コマンド ライン インターフェイス(CLI)を使用したスイッチのパスワード設定

ダウンロード オプション

  • PDF     (1.3 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (1.2 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (615.7 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2020 年 2 月 17 日
Document ID:SMB5563

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

目的

コンソールからスイッチに初めてログインするときには、デフォルトのユーザ名とパスワードであるciscoを使用する必要があります。次に、Ciscoアカウントの新しいパスワードを入力して設定するように求められます。パスワードの複雑度はデフォルトで有効になっています。選択したパスワードが十分に複雑でない場合は、別のパスワードを作成するように求められます。

パスワードはデバイスにアクセスするユーザの認証に使用されるため、単純なパスワードはセキュリティ上の危険となる可能性があります。したがって、パスワードの複雑さの要件はデフォルトで適用され、必要に応じて設定できます。

この記事では、コマンド ライン インターフェイス(CLI)を使用して、基本パスワード設定、回線パスワード、イネーブルパスワード、サービスパスワードの回復、ユーザアカウントのパスワード複雑度ルール、およびスイッチのパスワードエージング設定を定義する方法について説明します。

注:スイッチのWebベースのユーティリティを使用して、パスワードの強度と複雑度の設定を構成することもできます。手順については、ここをクリックしてください。

適用可能なデバイス | [Software Version]

CLIを使用したパスワード設定

次のオプションから、設定するパスワード設定を選択します。

基本パスワード設定の構成

回線パスワードの設定

イネーブルパスワードの設定

サービスパスワード回復設定の構成

パスワードの複雑度の設定

パスワードエージング設定の構成

基本パスワード設定の構成

ステップ 1:スイッチのコンソールにログインします。デフォルトのユーザ名とパスワードはciscoです。

注:使用できるコマンドやオプションは、デバイスのモデルによって異なります。この例では、SG350Xスイッチが使用されています。

ステップ 2:ネットワークの保護を強化するために、新しいパスワードを設定するように求められます。キーボードでYキーを押してYesと入力し、Nキーを押してNoと入力します。

注:この例では、Yが押されています。

ステップ 3:古いパスワードを入力し、キーボードのEnterキーを押します。

ステップ 4:新しいパスワードを入力して確認し、キーボードのEnterキーを押します。

ステップ 5:enableコマンドを使用して、特権EXECモードに入ります。スイッチの特権EXECモードで、次のように入力して、設定をスタートアップコンフィギュレーションファイルに保存します。

SG350X#copy running-config startup-config

ステップ 6: (任意)[ファイル [startup-config] の上書き…(Overwrite file [startup-config]…)] プロンプトが表示されたら、「はい」の場合はキーボードの [Y] 、「いいえ」の場合は [N] を押します。

これで、CLIを使用してスイッチの基本的なパスワード設定を行うことができました。

回線パスワードの設定

ステップ 1:スイッチのコンソールにログインします。デフォルトのユーザ名とパスワードはciscoです。新しいユーザ名またはパスワードを設定した場合は、代わりにこれらのクレデンシャルを入力します。

ステップ 2:スイッチの特権EXECモードで、次のように入力してグローバルコンフィギュレーションモードに入ります。

SG350X#configure terminal

ステップ 3:コンソール、Telnet、セキュアシェル(SSH)などの回線上でパスワードを設定するには、次のように入力してパスワードの回線設定モードに入ります。

SG350X(config)#line [line-name]

注:この例で使用する回線はTelnetです。

ステップ 4:次のように入力して、回線のpasswordコマンドを入力します。

SG350X(config-line)#password [password][encrypted]

次のオプションがあります。

  • password:回線のパスワードを指定します。長さは0 ~ 159文字です。
  • encrypted:(オプション)パスワードが暗号化され、別のデバイス設定からコピーされることを指定します。

注:この例では、パスワードCisco123$がTelnet回線に指定されています。

ステップ5:(オプション)回線パスワードをデフォルトのパスワードに戻すには、次のように入力します。

SG350X(config-line)#no password

手順 6:endコマンドを入力して、スイッチの特権EXECモードに戻ります。

SG350X(config)#end

ステップ 7: (任意)スイッチの特権 EXEC モードで、次のように入力して、設定をスタートアップ コンフィギュレーション ファイルに保存します。

SG350X#copy running-config startup-config

ステップ 8: (任意)[ファイル [startup-config] の上書き…(Overwrite file [startup-config]…)] プロンプトが表示されたら、「はい」の場合はキーボードの [Y] 、「いいえ」の場合は [N] を押します。

