この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章は、次の内容で構成されています。
ローカル ユーザ アカウントを設定または変更するには、admin 権限を持つユーザとしてログインする必要があります。
次に、ユーザ 5 を admin として設定する例を示します。
Server# scope user 5 Server /user # set enabled yes Server /user *# set name john Server /user *# set password Please enter password: Please confirm password: Server /user *# set role readonly Server /user *# commit Server /user # show User Name Role Enabled ------ ---------------- -------- -------- 5 john readonly yes
CIMC では、情報をディレクトリ内で編成してこの情報へのアクセスを管理するディレクトリ サービスがサポートされます。 CIMC は、ネットワークでディレクトリ情報を保管および保持する Lightweight Directory Access Protocol(LDAP)をサポートします。 さらに、CIMC は Microsoft Active Directory(AD)もサポートします。 Active Directory はさまざまなネットワーク サービスを提供するテクノロジーであり、LDAP と同様のディレクトリ サービス、Kerberos ベースの認証、DNS ベースの名前付けなどが含まれます。 CIMC は LDAP での Kerberos ベースの認証サービスを利用します。
CIMC で LDAP がイネーブルになっている場合、ローカル ユーザ データベース内に見つからないユーザ アカウントに関するユーザ認証とロール許可は、LDAP サーバによって実行されます。 LDAP ユーザ認証の形式は username@domain.com です。
サーバの Active Directory 設定で暗号化をイネーブルにすることで、LDAP サーバへの送信データを暗号化するようサーバに要求できます。
CIMC を設定して、LDAP をユーザの認証と許可に使用できます。 LDAP を使用するには、CIMC のユーザ ロールとロケールを保持する属性を使用してユーザを設定します。 CIMC のユーザ ロールとロケールにマップされた既存の LDAP 属性を使用できます。または、LDAP スキーマを変更して、属性 ID 1.3.6.1.4.1.9.287247.1 を持つ CiscoAVPair 属性などの新しいカスタム属性を追加できます。
スキーマの変更の詳細については、http://technet.microsoft.com/en-us/library/bb727064.aspx の記事を参照してください。
(注) |
この例では CiscoAVPair という名前のカスタム属性を作成しますが、CIMC のユーザ ロールとロケールにマップされた既存の LDAP 属性を使用することもできます。 |
LDAP サーバに対して次の手順を実行する必要があります。
ステップ 1 | LDAP スキーマ スナップインがインストールされていることを確認します。 | ||||||||||||
ステップ 2 |
スキーマ スナップインを使用して、次のプロパティを持つ新しい属性を追加します。
|
||||||||||||
ステップ 3 | スナップインを使用して、ユーザ クラスに CiscoAVPair 属性を追加します。 | ||||||||||||
ステップ 4 |
CIMC にアクセスできるようにするユーザに対し、次のユーザ ロール値を CiscoAVPair 属性に追加します。
|
CIMC を使用して LDAP サーバを設定します。
ローカル ユーザの認証と許可に LDAP サーバを使用するには、CIMC で LDAP を設定します。
このタスクを実行するには、admin 権限を持つユーザとしてログインする必要があります。
次に、CiscoAVPair 属性を使用して LDAP を設定する例を示します。
Server# scope ldap Server /ldap # set enabled yes Server /ldap *# set domain sample-domain Server /ldap *# set timeout 60 Server /ldap *# set encrypted yes Server /ldap *# set base-dn example.com Server /ldap *# set attribute CiscoAVPair Server /ldap *# set filter-attribute sAMAccountName Server /ldap *# commit Server /ldap # show detail LDAP Settings: Enabled: yes Encrypted: yes Domain: sample-domain BaseDN: example.com Timeout: 60 Filter-Attribute: sAMAccountName Attribute: CiscoAvPair Server /ldap #
グループ許可用に LDAP グループを使用する場合は、CIMC での LDAP グループの設定 を参照してください。
(注) |
Active Directory(AD)グループ許可をイネーブルにして設定すると、ローカル ユーザ データベースにないユーザや、Active Directory で CIMC の使用を許可されていないユーザに対するグループ レベルでのユーザ認証も行われます。 |
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | Server# scope ldap | LDAP コマンド モードを開始して、AD を設定します。 |
ステップ 2 | Server /ldap# scope ldap-group-rule | LDAP グループ ルール コマンド モードを開始して、AD を設定します。 |
ステップ 3 | Server /ldap/ldap-group-rule # set group-auth {yes | no} | LDAP グループ許可をイネーブルまたはディセーブルにします。 |
ステップ 4 | Server /ldap # scope role-group index | 設定に使用可能なグループ プロファイルのいずれかを選択します。ここで、index は 1 から 28 までの数字です。 |
ステップ 5 | Server /ldap/role-group # set name group-name | サーバへのアクセスが許可されているグループの名前を AD データベースに指定します。 |
ステップ 6 | Server /ldap/role-group # set domain domain-name | グループが存在する必要がある AD ドメインを指定します。 |
ステップ 7 | Server /ldap/role-group # set role {admin | user | readonly} | この AD グループのすべてのユーザに割り当てられる権限レベル(ロール)を指定します。 次のいずれかになります。 |
ステップ 8 | Server /ldap/role-group # commit | トランザクションをシステムの設定にコミットします。 |
次に、LDAP グループの許可を設定する例を示します。
Server# scope ldap Server /ldap # scope ldap-group-rule Server /ldap/ldap-group-rule # set group-auth yes Server /ldap *# scope role-group 5 Server /ldap/role-group # set name Training Server /ldap/role-group* # set domain example.com Server /ldap/role-group* # set role readonly Server /ldap/role-group* # commit ucs-c250-M2 /ldap # show role-group Group Group Name Domain Name Assigned Role ------ ----------- -------------- -------------- 1 (n/a) (n/a) admin 2 (n/a) (n/a) user 3 (n/a) (n/a) readonly 4 (n/a) (n/a) (n/a) 5 Training example.com readonly Server /ldap/role-group #
