購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
10368
閲覧回数
5
いいね!
0
コメント

ASA:ローカルユーザアカウントのロックアウト機能について

Maki Tokutake
Cisco Employee
Cisco Employee

‎2016-01-29 05:19 PM ‎2017-08-30 11:02 PM 更新

 

 

はじめに

本ドキュメントでは ASA のローカルユーザアカウントが一定回数パスワードを間違えた場合に*ロックアウト(アカウントロックアウト)させる機能についてご紹介いたします。

* ロックアウト(アカウントロックアウト)=アカウントによるシステムへのログインや使用を拒否する事

尚、本ドキュメントは ASA Version 9.2(2)4、ASDM Version 7.5(1)を元に作成しています。

 

 

ロックアウトの機能を利用する上での制約事項

ローカルユーザアカウントを利用してロックアウトの機能を利用する際、ASA で設定可能な事と不可能な事があります。

ローカルユーザーがログインする際に一定回数パスワードを間違えた場合に、アカウントをロックさせる事はできますが、一定時間経過後にアカウントロックを解除させる(自動的にロックアウトを解除する)事はできません。ロックアウトの解除には ASA で別途コマンドの実行が必要となります。また、ローカルユーザーごとに回数を設定する事はできません。

 

 

設定方法(コマンドライン)

1) 先ず、ローカルユーザアカウントを作成します。

ciscoasa(config)# username <ユーザー名> password <パスワード>

2) 次に一定回数パスワードを間違えた場合の回数制限を設定します。以下のコマンドで設定が可能です。

ciscoasa(config)# aaa local authentication attempts max-fail <回数> 
* 回数は 1 - 16 の範囲で設定できます。回数を "3" とした場合は、3回間違えた時点でロックアウトされます。

コマンドの詳細につきましては以下の URL に記載がございますが、level 15(level 15 が一番強い権限となります) の User は例外となります。尚、username コマンドでローカルユーザを作成した場合、デフォルトの設定では level 2 の User で作成されます。

 

(参考情報)

aaa local authentication attempts max-fail
http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/A-H/cmdref1/a1.html#pgfId-1596270

username
http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/T-Z/cmdref4/u.html#pgfId-1834692

 

3) 最後に ”write memory” で設定を保存します。

 

 

設定方法(ASDM)

1) 先ず、ローカルユーザアカウントを作成します。

[Configuration] > [Remote Access VPN] > [AAA/Local Users] > [Local Users] あるいは[Configuration] > [Device Management] > [Users/AAA] > [User Accounts] にて "Add" をクリックします。

 

”Add User Account” の Window で Username、Password、Confirm Password を入力し "OK" をクリックし Window を閉じ、最後に"Apply"をクリックします。

 

2) 次に一定回数パスワードを間違えた場合の回数制限を設定します。

[Configuration] > [Remote Access VPN] > [AAA/Local Users] > [AAA Server Groups] あるいは [Configuration] > [Device Management] > [Users/AAA] > [AAA Server Groups] にて、LOCAL を選択し "Edit" をクリックすると設定画面が表示されます。

 

"Edit LOCAL Server Group" の Window で "Enable Local User Lockout" にチェックを入れ、"Maximun Attemps" の入力ボックスに 1 - 16 の範囲で数値を設定し、 "OK" をクリックし Window を閉じ、最後に "Apply"をクリックします。

 

3) 最後に "Save" をクリックし設定を保存します。

 

 

ックアウトされたユーザーの確認方法(コマンドライン)

ローカルユーザがロックされているかどうかは、以下のコマンドにて確認する事ができます。Locked の欄が "Y" と表示されているユーザーがロックアウトされたユーザーとなります。

ciscoasa(config)# show aaa local user

表示例(最大 3回に設定してあり user1 は 3回目でロックアウトされています)

ciscoasa(config)# show aaa local user
Lock-time Failed-attempts Locked User
    -                   0 N      user1
    -                   0 N      cisco
ciscoasa(config)#
ciscoasa(config)# show aaa local user
Lock-time Failed-attempts Locked User
    -                   1 N      user1
    -                   0 N      cisco
ciscoasa(config)#
ciscoasa(config)# show aaa local user
Lock-time Failed-attempts Locked User
    -                   2 N      user1
    -                   0 N      cisco
ciscoasa(config)#
ciscoasa(config)# show aaa local user
Lock-time Failed-attempts Locked User
15:11:43                3 Y      user1   <<<<<  ロックアウトされたユーザー
   -                    0 N      cisco

この例では 3回間違えた時点でロックアウトするようにしていますが、ユーザーがロックアウトされた後の場合は 4回目で正しいパスワードを入力した場合でも、既にロックアウトされているため ASA-6-113006 が出力されログインは拒否されます。ロックアウト前の場合であれば、2回間違えても 3回目で正しいパスワードを入力した場合には、"Failed-attempts" の回数は "0" にリセットされます。

 

上記の例では下記のようなログが出力されています。

%ASA-6-113006: User 'user1' locked out on exceeding '3' successive failed authentication attempts

 

 

ロックアウトされたユーザーの確認方法(ASDM)

コマンドラインではロックアウト前のユーザーの回数についても確認する事ができますが、ASDMではロックアウト後のユーザーの確認のみとなります。

[Monitoring] > [Properties] > [Device Access] > [AAA Local Locked Out Users] にてロックアウトされたユーザーを確認する事ができます。

 

 

ロックアウトされたユーザーのロックアウト解除方法(コマンドライン)

自動的にロックアウトを解除する事はできないため、ロックの解除には以下のコマンドを実施して解除を行います。

ciscoasa(config)#ciscoasa(config)# clear aaa local user lockout ? 
exec mode commands/options:
 all Clear all the locked users ----> ロックアウトされたすべてのユーザーが対象
 username Username of the locked-user  ----> ロックアウトされたユーザーが対象
ciscoasa(config)#
ciscoasa(config)# clear aaa local user lockout username user1
ciscoasa(config)# 
ciscoasa(config)# show aaa local user
Lock-time Failed-attempts Locked User
   -                   0 N      user1
    -                   0 N      cisco

 

上記の例では下記のようにログに出力されています。

%ASA-6-113007: User 'user1' unlocked by 'cisco'
%ASA-5-111008: User 'enable_15' executed the 'clear aaa local user lockout username user1' command.

 

尚、コマンドラインでは Failed-attempts の数をリセットするコマンドもあります。

(参考情報)

clear aaa local user fail-attempts
http://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/A-H/cmdref1/c1.html#pgfId-2163081

 

 

ロックアウトされたユーザーのロックアウト解除方法(ASDM)

[Monitoring] > [Properties] > [Device Access] > [AAA Local Locked Out Users] にてロックアウトされたユーザーを確認し、右下の"Clear Selected Lockout"、あるいは、"Clear All Lockouts"をクリックし、確認画面で "OK" をクリックすると解除されます。

 

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents