らくがきちょう

なんとなく ~所属組織/団体とは無関係であり、個人の見解です~

Cisco ACI におけるパスワードチェック設定

Cisco ACI にはパスワードの強度等を強制出来る Password Strength Check という設定があります。 この設定を有効化することで、ローカルユーザのパスワードを指定した強度以上に強制することが出来ます。

パスワードの強度設定

Password Strength Check を有効化した場合、デフォルトでは以下の条件全てを満たさないパスワードは NG とされ、「新規ユーザ作成時のパスワード指定」や「パスワード変更時」にエラーとなります。 Password Strength Check を有効化する以前のユーザは、以前の (条件を満たさない弱い) パスワードでもログイン可能です。

項目 条件 NG パターン
パスワード長の最小 8 文字以上 パスワードが Az#4567
パスワード長の最大 64 文字以下 パスワードが 65 文字以上
繰り返しパターン 2 回まで OK パスワードが Z1#ababCD (「ab」繰り返し)
複雑さ 「アルファベット大文字」「小文字」「数字」「記号」のうち、3 種類を含む パスワードが #aceg!hjln
ユーザ名と同じ パスワードがユーザ名と同じ ユーザ名が user-123、パスワードが user-123
ユーザ名と逆 パスワードがユーザ名と逆 ユーザ名が user-123、パスワードが 321-resu

CLI 上のコンフィグ

CLI でコンフィグを確認すると以下のようになっていました。

no password pwd-strength-check
password change-count 2
password change-during-interval enable
password change-interval 48
password history-count 5
password no-change-interval 24

設定の変更

パスワード強度チェックを行うには AdminAAASecurityManagement SettingsPolicyPassword Strength Check を有効化します。

f:id:sig9:20191013004615p:plain

更に、チェックするルールを変更するには Password Strength Check の下にある Password Check Profile にチェックを入れます。 ここにチェックを入れると以下のように Create Password Strength Policy という画面が表示され、パスワード長の最小値、最大値等を設定出来ます。 デフォルトでは Password Strength Test TypeAny Three Conditions になっており、「アルファベット大文字」「小文字」「数字」「記号」のうち、3 種類を含むパスワードを合格とみなす設定になっています。

f:id:sig9:20191013004625p:plain

チェック条件を変更するには Password Strength Test TypeCustom Conditions に変え、更にチェックしたい項目を選択します。

f:id:sig9:20191013004635p:plain

注意点

Custom Conditions を作成したとしてもパスワード長の最小値 / 最大値は「Web GUI 上のバルーン表示」と「実際に設定可能な値」に差があります。

項目 Web GUI 上のバルーン表示 実際に設定可能な値
パスワード長の最小 0 - 65535 8 - 64
パスワード長の最大 0 - 65535 8 - 64

CLI で確認する

Password Strength ProfileAPIC 上から show pwd-rules で確認出来ます。 仮に Password Strength Check が有効であっても Password Strength Profile が未設定だと以下のように何も表示されません。

apic# show pwd-rules
 Enabled          MinLen  MaxLen  Pwd-Rule    Pwd-Class
 ---------------  ------  ------  ----------  --------------------

プロファイルを作成すると内容に応じて以下にように表示されます。

apic# show pwd-rules
 Enabled          MinLen  MaxLen  Pwd-Rule    Pwd-Class
 ---------------  ------  ------  ----------  --------------------
 yes              12      32      default     digits,lowercase,upp
                                              ercase