キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

ASA: ASDM・CLI・特権モードにアクセス時に ローカルユーザ認証を有効化する方法

 

  

概要

本ドキュメントでは、ASAに、ASDMや Telnet/SSH/Console経由で管理アクセス時に、ローカルデータベースを用いたユーザ・パスワードでの認証を有効化する設定例や、動作確認例を紹介します。

なお、

本ドキュメントは、ASAバージョン 9.4(3)12、ASDMバージョン 7.6(2)150を用いて確認、作成しております。

  

  

管理アクセス時のローカルユーザ認証

以下設定を追加することで、ローカルデータベースのユーザ情報を利用した認証に切り替えることができます。 アクセス時に ユーザ名とパスワードの2つを同時入力する必要があるため、よりセキュアとなります。

aaa authentication {http | telnel | ssh | serial | enable} console LOCAL

  

設定説明
 http ASDMアクセス時に、ローカルユーザ認証
 telnet Telnetアクセス時に、ローカルユーザ認証
 ssh SSHアクセス時に、ローカルユーザ認証
 serial コンソールアクセス時に、ローカルユーザ認証
 enable 特権EXECモード()にアクセス時に、ローカルユーザ認証

  ※細かなログ取得や設定変更などが可能となるモード
 
ローカルデータベースには、以下コマンドでユーザの追加が可能です。 事前に必要なユーザを追加してください。 また、ユーザを登録後、そのパスワードはHashで暗号化され保存されるため、設定したパスワードは忘れないようにしてください。

管理者ユーザは、privilege 15で設定します。

username admin password cisco123 privilege 15

   
ASDMや特権EXECモードに管理アクセスさせたくないユーザは、privilege 0 か 1 で設定します。

username guest password guest123 privilege 0

  
ASDM(GUI)から上記設定を行いたい場合、以下メニューから設定可能です。

管理アクセス時のローカルユーザ認証の有効化
Configuration > Device Management > Users/AAA > AAA Access > Authentication

ローカルデータベースにユーザ登録
Configuration > Device Management > Users/AAA > User Accounts

   

  

設定例

以下に設定例を示します。 なお、以下のローカル認証に切り替えに、ローカルデータベースの任意ユーザ・パスワードの事前設定を必ず実施してください。
 

ASDMアクセス時に、ローカルユーザ認証を有効化する

以下は、端末(IP=192.168.0.241)からinsideへのASDMアクセスを許可する設定です。 ASDMアクセス時に ローカルユーザ認証を有効にします。

http server enable
http 192.168.0.241 255.255.255.255 inside
aaa authentication http console LOCAL

    

SSHで管理アクセス時に、ローカルユーザ認証を有効化する

以下は、RSAキーを生成し、端末(IP=192.168.0.241)からinsideへのSSHアクセスを許可する設定です。 SSHアクセス時、及び 特権EXECモードアクセス時に、各ローカルユーザ認証を有効にします。SSHタイムアウトは30分です。

crypto key generate rsa modulus 1024
write memory
ssh 192.168.0.241 255.255.255.255 inside
ssh timeout 30
aaa authentication ssh console LOCAL
aaa authentication enable console LOCAL

       

Telnetで管理アクセス時に、ローカルユーザ認証を有効化する

以下は、端末(IP=192.168.0.241)からinsideへのTelnetアクセスを許可する設定です。 Telnetアクセス時、及び 特権EXECモードアクセス時に、各ローカルユーザ認証を有効にします。Telnetタイムアウトは10分です。

telnet 192.168.0.241 255.255.255.255 inside
telnet timeout 10
aaa authentication telnet console LOCAL
aaa authentication enable console LOCAL

   

   

動作確認

TelnetやSSH経由の管理アクセスの場合

以下3つのユーザを登録し、TelnetとSSH、特権EXECモードアクセス、ASDMのローカルデータベースでの認証を有効化している場合・・

Internet-FW-01(config)# show run username
username test password 4wnTeFxxdAfxRa94 encrypted privilege 0
username guest password PxDnV4jv9VXAi/Np encrypted privilege 1
username admin password e1z89R3cZe9Kt6Ib encrypted privilege 15

Internet-FW-01(config)# show run aaa
aaa authentication http console LOCAL
aaa authentication telnet console LOCAL
aaa authentication ssh console LOCAL
aaa authentication enable console LOCAL
--------------------------------------------------------

  
ユーザEXECモードには、Privilegeが1以下のユーザでもログイン可能です。 以下はTelnetで、Guestユーザでアクセス時の出力です。

User Access Verification

Username: guest
Password: ********
Type help or '?' for a list of available commands.
Internet-FW-01>

   
しかし、enableコマンドで特権EXECモードにログインしようとしても、Guestユーザの権限不足のためアクセスできません。

Internet-FW-01> enable
Password: ********

[ guest ] You do NOT have Admin Rights to the console !
Password:
Password:
Access denied.
Internet-FW-01>

  
なお、ユーザEXECモードから、loginコマンドでアカウントを切り替えて、特権EXECモードに管理アクセスする事も可能です。 以下はadminアカウントに切り替え、特権EXECモードにログイン時の出力です。

Internet-FW-01> login
Username: admin
Password: ********
Internet-FW-01#

   
つまり、管理者権限を持つユーザカウント(上記例のadminユーザなど)は、機器操作権限を持つ重要なアカウントです。 そのユーザ名とパスワードは厳重に管理をお勧めします。

  

ASDMアクセスの場合

ASDMの場合、権限が不足しているユーザでログインしようとすると、初回で以下のエラーでログイン失敗します。

    

バージョン履歴
改訂番号
2/2
最終更新:
‎09-01-2017 09:56 PM
更新者:
 
ラベル(1)
寄稿者: