MENU
ネットワーク設計構築をする人に役立つサイト
  1. ホーム
  2. Cisco
  3. Cisco Catalyst 1300 スイッチのパスワードポリシー設定変更ガイド

Cisco Catalyst 1300 スイッチのパスワードポリシー設定変更ガイド

Cisco
目次

Catalyst 1300 スイッチのパスワードポリシーを変更する

Catalyst 1300 スイッチのデフォルトのパスワードポリシーでは以下のような複雑なパスワードが要求されます。

デフォルトのパスワードポリシー
  • 8文字以上である必要がある
  • 小文字、大文字、数字、特殊文字のうち、少なくとも3種類を含める必要がある
  • 同じ文字を4回以上連続して繰り返すことはできない
  • 連続する3文字以上の文字または数字、またはこれらの文字の逆順を含めることはできない
  • ユーザ名またはユーザ名を逆にした文字列を含めることはできない
  • メーカ名または製品名、またはそれらの逆順を含めることはできない
  • 侵害されたパスワードまたは辞書ベースのパスワードの事前定義リストに含まれるパスワードを含めることはできない

パスワードポリシーはローカルユーザ(username)のパスワード、enable パスワード、line パスワードに適用されます。いくつかの条件については設定により変更することが可能です。本記事ではその設定方法について説明します。

動作確認環境

  • Cisco C1300-8T-E-2G
    • Version: 4.1.7.17

パスワードポリシー関連設定項目とデフォルト値

区分設定項目設定コマンドデフォルト値
複雑さパスワード最小文字数passwords complexity min-length8 文字
パスワードに含める必要のある文字種類数passwords complexity min-classes3 種類
同一文字を連続で繰り返せる最大文字数passwords complexity no-repeat3 文字
QWERTY キーボード配列に基づく制限passwords complexity keyboard-pattern無効
エージングパスワードの有効期限passwords aging0 日 (無効)
ヒストリーパスワード再利用できるまでの変更回数passwords history0 回 (無効)

Catalyst 1300 スイッチの CLI ガイドでは「passwords complexity」コマンドのオプションとして以下が記載されていますが、バージョン 4.1.7.17 では存在しませんでした。

  • not-current
  • not-username
  • not-manufacturer-name

また、「password complexity history」というコマンドも記載されていましたが、バージョン 4.1.7.17 ではこれは存在せず代わりに「passwords history」が存在しました。またデフォルト値についても CLI ガイドと異なり「0(無効)」になっていました。

パスワードの複雑さを変更する設定

パスワードの複雑さに関しては以下の設定が可能です。

  • パスワード最小文字数
  • パスワードに含める必要のある文字種類数 (文字種類:小文字、大文字、数字、特殊文字)
  • 同一文字を連続して繰り返せる最大文字数
  • QWERTY キーボード配列に基づく制限

これらはいずれも「passwords complexity ●●●」コマンドで1項目ずつ設定します。

パスワード最小文字数

パスワードの最小文字数はデフォルトでは「8 文字」となっています。つまりパスワードの文字数は8文字以上にする必要があります。この最小文字数を変更するためには以下のコマンドで設定します。

パスワード最小文字数の設定
  • (config)# passwords complexity min-length <8-64>
補足情報
  • <8-64>:パスワード最小文字数を 8-64 文字の範囲から指定
  • デフォルト値は「8」

以下はパスワード最小文字数を「10 文字」に設定する例です。

C1300-8T(config)#passwords complexity min-length 10
C1300-8T(config)#30-Aug-2025 12:56:32 %AAA-I-PASSCMPLXMOD: password min-length setting modified from 8 to 10

設定変更すると上記設定例のようにログが出力されます。

パスワードに含める必要のある文字種類数

パスワードには「小文字」「大文字」「数字」「特殊文字」の4種類の文字を含めることができます。デフォルトではこれらの内3種類以上の文字種をパスワードに含める必要があります。含める必要がある文字種類数は以下のコマンドで設定変更が可能です。

パスワードに含める必要のある文字種類数の設定
  • (config)# passwords complexity min-classes <1-4>
補足情報
  • <1-4>:パスワードに含める必要のある文字種類数を 1-4 種類の範囲から指定
  • デフォルト値は「3」

以下はパスワードに含める必要のある文字種類数を「1 種類」に設定する例です。

C1300-8T(config)#passwords complexity min-classes 1
C1300-8T(config)#30-Aug-2025 13:06:27 %AAA-I-PASSCMPLXMOD: password min-class setting modified from 3 to 1

設定変更すると上記設定例のようにログが出力されます。

同一文字を連続して繰り返せる最大文字数

パスワード内では同じ文字を連続して繰り返せる文字数に上限があり、デフォルトでは「3 文字」まで連続して繰り返せます。この文字数を変更するためには以下コマンドで設定します。

同一文字を連続して繰り返せる最大文字数の設定
  • (config)# passwords complexity no-repeat <1-16>
補足情報
  • <1-16>:同一文字を連続で繰り返せる最大文字数を 1-16 文字の範囲から指定
  • デフォルト値は「3」

以下は同一文字を連続して繰り返せる最大文字数を「5 文字」に設定する例です。

C1300-8T(config)#passwords complexity no-repeat 5
C1300-8T(config)#30-Aug-2025 13:14:10 %AAA-I-PASSCMPLXMOD: password no-repeat modified from 3 to 5

設定変更すると上記設定例のようにログが出力されます。

QWERTY キーボード配列に基づく制限

QWERTY キーボード配列に基づく制限をかけることができます。デフォルトでは無効です。QWERTY キーボード配列とは、日本で一般的に使われているキーボードのキー配列です。

