らくがきちょう

なんとなく ~所属組織/団体とは無関係であり、個人の見解です~

Cisco ACI で Global AES Passphrase Encryption を設定し、コンフィグにパスワードが含まれるようにする

Cisco ACI では初期状態でコンフィグをバックアップしても パスワード系のフィールドがコンフィグに含まれません。 これは Global AES Passphrase Encryption という設定がデフォルトでは無効になっている為です。 この設定は通常は常に有効化しておき、パスワードを含んだ完全なコンフィグをバックアップ出来るようにしておくべきです。 例外的にこの設定を無効化するのは、例えば「問題が発生し、シスコへコンフィグを送付したいのだが、セキュリティ上の規定でパスワードは送付したくない」といったケースのみ、だと思われます。 今回はこの設定を有効化し、バックアップしたコンフィグにパスワード関連が含まれるように設定する方法をメモしておきます。

SystemSystem SettingsGlobal AES Passphrase EncryptionPolicy をクリックし、設定画面を開きます。 初期状態では Enable Encryption のチェックが外れているので、これをチェックします。 すると Passphrase を要求されるので、パスフレーズを指定します。 パスフレーズは 16 ~ 32 文字を指定する必要があるようです。

f:id:sig9:20191022142518p:plain

Cisco APIC リリース 4.0(1) 基本設定ガイドには以下の記載があります。

[Enable Encryption] チェックボックスが選択されていない(オフ)場合は、暗号化が無効になり、エクスポートされるすべての設定(エクスポート)でセキュア フィールド(パスワードや証明書など)が欠落します。このチェックボックスを選択する(オン)と、暗号化が有効になり、すべてのエクスポートでセキュア フィールドが表示されます。

あらゆるケースをテストしたわけでは無いのですが、Global AES Passphrase Encryption が無効だと下記に類するものがコンフィグに含まれないようです。

  • ローカルユーザのパスワード
  • 証明書
  • LDAP にバインドするユーザのパスワードや RADIUS シークレットキー
  • Remote Location のユーザパスワード
  • HSRP やルーティングプロトコルに設定されたパスフレーズ