ステップ
9
トランザクションをシステム設定にコミットします。Firepower-chassis /system/services # commit-buffer
例
次の例では、
HTTPS
をイネーブルにし、ポート番号を443
に設定し、キー リング名をkring7984
に設定し、暗号スイートのセキュリティ レベルを[high]
に設定し、トランザクションをコミットします。
Firepower-chassis# scope system
Firepower-chassis /system # scope services Firepower-chassis /system/services # enable https
Firepower-chassis /system/services* # set https port 443 Warning: When committed, this closes all the web sessions.
Firepower-chassis /system/services* # set https keyring kring7984 Firepower-chassis /system/services* # set https cipher-suite-mode high Firepower-chassis /system/services* # commit-buffer
Firepower-chassis /system/services #
HTTPS ポートの変更
HTTPS
サービスは、デフォルトでポート443
で有効化になります。HTTPS
をディセーブルにすることはできませんが、HTTPS接続に使用するポートは変更できます。
手順
ステップ
1
システム モードに入ります。Firepower-chassis # scope system
ステップ
2
システム サービス モードを開始します。Firepower-chassis /system # scope services
ステップ
3 HTTPS
接続に使用するポートを指定します。Firepower-chassis /system/services # set https port port-number
プラットフォーム設定
HTTPSポートの変更
port-number
には1
~65535
の整数を指定します。HTTPSは、デフォルトではポート443
で有 効になっています。ステップ
4
トランザクションをシステム設定にコミットします。Firepower /system/services # commit-buffer
HTTPS
ポートを変更した後に、現在のすべてのHTTPS
セッションが閉じられます。ユーザは、次のように新しいポートを使用して再度
Firepower Chassis Manager
にログインする必要が あります。https://<chassis_mgmt_ip_address>:<chassis_mgmt_port>
<chassis_mgmt_ip_address>
は、初期設定時に入力したFirepower
シャーシのIP
アドレスまたは ホスト名で、<chassis_mgmt_port>
は設定が完了したHTTPS
ポートです。例
次に、
HTTPS
ポート番号を443
に設定し、トランザクションを確定する例を示します。
Firepower-chassis# scope system
Firepower-chassis /system # scope services
Firepower-chassis /system/services # set https port 444 Warning: When committed, this closes all the web sessions.
Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #
キーリングの削除
手順
ステップ
1
セキュリティ モードを開始します。Firepower-chassis # scope security
ステップ2
名前付きのキー リングを削除します。Firepower-chassis /security # delete keyring name
ステップ3
トランザクションをコミットします。Firepower-chassis /security # commit-buffer
例
次の例では、キー リングを削除します。
プラットフォーム設定 キーリングの削除
Firepower-chassis# scope security
Firepower-chassis /security # delete keyring key10 Firepower-chassis /security* # commit-buffer Firepower-chassis /security #
トラスト ポイントの削除
始める前に
トラスト ポイントがキー リングによって使用されていないことを確認してください。
手順
ステップ
1
セキュリティ モードに入ります。Firepower-chassis# scope security
ステップ
2
指定したトラスト ポイントを削除します。Firepower-chassis /security # delete trustpoint name
ステップ3
トランザクションをコミットします。Firepower-chassis /security # commit-buffer
例
次に、トラスト ポイントを削除する例を示します。
Firepower-chassis# scope security
Firepower-chassis /security # delete trustpoint tPoint10 Firepower-chassis /security* # commit-buffer
