パスワードの管理
必要に応じて、パスワードの期限切れが近づいたときにエンド ユーザーに警告するように ASA を設定できます。
ASA は、RADIUS および LDAP プロトコルのパスワード管理をサポートしています。「password-expire-in-days」オプションは、LDAP に対してのみサポートされます。
IPsec リモート アクセスと SSL VPN トンネルグループのパスワード管理を設定できます。
パスワード管理を設定すると、ASA はリモート ユーザーのログイン時に、現在のパスワードの期限切れが近づいていること、または期限が切れていることを通知します。それから ASA は、ユーザーがパスワードを変更できるようにします。現行のパスワードが失効していない場合、ユーザーはそのパスワードを使用してログインし続けることができます。
このコマンドは、この通知をサポートしている AAA サーバーに対して有効です。
ASA のリリース 7.1 以降では、通常、LDAP による認証時または MS-CHAPv2 をサポートする RADIUS コンフィギュレーションによる認証時に、次の接続タイプに対するパスワード管理がサポートされます。
-
AnyConnect VPN クライアント
-
IPsec VPN クライアント
-
クライアントレス SSL VPN
RADIUS サーバー(Cisco ACS など)は、認証要求を別の認証サーバーにプロキシする場合があります。ただし、ASA からは RADIUS サーバーとのみ通信しているように見えます。
始める前に
-
ネイティブ LDAP には、SSL 接続が必要です。LDAP のパスワード管理を実行する前に、SSL 上での LDAP をイネーブルにする必要があります。デフォルトでは、LDAP はポート 636 を使用します。
-
認証に LDAP ディレクトリ サーバーを使用している場合、パスワード管理は Sun JAVA System Directory Server(旧名称は Sun ONE Directory Server)および Microsoft Active Directory を使用してサポートされます。
-
Sun:Sun ディレクトリ サーバーにアクセスするために ASA に設定されている DN が、サーバーのデフォルト パスワード ポリシーにアクセスできる必要があります。DN として、ディレクトリ管理者、またはディレクトリ管理者権限を持つユーザーを使用することを推奨します。または、デフォルト パスワード ポリシーに ACI を設定できます。
-
Microsoft:Microsoft Active Directory でパスワード管理をイネーブルにするには、LDAP over SSL を設定する必要があります。
-
-
MSCHAP をサポートする一部の RADIUS サーバーは、現在 MSCHAPv2 をサポートしていません。このコマンドには MSCHAPv2 が必要なため、ベンダーに問い合わせてください。
-
Kerberos/Active Directory(Windows パスワード)または NT 4.0 ドメインでは、これらの接続タイプのいずれについても、パスワード管理はサポートされません。
-
LDAP でパスワードを変更するには、市販の LDAP サーバーごとに独自の方法が使用されています。現在、ASA では Microsoft Active Directory および Sun LDAP サーバーに対してのみ、独自のパスワード管理ロジックを実装しています。
-
RADIUS または LDAP 認証が設定されていない場合、ASA ではこのコマンドが無視されます。
-
password-management コマンドはパスワードの期限が切れるまでの日数を変更するものではありません。このコマンドは、ASA がパスワードの期限が近いことについてユーザーへの警告を開始する、期限切れ前の日数を変更します。
手順
ステップ 1 |
一般属性モードに切り替えます。 tunnel-group general-attributes |
||
ステップ 2 |
パスワードの期限切れが近づいていることをリモート ユーザーに通知します。 password-management password-expire-in-days days 例:
この例では、ASA が有効期限の 90 日前にユーザーへのパスワードの期限切れの警告を開始します。
|