$Date: 2023/07/06 20:30:28 $
USER ... | ユーザー名(32文字以内) |
PASSWORD ... | パスワード(32文字以内) |
登録できるユーザーは最大32人。
ユーザー名に使用できる文字は、半角英数字およびハイフン(-)、アンダースコア(_)。
第1書式では、パスワードは平文で入力し、暗号化して保存される。また、パスワードを省略すると、コマンド入力後にプロンプトに応じて改めてパスワードを入力する形になる。パスワードに使用できる文字は、半角英数字および記号(7bit ASCII Codeで表示可能なもの)。
第2書式では、PASSWORDに暗号化されたパスワードを入力する。
TFTPで設定を取得した場合は、パスワードが暗号化されて保存されているため、常に第2書式の形で表示される。
同一のユーザー名を複数登録することはできない。
既に登録されているユーザー名で設定を行った場合は、元の設定が上書きされる。
- | ユーザー名 |
- | 接続種別 |
- | 接続した時間 |
- | アイドル時間 |
- | 接続相手のIPアドレス |
- | 管理ユーザーか否か |
自分自身のユーザー情報には、先頭にアスタリスク(*)が付きます。
管理者モードになっているユーザーは、ユーザー名の前にプラス(+)が付きます。
USER | |
|
|
ATTRIBUTE=VALUE ... | ユーザー属性 |
ユーザーの属性を設定する。属性には、以下のものがある。
ATTRIBUTE | VALUE | 説明 |
administrator (RTX3510、RTX1300) |
2 | administratorコマンドのパスワード入力無しで管理ユーザーに昇格することができる。 |
1 | administratorコマンドにより管理ユーザーに昇格することができる。 | |
off | administratorコマンドにより管理ユーザーに昇格することができない。 | |
administrator (上記以外) |
on | administratorコマンドにより管理ユーザーに昇格することができる。 |
off | administratorコマンドにより管理ユーザーに昇格することができない。 | |
connection | off | すべての接続を禁止する。 |
all | すべての接続を許可する。 | |
serial | シリアルコンソールからの接続を許可する。 | |
telnet | TELNETによる接続を許可する。 | |
ssh | SSHによる接続を許可する。 | |
remote | リモートセットアップによる接続を許可する。 | |
host | IPアドレス | 指定したホストからの接続を許可する。 |
any | すべてのホストからの接続を許可する。 | |
multi-session | on | 同一ユーザー名によるTELNETまたは、SSHでの複数接続を許可する。 |
off | 同一ユーザー名によるTELNETまたは、SSHでの複数接続を禁止する。 | |
login-timer | 30.. 21474836; SRT100の場合は 120.. 21474836, clear |
ログインタイマーを設定する。 |
USERを省略した場合は、無名ユーザーの属性を設定する。
RTX3510、RTX1300では無名ユーザーは登録できないため、USERは省略することはできない。
USERをアスタリスク(*)に設定した場合は、すべてのユーザーに対して設定を有効にする。ただし、ユーザー名を指定した設定がされている場合は、その設定が優先される。
RTX3510、RTX1300は、administrator属性が 2 のユーザーを 1 つ以上設定する必要がある。
すでに管理ユーザーに昇格しているユーザーに対して、このコマンドでadministrator属性をoffに変更しても、そのユーザーはexitコマンドにより一般ユーザーに降格するか、あるいはログアウトするまでは管理ユーザーで居続けることができる。
connection属性では、off、all以外の値はコンマ(,)でつないで複数指定することができる。
すでに接続しているユーザーに対して、このコマンドでconnection属性またはhost属性により接続を禁止しても、そのユーザーは切断するまでは接続を維持し続けることができる。
無名ユーザーに対してはSSH(パスワード認証)による接続を許可することができない。)では、無名ユーザーでも接続できる。
host属性では、TELNET、SSHで接続できるホストを設定する。指定できるIPアドレスは、1個のIPアドレスまたは間にハイフン(-)をはさんだIPアドレス(範囲指定)、およびこれらをコンマ(,)でつないだものである。
multi-session属性では、TELNETまたはSSHでの複数接続の可否を設定する。この属性をoffに変更しても、シリアルとTELNETやリモートセットアップとSSHなど、接続方法が異なる場合は同じユーザー名で接続することができる。
無名ユーザーに対してはTELNETでの複数接続はできない。