Firepower-chassis /security #
HTTPS の無効化
手順
ステップ
1
システム モードに入ります。Firepower-chassis# scope system
ステップ
2
システム サービス モードを開始します。Firepower-chassis /system # scope services
ステップ
3 HTTPS
サービスを無効にします。プラットフォーム設定
トラスト ポイントの削除
Firepower-chassis /system/services # disable https
ステップ4
トランザクションをシステム設定にコミットします。Firepower-chassis /system/services # commit-buffer
例
次に、
HTTPS
を無効にし、トランザクションをコミットする例を示します。Firepower-chassis# scope system
Firepower-chassis /system # scope services
Firepower-chassis /system/services # disable https Firepower-chassis /system/services* # commit-buffer Firepower-chassis /system/services #
AAA の設定
ここでは、認証、許可、およびアカウンティングについて説明します。詳細については、次の トピックを参照してください。
AAA について
認証、許可、およびアカウンティング(AAA)は、ネットワークリソースへのアクセス制御、
ポリシーの強化、使用状況の評価、およびサービスの課金に必要な情報提供を行う一連のサー ビスです。認証は、ユーザを識別します。認可は、認証されたユーザがアクセスする可能性が あるリソースとサービスを決定するポリシーを実装します。アカウンティングは、課金と分析 に使用される時間とデータのリソースを追跡します。これらの処理は、効果的なネットワーク 管理およびセキュリティにとって重要です。
認証
認証はユーザを識別する方法です。通常、ユーザが有効なユーザ名と有効なパスワードを入力 すると、アクセスが許可されます。AAAサーバは、ユーザが入力したログイン情報とデータ ベースに保存されているユーザのログイン情報を比較します。ログイン情報が一致する場合、
ユーザはネットワークへのアクセスが許可されます。クレデンシャルが一致しない場合は、認 証は失敗し、ネットワーク アクセスは拒否されます。
シャーシへの管理接続を認証するように
Firepower 4100/9300
シャーシ を設定できます。これ には、次のセッションが含まれます。• HTTPS
• SSH
•
シリアル コンソールプラットフォーム設定 AAAの設定
認可
許可はポリシーを適用するプロセスです。どのようなアクティビティ、リソース、サービスに 対するアクセス許可をユーザが持っているのかを判断します。ユーザは認証後にさまざまなタ イプのアクセスやアクティビティを許可される可能性があります。
アカウンティング
アカウンティングは、アクセス時にユーザが消費したリソースを測定します。これには、シス テム時間またはセッション中にユーザが送受信したデータ量などが含まれます。アカウンティ ングは、許可制御、課金、トレンド分析、リソース使用率、キャパシティ プランニングのアク ティビティに使用されるセッションの統計情報と使用状況情報のログを通じて行われます。
認証、認可、アカウンティング間の相互作用
認証は、単独で使用することも、認可およびアカウンティングとともに使用することもできま す。認可では必ず、ユーザの認証が最初に済んでいる必要があります。アカウンティングだけ で使用することも、認証および認可とともに使用することもできます。
サポートされている認証タイプ
FXOS
は次の認証タイプをサポートします。• [Remote]:次のネットワーク AAA
サービスがサポートされています。• LDAP
• RADIUS
• TACACS+
• [Local]
:Firepower
シャーシは、ユーザプロファイルを取り込むことができるローカルデータベースを維持します。
AAAサーバの代わりに、このローカルデータベースを使用して、
ユーザ認証、認可、アカウンティングを提供することもできます。
ユーザ ロール
FXOS
は、ユーザロール割り当ての形式でローカルおよびリモート認証をサポートします。割 り当てることができるロールは次のとおりです。• [Admin]
:システム全体に対する完全な読み取りと書き込みのアクセス権。デフォルトのadmin
アカウントは、デフォルトでこのロールが割り当てられ、変更はできません。• [AAA Administrator]:ユーザ、ロール、および AAA
設定に対する読み取りと書き込みのアクセス権。システムの残りの部分に対する読み取りアクセス権。
• [Operations]:NTP
の設定、Smart LicensingのためのSmart Call Home
の設定、システム ログ(
syslog
サーバとエラーを含む)に対する読み取りと書き込みのアクセス権。システムの残りの部分に対する読み取りアクセス権。
プラットフォーム設定
AAAについて
• [Read-Only]:システム設定に対する読み取り専用アクセス権。システム状態を変更する権
限はありません。ローカル ユーザとロールの割り当ての詳細については、「ユーザ管理」を参照してください。
AAA の設定
Firepower 4100/9300
アプライアンスで認証、許可、アカウンティング(AAA)を設定するための基本的な手順の概要を紹介します。
1.
