【paloalto】CLIでパスワードプロファイルを設定してみた

Paloalto Paloalto

paloaltoでパスワードプロファイルをCLIで設定してみました。
また、パスワードプロファイルの各設定値の挙動についても調べてみました。

今回は仮想アプライアンスとして palaolto を利用しており、PAN-OSは [10.2.0] を利用しています。

広告

CLIでパスワードプロファイルを作成する

以下のコマンドでパスワードプロファイルを作成することができます。
コマンドはコンフィグレーションモードで実行してください。

 #パスワードプロファイルの作成
set mgt-config password-profile <パスワードプロファイル名>

 #パスワード有効期限の設定
set mgt-config password-profile <パスワードプロファイル名> password-change expiration-period <パスワード有効期限の日数(0~365)>

 #失効の警告期間の設定
set mgt-config password-profile <パスワードプロファイル名> password-change expiration-warning-period <失効の警告期間の日数(0~30)>

 #失効後の管理者ログイン回数
set mgt-config password-profile <パスワードプロファイル名> password-change post-expiration-admin-login-count <失効後の管理者ログイン回数(0~3)>

 #失効後の猶予期間
set mgt-config password-profile <パスワードプロファイル名> password-change post-expiration-grace-period <失効後の猶予期間の日数(0~30)>

・記載例

set mgt-config password-profile password-profile1
set mgt-config password-profile password-profile1 password-change expiration-period 90
set mgt-config password-profile password-profile1 password-change expiration-warning-period 30
set mgt-config password-profile password-profile1 password-change post-expiration-admin-login-count 3
set mgt-config password-profile password-profile1 password-change post-expiration-grace-period 30

記載例では以下の通りのパラメータで作成しています。

  • パスワード有効期限:90日
  • 失効の警告期間:30日
  • 失効後の管理者ログイン回数:3回
  • 失効後の猶予期間:30日

以下のコマンドで作成したことを確認できます。

show mgt-config password-profile <パスワードプロファイル名>

・確認結果

hogeuser@paloalto# show mgt-config password-profile password-profile1
password-profile1 {
  password-change {
    expiration-period 90;
    expiration-warning-period 30;
    post-expiration-admin-login-count 3;
    post-expiration-grace-period 30;
  }
}
[edit]
hogeuser@paloalto#

作成後のコミットを忘れないようにしてください。

パスワードプロファイルでの設定値について

パスワードプロファイルでそれぞれの項目を「0」として設定した場合には、パスワード無期限で許可される設定となります。

CLIで作成する際には、パスワードプロファイルを作成するだけのコマンドを実行した場合(以下のコマンドだけを実行した場合)には、すべての設定値は「0」となっているので、その点は注意が必要です。

 #パスワードプロファイルの作成
set mgt-config password-profile <パスワードプロファイル名>

設定値の見え方としては、GUI上ではすべて「0」となっており、CLI上では設定値が出てこない状態になっています。

GUI

GUI上ではすべての設定値が「0」と見える

CLI

hogeuser@paloalto# show mgt-config password-profile password-profile2
password-profile2;
[edit]
hogeuser@paloalto#

各パラメータの説明

パスワードプロファイルで設定できる設定値について調べてみました。

パスワード有効期限

ここで設定された設定値(日数)に基づき定期的にパスワードを変更する必要があります。

この有効期限が過ぎたユーザーはPWを入力しても、ID/PWが間違っているとしてログインできません。

有効期限が過ぎたユーザーはPWを入力しても、ID/PWが間違っているとしてログインできない

また、有効期限が過ぎてログインができなくなったユーザーは、「ロックされたユーザー」となります。

有効期限が過ぎてログインができなくなったユーザーは、「ロックされたユーザー」となる

失効の警告期間

パスワード有効期限を設定した場合に、この設定を入れることで強制パスワード変更日が近づくと
ユーザーがログインするたびにパスワードの変更を求めるプロンプトを表示
することができます。

・変更を求めるプロンプト

パスワードの変更を求めるプロンプト

失効後の管理者ログイン回数

パスワード有効期限が過ぎた後にも、ここで指定した回数だけログインできます。

この設定がされた状態でパスワードの有効期限が切れるとパスワード変更を求める画面が表示されるのでそこでパスワードを変更すれば問題ありません。

失効後の管理者ログイン回数が設定された状態でパスワードの有効期限が切れるとパスワード変更を求める画面が表示される

この画面が出てきたらパスワードを変更しないとwebコンソールにはログインできませんし、CLIでのOS操作もできません。

また、この画面のセッションを切って再度ログインをしても再度このパスワード変更の画面が出てきます。

なのでこの設定値は1以上を設定すればパスワード期限が切れた場合にも、ユーザ側がパスワード変更できるようになるかと思います。

失効後の猶予期間

パスワード有効期限が過ぎた後に、ここで指定した日数だけログインできます

ここで設定した期限を過ぎるとユーザはログインすることができません。

また、webコンソール上では期限超過後もログインされるまでは「ロックされたユーザー」として認識されません。

webコンソール上では期限超過後もログインされるまでは「ロックされたユーザー」として認識されない

ログイン行為が確認された後に「ロックされたユーザー」として認識されます。
この時点ではもちろんログイン自体はできません。

ログイン行為が確認された後に「ロックされたユーザー」として認識される

パスワードプロファイルを削除する

パスワードプロファイルの削除は以下のコマンドで実行可能です。

 #パスワードプロファイルの削除
delete mgt-config password-profile <パスワードプロファイル名>

・記載例

delete mgt-config password-profile password-profile1

コメント

タイトルとURLをコピーしました