ユーザ アカウントについて
内部ユーザとして、またはモデルでサポートされている場合は LDAP または RADIUS サーバの外部ユーザとして、Firepower Management Center および管理対象デバイスにカスタム ユーザ アカウントを追加できます。各 Firepower Management Center と各管理対象デバイスは、個別のユーザ アカウントを保持します。たとえば、Firepower Management Center にユーザを追加した場合は、そのユーザは FMC にのみアクセスできます。そのユーザ名を使用して管理対象デバイスに直接ログインすることはできません。管理対象デバイスにユーザを別途追加する必要があります。
内部および外部ユーザ
Firepower デバイスは次の 2 つのタイプのユーザをサポートしています。
-
内部ユーザ:デバイスは、ローカル データベースでユーザ認証を確認します。内部ユーザの詳細については、社内ユーザ アカウントの追加を参照してください。
-
外部ユーザ:ユーザがローカル データベースに存在しない場合は、システムは外部 LDAP または RADIUS の認証サーバに問い合わせます。外部ユーザの詳細については、外部認証の設定を参照してください。
Web インターフェイス、CLI またはシェルによるアクセス
ユーザ アカウントを設定する際に、Web インターフェイス アクセスと CLI またはシェル アクセスを個別に有効にします。 Firepower デバイスには、Linux の上部で実行する Firepower CLI が含まれます。CLI ユーザは、TAC の監督のもとで、または Firepower ユーザ マニュアルに明示的な手順がある場合、Linux シェルにアクセスすることもできます。管理 UI の詳細については、「Firepower システム ユーザ インターフェイス」を参照してください。
注意 |
すべてのデバイス上で、CLI の Config レベルのアクセス権またはシェルへのアクセス権があるユーザは、Linux シェルの
|
各デバイス タイプでサポートされているアクセス形式は異なります。次に詳細を示します。
-
FTD、 ASA FirePOWER、および NGIPSv では、デバイスの直接管理に CLI アクセスを使用できます。
-
これらのデバイスでは CLI を使用して内部ユーザを作成できます。
-
Firepower Threat Defense デバイスでは外部ユーザを確立できます。
-
管理インターフェイスを通じてこれらのデバイスにログインしているユーザは CLI にアクセスします。CLI Config レベルのアクセス権を持つユーザは、CLI expert コマンドを使用して Linux シェルにアクセスできます。
注意
Cisco TAC または Firepower ユーザ マニュアルの明示的な手順による指示がない限り、Linux シェルを使用しないことを強くお勧めします。
-
-
FMC にはデバイスを直接管理するための Web インターフェイス、CLI、および Linux シェルがあります。
-
FMC は 2 種類の内部 admin ユーザをサポートします。つまり Web インターフェイスのユーザと、 CLI またはシェル アクセス権が付与されたユーザが対象になります。これら 2 つの admin ユーザは異なるアカウントであり、同じパスワードを共有しません。システム初期化プロセスでは、これら 2 つのadmin アカウントのパスワードが同期されるため、アカウントは同じように開始されますが、これらのアカウントは異なる内部メカニズムによって追跡され、初期設定後に分岐する場合があります。システム初期化の詳細については、ご使用のモデルの『Getting Started Guide』を参照してください。(Web インターフェイスの admin のパスワードを変更するには、 > [ユーザ(Users)] を使用します。CLI またはシェルの admin のパスワードを変更するには、FMCCLI コマンド configure password を使用します)。
-
FMC Web インターフェイスで追加された内部ユーザには、Web インターフェイスのアクセス権のみが付与されます。
-
CLI またはシェルへのアクセス権を FMC の外部ユーザに付与できます。
-
FMC のデフォルトでは、シェルまたは CLI へのアクセス権を持つアカウントが管理インターフェイスにログインすると、そのアカウントは Linux シェルに直接アクセスします。FMC CLI を有効にすると、それらのユーザはログイン時にまず CLI へのアクセス権を取得すると、expert コマンドを使用してシェルへのアクセス権を取得できる場合があります。「Firepower Management Center のコマンド ライン リファレンス」を参照してください。
-
-
7000 および 8000 シリーズ デバイスには、デバイスを直接管理するための Web インターフェイスと CLI の両方が備わっています。
-
7000 および 8000 シリーズ デバイスの内部ユーザには Web インターフェイスと CLI アクセス権があります。
-
7000 および 8000 シリーズ デバイスの外部ユーザに対して CLI またはシェルへのアクセスを有効にできます。
-
管理インターフェイスを通じてこれらのデバイスにログインしているユーザは CLI にアクセスします。CLI Config レベルのアクセス権を持つユーザは、シェルの expert コマンドを使用してシェルにアクセスできます。
注意
Cisco TAC または FMC マニュアルの明示的な手順による指示がない限り、Linux シェルを使用しないことを強くお勧めします。