ユーザ認証の目的タイプを設定します。• [Local]
:ユーザ定義とローカル認証はユーザ管理の一部です。• [Remote]
:リモートAAA
サーバ アクセスの設定は、[Platform Settings]
の一部です。具体的には次のとおりです。
• LDAP
プロバイダーの設定 (42
ページ)• RADIUS
プロバイダーの設定 (48ページ)• TACACS+
プロバイダーの設定 (51ページ)リモート
AAA
サーバを使用する場合は、Firepowerシャーシでリ モートAAA
サーバアクセスを設定する前に、リモートサーバでAAA
サービスを有効にして設定する必要があります。(注)
2.
デフォルトの認証方式を指定します。これもユーザ管理の一部です。デフォルトの認証とコンソール認証の両方が同じリモート認証プロトコル(RADIUS、
TACACS+
、またはLDAP
)を使用するように設定されている場合、そのサーバの設定の特定の側面を変更することは(たとえば、サーバの削除や、割り当ての順序の変更)、これらの ユーザ設定を更新することなしではできません。
(注)
LDAP プロバイダーの設定
LDAP
プロバイダーのプロパティの設定このタスクで設定するプロパティが、このタイプのすべてのプロバイダー接続のデフォルト設 定です。個々のプロバイダーにいずれかのプロパティの設定が含まれている場合、
Firepower
eXtensible Operating System
でその設定が使用され、デフォルト設定は無視されます。プラットフォーム設定 AAAの設定
Active Directory
をLDAP
サーバとして使用している場合は、Active DirectoryサーバでFirepower
eXtensible Operating System
にバインドするユーザ アカウントを作成します。このアカウントには、期限切れにならないパスワードを設定します。
手順
ステップ
1
セキュリティ モードを開始します。Firepower-chassis# scope security
ステップ
2
セキュリティLDAP
モードを開始します。Firepower-chassis /security # scope ldap
ステップ
3
指定した属性を含むレコードにデータベース検索を限定します。Firepower-chassis /security/ldap # set attribute attribute
ステップ
4
指定した識別名を含むレコードにデータベース検索を限定します。Firepower-chassis /security/ldap # set basedn distinguished-name
ステップ
5
指定したフィルタを含むレコードにデータベース検索を限定します。Firepower-chassis /security/ldap # set filter filter
ここで、filterは
LDAP
サーバで使用するフィルタ属性です(cn = $userid、sAMAccountName =$userid
など)。フィルタには$userid
が含まれている必要があります。ステップ
6
システムがサーバをダウン状態として通知する前に、LDAP
サーバからの応答を待つ時間を設 定します。Firepower-chassis /security/ldap # set timeout seconds
ステップ7
トランザクションをシステム設定にコミットします。Firepower-chassis /security/ldap # commit-buffer
例
次の例では、
LDAP
属性をCiscoAvPair
に、ベース識別名を「DC=cisco-firepower-aaa3,DC=qalab,DC=com」に、フィルタを
sAMAccountName=$userid
に、タイムアウト間隔を5
秒に設定し、トランザクションをコミットします。Firepower-chassis# scope security
Firepower-chassis /security # scope ldap
Firepower-chassis /security/ldap # set attribute CiscoAvPair
Firepower-chassis /security/ldap* # set basedn "DC=cisco-firepower-aaa3,DC=qalab,DC=com"
Firepower-chassis /security/ldap* # set filter sAMAccountName=$userid Firepower-chassis /security/ldap* # set timeout 5
Firepower-chassis /security/ldap* # commit-buffer Firepower-chassis /security/ldap #
プラットフォーム設定
LDAPプロバイダーのプロパティの設定