワードのみ。公開キー認証では暗黙のうちにローカルデータベースが使用されます）。
- [Telnet]：Telnet を使用して ASA にアクセスするユーザーを認証します。
チェックボックスをオンにしたサービスごとに、サーバーグループ名または LOCAL データベースを選択します。
（オプション）AAA サーバーを選択する場合は、AAA サーバーが使用不可になった場合のフォールバック方式としてローカルデータベースが使用されるように ASA を設定できます。[Use LOCAL when server group fails] チェックボックスをオンにします。ローカルデータベースでは AAA サーバーと同じユーザー名およびパスワードを使用することを推奨します。これは、ASA のプロンプトでは、どの方式が使用されているかが示されないためです。

ステップ 3

[Apply] をクリックします。

ASDM 証明書認証の設定

AAA 認証の有無にかかわらず証明書認証を必須にできます。ASA は証明書を PKI トラストポイントに照合して検証します。

始める前に

この機能は、シングルルーテッドモードでのみサポートされます。

手順

ステップ 1	[Configuration] > [Device Management] > [Management Access] > [ASDM/HTTPS/Telnet/SSH] の順に選択します。
ステップ 2	[Specify the interface requires client certificate to access ASDM] 領域で [Add] をクリックし、インターフェイスとオプションで証明書マップを指定します。認証が成功するには、その証明書マップと一致している必要があります。証明書認証はインターフェイスごとに設定できます。その結果、信頼できるインターフェイスまたは内部インターフェイス上の接続については証明書の提示が不要になります。証明書マップを作成するには、[Configuration] > [Site-to-Site VPN] > [Advanced] > [IPSec] > [Certificate to Connection Map] > [Rules] を表示します。
ステップ 3	（任意） ASDM で証明書からユーザー名を抽出する際に使用する属性を設定するには、[Configuration] > [Device Management] > [Management Access] > [HTTP Certificate Rule] の順に選択します。次の方法の中から 1 つを選択してください。 [Specify the Certificate Fields to be used]：[Primary Field] ドロップダウンリストと [Secondary Field] ドロップダウンリストから値を選択します。 [Use the entire DN as the username] [Use script to select username]：[Add] をクリックし、スクリプトの内容を追加します。認証を求めるプロンプトにユーザー名を事前入力するには、[Prefill Username] チェックボックスをオンにします。そのユーザー名が最初に入力したものと異なる場合、最初のユーザー名が事前入力された新しいダイアログボックスが表示されます。そこに、認証用のパスワードを入力できます。デフォルトでは、ASDM は CN OU 属性を使用します。
ステップ 4	[Apply] をクリックします。

管理許可による CLI および ASDM アクセスの制限

ASA ではユーザーの認証時に管理アクセスユーザーとリモートアクセスユーザーを区別できるようになっています。ユーザーロールを区別することで、リモートアクセス VPN ユーザーやネットワークアクセスユーザーが ASA に管理接続を確立するのを防ぐことができます。

始める前に

RADIUS または LDAP（マッピング済み）ユーザー

ユーザーが LDAP 経由で認証されると、ネイティブ LDAP 属性およびその値が Cisco ASA 属性にマッピングされ、特定の許可機能が提供されます。Cisco VSA CVPN3000-Privilege-Level の値を 0 ～ 15 の範囲で設定した後、LDAP 属性を Cisco VAS CVPN3000-Privilege-Level にマッピングします。

RADIUS IETF の service-type 属性が、RADIUS 認証および許可要求の結果として access-accept メッセージで送信される場合、この属性は認証されたユーザーにどのタイプのサービスを付与するかを指定するために使用されます。

RADIUS Cisco VSA privilege-level 属性（ベンダー ID 3076、サブ ID 220）が access-accept メッセージで送信される場合は、ユーザーの権限レベルを指定するために使用されます。

TACACS+ ユーザー

「service=shell」で許可が要求され、サーバーは PASS または FAIL で応答します。

ローカルユーザー

指定したユーザー名の [Access Restriction] オプションを設定します。アクセス制限のデフォルト値は [Full Access] です。この場合、[Authentication] タブのオプションで指定されたすべてのサービスに対して、フルアクセスが許可されます。

