第 1 部 基本編
5.4 ノーマルモード / セキュリティーモード
第 1 部 基 礎 編
5 ユーザー管理とセキュリティー
5.3 ユーザーの登録と情報の変更
ユ ーザ ー認 証デー タベ ースへ のア クセ スは、ノー マル モー ドでは Manager レベル、セキュリティーモードでは Security Officer レベ ルの権限が必要です。
新規ユーザー登録
1 Manager レベルでログインします。下記では、ユーザー
「manager」ログインしています。
2 新規ユーザー登録は、「ADD USER」コマンドを使います。下記 では、ユーザー名「osaka-shisya」、パスワード「okonomiyaki」
を仮定しています。ユーザーレベルは User です(デフォルト)。
ユーザーレベルが「User」であるため、LOGIN パラメーターの 指定が必要です。PPP 認証のためのユーザーなので「NO」を指 定します。「TELNET」コマンドは使用できません(デフォルト)。
Manager レベルでログインすると、セキュリティータイマーが スタートします(デフォルトは 60 秒)。ログインして 60 秒以内 にユーザー管理コマンドを実行した場合、パスワードは要求され ませんが、60 秒以上経過すると Manager レベルのパスワード を要求されます。
タイマーはユー ザー管理コマン ドを実行するた びにリセットさ れます。60 秒以内にユーザー管理コマンドを実行しないとタイ マーがタイムアウトし、あらためて Manager レベルのパスワー ドを要求されます。
セキュリティータイマーの値は、次のコマンドで変更できます。
下記は、90 秒に変更しています。値は 10 〜 600 秒に設定でき ます。
ユーザー情報変更
既 に登録されて いるユーザーの 情報を変更す る場合、「SET USER」
コマンドを使用します。下記では、「osaka-shisya」にログイン権限 を与え、コメントを追加しています。
login: manager
↵Password: ________
(表示されません)Manager > ADD USER=osaka-shisya PASSWORD=”okonomiyaki” LOGIN=NO
↵Manager > ADD USER=osaka-shisya PASSWORD=”okonomiyaki” LOGIN=NO
↵This is a security command, enter your password at the prompt
Password: ________
(表示されません)User Authentication Database
---Username: osaka-shisya ()
Status: enabled Privilege: user Telnet: no Logins: 0 Fails: 0 Sent: 0 Rcvd: 0
---Manager > SET USER SECUREDELAY=90
↵ This is a security command, enter your password at the promptPassword: ________
(表示されません)User module configuration and counters
---Security parameters
login failures before lockout ... 5 (LOGINFAIL) lockout period ... 600 seconds (LOCKOUTPD) manager password failures before logoff .. 3 (MANPWDFAIL) maximum security command interval ... 90 seconds (SECURDELAY) minimum password length ... 6 characters (MINPWDLEN) semi-permanent manager port ... none
Security counters
logins 2 authentications 0 managerPwdChanges 0 defaultAcctRecoveries 1 unknownLoginNames 0 tacacsLoginReqs 0 totalPwdFails 0 tacacsLoginRejs 0 managerPwdFails 1 tacacsReqTimeouts 0 securityCmdLogoffs 0 tacacsReqFails 0 loginLockouts 0 databaseClearTotallys 0
---Manager > SET USER=osaka-shisya LOGIN=yes DESC=”osaka-shisya PPP account”
↵ This is a security command, enter your password at the promptPassword: ________
(表示されません)User Authentication Database
---Username: osaka-shisya (osaka-shisya PPP account)
Status: enabled Privilege: user Telnet: no Login: yes Logins: 0 Fails: 0 Sent: 0 Rcvd: 0 Authentications: 0 Fails: 0
---
第 1 部 基 礎 編 パスワード変更
ユーザー本人がパス ワードを変更する場合 は、「SET PASSWORD」
コマンドを使用します(この場合、パスワードにスペースを含んでも ダブルクオートでくくる必要はありません)。
本書「3.4 パスワードの変更」(p.28)
ユーザー情報表示
ユーザー情報の表示は、「SHOW USER」コマンドを使います。
ユーザー削除
ユーザーの削除は、「DELETE USER」コマンドを使います。
ユーザー一括削除
