パスワード期限切れ通知

機能の概要と変更履歴

要約データ

該当製品または機能エリア

すべて

該当するプラットフォーム

  • ASR 5500

  • VPC-DI

  • VPC-SI

機能のデフォルト

有効、常時オン

このリリースでの関連する変更点

N/A

関連資料

  • ASR 5500 System Administration Guide

  • VPC-DI システム管理ガイド

  • VPC-SI System アドミニストレーション ガイド

  • Command Line Interface Reference

マニュアルの変更履歴

改訂の詳細

リリース

PasswordExpiryNotification SNMP トラップは、パスワードの有効期限が切れる前の警告間隔でサポートされます。

21.28.m10

P-GW は、ユーザーアカウントのパスワードの有効期限が切れた後の、ロックアウトのないパスワード機能をサポートします。

21.26

この機能は、save config コマンドの新しいオプションで拡張されています。拡張機能はダウングレードをサポートしており、ダウングレード後にユーザープロファイルが失われないようにします。

  • 21.26

  • 21.25.3

最初の導入。

21.23

機能説明

StarOS では、期限日より前にパスワードがリセットされなかった場合、設定した GW からロックされます。管理者が手動でパスワードをリセットした場合にのみ、再度ログオンできます。

StarOS は、コンテキスト、AAA、および RADIUS ユーザーにパスワードの有効期限を通知するように拡張されています。P-GW、S-GW などの設定済みの GW は、管理者、設定管理者、インスペクタ、およびオペレータのパスワードの設定と有効期限をサポートします。次のプロビジョニングがサポートされています。

  • パスワードの警告間隔の指定:パスワードの有効期限についてユーザーに警告します。

  • パスワード猶予期間の指定:この猶予期間中、ユーザーは毎回管理者に連絡するのではなく、自身でパスワードを変更できます。

  • 警告間隔と猶予期間については、コンテキストの下にグローバル設定があります。ユーザーレベルの設定でこれらの値がいずれも指定されていない場合は、コンテキストのグローバル値が有効になります。

パラメータのデフォルト値は、セキュリティガイドラインに従っています。

  • [Expiry Interval]:パスワードの最大有効期間(デフォルトは 90 日)。

  • [Warn Interval]:パスワードの有効期限が切れるまでの警告期間(デフォルトは 30 日)。パスワードの有効期限が近づいていることに関する警告が表示されます。パスワードを変更せずに続行できます。


    (注)  


    警告間隔中は、PasswordExpiryNotification SNMP トラップも 24 時間ごとに毎日生成されます。
  • [Grace Interval]:パスワードの有効期限が切れた後、古いパスワードを使用できる日数。猶予期間を過ぎると、古いパスワードではログインできなくなります。管理者がパスワードをリセットする必要があります。

次に例を示します。
login: xxx
password: xxx

Case 1: [Normal]
# {you are logged in}

Case 2: [When in warning period]
Warning: Your password is about to expire in 0 days.
We recommend you to change password after login.
Logins are not allowed without acknowleding this.
Do you wish to continue [y/n] (times out in 30 seconds) :

Case 3: [when in grace period]
Your password has expired
Current password:
New password:
Repeat new password:

Case 4: [after the grace period]
Password Expired (even beyond grace period, if configured). Contact Security Administrator
to reset password

パスワード有効期限通知のアップグレードおよびダウングレードプロセス

サブスクライバ設定のパスワード有効期限通知機能のキーワードは、 max-age exp-grace-interval 、および exp-warn-interval をサポートしています。これらの新しいパラメータは、コンテキスト グローバル レベルで設定されます。コンテキスト グローバル レベルのパラメータは、ユーザーレベルごとの設定がデフォルト値で設定されていない場合に使用されます。たとえば、パスワードの max-age の場合、デフォルト値は 90 日です。

ユーザーレベルごとに有効期限が設定されていないユーザープロファイルの場合、スタートアップ構成では、そのユーザーの有効期限が 90 日になります。この問題はスタートアップ構成ファイルを手動で編集することで解決できますが、ユーザーが複数の場所に分散している場合はこのソリューションによって問題が発生します。

ダウングレードが必要な場合、新しいキーワードが古いリリースでは無効になるため、ユーザープロファイルは失われます。

Save Configuration コマンドを使用したアップグレードとダウングレードの手順

次のアップグレードプロセスを使用します。

  • アップグレードの前に、スタートアップ構成でユーザーが設定されているすべてのコンテキストで、コンテキストレベルで [ no ] password max-age コマンドを追加します。

  • 更新されたスタートアップ構成を使用してイメージをリロードする場合、有効期限なしで設定されているすべてのユーザーは、デフォルトでコンテキストレベルの設定を取得し、ユーザーレベル no-max-age キーワードを自動的に設定します。

次のダウングレードプロセスを使用します。

保存されない新しいキーワードに基づいて、save config コマンドで legacy-password-expiry CLI コマンドを使用します。設定は、以前のリリースで認識される形式で保存されます。

コンテキスト設定で次の設定を使用します。

configure 
   context host_name 
      save configuration url [ confd | ignore-locks | obsolete-encryption | showsecrets | verbose ] [ -redundant ] [ -noconfirm ] [ legacy-password-expiry ] 

  • save configuration url legacy-password-expiry :有効期限通知キーワードを削除して、下位互換性のあるファイルを生成します。save config コマンドによって、設定が古いバージョンと互換性のあるものになります。