ユーザーアカウント管理

ユーザーアカウント管理

1. 機能概要

本製品は、ユーザーアカウントを管理する仕組みとして、以下の機能を提供します。

  • ユーザー情報を設定する機能

  • ユーザー名とパスワードを使ったユーザー認証機能

2. 用語の定義

初期管理ユーザー
工場出荷状態で設定されている管理者権限を持つユーザー。
ユーザー名: admin 、パスワード: admin

管理ユーザー
管理者権限を持つユーザーです。
usernameコマンドでprivilegeオプションがonで設定されているユーザーが管理ユーザーになります。

一般ユーザー
管理者権限を持たないユーザーであり、特権EXECモードに遷移するときに特権パスワードの入力が必要です。
usernameコマンドでprivilegeオプションがoffで設定されているユーザーが一般ユーザーになります。

特権パスワード
管理者権限を付与するために使用するパスワードであり、enable passwordコマンドで設定することができます。

無名ユーザー
ユーザー名が空のユーザー。
Rev.1.03.12以前のファームウェアでは工場出荷状態で利用できるアカウントでしたが、ユーザーアカウント管理の強化に伴って廃止されました。

3. 機能詳細

3.1. ユーザーアカウント機能の設定

3.1.1. ユーザー情報の設定

username コマンドを使用して以下のユーザー情報を設定します。

  • ユーザー名

  • パスワード

  • 管理者権限の有無

工場出荷状態では、初期管理ユーザーとして admin (パスワード:admin) が設定されます。

3.1.2. 特権パスワードの設定

enable password コマンドを使用して特権パスワードを設定します。
特権パスワードは、以下の用途で使用します。

  • 機器を初期化するとき

  • コンソールにて、管理者権限を持たないユーザーで特権EXECモードへ移行するとき

  • 本製品に対して、TFTPクライアントでコンフィグやファームウェアを送信するとき

工場出荷状態では特権パスワードとして admin が設定されていますが、特権パスワードが初期設定の状態では前述した操作を行うことはできません。
これらの操作を行う場合、特権パスワードを前もって変更してください。

3.1.3. 管理者権限

ユーザーの管理者権限の有無によって、そのユーザーでログインしたときの操作を制限できます。

  • 管理ユーザー (管理者権限を持つユーザー) は、機器の設定を変更したり、ファームウェアを更新したりすることができます。

  • 一般ユーザー (管理者権限を持たないユーザー) は、設定の変更などは行えず、機器情報の参照だけできます。

具体的には、管理者権限を持っているか否かで以下の違いがあります。

CLI

Web GUI

管理ユーザー(権限有り)

一般ユーザー(権限無し)

管理ユーザー(権限有り)

一般ユーザー(権限無し)

機器情報の表示

設定の閲覧

×

△ (※1)

設定の変更

×

×

機器の再起動、初期化

×

×

ファームウェアの更新

×

×

※1 : パスワードなどセキュリティーに関する設定については参照できません。

一般ユーザーでログインした場合でも、 enable コマンドを実行した後、特権パスワードを入力することで特権EXECモードへ移行でき、管理ユーザーと同等の操作が行えます。
各コマンドを実行するときに必要な権限については、コマンドリファレンスを参照ください。

3.1.4. パスワードの暗号化

設定したパスワードは、 password-encryption コマンドによって暗号化することができます。
パスワードを暗号化したい場合は、 password-encryption enable を設定してください。
一度暗号化されたパスワードは、 password-encryption disable を設定しても、暗号化前の文字列に復号されません。
以下のコマンドで設定するパスワードが暗号化の対象となります。

  • enable password コマンド

  • username コマンド

3.2. ユーザーの認証

3.2.1. コンソールにログインする場合

コンソールに接続すると、以下のようにログインプロンプトが表示されるため、設定したユーザー名とパスワードを入力してログインします。

Username:
Password:

工場出荷状態でログインする場合、初期管理ユーザー admin ( パスワード : admin ) でログインします。
admin でログインすると、パスワードの変更を要求されるため、新しいパスワードを設定します。

Username: admin
Password: (1)

SWX2210P-10G Rev.1.03.13 (Fri Aug  2 19:08:24 2024)
  Copyright (c) 2018-2024 Yamaha Corporation. All Rights Reserved.

