この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
指定したトラストポイントの場所から PKCS12 証明書およびキー関連情報を使用するように WebVPN Java オブジェクト署名機能を設定設定するには、webvpn コンフィギュレーション モードで java-trustpoint コマンドを使用します。Java オブジェクト署名のトラストポイントを削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
トラストポイントは、認証局(CA)または ID キー ペアを表します。 java-trustpoint コマンドの場合、指定したトラストポイントにはアプリケーション署名エンティティの X.509 証明書、その証明書に対応する RSA 秘密キー、ルート CA までの認証局チェーンを含める必要があります。そのためには通常、 crypto ca import コマンドを使用して PKCS12 形式のバンドルをインポートします。PKCS12 バンドルは、信頼できる CA 認証局から入手するか、openssl といったオープン ソース ツールを使用して既存の X.509 証明書と RSA 秘密キーから手動で作成できます。
(注) アップロードされた証明書は、パッケージ(CSD パッケージなど)に組み込まれた Java オブジェクトの署名には使用できません。
次に、最初に新しいトラストポイントを設定してから、そのトラストポイントを WebVPN Java オブジェクト署名用に設定する例を示します。
次に、WebVPN Java オブジェクトに署名する新しいトラストポイントを設定する例を示します。
|
|
---|---|
コンテキストをフェールオーバー グループに割り当てるには、コンテキスト コンフィギュレーション モードで join-failover-group コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
no join-failover-group group_num
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
管理コンテキストは、常にフェールオーバー グループ 1 に割り当てられます。フェールオーバー グループとコンテキスト アソシエーションを表示するには、 show context detail コマンドを使用できます。
コンテキストをフェールオーバー グループに割り当てる前に、 failover group コマンドを使用して、フェールオーバー グループをシステム コンテキスト内に作成する必要があります。このコマンドは、コンテキストがアクティブ状態になっているユニット上で入力します。デフォルトでは、未割り当てのコンテキストは、フェールオーバー グループ 1 のメンバーになっています。そのため、コンテキストがまだフェールオーバー グループに割り当てられていない場合は、フェールオーバー グループ 1 がアクティブ状態になっているユニット上で、このコマンドを入力する必要があります。
システムからフェールオーバー グループを削除するには、事前に no join-failover-group コマンドを使用して、フェールオーバー グループからコンテキストをすべて削除しておく必要があります。
次に、ctx1 というコンテキストをフェールオーバー グループ 2 に割り当てる例を示します。
|
|
---|---|
コンテキストの詳細情報(名前、クラス、インターフェイス、フェールオーバー グループ アソシエーション、およびコンフィギュレーション ファイルの URL など)を表示します。 |
ジャンボ フレームをサポート対象のモデルでイネーブルにするには、グローバル コンフィギュレーション モードで jumbo-frame reservation コマンドを使用します。ジャンボ フレームをディセーブルにするには、このコマンドの no 形式を使用します。
(注) この設定を変更した場合は、ASA のリブートが必要です。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
ジャンボ フレームとは、標準的な最大値 1518 バイト(レイヤ 2 ヘッダーおよび VLAN タギングの 18 バイトを含む)より大きく、9216 バイトまでのイーサネット パケットのことです。 mtu コマンドは ペイロード 値のみを指定するため、9216 バイトのジャンボ フレームについては MTU が 9198(9216 ~ 18 バイトはヘッダー)になるように設定する必要があります。
ジャンボ フレームをサポートするには追加のメモリが必要となるため、アクセス リストなどの他の機能の最大使用量が制限される可能性があります。
ジャンボ フレームは Management n / n インターフェイスではサポートされません。
ジャンボ フレームを送信する必要がある各インターフェイスについて、MTU を 1500 より大きい値に設定してください。たとえば、 mtu コマンドを使用して値を 9198 に設定してください。ASASM では、デフォルトでジャンボ フレームがサポートされるため、 jumbo-frame reservation コマンドを設定する必要はありません。MTU の値の設定だけ行ってください。
また、ジャンボ フレームを使用する場合は、TCP の最大セグメント サイズ(MSS)の値を設定してください。MSS は、MTU より 120 バイト小さい値に設定する必要があります。たとえば、MTU を 9000 に設定した場合、MSS は 8880 に設定する必要があります。MSS を設定するには、 sysopt connection tcpmss コマンドを使用できます。
フェールオーバー ペアでジャンボ フレームがサポートされるようにするには、プライマリ ユニットとセカンダリ ユニットの両方をリブートする必要があります。ダウン時間を回避するには、次の手順を実行します。