管理許可の属性

管理許可の AAA サーバータイプおよび有効な値については、次の表を参照してください。ASA ではこれらの値を使用して管理アクセスレベルを決定します。


Management Level	RADIUS/LDAP の（マッピングされた）属性	TACACS+ 属性	ローカルデータベースの属性
[Full Access]： [Authentication] タブのオプションで指定されたすべてのサービスに対してフルアクセスが許可されます。	Service-Type 6（アドミニストレーティブ）、Privilege-Level 1	PASS、特権レベル 1	admin
[Partial Access]：[Authentication] タブのオプションで設定すると、CLI または ASDM に対するアクセスが許可されます。ただし、 [Enable] オプションを使用して enable 認証を設定する場合、CLI ｙユーザーは enable コマンドを使用して特権 EXEC モードにアクセスすることはできません。	Service-Type 7（NAS プロンプト）、Privilege-Level 2 以上 Framed (2) および Login (1) サービスタイプは同様に扱われます。	PASS、特権レベル 2 以上	nas-prompt
[No Access]：管理アクセスが拒否されます。ユーザーは [Authentication] タブのオプションで指定されたいずれのサービスも使用できません（ [Serial] オプションは除きます。つまり、シリアルアクセスは許可されます）。リモートアクセス（IPsec および SSL）ユーザーは、引き続き自身のリモートアクセスセッションを認証および終了できます。他のすべてのサービスタイプ（ボイス、ファクスなど）も同様に処理されます。	Service-Type 5（アウトバウンド）	FAIL	remote-access

その他のガイドライン

シリアルコンソールアクセスは管理許可に含まれません。
この機能を使用するには、管理アクセスに AAA 認証も設定する必要があります。CLI、ASDM、および enable コマンドアクセス認証の設定を参照してください。
外部認証を使用する場合は、この機能をイネーブルにする前に、AAA サーバーグループを設定しておく必要があります。
HTTP 許可は、シングルルーテッドモードでのみサポートされます。

手順

ステップ 1

HTTP セッションの管理許可をイネーブルにするには、[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authorization] の順に選択し、[Enable Authorization for ASA Command Access] 領域の [HTTP] チェックボックスをオンにします。

（注）

ASA コマンドアクセスを設定するには、ローカルコマンド許可の設定を参照してください。

ステップ 2

Telnet および SSH セッションの管理許可をイネーブルにするには、[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authorization] の順に選択し、[Perform authorization for exec shell access] 領域の [Enable] チェックボックスをオンにします。

ステップ 3

[Remote] または [Local] オプションボタンを選択して、EXEC シェルアクセスの許可に使用するサーバーを指定します。

ステップ 4

管理認可をイネーブルにするには、[Allow privileged users to enter into EXEC mode on login] チェックボックスをオンにします。

[auto-enable] オプションを選択すると、フルアクセスが許可されたユーザーが直接特権 EXEC モードを開始できます。それ以外では、ユーザーはユーザー EXEC モードになります。

コマンド認可の設定

コマンドへのアクセスを制御する場合、ASA ではコマンド許可を設定でき、ユーザーが使用できるコマンドを決定できます。デフォルトでは、ログインするとユーザー EXEC モードにアクセスでき、最低限のコマンドだけが提供されます。enable コマンド（または、ローカルデータベースを使用するときは login コマンド）を入力すると、特権 EXEC モードおよびコンフィギュレーションコマンドを含む高度なコマンドにアクセスできます。

次の 2 つのコマンド許可方式のいずれかを使用できます。

ローカル特権レベル
TACACS+ サーバー特権レベル

コマンド認可について

コマンド認可を有効にし、承認済みのユーザーにのみコマンド入力を許容することができます。

サポートされるコマンド認可方式

次の 2 つのコマンド許可方式のいずれかを使用できます。

ローカル特権レベル：ASA でコマンド特権レベルを設定します。ローカルユーザー、RADIUS ユーザー、または LDAP ユーザー（LDAP 属性を RADIUS 属性にマッピングする場合）を CLI アクセスについて認証する場合、ASA はそのユーザーをローカルデータベース、RADIUS、または LDAP サーバーで定義されている特権レベルに所属させます。ユーザーは、割り当てられた特権レベル以下のコマンドにアクセスできます。すべてのユーザーは、初めてログインするときに、ユーザー EXEC モード（レベル 0 または 1 のコマンド）にアクセスします。ユーザーは、特権 EXEC モード（レベル 2 以上のコマンド）にアクセスするために再び enable コマンドで認証するか、login コマンドでログイン（ローカルデータベースに限る）できます。

