概要
本ドキュメントでは、ASAに、ASDMや Telnet/SSH/Console経由で管理アクセス時に、ローカルデータベースを用いたユーザ・パスワードでの認証を有効化する設定例や、動作確認例を紹介します。
なお、
本ドキュメントは、ASAバージョン 9.4(3)12、ASDMバージョン 7.6(2)150を用いて確認、作成しております。
管理アクセス時のローカルユーザ認証
以下設定を追加することで、ローカルデータベースのユーザ情報を利用した認証に切り替えることができます。 アクセス時に ユーザ名とパスワードの2つを同時入力する必要があるため、よりセキュアとなります。
aaa authentication {http | telnel | ssh | serial | enable} console LOCAL
設定 |
説明 |
http |
ASDMアクセス時に、ローカルユーザ認証 |
telnet |
Telnetアクセス時に、ローカルユーザ認証 |
ssh |
SSHアクセス時に、ローカルユーザ認証 |
serial |
コンソールアクセス時に、ローカルユーザ認証 |
enable |
特権EXECモード(※)にアクセス時に、ローカルユーザ認証 |
※細かなログ取得や設定変更などが可能となるモード
ローカルデータベースには、以下コマンドでユーザの追加が可能です。 事前に必要なユーザを追加してください。 また、ユーザを登録後、そのパスワードはHashで暗号化され保存されるため、設定したパスワードは忘れないようにしてください。
管理者ユーザは、privilege 15で設定します。
username admin password cisco123 privilege 15
ASDMや特権EXECモードに管理アクセスさせたくないユーザは、privilege 0 か 1 で設定します。
username guest password guest123 privilege 0
ASDM(GUI)から上記設定を行いたい場合、以下メニューから設定可能です。
管理アクセス時のローカルユーザ認証の有効化
Configuration > Device Management > Users/AAA > AAA Access > Authentication
ローカルデータベースにユーザ登録
Configuration > Device Management > Users/AAA > User Accounts
設定例
以下に設定例を示します。 なお、以下のローカル認証に切り替え前に、ローカルデータベースの任意ユーザ・パスワードの事前設定を必ず実施してください。
ASDMアクセス時に、ローカルユーザ認証を有効化する
以下は、端末(IP=192.168.0.241)からinsideへのASDMアクセスを許可する設定です。 ASDMアクセス時に ローカルユーザ認証を有効にします。
http server enable
http 192.168.0.241 255.255.255.255 inside
aaa authentication http console LOCAL
SSHで管理アクセス時に、ローカルユーザ認証を有効化する
以下は、RSAキーを生成し、端末(IP=192.168.0.241)からinsideへのSSHアクセスを許可する設定です。 SSHアクセス時、及び 特権EXECモードアクセス時に、各ローカルユーザ認証を有効にします。SSHタイムアウトは30分です。
crypto key generate rsa modulus 1024
write memory
ssh 192.168.0.241 255.255.255.255 inside
ssh timeout 30
aaa authentication ssh console LOCAL
aaa authentication enable console LOCAL
Telnetで管理アクセス時に、ローカルユーザ認証を有効化する
以下は、端末(IP=192.168.0.241)からinsideへのTelnetアクセスを許可する設定です。 Telnetアクセス時、及び 特権EXECモードアクセス時に、各ローカルユーザ認証を有効にします。Telnetタイムアウトは10分です。
telnet 192.168.0.241 255.255.255.255 inside
telnet timeout 10
aaa authentication telnet console LOCAL
aaa authentication enable console LOCAL
動作確認
TelnetやSSH経由の管理アクセスの場合
以下3つのユーザを登録し、TelnetとSSH、特権EXECモードアクセス、ASDMのローカルデータベースでの認証を有効化している場合・・
Internet-FW-01(config)# show run username
username test password 4wnTeFxxdAfxRa94 encrypted privilege 0
username guest password PxDnV4jv9VXAi/Np encrypted privilege 1
username admin password e1z89R3cZe9Kt6Ib encrypted privilege 15
Internet-FW-01(config)# show run aaa
aaa authentication http console LOCAL
aaa authentication telnet console LOCAL
aaa authentication ssh console LOCAL
aaa authentication enable console LOCAL
ユーザEXECモードには、Privilegeが1以下のユーザでもログイン可能です。 以下はTelnetで、Guestユーザでアクセス時の出力です。
User Access Verification
Username: guest
Password: ********
Type help or '?' for a list of available commands.
Internet-FW-01>
しかし、enableコマンドで特権EXECモードにログインしようとしても、Guestユーザの権限不足のためアクセスできません。
Internet-FW-01> enable
Password: ********
[ guest ] You do NOT have Admin Rights to the console !
Password:
Password:
Access denied.
Internet-FW-01>
なお、ユーザEXECモードから、loginコマンドでアカウントを切り替えて、特権EXECモードに管理アクセスする事も可能です。 以下はadminアカウントに切り替え、特権EXECモードにログイン時の出力です。
Internet-FW-01> login
Username: admin
Password: ********
Internet-FW-01#
つまり、管理者権限を持つユーザカウント(上記例のadminユーザなど)は、機器操作権限を持つ重要なアカウントです。 そのユーザ名とパスワードは厳重に管理をお勧めします。
ASDMアクセスの場合
ASDMの場合、権限が不足しているユーザでログインしようとすると、初回で以下のエラーでログイン失敗します。