次に、ジャンボ フレームの予約をイネーブルにし、コンフィギュレーションを保存してASAをリロードする例を示します。
|
|
---|---|
クライアントレス SSL リモートアクセス VPN の Kerberos Constrained Delegation(KCD)を設定するには、webvpn コンフィギュレーション モードで kcd-server コマンドを使用します。KCD をディセーブルにするには、このコマンドの no 形式を使用します。
kcd-server aaa-server-group_name username user_id password password
管理者またはサービスレベル特権を持つ Active Directory ユーザを指定して、デバイスをドメインに追加します。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
Active Directory ドメインに参加できるように ASA を設定するには、webvpn コンフィギュレーション モードで kcd-server コマンドを使用します。ドメインコントローラの名前とレルムは aaa-server-groupname コマンドで指定します。AAA サーバグループのタイプは Kerberos サーバにする必要があります。 username オプションと password オプションは、管理者特権を持つユーザには対応しませんが、ドメインコントローラのサービスレベル特権を持つユーザに対応する必要があります。既存の設定を表示するには、 show webvpn kcd コマンドを使用します。
ASA 環境の Kerberos Constrained Delegatio(KCD)は、Kerberos で保護されているすべての Web サービスへのシングルサインオン(SSO)アクセスをクライアントレス SSL リモートアクセス VPN ユーザに提供します。ユーザの代わりに ASA でクレデンシャル(サービスチケット)を管理し、そのチケットを使用してサービスに対するユーザの認証を行います。
kcd-server コマンドが機能するには、ASA は ソースドメイン (ASA が常駐するドメイン)と ターゲット または リソース ドメイン(Web サービスが常駐するドメイン)間の信頼関係を確立する必要があります。ASA は、サービスにアクセスするリモートアクセスユーザの代わりに、ソースから宛先ドメインへの認証パスを横断し、必要なチケットを取得します。
このパスのことをクロスレルム認証と呼びます。クロスレルム認証の各フェーズで、ASA は特定のドメインのクレデンシャルおよび後続のドメインとの信頼関係に依存しています。
また、KCD の設定では、ドメインコントローラを DNS サーバ(たとえば、DefaultDNS グループ)として設定し、ドメインコントローラが到達できるインターフェイスで DNS ルックアップをイネーブルにする必要があります。
次に、KCD の設定例を示します。ドメインコントローラは 10.1.1.10(内部インターフェイスで到達可能)、ドメイン名は PRIVATE.NET です。また、ドメインコントローラのサービスアカウントのユーザ名は dcuser、パスワードは dcuser123! です。
ciscoasa(config)#
dns domain-lookup inside
ciscoasa(config)#
dns server-group DefaultDNS
ciscoasa(config-dns-server-group)#
name-server 10.1.1.10
ciscoasa(config-dns-server-group)#
domain-name
private.net
ciscoasa(config)#
aaa-server KerberosGroup protocol Kerberos
ciscoasa(config-asa-server-group)#
aaa-server KerberosGroup (inside) host 10.1.1.10
ciscoasa(config-asa-server-group)#
kerberos-realm PRIVATE.NET
ciscoasa(config)#
webvpn
ciscoasa(config-webvpn)#
kcd-server KerberosGroup username dcuser password dcuser123!
|
|
AAA サーバ ホスト コンフィギュレーション モードを開始します。このモードでは、ホストに固有の AAA サーバパラメータを設定できます。 |
|
(ASA のメンテナンスまたはトラブルシューティングの実行中に)新しいユーザ セッションのログイン ページではなく、管理者定義のメッセージを表示するには、webvpn コンフィギュレーション モードで keepout コマンドを使用します。以前に設定された立ち入り禁止ページを削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドがイネーブルにされると、クライアントレスの WebVPN ポータル ページが使用不可になります。ポータルのログイン ページではなく、ポータルが使用不可であることを通知する管理者定義メッセージが表示されます。クライアントレス アクセスをディセーブルにするが AnyConnect アクセスは許可するには、 keepout コマンドを使用します。また、このコマンドを使用して、メンテナンス中のためポータルが使用不可であることを示すこともできます。
ciscoasa(config)#
webvpn
ciscoasa(config-webvpn)#
keepout “The system is unavailable until 7:00 a.m. EST.”
