Cisco ACI におけるパスワードチェック設定
Cisco ACI にはパスワードの強度等を強制出来る Password Strength Check という設定があります。 この設定を有効化することで、ローカルユーザのパスワードを指定した強度以上に強制することが出来ます。
パスワードの強度設定¶
Password Strength Check を有効化した場合、デフォルトでは以下の条件全てを満たさないパスワードは NG とされ、「新規ユーザ作成時のパスワード指定」や「パスワード変更時」にエラーとなります。 Password Strength Check を有効化する以前のユーザは、以前の (条件を満たさない弱い) パスワードでもログイン可能です。
| 項目 | 条件 | NG パターン |
|---|---|---|
| パスワード長の最小 | 8 文字以上 | パスワードが Az#4567 |
| パスワード長の最大 | 64 文字以下 | パスワードが 65 文字以上 |
| 繰り返しパターン | 2 回まで OK | パスワードが Z1#ababCD (「ab」繰り返し) |
| 複雑さ | 「アルファベット大文字」「小文字」「数字」「記号」のうち、3 種類を含む | パスワードが #aceg!hjln |
| ユーザ名と同じ | パスワードがユーザ名と同じ | ユーザ名が user-123、パスワードが user-123 |
| ユーザ名と逆 | パスワードがユーザ名と逆 | ユーザ名が user-123、パスワードが 321-resu |
CLI 上のコンフィグ¶
CLI でコンフィグを確認すると以下のようになっていました。
1 2 3 4 5 6 | |
設定の変更¶
パスワード強度チェックを行うには Admin → AAA → Security → Management Settings → Policy → Password Strength Check を有効化します。
更に、チェックするルールを変更するには Password Strength Check の下にある Password Check Profile にチェックを入れます。 ここにチェックを入れると以下のように Create Password Strength Policy という画面が表示され、パスワード長の最小値、最大値等を設定出来ます。 デフォルトでは Password Strength Test Type が Any Three Conditions になっており、「アルファベット大文字」「小文字」「数字」「記号」のうち、3 種類を含むパスワードを合格とみなす設定になっています。
チェック条件を変更するには Password Strength Test Type を Custom Conditions に変え、更にチェックしたい項目を選択します。
注意点¶
Custom Conditions を作成したとしてもパスワード長の最小値 / 最大値は「Web GUI 上のバルーン表示」と「実際に設定可能な値」に差があります。
| 項目 | Web GUI 上のバルーン表示 | 実際に設定可能な値 |
|---|---|---|
| パスワード長の最小 | 0 - 65535 | 8 - 64 |
| パスワード長の最大 | 0 - 65535 | 8 - 64 |
CLI で確認する¶
Password Strength Profile は APIC 上から show pwd-rules で確認出来ます。 仮に Password Strength Check が有効であっても Password Strength Profile が未設定だと以下のように何も表示されません。
1 2 3 | |
プロファイルを作成すると内容に応じて以下にように表示されます。
1 2 3 4 5 | |