（注）

ローカルデータベース内にユーザーが存在しなくても、また CLI 認証や enable 認証がない場合でも、ローカルコマンド許可を使用できます。代わりに、enable コマンドを入力するときにシステムイネーブルパスワードを入力すると、ASA によってレベル 15 に置かれます。次に、すべてのレベルのイネーブルパスワードを作成します。これにより、enable n（2 ～ 15）を入力したときに、ASA によってレベル n に置かれるようになります。これらのレベルは、ローカルコマンド許可を有効にするまで使用されません。

TACACS+ サーバー特権レベル：TACACS+ サーバーで、ユーザーまたはグループが CLI アクセスについて認証した後で使用できるコマンドを設定します。CLI でユーザーが入力するすべてのコマンドは、TACACS+ サーバーで検証されます。

セキュリティコンテキストとコマンド許可

AAA 設定はコンテキストごとに個別であり、コンテキスト間で共有されません。

コマンド許可を設定する場合は、各セキュリティコンテキストを別々に設定する必要があります。この設定により、異なるセキュリティコンテキストに対して異なるコマンド許可を実行できます。

セキュリティコンテキストを切り替える場合、管理者は、ログイン時に指定したユーザー名で許可されるコマンドが新しいコンテキストセッションでは異なる可能性があることや、新しいコンテキストではコマンド許可がまったく設定されていない可能性があることを念頭に置いてください。コマンド許可がセキュリティコンテキストによって異なる場合があることを管理者が理解していないと、混乱が生じる可能性があります。

（注）

システム実行スペースでは AAA コマンドがサポートされないため、システム実行スペースではコマンド許可を使用できません。

コマンド権限レベル

デフォルトでは、次のコマンドが特権レベル 0 に割り当てられます。その他のすべてのコマンドは特権レベル 15 に割り当てられます。

show checksum
show curpriv
イネーブル化
help
show history
login
logout
pager
show pager
clear pager
quit
show version

コンフィギュレーションモードコマンドを 15 より低いレベルに移動する場合は、configure コマンドも同じレベルに移動してください。このようにしないと、ユーザーはコンフィギュレーションモードに入ることができません。

ローカルコマンド許可の設定

ローカルコマンド許可を使用して、コマンドを 16 の特権レベル（0 ～ 15）の 1 つに割り当てることができます。デフォルトでは、各コマンドは特権レベル 0 または 15 に割り当てられます。各ユーザーを特定の特権レベルに定義でき、各ユーザーは割り当てられた特権レベル以下のコマンドを入力できます。ASA は、ローカルデータベース、RADIUS サーバー、または LDAP サーバー（LDAP 属性を RADIUS 属性にマッピングする場合）に定義されているユーザー特権レベルをサポートしています。

手順

ステップ 1	[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authorization] の順に選択します。
ステップ 2	[Enable authorization for ASA command access] > [Enable] チェックボックスをオンにします。
ステップ 3	[Server Group] ドロップダウンリストから [LOCAL] を選択します。
ステップ 4	ローカルコマンド許可をイネーブルにすると、オプションで、特権レベルを個々のコマンドまたはコマンドグループに手動で割り当てたり、事前定義済みユーザーアカウント特権をイネーブルにしたりできます。事前定義のユーザーアカウント特権を使用するには、[Set ASDM Defined User Roles] をクリックします。 [ASDM Defined User Roles Setup] ダイアログボックスが表示されます。[Yes] をクリックすると、事前定義済みユーザーアカウント特権を使用できるようになります。事前定義済みユーザーアカウント特権には、[Admin]（特権レベル 15、すべての CLI コマンドへのフルアクセス権）、[Read Only]（特権レベル 5、読み取り専用アクセス権）、[Monitor Only]（特権レベル 3、[Monitoring] セクションへのアクセス権のみ）があります。コマンドレベルを手動で設定するには、[Configure Command Privileges] をクリックします。 [Command Privileges Setup] ダイアログボックスが表示されます。[Command Mode]ドロップダウンリストから [All Modes] を選択すると、すべてのコマンドを表示できます。代わりに、コンフィギュレーションモードを選択し、そのモードで使用可能なコマンドを表示することもできます。たとえば、[context] を選択すると、コンテキストコンフィギュレーションモードで使用可能なすべてのコマンドを表示できます。コンフィギュレーションモードだけでなく、ユーザー EXEC モードや特権 EXEC モードでも入力が可能で、かつモードごとに異なるアクションが実行されるようなコマンドを使用する場合は、これらのモードに対して別個に特権レベルを設定できます。 [Variant] カラムには、[show]、[clear]、または [cmd] が表示されます。特権は、コマンドの show 形式、clear 形式、または configure 形式に対してのみ設定できます。コマンドの configure 形式は、通常、未修正コマンド（show または clear プレフィックスなしで）または no 形式として、コンフィギュレーションの変更を引き起こす形式です。コマンドのレベルを変更する場合は、コマンドをダブルクリックするか、[Edit] をクリックします。レベルは 0 ～ 15 の範囲で設定できます。設定できるのは、main コマンドの特権レベルだけです。たとえば、すべての aaa コマンドのレベルを設定できますが、aaa authentication コマンドと aaa authorization コマンドのレベルを個別に設定できません。表示されているすべてのコマンドのレベルを変更する場合は、[Select All] をクリックした後に、[Edit] をクリックします。 [OK] をクリックして変更内容を確定します。
ステップ 5	（任意） [Perform authorization for exec shell access] > [Enable] チェックボックスをオンにして、コマンド認可のための AAA ユーザーを有効にします。このオプションを入力しない場合、ASA は、ローカルデータベースユーザの特権レベルだけをサポートし、他のタイプのユーザをすべてデフォルトでレベル 15 に割り当てます。さらに、このコマンドは管理認証を有効にします。管理許可による CLI および ASDM アクセスの制限を参照してください。
ステップ 6	[Apply] をクリックします。許可設定が割り当てられ、その変更内容が実行コンフィギュレーションに保存されます。