Please change the default password for admin.
New Password: (2)
New Password(Confirm): (3)
Saving ...
Succeeded to write configuration
1 adminを入力する
2 新しいパスワードを入力する
3 同じパスワードを再度入力する

パスワードを3回続けて間違えた場合、1分間、同じユーザーでのログインが制限されます。

Username: User
Password:
% Incorrect username or password, or login as User is restricted.
Password:
% Incorrect username or password, or login as User is restricted.
Password:
% Incorrect username or password, or blocked upon 3 failed login attempts for User.
% Please try again later.

ログイン制限がかかったときには以下のメッセージがINFOレベルのSYSLOGに出力されます。

接続方法

出力メッセージ

シリアルコンソール

Login access from serial console as {ユーザー名} was restricted

TELNET

Login access from TELNET as {ユーザー名} was restricted: {IPアドレス}

Web GUI

Login access from HTTP as {ユーザー名} was restricted: {IPアドレス}

ログインが制限されているユーザーで再びパスワードを間違えると、ログイン制限が解除されるまでの時間が残り1分に更新されるため、注意してください。

3.2.2. WebGUIにログインする場合

WebGUIにアクセスすると、以下のログインフォームが表示されるため、設定したユーザー名とパスワードを入力してログインします。

image

工場出荷状態でログインする場合、初期管理ユーザー admin ( パスワード : admin ) でログインします。
工場出荷状態でログインすると、パスワードの変更を要求されるため、新しいパスワードを設定します。

image

4. 関連コマンド

関連コマンドについて、以下に示します。
詳細は、コマンドリファレンスを参照してください。

操作項目 操作コマンド

特権パスワードの設定

enable password

パスワードの暗号化

password-encryption

ユーザーの設定

username

ユーザー情報の表示

show users

5. コマンド実行例

5.1. 管理者パスワードを設定する

管理者パスワードとして、 yamaha_admin を設定する。

Yamaha>enable
Yamaha#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Yamaha(config)#enable password yamaha_admin

5.2. ユーザーを追加する

ユーザー yamaha特権オプション を付与して、パスワード yamaha_pass を指定して設定する。

Yamaha#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Yamaha(config)#username yamaha privilege on password yamaha_pass
Yamaha(config)#exit
Yamaha#exit

Username: yamaha
Password:

SWX2210P-10G Rev.1.03.13 (Fri Aug  2 19:08:24 2024)
  Copyright (c) 2018-2024 Yamaha Corporation. All Rights Reserved.

Yamaha>enable
Yamaha#

6. 注意事項

  • 本製品が起動する際、startup-config 上に管理ユーザー(管理者権限を持つユーザー)が1人も存在しない場合、初期管理ユーザー admin (パスワード : admin)が自動的に追加されます。
    例えば、以下のようなケースが該当します。

    • 工場出荷状態で本製品を起動する

    • Rev.1.03.12 以前のファームウェアにて、無名ユーザーだけを使って本製品を運用している状態で、Rev.1.03.12 より新しいファームウェアに更新する

  • 本製品が起動する際、startup-config 上にパスワードが空のユーザーが設定されている場合、ユーザー名と同じ文字列がパスワードとして自動的に追加されます。
    例えば、以下のようなケースが該当します。

    • Rev.1.03.12 以前のファームウェアにて、パスワードが空のユーザーが設定されている状態で、Rev.1.03.12 より新しいファームウェアに更新する

      Rev.1.03.12 以前のファームウェアでの設定

      username yamaha1
      username yamaha2 privilege on

      Rev.1.03.12 より新しいファームウェアにアップデートしたときの設定

      username yamaha1 password yamaha1
      username yamaha2 privilege on password yamaha2
  • 初期管理ユーザー admin のパスワードが初期値(admin)のまま変更されていない場合、以下の制限があります。

    • IPv4アドレスもしくはIPv6アドレスが設定されているVLAN以外のネットワークセグメントからTELNET,HTTP,HTTPSで本製品にアクセスすることはできません。

    • 初期管理ユーザー以外でのログインが禁止されます。

      Username: yamaha
      Password:
      % Please login as user "admin".