強化されたパスワードの設定
機能名 |
リリース情報 |
説明 |
---|---|---|
強化されたパスワード |
Cisco IOS XE リリース 17.3.1a Cisco vManage リリース 20.3.1 |
この機能により、Cisco vManage でパスワードポリシールールが有効になります。パスワードポリシールールが有効になると、Cisco vManage では強力なパスワードの使用が強制されます。 |
Cisco IOS XE リリース 17.9.1a Cisco vManage リリース 20.9.1 |
この機能を使用すると、事前定義された中程度のセキュリティまたは高セキュリティのパスワード条件を適用するように Cisco vManage を設定できます。 |
強力なパスワードの強制
強力なパスワードの使用を推奨します。強力なパスワードの使用を強制するには、Cisco vManage でパスワードポリシールールを有効にする必要があります。
パスワードポリシールールを有効にした後は、新しいユーザー用に作成されるパスワードはルールで定義されている要件を満たす必要があります。さらに、Cisco vManage リリース 20.9.1 以降のリリースでは、既存のパスワードがルールで定義されている要件を満たしていない場合、次回のログイン時にパスワードを変更するように求められます。
-
Cisco vManage のメニューで、 を選択します。
-
[Password Policy] で、[Edit] を選択します。
-
Cisco vManage リリースに基づいて、次のいずれかのアクションを実行します。
-
Cisco vManage リリース 20.9.1 より前のリリースの場合は、[Enabled] をクリックします。
-
Cisco vManage リリース 20.9.1 以降のリリースの場合は、[Medium Security] または [High Security] をクリックしてパスワード条件を選択します。
デフォルトでは、[Password Policy] は [Disabled] に設定されています。
-
-
[Password Expiration Time (Days)] フィールドで、パスワードが期限切れになるまでの日数を指定できます。
デフォルトでは、パスワードの有効期限は 90 日です。
パスワードの有効期限が切れる前に、パスワードの変更を求めるバナーが表示されます。パスワードの有効期限が 60 日以上の場合、このバナーはパスワードの有効期限が切れる 30 日前に最初に表示されます。パスワードの有効期限が 60 日未満の場合、このバナーは、有効期限に設定されている日数の半分の時点で最初に表示されます。有効期限が切れる前にパスワードを変更しないと、ログインがブロックされます。このようなシナリオでは、管理者ユーザーがパスワードを変更してアクセスを復元できます。
(注)
パスワード有効期限ポリシーは、admin ユーザーには適用されません。
-
[Save] をクリックします。
パスワード要件
Cisco vManage では、パスワードポリシールールを有効にすると、次のパスワード要件が適用されます。
-
次のパスワード要件は、Cisco vManage リリース 20.9.1 より前のリリースに適用されます。
-
8 文字以上、32 文字以下。
-
少なくとも 1 つの大文字を含む。
-
少なくとも 1 つの小文字を含む。
-
少なくとも 1 つの数字を含む。
-
次の特殊文字のうち少なくとも 1 つを含む必要があります。# ? ! @ $ % ^ & * -。
-
ユーザーのフルネームまたはユーザー名を含まない。
-
以前に使用したパスワードを再利用しない。
-
パスワード内の少なくとも 4 つの位置に異なる文字を含む。
-
-
最小リリース:Cisco IOS XE リリース 17.9.1a、Cisco vManage リリース 20.9.1:
パスワード条件
要件
中レベルセキュリティ
-
最低 8 文字を含む
-
32 文字以下にする
-
少なくとも 1 つの小文字を含む
-
少なくとも 1 つの大文字を含む
-
少なくとも 1 つの数字を含む
-
次の特殊文字を少なくとも 1 つ含む:# ? ! @ $ % ^ & * -
-
最近使用した 5 つのパスワードのいずれかと同じではない
-
ユーザーのフルネームまたはユーザー名を含まない
高レベルセキュリティ
-
最低 15 文字を含む
-
32 文字以下にする
-
少なくとも 1 つの小文字を含む
-
少なくとも 1 つの大文字を含む
-
少なくとも 1 つの数字を含む
-
次の特殊文字を少なくとも 1 つ含む:# ? ! @ $ % ^ & * -
-
最近使用した 5 つのパスワードのいずれかと同じではない
-
ユーザーのフルネームまたはユーザー名を含まない
-
少なくとも 8 文字が古いパスワードと同じ位置にない
-
許可されるパスワード試行回数
アカウントがロックされるまでに、パスワード入力を連続して 5 回まで試行できます。パスワード試行に 6 回失敗すると、15 分間ロックアウトされます。7 回目の試行で正しくないパスワードを入力すると、ログインが許可されず、15 分のロックタイマーが再び開始されます。
アカウントがロックされたら、アカウントが自動的にロック解除されるまで 15 分間待ってください。または、管理者に連絡してパスワードをリセットするか、管理者にアカウントのロック解除を依頼してください。
(注) |
パスワードを複数回入力しなかった場合も、アカウントはロックされます。パスワードフィールドに何も入力しない場合、パスワードは無効または正しくないと見なされます。 |
パスワード変更ポリシー
(注) |
強力なパスワードを有効にするには、パスワードポリシールールが有効になっている必要があります。詳細については、強力なパスワードの強制を参照してください。 |
パスワードをリセットするときは、新しいパスワードを設定する必要があります。古いパスワードを使用してパスワードをリセットすることはできません。
(注) |
Cisco vManage リリース 20.6.4、および Cisco vManage リリース 20.9.1 以降のリリースでは、ログアウトしたユーザー、またはローカルまたはリモート TACACS サーバーでパスワードが変更されたユーザーは、古いパスワードを使用してログインすることはできません。ユーザーは、新しいパスワードを使用してのみ、ログインできます。 |
ロックされたユーザーのリセット
ユーザーがパスワードを複数回試行した後にロックされた場合、必要な権限を持つ管理者は、このユーザーのパスワードを更新できます。
ユーザーアカウントのロック解除には、パスワードの変更とユーザーアカウントのロック解除の 2 つの方法があります。
(注) |
この操作を実行できるのは、netadmin ユーザーまたは User Management Write ロールを持つユーザーだけです。 |
ロックされたユーザーのパスワードをリセットするには、次の手順に従います。
-
[Users](
)で、ロックを解除するアカウントを持つユーザーをリストから選択します。 -
[. . .] をクリックし、[Reset Locked User] を選択します。
-
[OK] をクリックして、ロックされたユーザーのパスワードをリセットすることを確認します。この操作は取り消すことができないので、注意が必要です。
または、[Cancel] をクリックして操作をキャンセルできます。
CLI を使用したロックされたユーザーのリセット
次のように CLI を使用して、ロックされたユーザーをリセットできます。
-
admin
ユーザーとしてデバイスにログインします。 -
次のコマンドを実行します。
デバイス# request aaa unlock-user username
-
プロンプトが表示されたら、ユーザーの新しいパスワードを入力します。