|
|
---|---|
webvpn コンフィギュレーション モードを開始します。このモードではクライアントレス SSL VPN 接続の属性を設定できます。 |
この Kerberos サーバのレルム名を指定するには、AAA サーバ ホスト コンフィギュレーション モードで kerberos-realm コマンドを使用します。レルム名を削除するには、このコマンドの no 形式を使用します。
大文字と小文字が区別される最大 64 文字の英数字ストリング。ストリングにスペースは使用できません。 (注) Kerberos レルム名では数字と大文字だけを使用します。ASA では、string 引数に小文字のアルファベットを使用できますが、小文字は大文字に変換されません。大文字だけを使用してください。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、Kerberos サーバに対してのみ有効です。
Microsoft Windows の set USERDNSDOMAIN コマンドを Kerberos レルムの Windows 2000 Active Directory サーバ上で実行する場合は、 string 引数の値をこのコマンドの出力と一致させる必要があります。次の例では、EXAMPLE.COM が Kerberos レルム名です。
string 引数には、数字と大文字のアルファベットのみを使用する必要があります。 kerberos-realm コマンドでは、大文字と小文字が区別されます。また、ASA では、小文字は大文字に変換されません。
次のシーケンスは、AAA サーバ ホストの設定に関するコンテキストで Kerberos レルムを「EXAMPLE.COM」に設定するための kerberos-realm コマンドを示しています。
ciscoasa(config)# aaa-server svrgrp1 protocol kerberos
ciscoasa(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
ciscoasa(config-aaa-server-host)# timeout 9
ciscoasa(config-aaa-server-host)# retry 7
ciscoasa(config-aaa-server-host)# kerberos-realm EXAMPLE.COM
ciscoasa(config-aaa-server-host)#
exit
ciscoasa(config)#
|
|
AAA サーバ ホスト コンフィギュレーション サブモードを開始し、ホスト固有の AAA サーバ パラメータを設定できるようにします。 |
|
すべての AAA サーバ、特定のサーバ グループ、特定のグループ内の特定のサーバ、または特定のプロトコルの AAA サーバ統計情報を表示します。 |
AAA サーバに対して NAS を認証するために使用されるサーバ シークレットの値を指定するには、AAA サーバ ホスト コンフィギュレーション モードで key コマンドを使用します。AAA サーバ ホスト コンフィギュレーション モードには、AAA サーバ プロトコル コンフィギュレーション モードからアクセスできます。キーを削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
key の値は、127 文字までの英数字で構成されているキーワードで、TACACS+ サーバ上のキーと同じ値にします。大文字と小文字は区別されます。127 を超える文字は無視されます。このキーは、クライアントとサーバの間でやり取りするデータを暗号化するために使用されます。キーは、クライアント システムとサーバ システムの両方で同一である必要があります。キーにスペースは使用できませんが、その他の特殊文字は使用できます。キー(サーバ シークレット)の値は、ASA を AAA サーバに対して認証します。
次に、ホスト「1.2.3.4」に「srvgrp1」という TACACS+ AAA サーバを設定し、タイムアウトを 9 秒、再試行間隔を 7 秒、キーを「myexclusivemumblekey」に設定する例を示します。
ciscoasa(config)# aaa-server svrgrp1 protocol tacacs+
ciscoasa(config-aaa-server-group)# aaa-server svrgrp1 host 1.2.3.4
ciscoasa(config-aaa-server-host)# timeout 9
ciscoasa(config-aaa-server-host)# retry-interval 7
ciscoasa(config-aaa-server-host)# key myexclusivemumblekey
|
|
AAA サーバ ホスト コンフィギュレーション モードを開始します。このモードでは、ホストに固有の AAA サーバ パラメータを設定できます。 |
|
クラスタ制御リンクの制御トラフィックの認証キーを設定するには、クラスタ グループ コンフィギュレーション モードで key コマンドを使用します。キーを削除するには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
このコマンドは、データパス トラフィック(接続状態アップデートや転送されるパケットなど)には影響しません。データパス トラフィックは、常にクリア テキストとして送信されます。
ciscoasa(config)# cluster group cluster1
|
|