全ユーザーの一括削除は、「PURGE USER」コマンドを使います。ご 購入時における唯一のユーザー「manager」は削除されませんが、パ スワードを変更している場合、ご購入時の「friend」に戻ります。
login: osaka-shisya
↵Password:
> SET PASSWORD
↵OLD passsowd: ________
(表示されません)New password: ________
(表示されません)Confirm: ________
(表示されません)Manager > SHOW USER
↵ User Authentication Database---Username: manager (Manager Account)
Status: enabled Privilege: manager Telnet: yes Login: yes Logins: 1 Fails: 0 Sent: 0 Rcvd: 0 Authentications: 0 Fails: 0
Username: osaka-shisya (osaka-shisya PPP account)
Status: enabled Privilege: user Telnet: no Login: yes Logins: 0 Fails: 0 Sent: 0 Rcvd: 0 Authentications: 0 Fails: 0
---Active (logged in) Users
---User Port/Device Location Login Time ---- - --- ---manager Asyn 0 local 20:47:50 17-Apr-2002
参照
Manager > DELETE USER=osaka-shisya
↵ This is a security command, enter your password at the promptPassword: ________
(表示されません)Info (145265): DELETE USER, user osaka-shisya has been deleted.
Manager > PURGE USER
↵This is a security command, enter your password at the prompt
Password: ________
(表示されません)Info (145269): PURGE USER, user database has been purged.
Manager > SHOW USER
↵ User Authentication Database---Username: manager (Manager Account)
Status: enabled Privilege: manager Telnet: yes Logins: 0 Fails: 0 Sent: 0 Rcvd: 0
---5.4 ノーマルモード / セキュリティーモード
本製品は、「ノーマルモード」「セキュリティーモード」の 2 つの動 作モードを持っています。
ノーマルモード(Normal Mode)
デフォルトの動作モードです。ご購入時は、このモードとなって います。
セキュリティーモード(Security Mode)
より高いセキュリティーレベルを実現するためのモードです。
ログインセキュ リティーや管理 コマンドの実行 権が厳しく制限 されます。
IPsec などのセキュリティー機能を利用するときや、本製品の管 理に関するセキュリティーを高めたい場合に使います。
セキュリティーモードへの移行
セ キュ リティ ーモ ードに 移行す るた めには、あ らか じめ Security Officer レベルのユーザーを作成しておく必要があります。セキュリ ティーモードに移行すると、Manager レベルは第 2 位の権限レベル に降格され、セキュリティーに関するコマンドを実行できなくなりま す。
1 Security Officer レベルのユーザーを作成します。
2 セキュリティーモードに移行すると、Telnet 接続では Security Officer レベルでログインできなくなるので(他のレベルならロ グイン可)、必要に応じて RSO(Remote Security Officer)の 設定をしておきます。
RSO は、セキュリティーモードにおいて、指定したアドレスか らの Security Officer レベルでのログインを許可する機能です。
3 Security Officer レベルのアカウントを設定スクリプトとして保 存し、起動時に実行されるように指定しておきます。
4 セキュリティーモードに移行するには「ENABLE SYSTEM SECURITY̲MODE」コマンドを実行します。
このコマンドを実行すると、フラッシュメモリーに
「enabled.sec」ファイルが作成されます。システム起動時に本 ファイルが存在すればセキュリティーモードとなります。この ファイルを削除したり、修正、編集、コピー、リネームなどを 行わないでください。
5 Security Officer レベルでログインしなおすと、コマンドプロン プトが「SecOff >」に変わります。
6 Security Officer レベルでログインすると、セキュリティータイ マーがスタートします(デフォルトは 60 秒)。ログインして 60 秒以内にセキュリティーに関連するコマンドを実行した場合、パ スワードは要求されませんが、60 秒以上経過すると、Security Officer レベルのパスワードを要求されます。
タイマ ーは セキ ュリテ ィー 関連コ マン ドを 実行す るた びにリ セットされます。60 秒以内にセキュリティーコマンドを実行し
Manager > ADD USER=secoff
PRIVILEGE=SECURITYOFFICER PASSWORD="top secret"
↵Manager > ENABLE USER RSO
↵ This is a security command, enter your password at the promptPassword:________
(表示されません)Info (1045057): RSO has been enabled.
