例: Cisco IOS XE

概要

本ページでは、Catalyst 9000などのCisco IOS XEデバイスを対象に、パスワードをローテーションするローテーション後スクリプトを作成する手順を取り扱います。

1. Cisco認証レコードの作成

別のユーザーのパスワードをローテーションする権限を持つCisco Catalystの管理者認証情報を保存するため、新しいPAMユーザーレコードを作成します。このレコードは、デバイス上でパスワード更新を実行する際に、ローテーション後スクリプトから参照されます。

タイプが「Text」のカスタムフィールドを追加し、ラベルに host_endpoint を指定します。値には、Cisco IOS XEデバイスのIPアドレスまたはホスト名を設定します。

2. 対象ユーザーのレコード作成

パスワードをローテーションする対象のユーザーアカウント用に、2つ目のPAMユーザーレコードを作成します。このレコードには、対象アカウントの現在のユーザー名とパスワードを入力します。

3. ローテーション設定の構成

[ローテーション設定] セクションで [セットアップ] を選択し、パスワードローテーションを構成します。

• [ローテーションプロファイル] では [PAMスクリプトのみを実行する] を選択します。

• [PAMリソース] では、ゲートウェイに対応する適切なPAM構成を選択します。

• [アップデート] をクリックして、ローテーション設定を保存します。

4. ポストローテーションスクリプトのアップロード

引き続きPAMユーザーレコード内で、[PAMスクリプト] セクションに移動し、[PAMスクリプトを追加] をクリックします。デバイス上のPythonスクリプトを参照して選択するか、アップロードフィールドにドラッグ＆ドロップしてアップロードします。

以下のPythonファイルをPAMスクリプトとして添付します。このスクリプトは、Cisco IOS XEのエンドポイントに接続し、パスワードローテーションを実行します。

5. Cisco認証レコードの関連付け

[追加認証情報] ドロップダウンから、手順1で作成したCisco認証レコードを選択します。 このレコードは、スクリプトがデバイスへ認証する際に使用されます。

• [コマンドプレフィックス付きで実行] を有効にし、Python実行ファイルのフルパスを指定します。

• Docker経由でデプロイされたゲートウェイの場合、パスは通常 /usr/local/bin/python3 となります。

6. 構成の保存

PAMユーザーレコードで [保存] をクリックして、構成を完了します。