これで、CLIを使用してスイッチの回線パスワードを設定できました。

イネーブルパスワードの設定

新しいイネーブルパスワードを設定すると、パスワードは自動的に暗号化され、実行コンフィギュレーションファイルに保存されます。パスワードがどのように入力されても、実行コンフィギュレーションファイルにはキーワードencryptedが暗号化されたパスワードとともに表示されます。

CLIを使用してスイッチのイネーブルパスワードを設定するには、次の手順を実行します。

ステップ 1:スイッチのコンソールにログインします。デフォルトのユーザ名とパスワードはciscoです。新しいユーザ名またはパスワードを設定した場合は、代わりにこれらのクレデンシャルを入力します。

ステップ 2:スイッチの特権EXECモードで、次のように入力してグローバルコンフィギュレーションモードに入ります。

SG350X#configure terminal

ステップ 3:スイッチの特定のユーザアクセスレベルでローカルパスワードを設定するには、次のように入力します。

SG350X(config)#enable password [level privilege-level] [unencrypted-password | encrypted encrypted-password]

次のオプションがあります。

  • level privilege-level:パスワードが適用されるレベルを指定します。レベルの範囲は1 ~ 15です。指定しない場合、レベルはデフォルト値の15に設定されます。ユーザレベルは次のとおりです。

– 読み取り専用CLIアクセス(1):ユーザはGUIにアクセスできず、デバイス設定を変更しないCLIコマンドにのみアクセスできます。

– 読み取り/制限付き書き込みCLIアクセス(7):ユーザはGUIにアクセスできず、デバイス設定を変更する一部のCLIコマンドにしかアクセスできません。詳細については、『CLI Reference Guide』を参照してください。

– 読み取り/書き込み管理アクセス(15):ユーザはGUIにアクセスでき、デバイスを設定できます。

SG350X(config)#enable password level 7 Cisco123$

注:この例では、パスワードCisco123$がレベル7のユーザアカウントに設定されています。

  • unencrypted-password:現在使用しているユーザ名のパスワード。長さは0 ~ 159文字です。
SG350X(config)#enable password level Cisco123$

注:この例では、パスワードCisco123$が使用されています。

  • encrypted encrypted-password:パスワードが暗号化されることを指定します。このコマンドを使用すると、別のデバイスの別のコンフィギュレーションファイルですでに暗号化されているパスワードを入力できます。これにより、2つのスイッチを同じパスワードで設定できます。
SG350X(config)#enable password encrypted 6f43205030a2f3a1e243873007370fab

注:この例で使用する暗号化パスワードは6f43205030a2f3a1e243873007370fabです。これはCisco123$の暗号化バージョンです。

注:上記の例では、イネーブルパスワードCisco123$がレベル7アクセスに設定されています。

ステップ4:(オプション)ユーザパスワードをデフォルトのパスワードに戻すには、次のように入力します。

SG350X(config)#no enable password

ステップ 5:exitコマンドを入力して、スイッチの特権EXECモードに戻ります。

SG350X(config)#exit

ステップ 6: (任意)スイッチの特権 EXEC モードで、次のように入力して、設定をスタートアップ コンフィギュレーション ファイルに保存します。

SG350X#copy running-config startup-config

ステップ 7: (任意)[ファイル [startup-config] の上書き…(Overwrite file [startup-config]…)] プロンプトが表示されたら、「はい」の場合はキーボードの [Y] 、「いいえ」の場合は [N] を押します。

これで、CLIを使用してスイッチのイネーブルパスワードを設定できるはずです。

サービスパスワード回復設定の構成

サービスパスワード回復メカニズムでは、次の条件でデバイスのコンソールポートに物理的にアクセスできます。

  • パスワード回復が有効な場合は、ブートメニューにアクセスして、ブートメニューのパスワード回復をトリガーできます。すべてのコンフィギュレーションファイルとユーザファイルは保持されます。
  • パスワード回復が無効になっている場合は、ブートメニューにアクセスして、ブートメニューのパスワード回復をトリガーできます。コンフィギュレーションファイルとユーザファイルが削除されます。
  • ユーザー定義のパスフレーズを使用して機密データを保護するようにデバイスが構成されている場合は、パスワード回復が有効になっていても、ブートメニューからパスワード回復を起動することはできません。

サービスパスワードの回復はデフォルトで有効になっています。次の手順に従って、CLIを使用してスイッチのサービスパスワード回復設定を設定します。

ステップ 1:スイッチのコンソールにログインします。デフォルトのユーザ名とパスワードはciscoです。新しいユーザ名またはパスワードを設定した場合は、代わりにこれらのクレデンシャルを入力します。

ステップ 2:スイッチの特権EXECモードで、次のように入力してグローバルコンフィギュレーションモードに入ります。

SG350X#configure terminal

ステップ3:(オプション)スイッチのパスワード回復設定を有効にするには、次のように入力します。

SG350X#service password-recovery

ステップ4:(オプション)スイッチのパスワード回復設定を無効にするには、次のコマンドを入力します。

SG350X#no service password-recovery

ステップ5:(オプション)次のプロンプトが表示されたら、キーボードでYキーを押してYesと入力し、Nキーを押してNoと入力します。

注:この例では、Yが押されています。

手順 6:exitコマンドを入力して、スイッチの特権EXECモードに戻ります。

SG350X(config)#exit

ステップ 7: (任意)スイッチの特権 EXEC モードで、次のように入力して、設定をスタートアップ コンフィギュレーション ファイルに保存します。

SG350X#copy running-config startup-config

ステップ 8: (任意)[ファイル [startup-config] の上書き…(Overwrite file [startup-config]…)] プロンプトが表示されたら、「はい」の場合はキーボードの [Y] 、「いいえ」の場合は [N] を押します。

これで、CLIを使用してスイッチのパスワード回復設定を行うことができました。

パスワードの複雑度の設定

スイッチのパスワード複雑度設定により、パスワードの複雑度規則が有効になります。この機能を有効にした場合、新しいパスワードは次のデフォルト設定に従う必要があります。

  • 8文字以上にする。
  • 標準キーボードで使用できる大文字、小文字、数字、特殊文字など、少なくとも4つの文字クラスの文字を含みます。
  • 現在のパスワードとは異なります。
  • 連続して3回以上繰り返される文字を含まない。
  • ユーザ名や、文字の大文字と小文字を変更して取得したバリアントを繰り返したり、逆にしたりしないでください。
  • メーカー名や、文字の大文字と小文字を変更して取得したバリアントを繰り返したり、逆にしたりしないでください。

特定のコマンドを使用して、上記のパスワードの複雑度の属性を制御できます。以前に他の複雑度の設定を行っていた場合は、それらの設定が使用されます。

この機能はデフォルトで有効になっています。次の手順に従って、CLIを使用してスイッチでパスワードの複雑度を設定します。

ステップ 1:スイッチのコンソールにログインします。デフォルトのユーザ名とパスワードはciscoです。新しいユーザ名またはパスワードを設定した場合は、代わりにこれらのクレデンシャルを入力します。

ステップ 2:スイッチの特権EXECモードで、次のように入力してグローバルコンフィギュレーションモードに入ります。

SG350X#configure terminal

ステップ3:(オプション)スイッチでパスワードの複雑度設定を有効にするには、次のように入力します。

SG350X(config)#passwords complexity enable

ステップ4:(オプション)スイッチでパスワードの複雑度設定を無効にするには、次のコマンドを入力します。

SG350X(config)#no passwords complexity enable

ステップ5:(オプション)パスワードの最小要件を設定するには、次のように入力します。

SG350X(config)#passwords complexity [min-length number] [min-classes number] [not-current] [no-repeat number] [not-username] [not manufacturer-name]