---|---|
スパンド EtherChannel を使用するときは、ASA は cLACP を使用してネイバー スイッチとの間で EtherChannel のネゴシエーションを行います。 |
|
クラスタのヘルス チェック機能(ユニットのヘルス モニタリングおよびインターフェイスのヘルス モニタリングを含む)をイネーブルにします。 |
|
IGP ピアを認証するためのローテーション キーを設定するには、グローバル コンフィギュレーション モードで key chain コマンドを使用します。設定を削除するには、このコマンドの no 形式を使用します。
key chain key-chain-name key key-id key-string {0 | 8} key-string-text cryptographic-algorithm md5 [accept-lifetime [ local | start-time ] [ duration { duration value | infinite | end-time }] [ send-lifetime [ local | start-time ] [ duration { duration value | infinite | end-time }]
no key chain key-chain-name key key-id key-string {0 | 8} key-string-text cryptographic-algorithm md5 [ accept-lifetime [ local | start-time ] [ duration { duration value | infinite | end-time }] [ send-lifetime [ local | start-time ] [ duration { duration value | infinite | end-time }]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
key chain コマンドを使用して、インターフェイスの OSPFv2 認証で使用されるキー チェーンを設定します。 key id 、 key string 、および cryptographic-algorithm コマンドを入力する必要があります。受け入れおよび送信のライフタイムを入力して、キーのローテーションをスケジュールします。ライフタイム変数は、セキュアなキー ロールオーバーを処理するのに便利です。デバイスはキーのライフタイムを使用して、特定の期間にキー チェーン内のどのキーがアクティブになるかを判断します。ライフタイムが指定されていない場合、キー チェーン認証は、タイム ラインを使用しない MD5 認証と同様に機能します。キー チェーンの設定を削除するには、 no key chain を使用します。
ciscoasa(config)# key chain CHAIN1
ciscoasa(config-keychain)# key 1
ciscoasa(config-keychain-key)# key-string 0 CHAIN1KEY1STRING
ciscoasa(config-keychain-key)# cryptographic-algorithm md5
ciscoasa(config-keychain-key)# accept-lifetime 11:22:33 1 SEP 2018 infinite
ciscoasa# show running key chain
accept-lifetime 11:00:12 Sep 1 2018 11:12:12 Sep 1 2018
accept-lifetime 11:22:33 Sep 1 2018 duration -1
ciscoasa# show runing key chain CHAIN1
|
|
---|---|
暗号キーの生成に使用するマスター パスフレーズを設定し、プレーン テキストのパスワードを暗号化して安全に保存するには、グローバル コンフィギュレーション モードで key config-key password-encryption コマンドを使用します。パスフレーズで暗号化されたパスワードを復号化するには、このコマンドの no 形式を使用します。
key config-key password-encryption passphrase [old_passphrase]
no key config-key password-encryption passphrase
パスフレーズの長さは、8 ~ 128 文字にする必要があります。パスフレーズには、バックスペースと二重引用符を除くすべての文字を使用できます。コマンドにパスフレーズを入力しないと、入力を求めるプロンプトが表示されます。インタラクティブ プロンプトを使用してパスワードを入力し、パスワードがコマンド履歴バッファに記録されないようにします。 |
|
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
マスター パスフレーズを使用する機能としては、次のものがあります。
パスワードの暗号化をトリガーするには、 key config-key password-encrypt コマンドと password encryption aes コマンドの両方を任意の順序で入力する必要があります。 write memory と入力して、暗号化されたパスワードをスタートアップ コンフィギュレーションに保存します。そうしないと、スタートアップ コンフィギュレーション内のパスワードが表示されることがあります。マルチコンテキスト モードでは、システム実行スペースに write memory all を使用してすべてのコンテキストの設定を保存します。