Manager > ADD USER RSO IP=192.168.10.5
↵ Remote Security Officer Access is enabledRemote Security Officer ... 192.168.10.5/255.255.255.255
Manager > CREATE CONFIG=TEST01.CFG
↵ Info (1034003): Operation successful.Manager > SET CONFIG=TEST01.CFG
↵ Info (1034003): Operation successful.Manager > ENABLE SYSTEM SECURITY_MODE
↵ Info (1034003): Operation successful.Manager > LOGIN secoff
↵Password: ________
(表示されません)SecOff >
SecOff > add user=nagoya-sisya password="misokatsu" login=no
↵ This is a security command, enter your password at the promptPassword: ________
(表示されません)Number of logged in Security Officers currently active...1 User Authentication Database
---Username: nagoya-sisya ()
Status: enabled Privilege: user Telnet: no Login: no Logins: 0 Fails: 0 Sent: 0 Rcvd: 0 Authentications: 0 Fails: 0
---
第 1 部 基 礎 編
ないとタイ マーがタイムア ウトし、ログイン ユーザーの権限 は Manager レベルに格下げされます。格下げされた状態でセキュ リティーコマンドを実行し ようとすると、あらためて Security Officer レベルのパスワードを要求されます。
セキュリティータイマーの値は、次のコマンドで変更できます。
下記は、90 秒に変更しています。値は 10 〜 600 秒に設定でき ます。
現在の動作モードを確認するには「SHOW SYSTEM」コマンドを実 行します。「Security Mode」が Enabled ならセキュリティーモード、
Disabled ならノーマルモードです。
セキュリティー モード時に「SET CONFIG」コマンドで起動スク リ プトを変更するときは注意が必要です。例えば、SET CONFIG=NONE を実行すると、起動スクリプトが実行されずに、動作モードはセキュ リティーモードのままになります。この状態でシステムを再起動する と、Security Officer レベルのユーザーが存在しないことになるため、
多くのコマンドが実行できなくなります。このような状態になった場 合は、「DISABLE SYSTEM SECURITY̲MODE」コ マンドを実行 す るしかありません。
ノーマルモードへ戻る
セキュリティーモードからノーマルモードに戻るには、次のコマンド を入力します。このコマンドを実行すると、「enabled.sec」が削除 されます。また、ノー マルモード になった時点 で、セキュリティ ー モードでのみ保存可能なファイル(暗号鍵ファイルなど)は自動的に 削除されます。
このコマ ンドをご使用 になる場合は、充分 にご注意くだ さ い。削除された機密ファイルは復活できません。
SecOff > SET USER SECUREDELAY=90
↵ This is a security command, enter your password at the promptPassword: ________
(表示されません)User module configuration and counters
---Security parameters
login failures before lockout ... 5 (LOGINFAIL) lockout period ... 600 seconds (LOCKOUTPD) manager password failures before logoff .. 3 (MANPWDFAIL) maximum security command interval ... 90 seconds (SECURDELAY) minimum password length ... 6 characters (MINPWDLEN) semi-permanent manager port ... none
Security counters
logins 2 authentications 0 managerPwdChanges 0 defaultAcctRecoveries 1 unknownLoginNames 0 tacacsLoginReqs 0 totalPwdFails 0 tacacsLoginRejs 0 managerPwdFails 1 tacacsReqTimeouts 0 securityCmdLogoffs 0 tacacsReqFails 0 loginLockouts 0 databaseClearTotallys 0
---Manager > DISABLE SYSTEM SECURITY_MODE
↵Warning: This command will disable security mode and
delete all security files.
Are you sure you wish to proceed?(Y/N) y
第 1 部 基 礎 編
6 テキストエディター
本製 品 は、テ キス ト エ デ ィタ ー 機 能 を内 蔵 し てい ま す。例 え ば
「CREATE CONFIG=filename.CFG」によって保存された設定ス クリ プトファイルを開き、編集を施して、保存することができます。
本書「9.2 ファイル名」(p.64)