次のオプションがあります。

  • min-length number:パスワードの最小長を設定します。範囲は0 ~ 64文字です。デフォルト値は 8 です。
  • min-classes number:標準キーボードで使用できる大文字、小文字、数字、特殊文字などの最小限の文字クラスを設定します。範囲は0 ~ 4クラスです。デフォルト値は 3 です。
  • not-current:新しいパスワードを現在のパスワードと同じにすることはできません。
  • no-repeat number:連続して繰り返すことができる新しいパスワードの最大文字数を指定します。ゼロは、文字の繰り返しに制限がないことを示します。範囲は0 ~ 16文字です。デフォルト値は 3 です。
  • not-username:ユーザ名または文字の大文字と小文字を変更して到達したバリアントをパスワードが繰り返したり、逆にしたりできないことを指定します。
  • not-manufacturer-name:文字の大文字と小文字を変更することによって到達した製造元またはバリアントの名前を、パスワードが繰り返したり、逆にしたりできないことを指定します。

注:これらのコマンドは、他の設定を消去しません。パスワードの複雑さの設定は、切り替えとしてのみ機能します。

注:この例では、パスワードの複雑度は9文字以上に設定されており、ユーザ名を繰り返したり逆にしたりすることはできません。また、現在のパスワードと同じにすることはできません。

手順 6:exitコマンドを入力して、スイッチの特権EXECモードに戻ります。

SG350X(config)#exit

ステップ 7: (任意)スイッチの特権 EXEC モードで、次のように入力して、設定をスタートアップ コンフィギュレーション ファイルに保存します。

SG350X#copy running-config startup-config

ステップ 8: (任意)[ファイル [startup-config] の上書き…(Overwrite file [startup-config]…)] プロンプトが表示されたら、「はい」の場合はキーボードの [Y] 、「いいえ」の場合は [N] を押します。

これで、CLIを使用してスイッチのパスワード複雑度設定を行うことができました。

スイッチのCLIでパスワードの設定値を表示するには、パスワードの設定値の表示に進みます。

パスワードエージング設定の構成

エージングが関係するのは、特権レベル15のローカルデータベースのユーザと、特権レベル15のイネーブルパスワードが設定されている場合だけです。デフォルト設定は180日です。

次の手順に従って、CLIを使用してスイッチのパスワードエージング設定を設定します。

ステップ 1:スイッチのコンソールにログインします。デフォルトのユーザ名とパスワードはciscoです。新しいユーザ名またはパスワードを設定した場合は、代わりにこれらのクレデンシャルを入力します。

ステップ 2:スイッチの特権EXECモードで、次のように入力してグローバルコンフィギュレーションモードに入ります。

SG350X#configure terminal

ステップ 3:スイッチのパスワードエージング設定を指定するには、次のように入力します。

SG350X(config)#passwords aging [days]
  • days:パスワード変更が強制されるまでの日数を指定します。0を使用すると、エージングを無効にできます。範囲は0 ~ 365日です。

注:この例では、パスワードのエージングは60日に設定されています。

ステップ4:(オプション)スイッチでパスワードエージングを無効にするには、次のように入力します。

SG350X(config)#no passwords aging 0

ステップ5:(オプション)パスワードエージングをデフォルト設定に戻すには、次のように入力します。

SG350X(config)#no passwords aging [days]

手順 6:exitコマンドを入力して、スイッチの特権EXECモードに戻ります。

SG350X(config)#exit

ステップ 7: (任意)スイッチの特権 EXEC モードで、次のように入力して、設定をスタートアップ コンフィギュレーション ファイルに保存します。

SG350X#copy running-config startup-config

ステップ 8: (任意)[ファイル [startup-config] の上書き…(Overwrite file [startup-config]…)] プロンプトが表示されたら、「はい」の場合はキーボードの [Y] 、「いいえ」の場合は [N] を押します。

これで、CLIを使用してスイッチのパスワードエージング設定を行うことができました。

スイッチのCLIでパスワードの設定値を表示するには、パスワードの設定値の表示に進みます。

パスワードの設定の表示

エージングが関係するのは、特権レベル15のローカルデータベースのユーザと、特権レベル15のイネーブルパスワードが設定されている場合だけです。デフォルト設定は180日です。

ステップ 1:スイッチの特権EXECモードで、次のように入力します。

SG350X(config)#show passwords configuration

更新履歴

改定 発行日 コメント
1.0
13-Dec-2018
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