- 概要
- 管理アクセス時のローカルユーザ認証
- 設定例
- ASDMアクセス時に、ローカルユーザ認証を有効化する
- SSHで管理アクセス時に、ローカルユーザ認証を有効化する
- Telnetで管理アクセス時に、ローカルユーザ認証を有効化する
- 動作確認
- TelnetやSSH経由の管理アクセスの場合
- ASDMアクセスの場合
概要
本ドキュメントでは、ASAに、ASDMや Telnet/SSH/Console経由で管理アクセス時に、ローカルデータベースを用いたユーザ・パスワードでの認証を有効化する設定例や、動作確認例を紹介します。
なお、
本ドキュメントは、ASAバージョン 9.4(3)12、ASDMバージョン 7.6(2)150を用いて確認、作成しております。
管理アクセス時のローカルユーザ認証
以下設定を追加することで、ローカルデータベースのユーザ情報を利用した認証に切り替えることができます。 アクセス時に ユーザ名とパスワードの2つを同時入力する必要があるため、よりセキュアとなります。
aaa authentication {http | telnel | ssh | serial | enable} console LOCAL
| 設定 | 説明 |
| http | ASDMアクセス時に、ローカルユーザ認証 |
| telnet | Telnetアクセス時に、ローカルユーザ認証 |
| ssh | SSHアクセス時に、ローカルユーザ認証 |
| serial | コンソールアクセス時に、ローカルユーザ認証 |
| enable | 特権EXECモード(※)にアクセス時に、ローカルユーザ認証 |
※細かなログ取得や設定変更などが可能となるモード
ローカルデータベースには、以下コマンドでユーザの追加が可能です。 事前に必要なユーザを追加してください。 また、ユーザを登録後、そのパスワードはHashで暗号化され保存されるため、設定したパスワードは忘れないようにしてください。
管理者ユーザは、privilege 15で設定します。
username admin password cisco123 privilege 15
ASDMや特権EXECモードに管理アクセスさせたくないユーザは、privilege 0 か 1 で設定します。
username guest password guest123 privilege 0
ASDM(GUI)から上記設定を行いたい場合、以下メニューから設定可能です。
管理アクセス時のローカルユーザ認証の有効化
Configuration > Device Management > Users/AAA > AAA Access > Authentication
ローカルデータベースにユーザ登録
Configuration > Device Management > Users/AAA > User Accounts
設定例
以下に設定例を示します。 なお、以下のローカル認証に切り替え前に、ローカルデータベースの任意ユーザ・パスワードの事前設定を必ず実施してください。
ASDMアクセス時に、ローカルユーザ認証を有効化する
以下は、端末(IP=192.168.0.241)からinsideへのASDMアクセスを許可する設定です。 ASDMアクセス時に ローカルユーザ認証を有効にします。
http server enable
http 192.168.0.241 255.255.255.255 inside
aaa authentication http console LOCAL
SSHで管理アクセス時に、ローカルユーザ認証を有効化する
以下は、RSAキーを生成し、端末(IP=192.168.0.241)からinsideへのSSHアクセスを許可する設定です。 SSHアクセス時、及び 特権EXECモードアクセス時に、各ローカルユーザ認証を有効にします。SSHタイムアウトは30分です。
crypto key generate rsa modulus 1024
write memory
ssh 192.168.0.241 255.255.255.255 inside
ssh timeout 30
aaa authentication ssh console LOCAL
aaa authentication enable console LOCAL
Telnetで管理アクセス時に、ローカルユーザ認証を有効化する
以下は、端末(IP=192.168.0.241)からinsideへのTelnetアクセスを許可する設定です。 Telnetアクセス時、及び 特権EXECモードアクセス時に、各ローカルユーザ認証を有効にします。Telnetタイムアウトは10分です。
telnet 192.168.0.241 255.255.255.255 inside
telnet timeout 10
aaa authentication telnet console LOCAL
aaa authentication enable console LOCAL
動作確認
TelnetやSSH経由の管理アクセスの場合
以下3つのユーザを登録し、TelnetとSSH、特権EXECモードアクセス、ASDMのローカルデータベースでの認証を有効化している場合・・
Internet-FW-01(config)# show run username
username test password 4wnTeFxxdAfxRa94 encrypted privilege 0
username guest password PxDnV4jv9VXAi/Np encrypted privilege 1
username admin password e1z89R3cZe9Kt6Ib encrypted privilege 15
Internet-FW-01(config)# show run aaa
aaa authentication http console LOCAL
aaa authentication telnet console LOCAL
aaa authentication ssh console LOCAL
aaa authentication enable console LOCAL
ユーザEXECモードには、Privilegeが1以下のユーザでもログイン可能です。 以下はTelnetで、Guestユーザでアクセス時の出力です。
User Access Verification
Username: guest
Password: ********
Type help or '?' for a list of available commands.
Internet-FW-01>
しかし、enableコマンドで特権EXECモードにログインしようとしても、Guestユーザの権限不足のためアクセスできません。
Internet-FW-01> enable
Password: ********
[ guest ] You do NOT have Admin Rights to the console !
Password:
Password:
Access denied.
Internet-FW-01>
なお、ユーザEXECモードから、loginコマンドでアカウントを切り替えて、特権EXECモードに管理アクセスする事も可能です。 以下はadminアカウントに切り替え、特権EXECモードにログイン時の出力です。
Internet-FW-01> login
Username: admin
Password: ********
Internet-FW-01#
つまり、管理者権限を持つユーザカウント(上記例のadminユーザなど)は、機器操作権限を持つ重要なアカウントです。 そのユーザ名とパスワードは厳重に管理をお勧めします。
ASDMアクセスの場合
ASDMの場合、権限が不足しているユーザでログインしようとすると、初回で以下のエラーでログイン失敗します。
検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう
シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします
