【Huawei AR ルータ】コンソールアクセスの認証等の設定方法

ルータ

検証環境

  • NetEngine AR651W
    • Version: V300R022C00SPC100

コンソールユーザインターフェース:user-interface con 0

AR ルータではコンフィグの中に user-interface con 0 というセクションがあります。この user-interface con 0 (コンソールユーザインターフェース)がコンソール接続時に使用される仮想インターフェースであり、コンソール接続に関わる事項を設定する場合はこの仮想インターフェースに対して設定します。

デフォルトでは以下のような設定となっており、ローカルユーザ認証の設定のみがされています。

user-interface con 0
 authentication-mode aaa

コンソールユーザインターフェースの主要な設定項目

認証モードの設定

コンソールユーザインターフェースでは以下の 2 つの認証をサポートしています。

  • AAA 認証
    • ユーザとパスワードによる認証
  • パスワード認証
    • パスワードのみによる認証
認証モードの設定
  • authentication-mode {aaa|password}
    • aaa → AAA 認証
    • password → password 認証

設定例:

[Huawei-ui-console0]authentication-mode aaa

(パスワード認証の場合)パスワードの設定

パスワード認証の場合、以下コマンドでパスワードを設定します。

パスワードの設定
  • set authentication password cipher

上記コマンドを実行すると、以下のように対話的にパスワードを設定する流れになります。

[Huawei-ui-console0]set authentication password cipher
Warning: The "password" authentication mode is not secure, and it is strongly recommended to use "aaa" authentication mode.
Enter Password(<8-128>):
Confirm password:
[Huawei-ui-console0]

ユーザレベルの設定

ユーザレベルは、アクセス権の制御を行う設定です。

ユーザレベルは 0-15 があり、対応するレベル以下のコマンドが実行可能です。

ユーザ
レベル
コマンド
レベル
名前説明
00Visit levelこのレベルのコマンドには、ping コマンドや tracert コマンド
などのネットワーク診断に使用されるコマンドや、
Telnet などのリモートアクセス コマンドが含まれます。
10,1Monitoring
level
このレベルのコマンドは、表示コマンドなど、
システムのメンテナンスに使用されます。

※一部の表示コマンドはこのレベルでは使用できません。
 たとえば、display current-configuration コマンドと
 display Saved-configuration コマンドは、レベル 3 の管理コマンドです
20,1,2Configuration
level
このレベルのコマンドは、ルーティングや
すべてのネットワーク層のコマンドなど、
ユーザーに直接提供されるネットワークサービスを
構成するために使用されます。
3-150,1,2,3Management
level
このレベルのコマンドは、基本的なシステム操作を制御し、
ファイルシステム、FTP、TFTP ダウンロード、ユーザー管理、
コマンド レベル設定、障害診断用のデバッグ コマンドなどの
サービスのサポートを提供するために使用されます。
ユーザレベルの設定
  • user privilege level <0-15>

デフォルト値は 0 です。

細かい権限管理をしない限りは基本的には 15 と設定して全権限有りにすれば OK です。

[Huawei-ui-console0]user privilege level 15

なお、ユーザレベルの設定はユーザに対しても行えますが、AAA 認証の場合はユーザに対する設定が優先されます。パスワード認証の場合は、コンソールユーザインターフェースで設定したユーザレベルがそのまま適用されます。

その他オプション設定

◆アイドルタイムアウトの設定

アイドルタイムアウトの設定
  • idle-timeout <0-35791[分]> [<0-59[秒]>]
    • 分単位でアイドルタイムアウトを指定
    • デフォルトは 5 分

◆screen-length の設定

AR ルータでは、デフォルトではターミナルのログ表示は1ページずつ表示されますが、Telnet や SSH 接続しているときはユーザービューで screen-length 0 temporary コマンドを実行することでログをまとめて表示させるようにすることができます。ただコンソール接続しているときはこのコマンドが使用できません。

別の方法として恒久的な設定として、以下のようにコンソールユーザインターフェースの設定として screen-length を設定することができます。

[Huawei]user-interface con 0
[Huawei-ui-console0]screen-length 0

この設定をしておくと、コンソール接続時は常にログが止まることなくまとめと表示されるようになります。

ユーザ認証用のユーザの設定

コンソールユーザインターフェースの設定で認証モードを AAA に設定する場合は、認証で使用するユーザを設定する必要があります。

設定手順は以下の通りです。

ユーザの設定
  1. aaa
    • AAA 設定ビューに移行します
  2. local-user <ユーザ名> password cipher <パスワード>
    • ユーザを作成します
  3. local-user <ユーザ名> privilege level <0-15>
    • 作成したユーザを指定して、ユーザレベルを指定します
    • 基本的にはユーザレベル 15(全権限有り)を指定すれば OK です
  4. local-user <ユーザ名> service-type terminal
    • 作成したユーザを指定して、terminal を許可します
    • terminal 以外のサービスも許可したい場合は、terminal を含み複数のサービスをスペース区切りで指定します

新規作成した―ユーザで初回ログイン時にパスワードの変更が必要になるため、ユーザ作成時にはダミーのパスワードを設定しておき、初回ログインを早めに実施して正規のパスワードを設定し直すことをお勧めします。

設定例:

[Huawei]aaa
[Huawei-aaa]local-user conuser password cipher conpass123
[Huawei-aaa]local-user conuser privilege level 15
[Huawei-aaa]local-user conuser service-type terminal

初回ログイン時は以下のようにパスワード変更を求められます。

Username:conuser
Password:
Warning: The initial password poses security risks.
The password needs to be changed. Change now? [Y/N]: Y
Please enter old password:
Please enter new password:
Please confirm new password:
The password has been changed successfully.

参考資料

CLI Login Configuration - NetEngine AR V300R022 CLI-based Configuration Guide - Basic Configuration - Huawei


タイトルとURLをコピーしました