Gaia Clishでのパスワードポリシーの設定

これらのコマンドを使用して、ユーザパスワードを管理するためのポリシーを設定します。

重要：

Scalable Platforms (MaestroおよびChassis)では、該当するセキュリティグループの Gaia gCLish で該当するコマンドを実行する必要があります。
機能を追加、構成、または削除した後、"save config" コマンドを使用して、設定を永続的に保存します。

パスワード強度

パラメータ

パラメータ	説明
`complexity <1-4>`	必要な文字タイプの数: `1` - チェックしない `2` - 2 種類の文字が必要 (デフォルト) `3` - 3種類の文字が必要 `4` - 4種類の文字が必要文字の種類は次のとおりです。英大文字 (A-Z) 英小文字 (a-z) 数字 (0-9) その他（それ以外）この設定を変更しても、既存のパスワードには影響しません。範囲:1 - 4 デフォルト:2
`min-password-length <6-128>`	Gaia ユーザまたは SNMP ユーザパスワードの最小文字数。すでに設定されているパスワードには適用されません。範囲:6 - 128 デフォルト:2
`palindrome-check {on \| off}`	回文とは、各方向で同じように読める一連の文字、数字、または文字です。範囲: `on`または `off` デフォルト: `on`

説明

complexity <1-4>

必要な文字タイプの数:

1 - チェックしない
2 - 2 種類の文字が必要 (デフォルト)
3 - 3種類の文字が必要
4 - 4種類の文字が必要

文字の種類は次のとおりです。

英大文字 (A-Z)
英小文字 (a-z)
数字 (0-9)
その他（それ以外）

この設定を変更しても、既存のパスワードには影響しません。

範囲:1 - 4
デフォルト:2

min-password-length <6-128>

Gaia ユーザまたは SNMP ユーザパスワードの最小文字数。

すでに設定されているパスワードには適用されません。

範囲:6 - 128
デフォルト:2

palindrome-check {on | off}

回文とは、各方向で同じように読める一連の文字、数字、または文字です。

範囲: onまたは off
デフォルト: on

パスワード履歴

パラメータ

パラメータ	説明
`history-checking {on \| off}`	すべてのユーザのパスワードの再利用を確認します。パスワード履歴のチェックとパスワード履歴の記録を有効または無効にします。ユーザのパスワードが変更されると、新しいパスワードがそのユーザの最近のパスワードと照合されます。同一のパスワードは使用できません。記録に保持されるパスワードの数は`history-length`で設定します。 SNMP パスワードには適用されません。範囲: `on`または `off` デフォルト: `on`
`history-length <1-1000>`	ユーザに新しいパスワードが設定されたときに、保持してチェックする以前のパスワードの数。範囲:1 - 1000 デフォルト:10

説明

history-checking {on | off}

すべてのユーザのパスワードの再利用を確認します。

パスワード履歴のチェックとパスワード履歴の記録を有効または無効にします。

ユーザのパスワードが変更されると、新しいパスワードがそのユーザの最近のパスワードと照合されます。同一のパスワードは使用できません。記録に保持されるパスワードの数はhistory-lengthで設定します。

SNMP パスワードには適用されません。

範囲: onまたは off
デフォルト: on

history-length <1-1000>

ユーザに新しいパスワードが設定されたときに、保持してチェックする以前のパスワードの数。

範囲:1 - 1000
デフォルト:10

必須のパスワード変更

パラメータ

パラメータ	説明
`expiration-lockout-days <1-1827 \| never>`	パスワードの有効期限が切れた後、ユーザをロックアウトします。ユーザのパスワードの有効期限が切れた後、ユーザはこの日数だけログインしてパスワードを変更できます。ユーザがその日数以内にパスワードを変更しない場合、ユーザはログインできなくなり、ロックアウトされます。管理者は、ロックアウトされたユーザのロックをUser Management> Users ページで解除できます。範囲: `1 - 1827`または `never` デフォルト: `never`
`expiration-warning-days <1-366>`	ユーザのパスワードの有効期限が切れる何日前に、ユーザがパスワードを変更する必要があるという警告の生成を開始するか。ログインしていないユーザには、この警告は表示されません。範囲:1 - 366 デフォルト:7
`force-change-when {no \| password}`	ユーザのパスワードがコマンド"`set user <UserName> password`"を使って変更された、またはGaia Portal User Management > Usersページで変更された後、最初のログインでパスワードを変更するよう求めます。範囲: `no` - この機能を無効にします。 `password` - パスワードが変更された後、ユーザにパスワードの変更を強制します。デフォルト: `no`
`password-expiration <1-1827 \| never>`	パスワードが有効な日数。その後、パスワードの有効期限が切れます。ユーザがパスワードを変更すると、カウントが開始されます。ユーザは、次回ログイン時に期限切れのパスワードを変更する必要があります。 SNMP ユーザには適用されません。範囲: `1-1827`または `never` デフォルト: `never`

注 - Gaia OS が特定のユーザのパスワードをいつ変更したかを確認するには、エキスパートモードで次のコマンドを実行します。

date -d @"$(dbget passwd:<username>:lastchg)"

コマンド "dbget passwd:<username>:lastchg"は、エポック形式でタイムスタンプを返します。
コマンド "date -d @<Epoch Time>"は、ユーザが読めるタイムスタンプに変換します。

