Cisco 認証の設定

1）認証で使用するユーザアカウントは、すべてのチェックを実行するために、Cisco 製デバイスに対するレベル 15 の特権（root ユーザレベルの特権と同等）が付与されている必要があります。コマンドおよび権限レベルの詳細

2）ポート 22（ssh 認証用）またはポート 23（telnet 認証用）が必要です。対象のオプションが telnet だけの場合、telnet はセキュリティで保護されていないプロトコルである（すべての情報は平文で送信される）ため、「Clear Text Password」オプションを選択する必要があります。可能であれば、リモートログインに強力なパスワード暗号化を使用し、「Clear Text Password」オプションが選択されている場合にのみ平文での資格情報の送信に戻ります。

3）使用するパスワードに空白を含めることはできません。

注記 - “ enable ”機能は、コンプライアンススキャンでのみサポートされており、脆弱性スキャンではサポートされていません。

“ enable ”パスワードが必要かどうかは、スキャンする対象ホストによって異なります。

Cisco IOS、Cisco IOS XE、Cisco ASA のホスト - “ enable ”パスワードが必要です。（これらのホストの“ enable ”コマンドではパスワードが必要になります）。

Cisco NX-OS のホスト - “ enable ”パスワードは必要ありません。

注記 - “ enable ”コマンドの実行にパスワードが必要で、そのパスワードが指定されている場合、プールされた資格情報を使用する機能はサポートされません。

このオプションを選択すると、強力なパスワード暗号化をサポートしていないサービスへの接続時に平文でユーザアカウントのパスワードを送信できます。詳細

スキャンエンジンは、Unix/Cisco IOS ホストの認証を正常に行い、コンプライアンス評価を実行するために、ログインサービスを検出する必要があります。デフォルトでは、well-known ポートである次のポートがスキャンされます: 22（ssh）、23（telnet）、513（rlogin）。これらのサービスはいずれも認証に使用できます。スキャン対象のホストの well-known ポートでサービス（ssh、telnet、rlogin）が実行されていない場合、カスタムポートリストを定義する必要があります。

注記: 実際にスキャンされるポートは、スキャン時に使用されているコンプライアンスオプションプロファイルの「Ports」の設定によって異なります。

スキャン済みポートについてスキャン済みポートについて

認証対象のホスト（IP）を選択します。このレコードに追加する IP は、Unix レコードまたは Checkpoint Firewall レコードには追加できません。

Cisco 認証では、複数のサードパーティーのパスワード Vault との統合がサポートされています。「Scans」->「Authentication」->「Vaults」を選択して、使用する Vault システムを設定します。次に、レコードの認証 Vault を選択し、Vault 名を選択して、Vault 設定を行います。スキャン時には、レコードにあるアカウント名と Vault で見つかったパスワードを使用してホストへの認証が行われます。

TACACS サーバへのパスワードベースの認証がサポートされています。このサーバは、SSH ユーザ認証の仕様に準拠します。

レコードを編集する場合、ユニットマネージャにはパーミッションを持っているレコードの IP のみが表示されます。ユニットマネージャによってレコードの設定が変更されると、すべてのホストがそのユーザのビジネスユニットに所属しているかどうかにかかわらず、変更内容がレコードに定義されているすべてのホストに適用されます。レコードには、ユニットマネージャに表示されない IP が含まれている場合があります。