すでに複数の接続があるユーザーに対して、このコマンドでmulti-session属性をoffに変更しても、そのユーザーは切断するまでは接続を維持し続けることができる。
TELNETまたはSSHで接続した場合、login-timer属性の値がclearに設定されていても、タイマー値は300秒として扱う。
login timerコマンドの設定値よりも、本コマンドのlogin-timer属性の設定値が優先される。
本コマンドにより、すべてのユーザーの接続を禁止する、またはすべてのユーザーが管理ユーザーに昇格できないといった設定を行った場合、ルーターの設定変更や状態確認などができなくなるので注意する必要がある。
administrator=1(RTX3510、RTX1300) |
administrator=on(上記以外) |
connection=serial,telnet,remote,ssh |
host=any |
multi-session=on |
login-timer=300 |
USER ... | ユーザー名 |
CONNECTION ... | 接続種別(telnet, serial, remote, ssh) |
NO ... | 接続番号 |
他ユーザーの接続を切断する。
show status user コマンドで表示された接続状況からパラメーターを指定する。
無名ユーザーを切断する場合は、第二書式でUSERを省略した形で指定する。
パラメーターを省略した場合は、指定したパラメーターと一致するすべての接続を切断する。
自分自身のセッションを切断することはできない。
例1) | ユーザー名「test」でログインしているすべての接続を切断する。 |
disconnect user test | |
例2) | TELNETで接続しているすべてのユーザーを切断する。 |
disconnect user /telnet |
無名ユーザーのパスワードを32文字以内で設定し、暗号化して保存する。パラメーターはなく、コマンド入力後にプロンプトに応じて改めてパスワードを入力する形になる。
パスワードを暗号化して保存する場合は本コマンドを、平文で保存する場合は login password コマンドを使用する。
管理ユーザーのパスワードを32文字以内で設定し、暗号化して保存する。パラメーターはなく、コマンド入力後にプロンプトに応じて改めてパスワードを入力する形になる。
パスワードを暗号化して保存する場合は本コマンドを、平文で保存する場合は administrator password コマンドを使用する。
NUM ... | 同時接続数(1..8) |
TELNETに同時に接続できるユーザー数を設定する。
設定を変更したときに変更した値よりも多くのユーザーが接続している場合は、接続しているユーザーはそれを維持することができるが、接続しているユーザー数が設定値より少なくなるまで新たな接続は許可しない。
SERVICE |
|
SSHサーバー機能の利用を選択する。
SSHサーバー機能が停止している場合、SSHサーバーはアクセス要求に一切応答しない。
PORT ... | SSHサーバー機能の待ち受け(listen)ポート番号(1...65535) |
SSHサーバーのlistenポートを選択する。
SSHサーバーは、TCPの22番ポートで待ち受けしているが、本コマンドにより待ち受けポートを変更することができる。
IP_RANGE |
|
SSHサーバーへアクセスできるホストのIPアドレスを設定する。
ニーモニックをリストにすることはできない。
設定後の新しいSSH接続から適用される。
lanキーワードは RTX5000 / RTX3500 Rev.14.00.32 以降、RTX1210 Rev.14.01.16 以降、NVR700W Rev.15.00.03 以降、 NVR510 Rev.15.01.03 以降のファームウェア、および、RTX830、RTX1220、RTX1300、RTX3510、vRX Amazon EC2版、vRX VMware ESXi版で指定可能。
NUM ... | 同時接続数(1..8) |
SSHに同時に接続できるユーザー数を設定する。
設定を変更したときに変更した値よりも多くのユーザーが接続している場合は、接続しているユーザーはそれを維持することができるが、接続しているユーザー数が設定値より少なくなるまで新たな接続は許可しない。
SWITCH | |
|
|
INTERVAL ... | 送信間隔の秒数(1〜21474836) |
COUNT ... | 試行回数(1〜21474836) |
クライアントの生存確認を行うか否かを設定する。
クライアントにINTERVALで設定した間隔で応答を要求するメッセージを送る。COUNTで指定した回数だけ連続して応答がなかったら、このクライアントとの接続を切り、セッションを終了する。
SWITCH ... | off |
INTERVAL ... | 100 |
COUNT ... | 3 |
SEED ... | ホスト鍵の元になる数(0..4294967295) |
SSHサーバーのホスト鍵を設定する。
