Cisco IOS XE

Cisco IOS XEネットワーク認証情報をローテーション

概要

本ページでは、Cisco IOS XEネットワーク認証情報をローテーションするためのパスワードローテーションを設定する方法について解説します。

要件

KSMアプリケーション: Keeperシークレットマネージャー (KSM) アプリケーションが設定されていること。
共有フォルダ: すべてのレコードが保存される共有フォルダを設定されていること。
PAM構成: PAM構成が設定されており、ゲートウェイが実行中でこの構成に接続されていること。
requestsライブラリ: Python環境にリクエストライブラリがインストールされていること。このライブラリは、CiscoデバイスへのHTTPリクエストを行うために必要となります。
AnyConnect Cisco VPNの設定: Ciscoデバイスに接続するために、KeeperゲートウェイをホストしているマシンにCisco AnyConnect VPNがインストールされ、適切に設定されていること。
Ciscoデバイスの接続テスト

requrstライブラリをインストール

requestsライブラリを使用すると、HTTPリクエストを簡単に送信できます。Keeperゲートウェイ環境で Python仮想環境をアクティブ化し、以下のコマンドを使用してライブラリをインストールします。

pip install requests

AnyConnect Cisco VPNの設定

KeeperゲートウェイをホストしているマシンにCisco AnyConnect VPNがインストールされており、Ciscoデバイスに接続できるように適切に設定されていることを確かにします。この設定は、Ciscoデバイスへの安全な接続を確立するために必要となります。

Ciscoデバイスのテスト手順

以下は、Cisco デバイスをテストし、Ciscoサンドボックス環境で新しいユーザーを作成する手順です。

注: 仮想環境を使用する場合は、 Python環境設定に基づいてスクリプトの先頭にシェバン行を追加します。

Cisco DevNetサンドボックスへ移動します。
Ciscoアカウントの認証情報を使用してログインします。
サンドボックスを選択して起動します。

2. デバイスを選択して起動する

サンドボックスカタログに移動します。
Ciscoデバイス (Cisco IOS XE など) に適したサンドボックスを選択します。
サンドボックスを起動します。

3. メールまたはDevNet環境で詳細情報を受け取る

サンドボックスを起動すると、接続の詳細情報が記載されたメールが届きます。または、DevNet環境の「Quick Access」で詳細情報を確認できます。

4. Cisco AnyConnect VPNをダウンロード

Cisco AnyConnect Secure Mobility Clientをダウンロードしてインストールします。
接続手順について、詳しくはこちらのウェブサイトをご覧ください。

5. VPNに接続

Cisco AnyConnectセキュアモビリティクライアントを開きます。
メールまたはDevNet 環境からのVPN接続の詳細情報を入力します。
提供されたユーザー名とパスワードを使用して接続します。

6. 開発者の認証情報を保存する

この時点で、開発者認証情報 (ホスト、ユーザー名、パスワード) が表示されます。これらの値を、Cisco Authentication Recordという名前でLoginタイプのKeeperレコードに保存します。ポストローテーションスクリプトを実行するには、このKeeperレコード名が必要になります。

7. Cisco Authentication Recordにカスタムフィールドを追加

Cisco Authentication Recordにhost_endpointという名前のカスタムフィールドを追加し、その値をホストアドレス (例: 10.10.20.48) に設定します。

8. ユーザーを作成

ターミナルまたはSSHクライアントを開きます。
提供されたIP アドレスと認証情報を使用してCiscoデバイスに接続します。

9. ユーザー作成手順

管理者ユーザー (開発者) でログインします。
```
ssh developer@<device-ip>
```
特権コマンドを有効にします。
```
enable
```
構成モードに入ります。
```
configure terminal
```
パスワードを使用する新しいユーザーを作成します。
```
username <user> password <pass>
```

10. 新しいユーザーをテスト

新しいユーザーでログインします。

ssh <user>@<device-ip>

注:<user>を作成したユーザー名に、<device-ip>をCiscoデバイスのIPアドレスに置き換えます。

ボルトでローテーションを設定

上記の準備が完了した後、以下を確認します。

すべての要件が満たされていることを確かにします。

ポストローテーションスクリプトが、Cisco管理者の認証情報を含むKeeperレコードを参照するようにします。

Keeper PAMユーザーレコードにポストローテーションスクリプトを添付します。このレコードのシークレットがローテーションされると、ポストローテーションスクリプトが実行され、指定されたCiscoデバイスユーザーのパスワードが更新されます。

