ssh プロトコル(ssh1 および ssh2)と telnet をサポートしている Cisco デバイスをサービスで認証できるようにするために Cisco レコードを作成します。
レコードタイプによって VM および PC で承認されている、サポート対象の認証テクノロジとそのバージョンの最新リストについては、次の記事を参照してください。
レコードの設定方法 |
|||||||||||||||
1)認証で使用するユーザアカウントは、すべてのチェックを実行するために、Cisco 製デバイスに対するレベル 15 の特権(root ユーザレベルの特権と同等)が付与されている必要があります。コマンドおよび権限レベルの詳細 2)ポート 22(ssh 認証用)またはポート 23(telnet 認証用)が必要です。対象のオプションが telnet だけの場合、telnet はセキュリティで保護されていないプロトコルである(すべての情報は平文で送信される)ため、「Clear Text Password」オプションを選択する必要があります。可能であれば、リモートログインに強力なパスワード暗号化を使用し、「Clear Text Password」オプションが選択されている場合にのみ平文での資格情報の送信に戻ります。 3)使用するパスワードに空白を含めることはできません。 |
|||||||||||||||
enable パスワードの必要性enable パスワードの必要性 注記 - “ enable ”機能は、コンプライアンススキャンでのみサポートされており、脆弱性スキャンではサポートされていません。 “ enable ”パスワードが必要かどうかは、スキャンする対象ホストによって異なります。 Cisco IOS、Cisco IOS XE、Cisco ASA のホスト - “ enable ”パスワードが必要です。(これらのホストの“ enable ”コマンドではパスワードが必要になります)。 Cisco NX-OS のホスト - “ enable ”パスワードは必要ありません。 注記 - “ enable ”コマンドの実行にパスワードが必要で、そのパスワードが指定されている場合、プールされた資格情報を使用する機能はサポートされません。 |
|||||||||||||||
「Clear Text Password」オプションについて「Clear Text Password」オプションについて このオプションを選択すると、強力なパスワード暗号化をサポートしていないサービスへの接続時に平文でユーザアカウントのパスワードを送信できます。詳細 |
|||||||||||||||
「Policy Compliance」オプションについて「Policy Compliance」オプションについて スキャンエンジンは、Unix/Cisco IOS ホストの認証を正常に行い、コンプライアンス評価を実行するために、ログインサービスを検出する必要があります。デフォルトでは、well-known ポートである次のポートがスキャンされます: 22(ssh)、23(telnet)、513(rlogin)。これらのサービスはいずれも認証に使用できます。スキャン対象のホストの well-known ポートでサービス(ssh、telnet、rlogin)が実行されていない場合、カスタムポートリストを定義する必要があります。 注記: 実際にスキャンされるポートは、スキャン時に使用されているコンプライアンスオプションプロファイルの「Ports」の設定によって異なります。 コンプライアンスプロファイルで「Standard Scan」を選択した場合、用意されている標準ポートリスト(約 1,900 個のポート)がスキャンされます。これには、ポート 22、23、513 のほか、認証レコードで指定されているカスタムポートが含まれます。 コンプライアンスプロファイルで「Targeted Scan」を選択した場合、認証レコードで指定されているカスタムポートのみがスキャンされます。 次の表を参照してください。
|
|||||||||||||||
レコードに追加する IP についてレコードに追加する IP について 認証対象のホスト(IP)を選択します。このレコードに追加する IP は、Unix レコードまたは Checkpoint Firewall レコードには追加できません。 |
|||||||||||||||
パスワード Vault からアカウントのパスワードにアクセスする場合パスワード Vault からアカウントのパスワードにアクセスする場合 Cisco 認証では、複数のサードパーティーのパスワード Vault との統合がサポートされています。「Scans」->「Authentication」->「Vaults」を選択して、使用する Vault システムを設定します。次に、レコードの認証 Vault を選択し、Vault 名を選択して、Vault 設定を行います。スキャン時には、レコードにあるアカウント名と Vault で見つかったパスワードを使用してホストへの認証が行われます。 コンプライアンススキャンのための Vault 設定 “ enable ”コマンドが 2 つ目のパスワードを要求することなく自動的に特権シェルに入力するように、ユーザアカウントを設定する必要があります。これは、サポートされている Vault では、1 つのファイルに 1 つのパスワードしか保存できないためです。 |
|||||||||||||||
TACACS サーバへのパスワードベースの認証がサポートされています。このサーバは、SSH ユーザ認証の仕様に準拠します。 |
|||||||||||||||
ユニットマネージャ向けの重要事項ユニットマネージャ向けの重要事項 レコードを編集する場合、ユニットマネージャにはパーミッションを持っているレコードの IP のみが表示されます。ユニットマネージャによってレコードの設定が変更されると、すべてのホストがそのユーザのビジネスユニットに所属しているかどうかにかかわらず、変更内容がレコードに定義されているすべてのホストに適用されます。レコードには、ユニットマネージャに表示されない IP が含まれている場合があります。 |
認証に使用するパスワードにスペースを含めることはできません。