ASA への SSH アクセスを有効にする

zhaqin · ‎2010-07-30

SSH の認証にローカルのユーザデータベースを利用する場合、ASA への SSH アクセスを有効にする設定方法：

// ローカルの管理者権限(privilege 15)を持つユーザを定義する

ciscoasa(config)# username ssh password cisco privilege 15

// ローカルユーザデータベースを SSH 認証に使用する
ciscoasa(config)# aaa authentication ssh console LOCAL

// SSH 接続を許可したいサブネットを指定する。ここでは無制限となります。
ciscoasa(config)# ssh 0 0 inside

// SSH セッションが自動的に切断されるアイドル期間を設定する
ciscoasa(config)# ssh timeout 10

// RSA キーを生成する
ciscoasa(config)# crypto key generate rsa general-keys modulus 1024 noconfirm
INFO: The name for the keys will be: <Default-RSA-Key>
Keypair generation process begin. Please wait...
%ASA-5-111008: User 'enable_15' executed the 'crypto key generate rsa general-keys modulus 1024 noconfirm' command.

なお、"ssh 0 0 inside" というコマンドは、"inside" のインターフェースアドレスに対する SSH 接続を許可したいサブネットを指定するものとなります。注意点としては、このサブネットが必ず inside インターフェース側にあるわけではありません。例えば、outside から ASA に VPN 接続した状態で、VPN 経由で inside インターフェースアドレスに対して SSH したい時は、下記を設定すればよいです。

ciscoasa(config)# ssh <VPN プールアドレスのサブネット> <対応のマスク> inside

ciscoasa(config)# management-access inside