このコマンドを実行できるのは、コンソール、SSH、HTTPS 経由の ASDM などによるセキュア セッションにおいてのみです。
暗号化されたパスワードがプレーン テキスト パスワードに変換されるため、 no key config-key password-encrypt コマンドは注意して使用してください。パスワードの暗号化がサポートされていないソフトウェア バージョンにダウングレードするときは、このコマンドの no 形式を使用できる場合があります。
フェールオーバーがイネーブルであっても、フェールオーバー共有キーが設定されていない場合に、マスター パスフレーズを変更すると、エラー メッセージが表示されます。このメッセージには、マスター パスフレーズの変更がプレーン テキストとして送信されないよう、フェールオーバー共有キーを入力する必要があることが示されます。
アクティブ/スタンバイ フェールオーバーでパスワード暗号化をイネーブルにするか、または変更すると、 write standby が実行され、アクティブな設定をスタンバイ ユニットに複製することになります。この複製がないと、スタンバイ ユニット上の暗号化されたパスワードが、同じパスフレーズを使用していても、異なるものになります。設定の複製によって設定が同じになることが保証されます。アクティブ/アクティブ フェールオーバーの場合は、 write standby と手動で入力する必要があります。アクティブ/アクティブ モードでは、 write standby によってトラフィックの中断が発生します。これは、新しい設定が同期される前に、セカンダリ ユニットで設定がクリアされるためです。 failover active group 1 コマンドと failover active group 2 コマンドを使用してプライマリ ASA のすべてのコンテキストをアクティブにし、 write standby と入力してから、 no failover active group 2 コマンドを使用してグループ 2 のコンテキストをセカンダリ ユニットに復元します。
write erase コマンドに続いて reload コマンドを使用すると、マスター パスフレーズを紛失した場合はそのマスター パスフレーズとすべての設定が削除されます。
次に、暗号キーの生成に使用するパスフレーズを設定し、パスワード暗号化をイネーブルにする例を示します。
ciscoasa(config)#
key config-key password-encryption
|
|
---|---|
オンボードのセキュア コピー(SCP)クライアントのサーバのハッシュ SSH ホスト キーを手動で追加するには、サーバ コンフィギュレーション モードで key-hash コマンドを使用します。サーバ コンフィギュレーション モードにアクセスするには、先に ssh pubkey-chain コマンドを入力します。キーを削除するには、このコマンドの no 形式を使用します。
key-hash { md5 | sha256 } fingerprint
no key-hash { md5 | sha256 } fingerprint
使用するハッシュのタイプ(MD5 または SHA-256)を設定します。ASA のコンフィギュレーションでは、常に SHA-256 が使用されます。 |
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
オンボードの SCP クライアントを使用して、ASA との間でファイルをコピーすることができます。ASA は接続先の各 SCP サーバの SSH ホストキーを保存します。必要に応じて、ASA データベースから手動でサーバとそのキーを追加または削除できます。
各サーバについて、SSH ホストの key-string (公開キー) または key-hash (ハッシュ値)を指定できます。 key-hash では、すでにハッシュされているキーを入力します(MD5 または SHA-256 を使用)。たとえば、 show コマンドの出力からコピーしたキーなどを入力できます。
次に、10.86.94.170 にあるサーバのすでにハッシュされているホスト キーを追加する例を示します。
|
|
---|---|
証明する公開キーのキー ペアを指定するには、クリプト CA トラストポイント コンフィギュレーション モードで keypair コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
no keypair name | [rsa modulus 1024|2048|4096|512|768] | [ecdsa elliptic-curve 256|384|521]
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、central トラストポイントのクリプト CA トラストポイント コンフィギュレーション モードを開始し、central トラストポイント用に証明するキー ペアを指定する例を示します。
|
|
---|---|
ユーザ証明書の登録で、ローカルの認証局(CA)サーバによって生成される公開キーと秘密キーのサイズを指定するには、CA サーバ コンフィギュレーション モードで keysize コマンドを使用します。キー サイズをデフォルトの 1024 ビットの長さにリセットするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、ローカル CA サーバによってユーザ用に生成される、公開キーと秘密キーのすべてのキー ペアのキーのサイズを 2048 ビットに指定する例を示します。