SEEDを省略した場合は、ランダムな値がSEEDとして自動的に設定される。
SSHサーバー機能を利用する場合は、事前に本コマンドを実行してホスト鍵を生成する必要がある。
SEEDによって生成されるホスト鍵が一意に決まるため、SEEDを指定する場合は機器毎に異なる値を設定すべきである。
既にホスト鍵が設定されている状態で本コマンドを実行した場合、ユーザーに対してホスト鍵を更新するか否かを確認する。
ホスト鍵の生成には、機種によって異なるが、30秒から1分程度の時間がかかる。そのため、TFTPで本コマンドを含む設定を転送した場合、ホスト鍵の生成が終わるまで応答が返ってこない。
TFTPで設定を取得した場合は、sshd host key generate SEED KEY1 KEY2 という形式で保存される。KEY1とKEY2は、それぞれRSA秘密鍵とDSA秘密鍵を機器固有の方式で暗号化した文字列である。そのため、保存した設定を他の機器に適用する場合、SEEDからホスト鍵を生成し、機器固有の方式で暗号化して保存するため、入力したKEY1、KEY2とは同一の文字列にはならない。
type=fingerprint ... 鍵指紋を表示することを示すキーワード |
HASH_ALGORITHM ... 鍵指紋を表示する際に使用するハッシュ関数のアルゴリズム |
|
RTX5000 Rev.14.00.32以降で使用可能
RTX3500 Rev.14.00.32以降で使用可能
RTX1210 Rev.14.01.35以降で使用可能
NVR700W Rev.15.00.17以降で使用可能
NVR510 Rev.15.01.16以降で使用可能
RTX830 Rev.15.02.14以降で使用可能
RTX1220、RTX1300、RTX3510 で使用可能
vRX Amazon EC2版で使用可能
vRX VMware ESXi版で使用可能
SSHサーバーのホスト鍵を表示する。
type=fingerprint キーワードを指定した場合は、公開鍵の鍵長と鍵指紋を表示する。
ALGORITHM ... 暗号アルゴリズム(空白で区切って複数指定可能) |
|
SSHサーバーで利用可能な暗号アルゴリズムを設定する。
ALGORITHMで指定した暗号アルゴリズムのリストをSSH接続時にクライアントへ提案する。
ALGORITHMで指定した暗号アルゴリズムをクライアントがサポートしていない場合には、そのクライアントとSSHによる接続ができない。
blowfish-cbc, cast128-cbc, arcfour のパラメータは次のリビジョン以降で非対応。
機種 | ファームウェア |
---|---|
RTX1210 | Rev.14.01.34 以降 |
NVR700W | Rev.15.00.16 以降 |
NVR510 | Rev.15.01.15 以降 |
RTX830 | Rev.15.02.10 以降 |
RTX1220 | すべてのリビジョン |
RTX1300 | |
RTX3510 | |
vRX Amazon EC2版 | |
vRX VMware ESXi版 |
all ..... パスワード認証、および、公開鍵認証を受け入れる |
METHOD ... 認証方式 |
|
SSHサーバーで利用可能な認証方式を設定する。
パスワード認証より公開鍵認証が安全な認証方式である。
vRX VMware ESXi版で使用可能
vRX Amazon EC2版で使用可能
RTX1220、RTX1300、RTX3510 で使用可能
RTX830 Rev.15.02.14以降で使用可能
NVR510 Rev.15.01.16以降で使用可能
NVR700W Rev.15.00.17以降で使用可能
RTX1210 Rev.14.01.35以降で使用可能
RTX5000 Rev.14.00.32以降で使用可能
RTX3500 Rev.14.00.32以降で使用可能
USER ... 登録されているユーザー名 |
path=PATH ... SSHクライアントの公開鍵を格納したファイル名。外部メモリ(usb1:/、sd1:/)、RTFS領域内のファイルを絶対パスまたは相対パスで指定する |
SSHクライアントの公開鍵を格納したファイル(authorized_keysファイル)を設定する。ユーザーが公開鍵認証する際に使用する。
本コマンドを設定する場合、無名ユーザー以外は事前にlogin userコマンドでユーザーを登録しておく必要がある。登録されていないユーザーに対して本コマンドを設定するとエラーになる。
USERを省略した場合は、無名ユーザーに対する設定となる。
公開鍵認証を使用する場合は、あらかじめ許可するSSHクライアントの公開鍵をファイルに格納しておく必要がある。対応しているファイルのフォーマットは以下のとおり。