TACACS+ サーバーでのコマンドの設定

グループまたは個々のユーザーの共有プロファイルコンポーネントとしての Cisco Secure Access Control Server（ACS）TACACS+ サーバーでコマンドを設定できます。サードパーティの TACACS+ サーバーの場合は、コマンド許可サポートの詳細については、ご使用のサーバーのマニュアルを参照してください。

Cisco Secure ACS バージョン 3.1 でコマンドを設定する場合は、次のガイドラインを参照してください。

ASA は、シェルコマンドとして許可するコマンドを送信し、TACACS+ サーバーでシェルコマンドとしてコマンドを設定します。

（注）

Cisco Secure ACS には、「pix-shell」と呼ばれるコマンドタイプが含まれている場合があります。このタイプは ASA コマンド許可に使用しないでください。

コマンドの最初のワードは、メインコマンドと見なされます。その他のワードはすべて引数と見なされます。これは、permit または deny の後に置く必要があります。

たとえば、show running-configuration aaa-server コマンドを許可するには、コマンドフィールドに show running-configuration を追加し、引数フィールドに permit aaa-server を入力します。
[Permit Unmatched Args] チェックボックスをオンにすると、明示的に拒否していないすべてのコマンド引数を許可できます。

たとえば、特定の show コマンドを設定するだけで、すべての show コマンドが許可されます。CLI の使用法を示す疑問符や省略形など、コマンドの変形をすべて予想する必要がなくなるので、この方法を使用することをお勧めします（次の図を参照）。

図 1. 関連するすべてのコマンドの許可
enable や help など、単一ワードのコマンドについては、そのコマンドに引数がない場合でも、一致しない引数を許可する必要があります（次の図を参照）。

図 2. 単一ワードのコマンドの許可
引数を拒否するには、その引数の前に deny を入力します。

たとえば、enable コマンドを許可し、enable password コマンドを許可しない場合には、コマンドフィールドに enable を入力し、引数フィールドに deny password を入力します。enable だけが許可されるように、必ず、[Permit Unmatched Args] チェックボックスをオンにしてください（次の図を参照）。

図 3. 引数の拒否
コマンドラインでコマンドを省略形で入力した場合、ASA はプレフィックスとメインコマンドを完全なテキストに展開しますが、その他の引数は入力したとおりに TACACS+ サーバーに送信します。

たとえば、sh log と入力すると、ASA は完全なコマンド show logging を TACACS+ サーバーに送信します。一方、sh log mess と入力すると、ASA は展開されたコマンド show logging message ではなく、show logging mess を TACACS+ サーバーに送信します。省略形を予想して同じ引数の複数のスペルを設定できます（次の図を参照）。

図 4. 省略形の指定
すべてのユーザーに対して次の基本コマンドを許可することをお勧めします。
- show checksum
- show curpriv
- イネーブル化
- help
- show history
- login
- logout
- pager
- show pager
- clear pager
- quit
- show version

