ユーザについて
内部ユーザーとして、または LDAP または RADIUS サーバーの外部ユーザーとして、管理対象デバイスにカスタムユーザーアカウントを追加できます。各管理対象デバイスは、個別のユーザーアカウントを保持します。たとえば、Management Center にユーザーを追加した場合は、そのユーザーは Management Center にのみアクセスできます。そのユーザー名を使用して管理対象デバイスに直接ログインすることはできません。管理対象デバイスにユーザーを別途追加する必要があります。
内部および外部ユーザ
管理対象デバイスは次の 2 つのタイプのユーザーをサポートしています。
-
内部ユーザー:デバイスは、ローカル データベースでユーザー認証を確認します。
-
外部ユーザー:ユーザーがローカル データベースに存在しない場合は、システムは外部 LDAP または RADIUS の認証サーバーに問い合わせます。
Web インターフェイスおよび CLI によるアクセス
Management Center には、Web インターフェイス、CLI(コンソール(シリアルポートまたはキーボードとモニターのいずれか)から、または管理インターフェイスへの SSH を使用してアクセス可能)、および Linux シェルがあります。管理 UI の詳細については、システム ユーザー インターフェイスを参照してください。
Management Center ユーザータイプと、それらがアクセスできる UI に関する次の情報を参照してください。
-
admin ユーザー:Management Center は 2 種類の内部 admin ユーザーをサポートしています。Web インターフェイスのユーザーと、CLI アクセス権が付与されたユーザーです。システム初期化プロセスでは、これら 2 つの admin アカウントのパスワードが同期されるため、アカウントは同じように開始されますが、これらのアカウントは異なる内部メカニズムによって追跡され、初期設定後に分岐する場合があります。システム初期化の詳細については、ご使用のモデルの『Getting Started Guide』を参照してください。(Web インターフェイスの admin のパスワードを変更するには、システム() > [ユーザー(Users)] を使用します。CLI の admin のパスワードを変更するには、Management Center CLI コマンド configure password を使用します。)
-
内部ユーザー:Web インターフェイスで追加された内部ユーザーには、Web インターフェイスのアクセス権のみが付与されます。
-
外部ユーザー:外部ユーザーには Web インターフェイスのアクセス権が付与され、オプションで CLI のアクセス権を設定できます。
-
SSO ユーザー:SSO ユーザーには Web インターフェイスのアクセス権のみが付与されます。
注意 |
CLI ユーザーは、expert コマンドを使用して Linux シェルにアクセスできます。Cisco TAC または Management Center マニュアルの明示的な手順による指示がない限り、Linux シェルを使用しないことを強くお勧めします。CLI ユーザーは Linux シェルで
|
ユーザの役割
CLI ユーザロール
Management Center の CLI 外部ユーザにはユーザ ロールがありません。そのため、それらのユーザは使用可能なすべてのコマンドを使用できます。
Web インターフェイスのユーザ ロール
ユーザ権限は、割り当てられたユーザ ロールに基づいています。たとえば、アナリストに対してセキュリティ アナリストや検出管理者などの事前定義ロールを付与し、デバイスを管理するセキュリティ管理者に対して管理者ロールを予約することができます。また、組織のニーズに合わせて調整されたアクセス権限を含むカスタム ユーザ ロールを作成できます。
Management Center には、次の定義済みユーザー ロールが含まれています。
(注) |
システムが同時セッション制限の目的で読み取り専用と見なす定義済みユーザーロールには、システム() と システム() でロール名に [(Read Only)] というラベルが付けられます。ユーザー ロールのロール名に [(読み取り専用)((Read Only))] が含まれていない場合、システムはそのロールを読み取り/書き込みと見なします。同時セッション制限の詳細については、ユーザーの設定を参照してください。 |
- アクセス管理者
-
[ポリシー(Policies)] メニューでアクセス制御ポリシー機能や関連する機能へのアクセスが可能です。アクセス管理者は、ポリシーを展開できません。
- 管理者
-
管理者は製品内のすべてのものにアクセスできるため、セッションでセキュリティが侵害されると、高いセキュリティ リスクが生じます。このため、ログイン セッション タイムアウトから管理者を除外することはできません。
セキュリティ上の理由から、管理者ロールの使用を制限する必要があります。
- 検出管理者(Discovery Admin)
-
[ポリシー(Policies)] メニューのネットワーク検出機能、アプリケーション検出機能、相関機能にアクセス可能です。検出管理者は、ポリシーを展開できません。
- 外部データベース ユーザ(読み取り専用)
-
JDBC SSL 接続をサポートするアプリケーションを使用したデータベースへの読み取り専用アクセスを提供します。アプライアンスの認証を行うサードパーティのアプリケーションについては、システム設定内でデータベースアクセスを有効にする必要があります。Web インターフェイスでは、外部データベース ユーザは、[ヘルプ(Help)] メニューのオンライン ヘルプ関連のオプションのみにアクセスできます。このロールの機能は、web インターフェイスに搭載されていないため、サポートやパスワードの変更を容易にするためにのみアクセスが可能です。
