シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel

ASA:ローカルユーザアカウントのロックアウト機能について

 

 

はじめに

本ドキュメントでは ASA のローカルユーザアカウントが一定回数パスワードを間違えた場合に*ロックアウト(アカウントロックアウト)させる機能についてご紹介いたします。

* ロックアウト(アカウントロックアウト)=アカウントによるシステムへのログインや使用を拒否する事

尚、本ドキュメントは ASA Version 9.2(2)4、ASDM Version 7.5(1)を元に作成しています。

 

 

ロックアウトの機能を利用する上での制約事項

ローカルユーザアカウントを利用してロックアウトの機能を利用する際、ASA で設定可能な事と不可能な事があります。

ローカルユーザーがログインする際に一定回数パスワードを間違えた場合に、アカウントをロックさせる事はできますが、一定時間経過後にアカウントロックを解除させる(自動的にロックアウトを解除する)事はできません。ロックアウトの解除には ASA で別途コマンドの実行が必要となります。また、ローカルユーザーごとに回数を設定する事はできません。

 

 

設定方法(コマンドライン)

1) 先ず、ローカルユーザアカウントを作成します。

ciscoasa(config)# username <ユーザー名> password <パスワード>

2) 次に一定回数パスワードを間違えた場合の回数制限を設定します。以下のコマンドで設定が可能です。

ciscoasa(config)# aaa local authentication attempts max-fail <回数> 
* 回数は 1 - 16 の範囲で設定できます。回数を "3" とした場合は、3回間違えた時点でロックアウトされます。

コマンドの詳細につきましては以下の URL に記載がございますが、level 15(level 15 が一番強い権限となります) の User は例外となります。尚、username コマンドでローカルユーザを作成した場合、デフォルトの設定では level 2 の User で作成されます。

 

(参考情報)

aaa local authentication attempts max-fail
http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/A-H/cmdref1/a1.html#pgfId-1596270

username
http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/T-Z/cmdref4/u.html#pgfId-1834692

 

3) 最後に ”write memory” で設定を保存します。

 

 

設定方法(ASDM)

1) 先ず、ローカルユーザアカウントを作成します。

[Configuration] > [Remote Access VPN] > [AAA/Local Users] > [Local Users] あるいは[Configuration] > [Device Management] > [Users/AAA] > [User Accounts] にて "Add" をクリックします。

 

”Add User Account” の Window で Username、Password、Confirm Password を入力し "OK" をクリックし Window を閉じ、最後に"Apply"をクリックします。

 

2) 次に一定回数パスワードを間違えた場合の回数制限を設定します。

[Configuration] > [Remote Access VPN] > [AAA/Local Users] > [AAA Server Groups] あるいは [Configuration] > [Device Management] > [Users/AAA] > [AAA Server Groups] にて、LOCAL を選択し "Edit" をクリックすると設定画面が表示されます。

 

"Edit LOCAL Server Group" の Window で "Enable Local User Lockout" にチェックを入れ、"Maximun Attemps" の入力ボックスに 1 - 16 の範囲で数値を設定し、 "OK" をクリックし Window を閉じ、最後に "Apply"をクリックします。

 

3) 最後に "Save" をクリックし設定を保存します。

 

 

ックアウトされたユーザーの確認方法(コマンドライン)

ローカルユーザがロックされているかどうかは、以下のコマンドにて確認する事ができます。Locked の欄が "Y" と表示されているユーザーがロックアウトされたユーザーとなります。

ciscoasa(config)# show aaa local user

表示例(最大 3回に設定してあり user1 は 3回目でロックアウトされています)

ciscoasa(config)# show aaa local user
Lock-time Failed-attempts Locked User
- 0 N user1
- 0 N cisco
ciscoasa(config)#
ciscoasa(config)# show aaa local user
Lock-time Failed-attempts Locked User
- 1 N user1
- 0 N cisco
ciscoasa(config)#
ciscoasa(config)# show aaa local user
Lock-time Failed-attempts Locked User
- 2 N user1
- 0 N cisco
ciscoasa(config)#
ciscoasa(config)# show aaa local user
Lock-time Failed-attempts Locked User
15:11:43 3 Y user1 <<<<< ロックアウトされたユーザー
- 0 N cisco

この例では 3回間違えた時点でロックアウトするようにしていますが、ユーザーがロックアウトされた後の場合は 4回目で正しいパスワードを入力した場合でも、既にロックアウトされているため ASA-6-113006 が出力されログインは拒否されます。ロックアウト前の場合であれば、2回間違えても 3回目で正しいパスワードを入力した場合には、"Failed-attempts" の回数は "0" にリセットされます。

 

上記の例では下記のようなログが出力されています。

%ASA-6-113006: User 'user1' locked out on exceeding '3' successive failed authentication attempts

 

 

ロックアウトされたユーザーの確認方法(ASDM)

コマンドラインではロックアウト前のユーザーの回数についても確認する事ができますが、ASDMではロックアウト後のユーザーの確認のみとなります。

[Monitoring] > [Properties] > [Device Access] > [AAA Local Locked Out Users] にてロックアウトされたユーザーを確認する事ができます。

 

 

ロックアウトされたユーザーのロックアウト解除方法(コマンドライン)

自動的にロックアウトを解除する事はできないため、ロックの解除には以下のコマンドを実施して解除を行います。

ciscoasa(config)#ciscoasa(config)# clear aaa local user lockout ? 
exec mode commands/options:
all Clear all the locked users ----> ロックアウトされたすべてのユーザーが対象
username Username of the locked-user  ----> ロックアウトされたユーザーが対象
ciscoasa(config)#
ciscoasa(config)# clear aaa local user lockout username user1
ciscoasa(config)#
ciscoasa(config)# show aaa local user
Lock-time Failed-attempts Locked User
  - 0 N user1
- 0 N cisco

 

上記の例では下記のようにログに出力されています。

%ASA-6-113007: User 'user1' unlocked by 'cisco'
%ASA-5-111008: User 'enable_15' executed the 'clear aaa local user lockout username user1' command.

 

尚、コマンドラインでは Failed-attempts の数をリセットするコマンドもあります。

(参考情報)

clear aaa local user fail-attempts
http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/A-H/cmdref1/c1.html#pgfId-2163081

 

 

ロックアウトされたユーザーのロックアウト解除方法(ASDM)

[Monitoring] > [Properties] > [Device Access] > [AAA Local Locked Out Users] にてロックアウトされたユーザーを確認し、右下の"Clear Selected Lockout"、あるいは、"Clear All Lockouts"をクリックし、確認画面で "OK" をクリックすると解除されます。

 

1162
閲覧回数
5
いいね!
0
コメント