1. ローテーションレコードをセットアップ

新しいPAMユーザーレコードを作成し、パスワードをローテーションするSnowflakeユーザーの詳細情報を保存します。

Ciscoデバイスの管理者認証情報と一致するようにユーザー名を設定します。
パスワードを、ユーザーに設定されている現在のパスワードに設定します。
Cisco Authentication Recordにhost_endpointという名前のカスタムフィールドを追加し、その値をホストアドレス (例: 10.10.20.48) に設定します。

2. PAMスクリプトを追加

パスワードのローテーションを実行する以下のPythonスクリプトを添付します。スクリプトにはコメントが含まれています。

3. NOOPカスタムフィールドを追加

ノーオペレーション (NOOP) アトミック実行を有効にします。
- ユーザーの詳細情報が保存されている現在のPAMユーザーレコードで、 NOOPという名前の新しいカスタムテキストフィールドを作成し、その値をTrueに設定します。

4. パスワードローテーション設定を構成

ローテーションタイプ: この例では、「On-Demand」に設定します。
パスワードの複雑さ: 特別な要件がない限り、デフォルトのままにしておきます。
ローテーション設定: 先ほど設定したPAM構成を指定します。
管理者認証情報レコード: 空白のままでも構いません。

Pythonスクリプト

以下は、Cisco IOS XEのユーザー認証情報をローテーションする PAMスクリプトです。

'''
Ciscoユーザーアカウントのパスワードローテーションスクリプト

このスクリプトで、指定されたCiscoユーザーのパスワードがローテーションされます。
Cisco環境内でのユーザーパスワードの自動更新が容易になります。

注: Pythonインタープリタへのパスにスペースが含まれている場合、スクリプトの実行が失敗します。
これはLinuxのシバン行における既知の制限であり、
スペースを含まないパスにPythonインタープリタへのシンボリックリンクを作成する必要があります。
    例: sudo ln -s "/usr/local/bin/my python3.7" /usr/local/bin/pam_rotation_venv_python3
'''

import sys
import base64
import json
import urllib3
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)
'''
デバッグのためにインストールされているパッケージを表示するオプションです。必要に応じてコメントを外して使用してください。
import pkg_resources
print("# \n# Installed packages for debugging:")
installed_packages = pkg_resources.working_set
installed_packages_list = sorted(["%s==%s" % (i.key, i.version) for i in installed_packages])
for m in installed_packages_list:
    print(f"  {m}")
'''

# requestsパッケージをインポート
try:
    import requests
except ImportError:
    print("# Error: The 'requests' package is not installed. Run 'pip install requests' to install it.")
    exit(1)

def get_username_details(cisco_url, cisco_admin_username, cisco_admin_password, cisco_user_name):
    """
    Verify the Cisco user.
    Args:
    - cisco_url (str): The host endpoint of the Cisco account to connect to.
    - cisco_admin_username (str): The username of the Cisco admin account.
    - cisco_admin_password (str): The password of the Cisco admin account.
    - cisco_user_name (str): The name of the Cisco user whose password needs to be rotated.
    Returns:
    - True if username found.
    """
    
    # ユーザー名APIエンドポイント用のリクエストURLを構築します。
    request_url = f"{cisco_url}username/"
    
    # RESTCONFリクエストのヘッダーを設定し、送受信するYANGデータをJSON形式に指定します。
    headers = {
    'Accept': 'application/yang-data+json',
    'Content-Type': 'application/yang-data+json'
    }
    try:
        # Ciscoルーターに対してGETリクエストを送信し、ユーザー詳細を取得します。
        response = requests.get(request_url, headers=headers, auth=(cisco_admin_username,cisco_admin_password), verify=False)
        response.raise_for_status()
        data = response.json()
        # レスポンスデータからユーザー名のリストを抽出します。
        usernames = data["Cisco-IOS-XE-native:username"]
        # ユーザー名のリストを反復処理して、指定されたユーザーを探します。
        for user in usernames:
            if user["name"]==cisco_user_name:
                # 指定されたユーザー名が見つかった場合、True を返します。
                return True
    except requests.exceptions.HTTPError as http_err:
        print(f"HTTP error occurred while fetching username details from Cisco router: {http_err}")
    except Exception as err:
        print(f"An error occurred: {err}")
    return False

def rotate(cisco_url, cisco_admin_username, cisco_admin_password, cisco_user_name, new_password):
    """
    Rotate the password for a given Cisco user.
    Args:
    - cisco_url (str): The host endpoint of the Cisco account to connect to.
    - cisco_admin_username (str): The username of the Cisco admin account.
    - cisco_admin_password (str): The password of the Cisco admin account.
    - cisco_user_name (str): The name of the Cisco user whose password needs to be rotated.
    - new_password (str): The new password to be set for the Cisco user.
    Returns:
    - None
    """
    