TACACS+ コマンド許可の設定

TACACS+ コマンド認可をイネーブルにし、ユーザーが CLI でコマンドを入力すると、ASA はそのコマンドとユーザー名を TACACS+ サーバーに送信し、コマンドが認可されているかどうかを判別します。

TACACS+ コマンド許可をイネーブルにする前に、TACACS+ サーバーで定義されたユーザーとして ASA にログインしていること、および ASA の設定を続けるために必要なコマンド許可があることを確認してください。たとえば、すべてのコマンドが認可された管理ユーザーとしてログインする必要があります。このようにしないと、意図せずロックアウトされる可能性があります。

意図したとおりに機能することが確認できるまで、設定を保存しないでください。間違いによりロックアウトされた場合、通常は ASA を再始動することによってアクセスを回復できます。

TACACS+ システムが完全に安定して信頼できることを確認します。必要な信頼性レベルについて、通常は、完全冗長 TACACS+ サーバーシステムと ASA への完全冗長接続が必要です。たとえば、TACACS+ サーバープールに、インターフェイス 1 に接続された 1 つのサーバーとインターフェイス 2 に接続された別のサーバーを含めます。TACACS+ サーバーが使用できない場合にフォールバック方式としてローカルコマンド許可を設定することもできます。

TACACS+ サーバーを使用したコマンド許可を設定するには、次の手順を実行します。

手順

ステップ 1	[Configuration] > [Device Management] > [Users/AAA] > [AAA Access] > [Authorization] の順に選択します。
ステップ 2	[Enable authorization for command access] > [Enable] チェックボックスをオンにします。
ステップ 3	[Server Group] ドロップダウンリストから AAA サーバーグループ名を選択します。
ステップ 4	（オプション）AAA サーバーが使用不可になった場合のフォールバック方式としてローカルデータベースが使用されるように ASA を設定できます。設定するには、[Use LOCAL when server group fails] チェックボックスをオンにします。ローカルデータベースでは AAA サーバーと同じユーザー名およびパスワードを使用することを推奨します。これは、ASA のプロンプトでは、どの方式が使用されているかが示されないためです。必ずローカルデータベースのユーザーとコマンド特権レベルを設定してください。
ステップ 5	[Apply] をクリックします。コマンド許可設定が割り当てられ、その変更内容が実行コンフィギュレーションに保存されます。

ローカルデータベースユーザーのパスワードポリシーの設定

ローカルデータベースを使用して CLI または ASDM アクセスの認証を設定する場合は、指定期間を過ぎるとユーザーにパスワードの変更を要求し、パスワードの最短長と最低変更文字数などのパスワード標準に従うことを要求するパスワードポリシーを設定できます。

パスワードポリシーはローカルデータベースを使用する管理ユーザーに対してのみ適用されます。ローカルデータベースを使用するその他のタイプのトラフィック（VPN や AAA によるネットワークアクセスなど）や、AAA サーバーによって認証されたユーザーには適用されません。

パスワードポリシーの設定後は、自分または別のユーザーのパスワードを変更すると、新しいパスワードに対してパスワードポリシーが適用されます。既存のパスワードについては、現行のポリシーが適用されます。新しいポリシーは、[User Accounts] ペインおよび [Change My Password] ペインを使用したパスワードの変更に適用されます。

