Cisco IOS XE

概要

本ページでは、Catalyst 9000などのCisco IOS XEデバイスを対象に、パスワードをローテーションするポストローテーションスクリプトを作成する手順を取り扱います。

組み込みのSaaSローテーションを利用する場合は、SaaSプラグインをご参照ください。

1. Cisco認証レコードの作成

別のユーザーのパスワードをローテーションする権限を持つCisco Catalystの管理者認証情報を保存するため、新しいPAMユーザーレコードを作成します。このレコードは、デバイス上でパスワード更新を実行する際に、ポストローテーションスクリプトから参照されます。

タイプが「Text」のカスタムフィールドを追加し、ラベルに host_endpoint を指定します。値には、Cisco IOS XEデバイスのIPアドレスまたはホスト名を設定します。

2. 対象ユーザーのレコード作成

パスワードをローテーションする対象のユーザーアカウント用に、2つ目のPAMユーザーレコードを作成します。このレコードには、対象アカウントの現在のユーザー名とパスワードを入力します。

3. ローテーション設定の構成

[ローテーション設定] セクションで [セットアップ] を選択し、パスワードローテーションを構成します。

• [ローテーションプロファイル] では [PAMスクリプトのみを実行する] を選択

• [PAMリソース] では、ゲートウェイに対応する適切なPAM構成を選択

• [アップデート] をクリックして、ローテーション設定を保存

4. ポストローテーションスクリプトのアップロード

PAMユーザーレコード内の [PAMスクリプト] セクションで [PAMスクリプトを追加] をクリックします。デバイス上のPythonスクリプトを参照して選択するか、アップロードフィールドにドラッグ＆ドロップしてアップロードします。

以下のPythonファイルをPAMスクリプトとして添付します。このスクリプトは、Cisco IOS XEのエンドポイントに接続し、パスワードローテーションを実行します。

GitHubでも入手できます。

pam-scripts/cisco-ios-xe/update-cisco-user.py at main · Keeper-Security/pam-scriptsGitHub

5. Cisco認証レコードの関連付け

[追加認証情報] ドロップダウンから、手順1で作成したCisco認証レコードを選択します。このレコードは、スクリプトがデバイスへ認証する際に使用されます。

• [コマンドプレフィックス付きで実行] を有効にし、Python実行ファイルのフルパスを指定

• Docker経由でデプロイされたゲートウェイの場合、パスは通常 /usr/local/bin/python3

6. 構成の保存とローテーションの実行

PAMユーザーレコードで [保存] をクリックします。設定後、[PAMスクリプトのみを実行] でオンデマンドローテーションを実行できます。