例えば、キーボードで「ASDFG」というキーを追っていくと一直線に配置されていることが分かると思います。QWERTY キーボード配列に基づく制限を有効にした場合、このようなQWERTY キーボード配列で直線系になる文字列については、パスワードに含めることができなくなります。順方向・逆方向の両方が制限対象となります。

QWERTY キーボード配列に基づく制限を有効にするためには以下のコマンドで設定します。

QWERTY キーボード配列に基づく制限を有効にする設定
  • (config)# passwords complexity keyboard-pattern
補足情報
  • デフォルトでは無効
  • 無効化するためには「no passwords complexity keyboard-pattern」と設定する

以下はQWERTY キーボード配列に基づく制限を有効にする設定例です。

C1300-8T(config)#passwords complexity keyboard-pattern
C1300-8T(config)#30-Aug-2025 13:21:52 %AAA-I-PASSCMPLXTOGGLE: password keyboard-pattern setting modified to enable

設定変更すると上記設定例のようにログが出力されます。

パスワードエージング(有効期限)の設定

パスワードに対して有効期限を設定することができます。有効期限はローカルユーザのパスワード、enable パスワード、line パスワードに対して適用されます。

有効期限が10日以内になると、ログイン時や enable 実行時に以下のようにパスワード変更を促すメッセージが表示されます。

Password is about to expire in 5 days.
It is recommended to ask the administrator to change the password before it expires.

有効期限が切れると、ログイン時や enable 時に以下のようにメッセージが表示されパスワードの再設定が必須になります。

Your password has exceeded the maximum lifetime. Please change the password for better protection of your network.
Enter old password: ************
Do you want to auto generate new password (Y/N)[N] ?N
Enter new password: **************
Confirm new password: **************
Password change succeeded

line パスワードについては、有効期限が切れるとパスワードを変更するまで対象 line を使用したログインが不可になります。コンソール接続を line パスワード認証と設定している場合で有効期限が切れた場合、コンソールからのログインができなくなるため注意してください。この場合、Telnet/SSH/HTTPS の何れかでのユーザ認証によるログインが必要になります。

パスワードエージング(有効期限)を設定するためには以下のコマンドで設定します。

パスワードエージング(有効期限)の設定
  • (config)# passwords aging <0-365>
補足情報
  • <0-365>:パスワードの有効期限を 0-365 [日]の範囲から指定
  • 「0」を指定すると有効期限は無効(無期限)の意味になる
  • デフォルト値は「0」(無効)
  • この設定はローカルユーザのパスワード、enable パスワード、line パスワードに対して共通で適用される

以下はパスワードの有効期限を「5 日」にする設定例です。

C1300-8T(config)#passwords aging 5

パスワードヒストリーの設定

パスワードヒストリーは、過去に設定したことのあるパスワードを一定期間(一定世代)再利用できないようにする機能です。これはローカルユーザのパスワード、enable パスワード、line パスワードに対して適用されます。デフォルトではヒストリーは無効になっています。

パスワードヒストリーが有効になっている場合にパスワードをすぐに再利用しようとすると以下のようにメッセージが表示されてパスワード変更は失敗します。

C1300-8T(config)#username admin2 password sfebDe#19fs
Unable to update password. New Password does not comply to device password history requirements.

なお、ヒストリー機能が有効・無効に関わらず現在と同じパスワードで再設定することはできません。

C1300-8T(config)#username admin2 password sfebDe#19fs
Password cannot repeat current

パスワードヒストリーを設定するためには以下のコマンドで設定します。

パスワードヒストリーの設定
  • (config)# passwords history <0-24>
補足情報
  • <0-24>:パスワードを再利用できるようになるまでの設定変更回数を 0-24 [回]の範囲から指定
  • 「0」を指定するとヒストリー機能は無効の意味になる
  • デフォルト値は「0」(無効)
  • この設定はローカルユーザのパスワード、enable パスワード、line パスワードに対して共通で適用される
  • 値として「1」を設定した場合、ヒストリー機能が無効化の場合と同じ動作になります(ヒストリー機能が無効の場合でも現在と同じパスワードで再設定はできないため)

以下はパスワードを再利用できるようになるまでの設定変更回数を「5 回」にする設定例です。

C1300-8T(config)#passwords history 5
C1300-8T(config)#30-Aug-2025 13:51:04 %AAA-I-PASSCMPLXMOD: password history-check setting modified from 0 to 5

設定変更すると上記設定例のようにログが出力されます。

パスワードポリシー関連の show コマンド

  • # show passwords configuration
    • 現在のパスワードポリシー設定内容を表示する
C1300-8T#show passwords configuration

Passwords aging is disabled.
Passwords history is disabled
Passwords complexity is enabled with the following attributes:
Minimal length: 10 characters
Minimal classes: 1
Maximum consecutive same characters: 5
Password cannot include more than 2 adjacent numbers or characters
Password cannot include more than 3 forward or reverse consecutive QWERTY keyboard letters or numbers
Password cannot contain the username, manufacturer name or product name
Password must be different from current password
Password cannot match or begin with commonly used passwords or match known breached passwords

パスワードポリシーに関する留意点

  • 公式のCLI ガイドに記載されている設定コマンドやデフォルト値と、実際の機器で使用できる設定コマンド、実際の機器でのデフォルト値が一致していないケースがいくつかあったため、実機での確認を優先して行うことをお勧めします

参考資料

Cisco Catalyst 1300 スイッチ関連記事一覧

Amazon で買えるおすすめアイテム

以下は Amazon アフィリエイトリンクです。ネットワーク作業向けにそこそこおすすめなアイテムです。

ブログ始めるなら 【アフィリエイトリンク】

Cisco
Catalyst1300
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

目次