ユーザーアカウント管理

ユーザーアカウント管理

1. 機能概要

本製品は、ユーザーアカウントを管理する仕組みとして、以下の機能を提供します。

  • ユーザー情報を設定する機能

  • ユーザー名とパスワードを使ったユーザー認証機能

2. 用語の定義

初期管理ユーザー
工場出荷状態で設定されている管理者権限を持つユーザー。
ユーザー名: admin 、パスワード: admin

管理ユーザー
管理者権限を持つユーザーです。
usernameコマンドでprivilegeオプションがonで設定されているユーザーが管理ユーザーになります。

ゲストユーザー
管理者権限を持たないユーザーであり、特権EXECモードに遷移するときに特権パスワード(管理パスワード)の入力が必要です。
usernameコマンドでprivilegeオプションがoffで設定されているユーザーがゲストユーザーになります。

特権パスワード(管理パスワード)
管理者権限を付与するために使用するパスワードであり、enable passwordコマンドで設定することができます。

無名ユーザー
ユーザー名が空のユーザー。
Rev.2.02.23以前のファームウェアでは工場出荷状態で利用できるアカウントでしたが、ユーザーアカウント管理の強化に伴って廃止されました。

3. 機能詳細

3.1. ユーザーアカウント機能の設定

3.1.1. ユーザー情報の設定

username コマンドを使用して以下のユーザー情報を設定します。

  • ユーザー名

  • パスワード

  • 管理者権限の有無

工場出荷状態では、初期管理ユーザーとして admin (パスワード:admin) が設定されます。

3.1.2. 特権パスワード(管理パスワード)の設定

enable password コマンドを使用して特権パスワード(管理パスワード)を設定します。
特権パスワード(管理パスワード)は、以下の用途で使用します。

  • 機器を初期化するとき

  • コンソールにて、管理者権限を持たないユーザーで特権EXECモードへ移行するとき

  • 本製品に対して、TFTPクライアントでコンフィグやファームウェアを送信するとき

工場出荷状態では特権パスワード(管理パスワード)として admin が設定されていますが、特権パスワード(管理パスワード)が初期設定の状態では前述した操作を行うことはできません。
これらの操作を行う場合、特権パスワード(管理パスワード)を前もって変更してください。

3.1.3. 管理者権限

ユーザーの管理者権限の有無によって、そのユーザーでログインしたときの操作を制限できます。

  • 管理者権限を持つユーザーは、機器の設定を変更したり、ファームウェアを更新したりすることができます。

  • 管理者権限を持たないユーザーは、設定の変更などは行えず、機器情報の参照だけできます。

具体的には、管理者権限を持っているか否かで以下の違いがあります。

コンソール

Web GUI

管理ユーザー(権限有り)

ゲストユーザー(権限無し)

管理ユーザー(権限有り)

ゲストユーザー(権限無し)

機器情報の表示

設定の閲覧

×

△ (※1)

設定の変更

×

×

機器の再起動、初期化

×

×

ファームウェアの更新

×

×

※1 : パスワードなどセキュリティーに関する設定については参照できません。

ゲストユーザーでログインした場合でも、 enable コマンドを実行した後、特権パスワード(管理パスワード)を入力することで特権EXECモードへ移行でき、管理ユーザーと同等の操作が行えます。
各コマンドを実行するときに必要な権限については、コマンドリファレンスを参照ください。

3.1.4. パスワードの暗号化

設定したパスワードは、 password-encryption コマンドによって暗号化することができます。
パスワードを暗号化したい場合は、 password-encryption enable を設定してください。
一度暗号化されたパスワードは、 password-encryption disable を設定しても、暗号化前の文字列に復号されません。
以下のコマンドで設定するパスワードが暗号化の対象となります。

  • enable password コマンド

  • username コマンド

3.2. ユーザーの認証

3.2.1. コンソールにログインする場合

コンソールに接続すると、以下のようにログインプロンプトが表示されるため、設定したユーザー名とパスワードを入力してログインします。

Username:
Password:

工場出荷状態でログインする場合、初期管理ユーザー admin ( パスワード : admin ) でログインします。
admin でログインすると、パスワードの変更を要求されるため、新しいパスワードを設定します。

Username: admin
Password: (1)

SWX2310P-28GT Rev.2.02.06 (Tue Mar 13 08:41:39 2018)
  Copyright (c) 2015-2016 Yamaha Corporation. All Rights Reserved.

Please change the default password for admin.
New Password: (2)
New Password(Confirm): (3)
Saving ...
Succeeded to write configuration
1 adminを入力する
2 新しいパスワードを入力する
3 同じパスワードを再度入力する

パスワードを3回続けて間違えた場合、1分間、同じユーザーでのログインが制限されます。

Username: User
Password:
% Incorrect username or password, or login as User is restricted.
Password:
% Incorrect username or password, or login as User is restricted.
Password:
% Incorrect username or password, or blocked upon 3 failed login attempts for User.
% Please try again later.