始める前に

ローカルデータベースを使用して CLI または ASDM アクセスの AAA 認証を設定します。
ローカルデータベース内にユーザー名を指定します。

手順

ステップ 1	[Configuration] > [Device Management] > [Users/AAA] > [Password Policy] の順に選択します。
ステップ 2	次のオプションを任意に組み合わせて設定します。 [Minimum Password Length]：パスワードの最小長を入力します。有効値の範囲は 3 ～ 64 文字です。推奨されるパスワードの最小長は 8 文字です。 [Lifetime]：リモートユーザー（SSH、Telnet、HTTP）のパスワードの有効期間を日数で指定します。コンソールポートのユーザーが、パスワードの有効期限切れでロックされることはありません。有効な値は、0 ～ 65536 です。デフォルト値は 0 日です。この場合、パスワードは決して期限切れになりません。パスワードの有効期限が切れる 7 日前に、警告メッセージが表示されます。パスワードの有効期限が切れると、リモートユーザーのシステムアクセスは拒否されます。有効期限が切れた後アクセスするには、次のいずれかの手順を実行します。他の管理者にパスワードを変更してもらいます。物理コンソールポートにログインして、パスワードを変更します。 [Minimum Number Of]：次のタイプの最短文字数を指定します。 [Numeric Characters]：パスワードに含めなければならない数字の最小文字数を入力します。有効な値は、0 ～ 64 文字です。デフォルト値は 0 です [Lower Case Characters]：パスワードに含めなければならない小文字の最小文字数を入力します。有効値の範囲は 0 ～ 64 文字です。デフォルト値は 0 です [Upper Case Characters]：パスワードに含めなければならない大文字の最小文字数を入力します。有効値の範囲は 0 ～ 64 文字です。デフォルト値は 0 です [Special Characters]：パスワードに含めなければならない特殊文字の最小文字数を入力します。有効値の範囲は 0 ～ 64 文字です。特殊文字には、!、@、#、$、%、^、&、*、( および ) が含まれます。デフォルト値は 0 です。 [Different Characters from Previous Password]：新しいパスワードと古いパスワードで変えなければならない最小文字数を入力します。有効な値は、0 ～ 64 文字です。デフォルト値は 0 です文字マッチングは位置に依存しません。したがって、新しいパスワードで使用される文字が、現在のパスワードのどこにも使用されていない場合に限り、パスワードが変更されたとみなされます。 [Enable Reuse Interval]：以前に使用された 2 ～ 7 個のパスワードと一致するパスワードの再利用を禁止することができます。以前のパスワードは、password-history コマンドを使用して、暗号化された形で各ユーザー名の設定に保存されます。このコマンドをユーザーが設定することはできません。 [Prevent Passwords from Matching Usernames]：ユーザー名と一致するパスワードを禁止します。
ステップ 3	（オプション）[Enable Password and Account Protection] チェックボックスをオンにして、ユーザーが [User Accounts] ペインではなく、[Change My Password] ペインでパスワードを変更することを要件とします。デフォルト設定はディセーブルです。どちらの方法でも、ユーザーはパスワードを変更することができます。この機能をイネーブルにして、[User Accounts] ペインでパスワードを変更しようとすると、次のエラーメッセージが表示されます。 `ERROR: Changing your own password is prohibited`
ステップ 4	[Apply] をクリックして、設定内容を保存します。

パスワードの変更

パスワードポリシーでパスワードの有効期間を設定した場合、有効期間を過ぎるとパスワードを新しいパスワードに変更する必要があります。パスワードポリシー認証をイネーブルにした場合は、このパスワード変更のスキームが必須です。パスワードポリシー認証がイネーブルでない場合は、このメソッドを使用することも、直接ユーザーアカウントを変更することもできます。

username パスワードを変更するには、次の手順を実行します。

手順

ステップ 1	[Configuration] > [Device Management] > [Users/AAA] > [Change Password] の順に選択します。
ステップ 2	古いパスワードを入力します。
ステップ 3	新しいパスワードを入力します。
ステップ 4	確認のために新しいパスワードを再度入力します。
ステップ 5	[Make Change] をクリックします。
ステップ 6	[Save] アイコンをクリックして、実行コンフィギュレーションに変更を保存します。

ログインの履歴を有効にして表示する

デフォルトでは、ログイン履歴は 90 日間保存されます。この機能を無効にするか、期間を最大 365 日まで変更できます。

始める前に

ログイン履歴はユニット（装置）ごとに保存されます。フェールオーバーおよびクラスタリング環境では、各ユニットが自身のログイン履歴のみを保持します。
ログインの履歴データは、リロードされると保持されなくなります。
1 つ以上の CLI 管理方式（SSH、Telnet、シリアルコンソール）でローカル AAA 認証をイネーブルにした場合、AAA サーバーのユーザー名またはローカルデータベースのユーザー名にこの機能が適用されます。ASDM のログインは履歴に保存されません。

手順

ステップ 1	[Configuration] > [Device Management] > [Users/AAA] > [Login History] の順に選択します。
ステップ 2	[管理者のログイン履歴レポート設定] チェックボックスをオンにします。この機能は、デフォルトでイネーブルにされています。
ステップ 3	[期間] を 1 ～ 365 日の間で設定します。デフォルトは 90 です。
ステップ 4	ログイン履歴を表示するには、いずれかの ASDM 画面で [Status] バーにある [Login History] アイコンをクリックします。すべてのユーザーのログイン履歴がダイアログボックスに表示されます。