[index] AT-AR1050V コマンドリファレンス 5.5.4
モード: グローバルコンフィグモード
カテゴリー: 運用・管理 / Secure Shell
(config)# ssh server deny-users USERNAME-PATTERN [HOSTNAME-PATTERN]
(config)# no ssh server deny-users USERNAME-PATTERN [HOSTNAME-PATTERN]
指定したユーザーがSSHサーバーにログインすることを禁止する。
ユーザー名に加え、ログイン元のホスト名/IPアドレスに基づきアクセスを制限することもできる。
no形式で実行した場合は、指定したユーザー、ホストへのアクセス禁止を取り消す。
初期設定では、どのユーザーにもSSHサーバーへのログインは禁止されていない(ただし、許可されてもいない。ssh server allow-usersコマンドを参照)。
SSHサーバーへのログイン制御は、許可ユーザーリスト(ssh server allow-usersコマンド)と禁止ユーザーリスト(本コマンド)の2つで行われる。ログイン要求を受け取ったSSHサーバーは、最初に禁止リストをチェックし、該当ユーザーが禁止リストに入っていなかったときだけ許可リストを参照する。禁止リストに入っていたユーザーは、たとえ許可リストに入っていたとしてもログインできない。また、許可リストが空の場合は、禁止リストの内容にかかわらず、どのユーザーもログインできない。
USERNAME-PATTERN |
ユーザー名のパターン。大文字小文字を区別する。ワイルドカードとしてアスタリスク(任意の文字列を示す)を指定できる | ||||
HOSTNAME-PATTERN |
ホスト名/IPアドレスのパターン。大文字小文字を区別しない。ワイルドカードとしてアスタリスク(任意の文字列を示す)を指定できる |
■ ユーザー「toor」のみSSHログインを禁止し、その他のユーザーにはSSHログインを許可する。ログイン元のホストは制限しない。
awplus(config)# ssh server allow-users * ↓ awplus(config)# ssh server deny-users toor ↓
■ HOSTNAME-PATTERNをIPアドレスではなくホスト名で指定するためには、本コマンドだけでなく以下の設定も必要なので注意。
@
を含むユーザー名を指定するときは、@
の代わりにワイルドカード *
を指定すること。たとえば、userA@domain1
というユーザーを指定するときは、userA*domain1
と指定する必要がある。configure terminal (特権EXECモード) | +- ssh server deny-users(グローバルコンフィグモード)
ip domain-lookup(グローバルコンフィグモード)
ip name-server(グローバルコンフィグモード)
service ssh(グローバルコンフィグモード)
show ssh server allow-users(非特権EXECモード)
show ssh server deny-users(非特権EXECモード)
ssh server allow-users(グローバルコンフィグモード)
ssh server resolve-hosts(グローバルコンフィグモード)
username(グローバルコンフィグモード)
(C) 2019 - 2024 アライドテレシスホールディングス株式会社
PN: 613-002735 Rev.AD