例：

[Expert@MyGaia:0] date -d @"$(dbget passwd:admin:lastchg)"

Mon May 24 15:39:46 UTC 2021

[Expert@MyGaia:0]

未使用のアカウントへのアクセスを拒否する

パラメータ

パラメータ	説明
`deny-on-nonuse allowed-days <30-1827>`	未使用のアカウントをロックアウトするまでの未使用の日数を設定します。これは、"`set password-controls deny-on-nonuse enable`"が "`on`"に設定されている場合、適用されます。範囲:30 - 1827 デフォルト:365
`deny-on-nonuse enable {on \| off}`	未使用のアカウントへのアクセスを拒否します。設定された時間内にログイン試行が成功しなかった場合、ユーザはロックアウトされ、ログインできなくなります。範囲: `on`または `off` デフォルト: `off`

説明

deny-on-nonuse allowed-days <30-1827>

未使用のアカウントをロックアウトするまでの未使用の日数を設定します。

これは、"set password-controls deny-on-nonuse enable"が "on"に設定されている場合、適用されます。

範囲:30 - 1827
デフォルト:365

deny-on-nonuse enable {on | off}

未使用のアカウントへのアクセスを拒否します。設定された時間内にログイン試行が成功しなかった場合、ユーザはロックアウトされ、ログインできなくなります。

範囲: onまたは off
デフォルト: off

ログインに失敗した後のアクセスの拒否

パラメータ

説明

allow-after <60-604800>

ユーザが (ログイン試行の失敗により) ロックアウトされた後、再度アクセスを許可します。

設定された時間内にログインが試行されなかった場合、ユーザは設定された時間後にアクセスを許可されます。

範囲:60 ～ 604800 秒
デフォルト:1200 秒 (20 分)

例:

60 = 1 分
300 = 5 分
3600 = 1 時間
86400 = 1 日
604800 = 1 週間

block-admin {on | off}

これは、"set password-controls deny-on-fail enable" が "on"に設定されている場合に適用されます。

失敗したログイン試行の設定された制限が adminユーザに到達すると、 adminユーザは設定された時間ロックアウトされます (ログインできません)。

範囲: onまたは off
デフォルト: off

enable {on | off}

設定した制限に達すると、ユーザは設定時間ロックアウトされます (ログインできなくなります)。

警告 - これを有効にすると、「DoS攻撃」の危険にさらされます。攻撃者が頻繁にログイン試行に失敗すると、影響を受けるユーザアカウントがロックアウトされます。このオプションを有効にする前に、セキュリティポリシーに照らして、このオプションの長所と短所を検討してください。

範囲: onまたは off
デフォルト: off

failures-allowed <2-1000>

これは、"set password-controls deny-on-fail enable" が "on"に設定されている場合に適用されます。

ユーザがロックアウトされるまでに許可されるログイン試行の失敗回数。

試行に連続して失敗すると、以降の試行は失敗します。

ログイン試行が 1 回成功すると、失敗した試行のカウントが停止し、カウントがゼロにリセットされます。

範囲:2 - 1000
デフォルト:10

ハッシュアルゴリズムの設定

パラメータ

パラメータ	説明
`{SHA256 \| SHA512}`	新しいパスワードを Gaia データベースに保存するためのハッシュアルゴリズムを設定します。範囲: `SHA256`または `SHA512` デフォルト: `SHA512`

説明

{SHA256 | SHA512}

新しいパスワードを Gaia データベースに保存するためのハッシュアルゴリズムを設定します。

範囲: SHA256または SHA512
デフォルト: SHA512

パラメータ	説明
`expiration-lockout-days <1-1827 \| never>`	パスワードの有効期限が切れた後、ユーザをロックアウトします。ユーザのパスワードの有効期限が切れた後、ユーザはこの日数だけログインしてパスワードを変更できます。ユーザがその日数以内にパスワードを変更しない場合、ユーザはログインできなくなり、ロックアウトされます。管理者は、ロックアウトされたユーザのロックをUser Management> Users ページで解除できます。範囲: `1 - 1827`または `never` デフォルト: `never`
`expiration-warning-days <1-366>`	ユーザのパスワードの有効期限が切れる何日前に、ユーザがパスワードを変更する必要があるという警告の生成を開始するか。ログインしていないユーザには、この警告は表示されません。範囲:1 - 366 デフォルト:7
`force-change-when {no \| password}`	ユーザのパスワードがコマンド"`set user <UserName> password`"を使って変更された、またはGaia Portal User Management > Usersページで変更された後、最初のログインでパスワードを変更するよう求めます。範囲: `no` - この機能を無効にします。 `password` - パスワードが変更された後、ユーザにパスワードの変更を強制します。デフォルト: `no`
`password-expiration <1-1827 \| never>`	パスワードが有効な日数。その後、パスワードの有効期限が切れます。ユーザがパスワードを変更すると、カウントが開始されます。ユーザは、次回ログイン時に期限切れのパスワードを変更する必要があります。 SNMP ユーザには適用されません。範囲: `1-1827`または `never` デフォルト: `never`

Gaia Clishでのパスワードポリシーの設定

パスワード強度

パスワード履歴

必須のパスワード変更

未使用のアカウントへのアクセスを拒否する

ログインに失敗した後のアクセスの拒否

ハッシュ アルゴリズムの設定

ハッシュアルゴリズムの設定