    # 指定されたユーザーがCiscoルーターに存在するか確認するために、get_username_details 関数を呼び出します。
    user = get_username_details(cisco_url, cisco_admin_username, cisco_admin_password, cisco_user_name)

    # ユーザーが存在しない場合、エラーメッセージを表示してプログラムを終了します。
    if not user:
        print(f"No user found with the username: {cisco_user_name}")
        exit(1)
    
    # RESTCONFリクエストのヘッダーを設定し、YANGデータをJSON形式で送受信することを指定します。
    headers = {
    'Accept': 'application/yang-data+json',
    'Content-Type': 'application/yang-data+json'
    }

    # ユーザーのパスワードを更新するためのPATCHリクエストのデータペイロードを作成します。
    data = {
    "Cisco-IOS-XE-native:native": {
        "username": [
                {
                "name": cisco_user_name,
                "password": {
                    "password": new_password
                    }
                }
            ]
        }
    }
    
    try:
        # CiscoルーターにPATCHリクエストを送信して、ユーザーのパスワードを更新します。
        response = requests.patch(cisco_url, headers=headers, auth=(cisco_admin_username,cisco_admin_password), data=json.dumps(data), verify=False)
        response.raise_for_status()
        print(f"Password updated successfully for user {cisco_user_name}")
    except requests.exceptions.HTTPError as http_err:
        print(f"HTTP error occurred while updating the password for the given user: {http_err}")
    except Exception as err:
        print(f"An error occurred: {err}")

def main():
    """
    Main function to rotate the password for a Cisco device user.

    Reads and decodes input parameters from stdin, including the authentication record details
    and the new password. Then, updates the password of the specified Cisco device user.
    """
    record_title = 'Cisco Authentication Record' #ユーザー名、パスワード、およびホストエンドポイントの詳細を含むレコードのタイトルと同じである必要があります。
    api_access_token_record = None
    params = None
    
    # 標準入力（stdin）から入力パラメータを読み取り、デコードします。
    for base64_params in sys.stdin:
        params = json.loads(base64.b64decode(base64_params).decode())

        # PAMスクリプトセクションで「Rotation Credential」レコードとして渡されたJSON文字列をデコードして読み込みます。
        records = json.loads(base64.b64decode(params.get('records')).decode())
        # 指定されたタイトルと一致するレコードを検索します。
        api_access_token_record = next((record for record in records if record['title'].lower() == record_title.lower()), None)
        break

    if api_access_token_record is None:
        print(f"# Error: No Record with the access token found. Title: {record_title}")
        exit(1)
    
    # レコードから詳細情報を抽出します。
    # Ciscoデバイスのエンドポイントであるホスト名（HostName）です。
    cisco_router_endpoint = api_access_token_record.get('host_endpoint') 
    # Ciscoデバイスの管理者ユーザー名。
    cisco_admin_username = api_access_token_record.get('login')
    # Ciscoデバイスの管理者パスワード。
    cisco_admin_password = api_access_token_record.get('password')

    # パスワードをローテーションする必要があるCiscoデバイスのユーザー名。
    cisco_user_name = params.get('user')
    # Ciscoデバイスのユーザーに設定する新しいパスワード。
    new_password = params.get('newPassword')
    
    # 必要なすべてのフィールドが存在するか確認します。
    if not all([cisco_router_endpoint, cisco_admin_username, cisco_admin_password, cisco_user_name]):
        print("# Error: One or more required fields are missing in the access token record.")
        exit(1)
    
    # Cisco API URLを構築します。
    cisco_url = f"https://{cisco_router_endpoint}/restconf/data/Cisco-IOS-XE-native:native/"

    # 指定されたCiscoデバイスユーザーのパスワードをローテーションします。
    rotate(cisco_url, cisco_admin_username, cisco_admin_password, cisco_user_name, new_password)

if __name__ == "__main__":
    main()

上記のSnowflakeポストローテーションスクリプトは、以下でも入手できます。

https://github.com/Keeper-Security/Zero-Trust-KeeperPAM-Scripts/blob/main/cisco-ios-xe/update-cisco-user.pygithub.comgithub.com

Cisco IOS XEネットワークユーザー認証情報のローテーション

注: パスワードがローテーションされるユーザーは管理者であってはならず、クライアントVPNに対して認証されている必要があります (ユーザー管理ポータルでユーザーを追加する際、認証オプションに「Yes」を選択する必要があります）。

PAMユーザーレコードでCiscoユーザー認証情報のローテーションを設定した後、[スクリプトのみを実行] をクリックすると認証情報がローテーションします。

前へREST APIを使用した認証情報のローテーション次へCisco Meraki

最終更新 6 か月前

概要

要件