enable secret
- モード
- グローバルコンフィグモード
- カテゴリー
- 運用・管理 / コマンドラインインターフェース(CLI)
構文
(config)# enable secret [level <1-15>] [8] TEXTLINE
(config)# no enable secret [level <1-15>]
コマンド説明
非特権EXECモードから特権EXECモードに入るための特権パスワードを設定する。enable passwordコマンドと同じ。no形式で実行した場合は特権パスワードを削除する。
初期設定では特権パスワードは設定されていない。
本コマンドで特権パスワードを設定しているときは、適用対象となる権限レベル(usernameコマンドのprivilegeパラメーターで指定)のユーザーに対し、enableコマンド実行時にパスワードの入力を求めるプロンプトが表示される。この場合、特権パスワードを正しく入力しないと特権EXECモードに移行できない。
- 初期状態のようにパスワードを設定していないときは、権限レベルが1~14のユーザーはenableコマンド実行後、ユーザーに設定された権限レベル以下の権限レベルにしか移行できない。
- 特権パスワードを設定しているときは、権限レベルが1~14のユーザーであってもパスワードを正しく入力すれば指定した権限レベルの特権EXECモードに移行できる。
パラメーター
level <1-15>- 特権パスワードの適用対象とするユーザー権限レベルを指定する。xを指定した場合、権限レベルがx未満のユーザーがenableコマンドで権限レベルxに移行するときに、本コマンドで設定した特権パスワードが適用される。権限レベルがx以上のユーザーには特権パスワードは適用されない(enableコマンド実行時にパスワードを求められない)。本パラメーター省略時は15を指定したものと見なされる。これは権限が1~14のユーザーが「enable」を実行したときに特権パスワードの入力を求める設定である
8- 後続のTEXTLINEがすでに暗号化されたパスワードであることを示す。これは通常コンフィグファイル中で使用されるものなので、CLIからパスワードを手入力するときには使用しないこと
TEXTLINE- 特権パスワード。1~32文字。使用可能な文字は半角英数字と半角記号(! " # $ % & ' ( ) * + , - . / \:\ ; < = > @ [ \ ] ^ _ ` { | ~ } )。ただし、1文字目は半角英数字のみ使用可。大文字小文字を区別する。なお、TEXTLINEは行末までがその値と見なされるため、スペースを含んでいてもよい
使用例
権限レベル1~14のユーザーに対し、enableコマンド実行時に特権パスワードの入力を求めるよう設定する。awplus(config)# enable secret XXXXXXXX awplus(config)# end awplus# disable awplus> enable Password: XXXXXXXX ↓ (実際には表示されません) awplus#
権限レベル1~13のユーザーに対し、「enable 14」で権限レベル14に移行するときに特権パスワードの入力を求めるよう設定する。権限レベル14~15のユーザーには特権パスワードの入力を求めない。
awplus(config)# enable secret level 14 password XXXXXXXX
注意・補足事項
パスワード暗号化サービス(service password-encryptionコマンド)が有効になっている場合、本コマンドで設定したパスワードは暗号化された形式でコンフィグに保存される。たとえば、次のようにして特権パスワードを設定した場合、awplus(config)# enable secret 1JIrana1de4!
コンフィグ中では次のようにパスワード部分が暗号化される。このとき、後続の文字列が暗号化されたパスワードであることを示すキーワード「8」が自動的に付加される。
awplus(config)# show running-config | include enable secret
enable secret level 15 8 $1$gXJz7mdw$/on1pdUK.4QVv4Az3SgnW1
なお、パスワード暗号化サービスを無効にした場合、それ以降に設定したパスワードはコンフィグ中にそのまま表示される。ただし、すでに暗号化されていたパスワードは暗号化されたままで変更されない。
awplus(config)# no service password-encryption awplus(config)# enable secret 3awarana1de4o! awplus(config)# show running-config | include enable secret enable password level 15 3awarana1de4o!
CLIログイン認証にTACACS+サーバーを利用、かつ、特権パスワードを設定している環境において、TACACS+サーバーダウンにより装置本体のユーザー認証データベースで認証された権限15のローカルユーザーがenableコマンドを実行した場合、本来なら権限15のユーザーには要求されない特権パスワードの入力プロンプトが表示されるが、その場合は任意の文字列を入力することで、特権EXECモードに移行できる。