- 侵入管理者(Intrusion Admin)
-
[ポリシー(Policies)] メニューと [オブジェクト(Objects)] メニューの侵入ポリシー機能、侵入ルール機能、ネットワーク分析ポリシー機能のすべてにアクセスが可能です。侵入管理者は、ポリシーを展開できません。
- メンテナンス ユーザ(Maintenance User)
-
監視機能やメインテナンス機能へのアクセスが可能です。メンテナンス ユーザは、[ヘルス(Health)] メニューや [システム(System)] メニューのメンテナンス関連オプションにアクセスできます。
- ネットワーク管理者(Network Admin)
-
[ポリシー(Policies)] メニューのアクセス制御機能、SSL インスペクション機能、DNS ポリシー機能、アイデンティティ ポリシー機能、および [デバイス(Devices)] メニューのデバイス設定機能へのアクセスが可能です。ネットワーク管理者は、デバイスへの設定の変更を展開できます。
- セキュリティ アナリスト
-
セキュリティ イベント分析機能へのアクセスと [概要(Overview)] メニュー、[分析(Analysis)] メニュー、[ヘルス(Health)] メニュー、[システム(System)] メニューのヘルス イベントに対する読み取り専用のアクセスが可能です。
- セキュリティ アナリスト(読み取り専用)(Security Analyst (Read Only))
-
[Overview] メニュー、[Analysis] メニュー、[Health] メニュー、[System] メニューのセキュリティ イベント分析機能とヘルス イベント機能への読み取り専用アクセスを提供します。
このロールを持つユーザは、次のこともできます。
-
特定のデバイスのヘルスモニタのページから、トラブルシューティング ファイルを生成してダウンロードする。
-
ユーザ設定で、ファイルのダウンロードの設定を行う。
-
ユーザ設定で、イベントビューのデフォルトのタイムウィンドウを設定する([Audit Log Time Window] を除く)。
-
- セキュリティ承認者(Security Approver)
-
[ポリシー(Policies)] メニューのアクセス制御ポリシーや関連のあるポリシー、ネットワーク検出ポリシーへの制限付きのアクセスが可能です。セキュリティ承認者はこれらのポリシーを表示し、展開できますが、ポリシーを変更することはできません。
- 脅威インテリジェンス ディレクタ(TID)ユーザー
-
[インテリジェンス(Intelligence)] メニューの脅威インテリジェンス ディレクタ設定にアクセスできます。Threat Intelligence Director (TID) ユーザーは、TID の表示および設定が可能です。
ユーザ パスワード
Management Center の内部ユーザーアカウントのパスワードには、Lights-Out Management(LOM)が有効な場合と無効な場合に応じて、次のルールが適用されます。外部認証されたアカウントまたはセキュリティ認定コンプライアンスが有効になっているシステムには、異なるパスワード要件が適用されます。詳細については、Management Center の外部認証の設定と セキュリティ認定準拠を参照してください。
Management Center の初期設定時に、admin ユーザーは、以下の表に記載されている強力なパスワード要件に準拠するようにアカウントパスワードを設定する必要があります。物理 Management Center の場合、LOM が有効になっている強力なパスワード要件が使用され、仮想 Management Center の場合、LOM が有効になっていない強力なパスワード要件が使用されます。この時点で、システムは web インターフェイスの admin と CLI アクセスの adminのパスワードを同期します。初期設定後、Web インターフェイスの admin は強力なパスワード要件を削除できますが、CLI アクセスの admin は、LOM が有効になっていない状態では、常に強力なパスワード要件に準拠している必要があります。
LOM が有効になっていない |
LOM が有効になっている |
|
---|---|---|
パスワードの強度チェックがオンになっている |
パスワードには以下を含める必要があります。
システムは、英語の辞書に載っている多くの単語だけでなく、一般的なパスワード ハッキング技術で簡単に解読できるその他の文字列も含まれる特殊なディクショナリと照合してパスワードをチェックします。 |
パスワードには以下を含める必要があります。
特殊文字のルールは、物理 Management Center のシリーズ間で異なります。特殊文字の選択を、上記の最後の箇条書きに記載されている特殊文字に制限することをお勧めします。 パスワードにユーザー名を含めないでください。 システムは、英語の辞書に載っている多くの単語だけでなく、一般的なパスワード ハッキング技術で簡単に解読できるその他の文字列も含まれる特殊なディクショナリと照合してパスワードをチェックします。 |
パスワードの強度チェックがオフになっている |
パスワードは、管理者がユーザーに対して設定した最小文字数以上である必要があります。(詳細については、内部ユーザーの追加または編集を参照してください)。 |
パスワードには以下を含める必要があります。
特殊文字のルールは、物理 Management Center のシリーズ間で異なります。特殊文字の選択を、上記の最後の箇条書きに記載されている特殊文字に制限することをお勧めします。 パスワードにユーザー名を含めないでください。 |