[サンプル] 例:RSA 2048bitの公開鍵の場合 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAp3eK3sk60fhHP9zsRgI39tqAoNfljbnCNiJ7horhwu6 1ZyaKDKf8BiiCsKnvFsLIfSgcOejllflBtrFX3bN8iu+me2Ggh52vuIWDS/SUEQNWcYCalY0Ign8u8O zVxldx1QABzuAKEKA654gkhQA40iaCKbKD5RGp4zujqDA6p8Y9o06pC/Ns7GzkgegrMxg40feB+0hjS +K2eY49uqqwqYUYCdNw6bTIJiH6nAgsXSUDjbo3N+b9CY/9/7txKBykt1zt04WCXepngxVRw2ss+JOV kPisDmtl0//Q7Xdi+MxiLKhjeZk3jpqrSHiLon6D30xU/5/FY0cwcRBwrj4Uuw== user1 例:ECDSA 256bitの公開鍵の場合 ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBP211Vy IP8Bg+r8rZhNmRq+ber0+sOaYCsvm5TN1CGt5WpCNkpwkV3c3rxwA6GAgGxuJsSn4J6Bo1mABhHg+YH M= user2
login userコマンドで登録されていないユーザーから接続された場合は、無名ユーザーとして公開鍵認証を試みる。
vRX VMware ESXi版で使用可能
vRX Amazon EC2版で使用可能
RTX1220、RTX1300、RTX3510 で使用可能
RTX830 Rev.15.02.14以降で使用可能
NVR510 Rev.15.01.16以降で使用可能
NVR700W Rev.15.00.17以降で使用可能
RTX1210 Rev.14.01.35以降で使用可能
RTX5000 Rev.14.00.32以降で使用可能
RTX3500 Rev.14.00.32以降で使用可能
USER ... 登録されているユーザー名 |
SSHクライアントの公開鍵を格納したファイル(authorized_keysファイル)に設定を追加する。
本コマンドを実行する場合、無名ユーザー以外は事前にlogin userコマンドでユーザーを登録しておく必要がある。登録されていないユーザーに対して本コマンドを設定するとエラーになる。
USERを省略した場合は、無名ユーザーに対する設定となる。
sshd authorized-keys filenameコマンドで指定した authorized_keysファイルに対して設定を追加する。authorized_keysファイルやディレクトリーが存在しない場合は、新規に作成する。
コマンド入力後にプロンプトに応じて公開鍵を1つ入力する。入力した公開鍵が、authorized_keysファイルに追加書き込みされる。公開鍵は、"(公開鍵の種類) (base64 エンコードされた鍵本体) (鍵のコメント)"の順に記載する。4094文字まで入力できる。
公開鍵のフォーマットは、sshd authorized-keys filenameコマンドと同様である。
authorized_keysファイルを削除または初期化したいときは、deleteコマンドを使用する。
vRX VMware ESXi版で使用可能
vRX Amazon EC2版で使用可能
RTX1220、RTX1300、RTX3510 で使用可能
RTX830 Rev.15.02.14以降で使用可能
NVR510 Rev.15.01.16以降で使用可能
NVR700W Rev.15.00.17以降で使用可能
RTX1210 Rev.14.01.35以降で使用可能
RTX5000 Rev.14.00.32以降で使用可能
RTX3500 Rev.14.00.32以降で使用可能
USER ... 登録されているユーザー名 |
type=fingerprint ... 鍵指紋を表示することを示すキーワード |
HASH_ALGORITHM ... 鍵指紋を表示する際に使用するハッシュ関数のアルゴリズム |
|
* ... 全ユーザー |
SSHクライアントの公開鍵を格納したファイル(authorized_keysファイル)を表示する。
type=fingerprint キーワードを指定した場合は、公開鍵の鍵長と鍵指紋を表示する。
第1書式では、ユーザーに対応したauthorized_keysファイルを表示する。USERを省略した場合は、無名ユーザーの情報を表示する。
第2書式では、全ユーザーのauthorized_keysファイルを表示する。
[表示例] 例:RSA 2048bit の公開鍵を表示する場合 # show sshd authorized-keys user1 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAp3eK3sk60fhHP9zsRgI39tqAoNfljbnCNiJ7horhwu6 1ZyaKDKf8BiiCsKnvFsLIfSgcOejllflBtrFX3bN8iu+me2Ggh52vuIWDS/SUEQNWcYCalY0Ign8u8O zVxldx1QABzuAKEKA654gkhQA40iaCKbKD5RGp4zujqDA6p8Y9o06pC/Ns7GzkgegrMxg40feB+0hjS +K2eY49uqqwqYUYCdNw6bTIJiH6nAgsXSUDjbo3N+b9CY/9/7txKBykt1zt04WCXepngxVRw2ss+JOV kPisDmtl0//Q7Xdi+MxiLKhjeZk3jpqrSHiLon6D30xU/5/FY0cwcRBwrj4Uuw== user1 例:RSA 2048bit の公開鍵の鍵指紋を SHA-256 で表示した場合 # show sshd authorized-keys user1 type=fingerprint sha256 2048 SHA256:uk2janKfeZXBsUniTMdNwL2fhdcAdfY0MsGSsCtpg8E user1 (RSA) 例:RSA 2048bit の公開鍵の鍵指紋を MD5 で表示した場合 # show sshd authorized-keys user1 type=fingerprint md5 2048 MD5:6e:fe:21:cc:d2:a4:55:78:07:7f:7f:f7:59:17:56:3a user1 (RSA) 例:全ユーザーを表示した場合 # 無名ユーザーとuser1, user2, user3が存在している。 # user2は、sshd authorized-keys filenameコマンドでファイルの置き場所を変更している。 # user3は、authorized_keysファイルが存在しない。 # show sshd authorized-keys * type=fingerprint sha256 (noname) /ssh/authorized_keys/no.name 2048 SHA256:fMlGwY5YlQvz9xEObkDXaO7TuvIlgFIAkmV0K2MGbyU (RSA) user1 /ssh/authorized_keys/user1 2048 SHA256:uk2janKfeZXBsUniTMdNwL2fhdcAdfY0MsGSsCtpg8E user1 (RSA) user2 /pub-key 2048 SHA256:Ul7sScopCUNPA5IndPWzHhkANqr3PkD2k3GMv0qS5NA user2 (RSA) user3 /ssh/authorized_keys/user3 /ssh/authorized_keys/user3 : ファイルデータの読み込みに失敗しました。 : No such file or directory
vRX VMware ESXi版で使用可能
vRX Amazon EC2版で使用可能
RTX1220、RTX1300、RTX3510 で使用可能
RTX830 Rev.15.02.14以降で使用可能
NVR510 Rev.15.01.16以降で使用可能
NVR700W Rev.15.00.17以降で使用可能
RTX1210 Rev.14.01.35以降で使用可能
RTX5000 Rev.14.00.32以降で使用可能
RTX3500 Rev.14.00.32以降で使用可能
LEVEL |
|
FORGET |
|
TELNET |
|
セキュリティクラスを設定する。
remote setup accept コマンドにより、遠隔地のルーターからのログイン(remote setup)を細かくアクセス制限することができる。 遠隔地のルーターからのログイン機能は、回線交換あるいは専用線を利用するため、それらに接続できる機種だけが持つ機能である。 設定を変更したときに変更した値よりも多くのユーザーが接続している場合は、接続しているユーザーはそれを維持することができるが、 接続しているユーザー数が設定値より少なくなるまで新たな接続は許可しない。
LEVEL ... | 1 |
FORGET ... | on |
TELNET ... | off |
本機能において出力されるSSHD(公開鍵認証)のSYSLOGメッセージを以下に示します。
レベル | 出力メッセージ | 意味 |
---|---|---|
INFO | login failed for SSH : IPアドレス | SSHのログインに失敗した |
unsupported public key algorithm: 公開鍵アルゴリズム | 対応していない公開鍵アルゴリズムで公開鍵認証した | |
Trying public key file 公開鍵を格納したファイル | 公開鍵を格納したファイルを開く | |
DEBUG | Could not open authorized keys 公開鍵を格納したファイル : 理由 | 公開鍵を格納したファイルのオープンに失敗 |
Accepted key 公開鍵の鍵指紋 found at 公開鍵を格納したファイル:行数 | 公開鍵を格納したファイルに、一致する公開鍵が見つかった | |
Public key is not found in 公開鍵を格納したファイル | 公開鍵を格納したファイルに、一致する公開鍵が見つからなかった | |
公開鍵の鍵指紋のrandomart image | show sshd authorized-keysコマンドにてtype=fingerprintを実行した際に表示 |
関連文書