ログイン制限がかかったときには以下のメッセージがINFOレベルのSYSLOGに出力されます。

接続方法

出力メッセージ

シリアルコンソール

Login access from serial console as {ユーザー名} was restricted

TELNET

Login access from TELNET as {ユーザー名} was restricted: {IPアドレス}

SSH

Login access from SSH as {ユーザー名} was restricted: {IPアドレス}

Web GUI

Login access from HTTP as {ユーザー名} was restricted: {IPアドレス}

ログインが制限されているユーザーで再びパスワードを間違えると、ログイン制限が解除されるまでの時間が残り1分に更新されるため、注意してください。

3.2.2. WebGUIにログインする場合

WebGUIにアクセスすると、以下のログインフォームが表示されるため、設定したユーザー名とパスワードを入力してログインします。

image

工場出荷状態でログインする場合、初期管理ユーザー admin ( パスワード : admin ) でログインします。
admin でログインした場合、パスワードの変更を要求されるため、新しいパスワードを設定します。

image

3.3. ログインパスワードを忘れてしまった場合の対処方法

シリアルコンソール を接続した状態で本製品を起動し、起動処理中に I (大文字のアイ) を入力することにより工場出荷状態で起動させることができます。
なお、SDカードブートを使用している場合は、本機能は動作しません。

BootROM - X.XX
Booting from SPI flash

SWX2310P-28GT BootROM Ver.1.00      #### BootROM Verが表示されたらすぐに「I」を入力 ####

Initialize or not ?(y/n) y

Loading config0 because can't read config in SD card.
Starting ..............................................
Loading configuration ... Done!

SWX2310P-28GT Rev.2.02.06 (Tue Mar 13 08:41:39 2018)
  Copyright (c) 2015-2016 Yamaha Corporation. All Rights Reserved.

4. 関連コマンド

関連コマンドについて、以下に示します。
詳細は、コマンドリファレンスを参照してください。

操作項目 操作コマンド

特権パスワード(管理パスワード)の設定

enable password

パスワードの暗号化

password-encryption

ユーザーの設定

username

ユーザー情報の表示

show users

5. コマンド実行例

5.1. ユーザーを追加する

ユーザー yamaha管理者権限 を付与して、パスワード yamaha_pass を指定して設定する。

Yamaha#configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Yamaha(config)#username yamaha privilege on password yamaha_pass
Yamaha(config)#exit
Yamaha#exit

Username: yamaha
Password:

SWX2310P-28GT Rev.2.02.06 (Tue Mar 13 08:41:39 2018)
  Copyright (c) 2015-2016 Yamaha Corporation. All Rights Reserved.

Yamaha>enable
Yamaha#

6. 注意事項

  • 本製品が起動する際、startup-config 上に管理ユーザー(管理者権限を持つユーザー)が1人も存在しない場合、初期管理ユーザー admin (パスワード : admin)が自動的に追加されます。
    例えば、以下のようなケースが該当します。

    • 工場出荷状態で本製品を起動する

    • Rev.2.02.23 以前のファームウェアにて、無名ユーザーだけを使って本製品を運用している状態で、Rev.2.02.23 より新しいファームウェアに更新する

  • 本製品が起動する際、startup-config 上にパスワードが空のユーザーが設定されている場合、ユーザー名と同じ文字列がパスワードとして自動的に追加されます。
    例えば、以下のようなケースが該当します。

    • Rev.2.02.23 以前のファームウェアにて、パスワードが空のユーザーが設定されている状態で、Rev.2.02.23 より新しいファームウェアに更新する

      Rev.2.02.23 以前のファームウェアでの設定

      username yamaha1
      username yamaha2 privilege on

      Rev.2.02.23 より新しいファームウェアにアップデートしたときの設定

      username yamaha1 password yamaha1
      username yamaha2 privilege on password yamaha2
  • 初期管理ユーザー admin のパスワードが初期値(admin)のまま変更されていない場合、以下の制限があります。

    • 保守VLANと異なるネットワークセグメントからTELNET,SSH,HTTP,HTTPSで本製品にアクセスすることはできません。

    • 初期管理ユーザー以外でのログインが禁止されます。

      Username: yamaha
      Password:
      % Please login as user "admin".
    • 以下のコマンドを実行することはできません。また、Web GUIで同様の設定変更を行うことはできません。

      • ip address / no ip address
        ※ ただし、ip address dhcpのみ実行可能

      • auto-ip / no auto-ip

      • ipv6 / no ipv6

      • ipv6 address / no ipv6 address

      • management interface / no management interface