ciscoasa(config-ca-server)
)# keysize 2048
ciscoasa(config-ca-server)
#
次に、ローカル CA サーバによってユーザ用に生成される、公開キーと秘密キーのすべてのキー ペアのキーのサイズを、デフォルトの 1024 ビットの長さにリセットする例を示します。
ciscoasa(config-ca-server)
# no keysize
ciscoasa(config-ca-server)
#
|
|
---|---|
CA サーバ コンフィギュレーション モードのコマンド セットへのアクセスを提供し、ローカル CA の設定と管理ができるようにします。 |
|
ローカルの認証局(CA)サーバによって生成される公開キーと秘密キーのサイズを指定し、CA のキー ペアのサイズを設定するには、CA サーバ コンフィギュレーション モードで keysize server コマンドを使用します。キー サイズをデフォルトの 1024 ビットの長さにリセットするには、このコマンドの no 形式を使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
次に、CA 証明書のキー サイズを 2048 ビットに指定する例を示します。
ciscoasa(config-ca-server)
)# keysize server 2048
ciscoasa(config-ca-server)
#
次に、CA 証明書のキー サイズをデフォルトの 1024 ビットにリセットする例を示します。
ciscoasa(config-ca-server)
# no keysize server
ciscoasa(config-ca-server)
#
|
|
---|---|
CA サーバ コンフィギュレーション モードのコマンド セットへのアクセスを提供し、ローカル CA の設定と管理ができるようにします。 |
|
オンボードのセキュア コピー(SCP)クライアントのサーバのパブリック SSH ホスト キーを手動で追加するには、サーバ コンフィギュレーション モードで key-string コマンドを使用します。サーバ コンフィギュレーション モードにアクセスするには、先に ssh pubkey-chain コマンドを入力します。このコマンドを入力すると、キー ストリングを入力するプロンプトが表示されます。ストリングがコンフィギュレーションに保存されると、SHA-256 を使用してハッシュされ、 key-hash コマンドとして保存されます。したがって、ストリングを削除するときは、 no key-hash コマンドを使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
オンボードの SCP クライアントを使用して、ASA との間でファイルをコピーすることができます。ASA は接続先の各 SCP サーバの SSH ホストキーを保存します。必要に応じて、ASA データベースから手動でサーバとそのキーを追加または削除できます。
各サーバについて、SSH ホストの key-string (公開キー) または key-hash (ハッシュ値)を指定できます。 key_string はリモート ピアの Base64 で符号化された RSA 公開キーです。オープン SSH クライアントから(言い換えると.ssh/id_rsa.pub ファイルから)公開キー値を取得できます。Base64 で符号化された公開キーを送信した後、SHA-256 によってそのキーがハッシュされます。
次に、10.7.8.9 にあるサーバのホスト ストリング キーを追加する例を示します。
ciscoasa(config)# ssh pubkey-chain
ciscoasa(config-ssh-pubkey-chain)# server 10.7.8.9
ciscoasa(config-ssh-pubkey-server)# key-string
Enter the base 64 encoded RSA public key.
End with the word "exit" on a line by itself
ciscoasa(config-ssh-pubkey-server-string)# c1:b1:30:29:d7:b8:de:6c:97:77:10:d7:46:41:63:87
ciscoasa(config-ssh-pubkey-server-string)# exit
|
|
---|---|
Telnet セッションを終了するには、特権 EXEC モードで kill コマンドを使用します。
|
|
|
|||
---|---|---|---|---|---|
|
|
|
|
||
|
|
||||
|
|
---|---|
kill コマンドを使用すると、Telnet セッションを終了できます。Telnet セッションの ID を表示するには、who コマンドを使用します。Telnet セッションを終了すると、ASA は、警告することなく、すべてのアクティブなコマンドを終了して接続をドロップします。
次に、ID「2」の Telnet セッションを終了する例を示します。最初に、アクティブな Telnet セッションのリストを表示するため、who コマンドを入力します。次に、ID「2」の Telnet セッションを終了するため、 kill 2 コマンドを入力します。
2: From 10.10.54.0
|
|
---|---|