Cisco ASA の権限レベル

Cisco ASA デバイスの認証スキャンでは、権限レベル 15 のユーザアカウントを指定する必要があります（推奨）。または、アカウントがこれらのデバイスのスキャンに必要なすべてのコマンドを実行できるように設定されている場合に限り、これより低いレベルのアカウントも指定できます。

重要 - 15 より低い権限レベルのユーザアカウントにコマンドへのアクセス権を付与する場合、機密情報の設定はリスクになる可能性があるので注意してください。業務のニーズと組織のセキュリティポリシーに応じて、適切な権限レベルを割り当ててください。

コンプライアンススキャンの場合 - スキャンを成功させるには、この高レベルの権限が必要です。

脆弱性スキャンの場合 - 設定ベースのチェックでのみこの高レベルの権限が必要です。Cisco ASA の設定 QID は、QID 45245「Cisco ASA Device Configurations Detected」です。

スキャンに必要なコマンド

show running-config all
show logging
show clock detail
show version
show crypto key mypubkey rsa
show snmp user
show snmp group
show software authenticity running
show interface ip brief

注記 - 上記のコマンドでは、必要な出力が表示されない場合があります。これは、ユーザ設定によります（“ show version ”および“ show running-config all ”コマンドを除く）。“ show running-config all ”に出力がない場合、コンプライアンススキャンは失敗します。

対象へのアクセス権を付与する方法

デフォルトでは、Cisco ASA の“ show running-config all ”コマンドをサポートするのは権限レベル 15 のみです。すなわち、コンプライアンススキャンは、権限レベル 15 を使用しなければ実行できないということです。ただし、さまざまなユーザの権限レベルを設定して、異なるタイプのアクセス権を付与することができます。上記に表示した「スキャンに必要なコマンド」のすべてを実行できるユーザアカウントが必要です。

権限レベル 14 を持つユーザにアクセス権を付与できる例を示します。

権限レベル 15 を持つユーザでは、“ sow running-config all ”コマンドの実行が成功していますが、権限レベル 14 を持つユーザではエラーが発生しています。これは、このコマンドは 15 より低い権限レベルではサポートされていないためです。

こちらに示すように、権限レベル 15 を持つユーザが“ running-config ”を実行できます。

次のコマンドを使用して、権限レベル 14 を持つユーザにアクセス権を付与します。

“ show running-config all ”コマンドの出力を比較すると、異なる権限レベルを持つ両ユーザともに成功していることがわかります。注記: 取得する対象の出力は、バージョンや設定の違いによって異なる場合があります。