-
ユーザ ロール
ユーザ権限は、割り当てられたユーザ ロールに基づいています。たとえば、アナリストに対してセキュリティ アナリストや検出管理者などの事前定義ロールを付与し、デバイスを管理するセキュリティ管理者に対して管理者ロールを予約することができます。また、組織のニーズに合わせて調整されたアクセス権限を含むカスタム ユーザ ロールを作成できます。
Web インターフェイスのユーザ ロール
7000 および 8000 シリーズのデバイスは、管理者、メンテナンス ユーザ、およびセキュリティ アナリストのユーザ ロールへのアクセス権を持っています。
Firepower Management Center には、次の定義済みユーザ ロールが含まれています。
- アクセス管理者(Access Admin)
-
[ポリシー(Policies)] メニューでアクセス制御ポリシー機能や関連する機能へのアクセスが可能です。アクセス管理者は、ポリシーを展開できません。
- 管理者
-
管理者は製品内のすべてのものにアクセスできるため、セッションでセキュリティが侵害されると、高いセキュリティ リスクが生じます。このため、ログイン セッション タイムアウトから管理者を除外することはできません。
セキュリティ上の理由から、管理者ロールの使用を制限する必要があります。
- Discovery Admin
-
[ポリシー(Policies)] メニューのネットワーク検出機能、アプリケーション検出機能、相関機能にアクセス可能です。検出管理者は、ポリシーを展開できません。
- 外部データベース ユーザ
-
JDBC SSL 接続に対応しているアプリケーションを用いて、Firepower System データベースに対して読取り専用のアクセスが可能です。Firepower システム アプライアンスの認証を行うサードパーティのアプリケーションについては、システム設定内でデータベースへのアクセスを有効にする必要があります。Web インターフェイスでは、外部データベース ユーザは、[ヘルプ(Help)] メニューのオンライン ヘルプ関連のオプションのみにアクセスできます。このロールの機能には Web インターフェイスが含まれていないため、容易なサポートとパスワード変更の目的でのみアクセスが提供されます。
- 侵入管理者(Intrusion Admin)
-
[ポリシー(Policies)] メニューと [オブジェクト(Objects)] メニューの侵入ポリシー機能、侵入ルール機能、ネットワーク分析ポリシー機能のすべてにアクセスが可能です。侵入管理者は、ポリシーを展開できません。
- メンテナンス ユーザ(Maintenance User)
-
監視機能と保守機能へのアクセスを提供します。メンテナンス ユーザは、[ヘルス(Health)] メニューや [システム(System)] メニューのメンテナンス関連オプションにアクセスできます。
- ネットワーク管理者
-
[ポリシー(Policies)] メニューのアクセス制御機能、SSL インスペクション機能、DNS ポリシー機能、アイデンティティ ポリシー機能、および [デバイス(Devices)] メニューのデバイス設定機能へのアクセスが可能です。ネットワーク管理者は、デバイスへの設定の変更を展開できます。
- Security Analyst
-
セキュリティ イベント分析機能へのアクセスと [概要(Overview)] メニュー、[分析(Analysis)] メニュー、[ヘルス(Health)] メニュー、[システム(System)] メニューのヘルス イベントに対する読み取り専用のアクセスが可能です。
- Security Analyst (Read Only)
-
[概要(Overview)] メニュー、[分析(Analysis)] メニュー、[ヘルス(Health)] メニュー、[システム(System)] メニューのセキュリティ イベント分析機能とヘルス イベント機能への読み取り専用アクセスを提供します。
- Security Approver
-
[ポリシー(Policies)] メニューのアクセス制御ポリシーや関連のあるポリシー、ネットワーク検出ポリシーへの制限付きのアクセスが可能です。セキュリティ承認者はこれらのポリシーを表示し、展開できますが、ポリシーを変更することはできません。
- Threat Intelligence Director(TID)ユーザ
-
[Intelligence] メニューの Threat Intelligence Director 設定にアクセスできます。Threat Intelligence Director(TID)ユーザは、TID の表示および設定が可能です。
CLI ユーザ ロール
管理対象デバイスでは、CLI のコマンドへのユーザのアクセス権は割り当てるロールによって異なります。
(注) |
FMC の CLI 外部ユーザにはユーザ ロールがありません。そのため、それらのユーザは使用可能なすべてのコマンドを使用できます。 |
- None
-
ユーザは、コマンド ラインでデバイスにログインすることはできません。
- Config
-
ユーザは、設定コマンドを含むすべてのコマンドにアクセスできます。このアクセス レベルをユーザに割り当てるときには注意してください。
- Basic
-
ユーザは、非設定コマンドにのみアクセスできます。
(注) |
管理対象デバイス上の外部 CLI ユーザには常に Config ユーザ ロールが備わっています。RADIUS を使用している Firepower Threat Defense の場合、Config または Basic のいずれかを指定できます。 |