Cisco SSH ターゲット アカウントの設定

Cisco ターゲット アプリケーションのターゲット アカウントを設定する場合、[Cisco SSH]タブが[ターゲット アカウント]ページに追加されます。
capam32
Cisco ターゲット アプリケーションのターゲット アカウントを設定する場合、[Cisco SSH]タブが[ターゲット アカウント]ページに追加されます。
PAM
は、Cisco IOS および ASA IOS のデバイスのみをサポートします。
アプライアンスを有効にしてパスワードを管理するには、「Cisco IOS または ASA IOS のデバイス上でローカル アカウントを管理する」の手順に従います。
[Cisco SSH]タブで、以下のフィールドに入力します。
  • プロトコル
    : ターゲットへの接続で SSH-2 または Telnet を使用しているかどうかを選択します。
  • アカウント タイプ
    : 以下の 2 つのオプションのいずれかを選択します。選択したオプションは、パスワードを変更するために
    PAM
    で使用するアカウントを示します。
    • ログイン(ユーザ EXEC)
      : ターゲット アカウントをユーザ EXEC 権限のみに制限するには、このオプションを選択します。ページで、その他のアクティブな設定を行います。
    • TACACS+
      : TACACS+ サーバ上にユーザ アカウントが存在する場合は、このオプションを選択します。
    [有効化(特権 EXEC)]
    オプションは選択しないでください。アプライアンスでは、このオプションを使用してパスワードを管理することができません。
  • 行のパスワードを変更
    : このユーザ アカウントがパスワードを変更できる Cisco ルータの回線タイプを選択します。以下の項目から選択できます。
    • VTY (仮想端末)回線
    • AUX (補助)ポート
    • コンソール端末用のコンソール(CTY)回線
  • 以下として接続
    (アカウントの種類「ログイン(ユーザ EXEC)」のみが使用可能): ターゲット アカウントまたは別のアカウントを使用するかどうかを指定します。ターゲット アカウントを使用するには、デフォルトの
    [このアカウント]
    をそのまま使用します。別のアカウントを指定するには、
    [以下のアカウント]
    ラジオ ボタンを選択し、アカウント名を入力します。
  • 他のアカウントを使用して確認する
    (アカウントの種類「ログイン(ユーザ EXEC)」のみが使用可能): パスワード管理にターゲット アカウント以外のアカウントを指定する場合は、ユーザのアクセス設定を確認します。以下のいずれかのオプションを選択します。
    • 自分の認証情報を使用して確認する
    • 他のアカウントの認証情報を使用して確認する
  • 以下として特権 EXEC にアクセスする
    (アカウントの種類「ログイン(ユーザ EXEC)」のみが使用可能):特権 EXEC レベルに権限を昇格させるには、このオプションを選択してイネーブル モード パスワードを持つ偽のターゲット アカウントを指定します。
Cisco デバイス上でのローカル アカウント パスワードの管理
Cisco IOS または ASA IOS のデバイス上でパスワードを管理するには、Cisco デバイスに接続するアカウントを特権 EXEC モードに昇格させる必要があります。Enable コマンドによってアカウントが特権 EXEC モードに昇格するため、ユーザは権限が必要なタスク(パスワードの変更など)を実行できるようになります。
PAM
では、最初にユーザ EXEC 権限のみを持つアカウントを使用して Cisco デバイスにログインする必要があります。次に、そのアカウントを特権 EXEC モードに昇格させます。
接続を特権 EXEC モードへ昇格させるには、以下の 2 つのアカウントを設定します。
  • イネーブル パスワード アカウント。このアカウントは、特権 EXEC レベルのタスクを実行するために使用する Enable コマンドのパスワードを格納します。このアカウントを作成するには、イネーブル パスワードを把握しておく必要があります。
  • 標準ユーザ EXEC アカウント。このアカウントで、最初に Cisco デバイスにログインします。
以下の手順で、上記 2 つのアカウントを設定する方法について説明します。
イネーブル パスワード アカウントを設定する
Enable コマンドのパスワードを持つアカウントを設定します。このアカウントは、Cisco デバイスに存在しない偽アカウントです。このアカウントを作成すると、特権 EXEC レベルへと昇格させる任意の標準ユーザ アカウントとして使用できます。
以下の手順に従います。
  1. Cisco ターゲット アプリケーションに関連付けられるターゲット アカウントを作成します。
  2. [アカウント]タブで、以下を実行します。
    • [アカウント名]フィールドに、このアカウントの目的を示す名前を割り当てます(「enableacct」など)。
    • [パスワード]フィールドに、イネーブル パスワードを入力します。
    account_tab_enableacct.PNG
  3. [パスワード]タブで、[同期済み]設定に
    [認証情報マネージャ サーバのみを更新]
    オプションを使用していることを確認します。
  4. [Cisco SSH]タブで、以下の設定を使用します。
    • アカウント タイプ: ログイン(ユーザ EXEC)
    • 以下として接続: このアカウント
    • 以下として特権 EXEC にアクセスする: このアカウント
    enableacct.PNG
  5. [OK]を選択します。
標準ユーザ アカウントを設定する
イネーブル パスワード アカウントを作成したら、ユーザ EXEC 権限を持つアカウントを作成します。このアカウントでイネーブル アカウントを使用して、その権限を昇格させます。その後、このユーザはパスワードを更新できます。
以下の手順に従います。
  1. UI では、Cisco ターゲット アプリケーションに関連付けられている Cisco ターゲット アカウントを作成します。この例のアカウント名は ciscouser です。
  2. [アカウント]タブで、Cisco デバイスで使用するアカウントの現在のパスワードを入力します。
  3. [パスワード]タブで、[同期済み]設定を
    [認証情報マネージャ サーバとターゲット システムの両方を更新]
    に変更します。
  4. [Cisco SSH]タブで、以下の設定を使用します。
    • アカウント タイプ:
      ログイン(ユーザ EXEC)
    • 以下として接続:
      このアカウント
    • 以下として特権 EXEC にアクセスする: 以下のアカウント:
      イネーブル アカウントを選択します。この例のアカウント名は enableacct です。
  5. [OK]
    をクリックしてアカウントを保存します。
    以下の図に例を示します。
    CiscoSSH_StdUser.png
これで、
PAM
でこの標準ユーザ アカウント(ciscouser)を使用して、他の Cisco アカウント(標準および特権の両方)のパスワードを管理できるようになりました。
設定するアカウントを追加する場合も、この標準ユーザ アカウントを使用してパスワードを管理できます。アカウントを追加する場合は、
  • [以下として接続]
    オプションで
    [以下のアカウント]
    を選択し、標準ユーザ アカウントを指定します。
  • [以下として特権 EXEC にアクセスする]
    オプションの設定は
    [このアカウント]
    のままにします。