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | Server# show user-session | 現在のユーザ セッションの情報を表示します。 |
コマンドの出力には、現在のユーザ セッションに関する次の情報が表示されます。
名前 | 説明 | ||
---|---|---|---|
[Session ID] カラム |
セッションの固有識別情報。 |
||
[Username] カラム |
ユーザのユーザ名。 |
||
[IP Address] カラム |
ユーザがサーバにアクセスした IP アドレス。 |
||
[Type] カラム |
ユーザがサーバにアクセスした方法。 |
||
[Action] カラム |
ユーザ アカウントに admin ユーザ ロールが割り当てられている場合、関連付けられたユーザ セッションを強制的に終了できるときはこのカラムに [Terminate] と表示されます。 それ以外の場合は、N/A と表示されます。
|
次に、現在のユーザ セッションに関する情報を表示する例を示します。
Server# show user-session ID Name IP Address Type Killable ------ ---------------- ----------------- ------------ -------- 15 admin 10.20.30.138 CLI yes Server /user #
ユーザ セッションを終了するには、admin 権限を持つユーザとしてログインする必要があります。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | Server# show user-session | 現在のユーザ セッションの情報を表示します。 終了するユーザ セッションは、終了可能(killable)であり、独自のセッションではないことが必要です。 |
ステップ 2 | Server /user-session # scope user-session session-number | 終了する番号付きのユーザ セッションに対してユーザ セッション コマンド モードを開始します。 |
ステップ 3 | Server /user-session # terminate | ユーザ セッションを終了します。 |
次に、ユーザ セッション 10 の admin がユーザ セッション 15 を終了する例を示します。
Server# show user-session ID Name IP Address Type Killable ------ ---------------- ----------------- ------------ -------- 10 admin 10.20.41.234 CLI yes 15 admin 10.20.30.138 CLI yes Server# scope user-session 15 Server /user-session # terminate User session 15 terminated. Server /user-session #
目次
この章は、次の内容で構成されています。
ローカル ユーザの設定
手順
コマンドまたはアクション 目的 ステップ 1 Server# scope user usernumber ユーザ番号 usernumber に対するユーザ コマンド モードを開始します。
ステップ 2 Server /user # set enabled {yes | no} CIMC でユーザ アカウントをイネーブルまたはディセーブルにします。
ステップ 3 Server /user # set name username ユーザのユーザ名を指定します。
ステップ 4 Server /user # set password パスワードを 2 回入力するように求められます。
ステップ 5 Server /user # set role {readonly | user | admin} ステップ 6 Server /user # commit トランザクションをシステムの設定にコミットします。
次に、ユーザ 5 を admin として設定する例を示します。
Server# scope user 5 Server /user # set enabled yes Server /user *# set name john Server /user *# set password Please enter password: Please confirm password: Server /user *# set role readonly Server /user *# commit Server /user # show User Name Role Enabled ------ ---------------- -------- -------- 5 john readonly yesLDAP サーバ
CIMC では、情報をディレクトリ内で編成してこの情報へのアクセスを管理するディレクトリ サービスがサポートされます。 CIMC は、ネットワークでディレクトリ情報を保管および保持する Lightweight Directory Access Protocol(LDAP)をサポートします。 さらに、CIMC は Microsoft Active Directory(AD)もサポートします。 Active Directory はさまざまなネットワーク サービスを提供するテクノロジーであり、LDAP と同様のディレクトリ サービス、Kerberos ベースの認証、DNS ベースの名前付けなどが含まれます。 CIMC は LDAP での Kerberos ベースの認証サービスを利用します。
CIMC で LDAP がイネーブルになっている場合、ローカル ユーザ データベース内に見つからないユーザ アカウントに関するユーザ認証とロール許可は、LDAP サーバによって実行されます。 LDAP ユーザ認証の形式は username@domain.com です。
サーバの Active Directory 設定で暗号化をイネーブルにすることで、LDAP サーバへの送信データを暗号化するようサーバに要求できます。
LDAP サーバの設定
手順CIMC を設定して、LDAP をユーザの認証と許可に使用できます。 LDAP を使用するには、CIMC のユーザ ロールとロケールを保持する属性を使用してユーザを設定します。 CIMC のユーザ ロールとロケールにマップされた既存の LDAP 属性を使用できます。または、LDAP スキーマを変更して、属性 ID 1.3.6.1.4.1.9.287247.1 を持つ CiscoAVPair 属性などの新しいカスタム属性を追加できます。
重要:スキーマの変更の詳細については、http://technet.microsoft.com/en-us/library/bb727064.aspx の記事を参照してください。
(注)
この例では CiscoAVPair という名前のカスタム属性を作成しますが、CIMC のユーザ ロールとロケールにマップされた既存の LDAP 属性を使用することもできます。
LDAP サーバに対して次の手順を実行する必要があります。
ステップ 1 LDAP スキーマ スナップインがインストールされていることを確認します。 ステップ 2 スキーマ スナップインを使用して、次のプロパティを持つ新しい属性を追加します。 ステップ 3 スナップインを使用して、ユーザ クラスに CiscoAVPair 属性を追加します。 ステップ 4 CIMC にアクセスできるようにするユーザに対し、次のユーザ ロール値を CiscoAVPair 属性に追加します。
ロール
CiscoAVPair 属性値
admin
shell:roles="admin"
user
shell:roles="user"
read-only
shell:roles="read-only"
(注) 属性に値を追加する方法の詳細については、http://technet.microsoft.com/en-us/library/bb727064.aspx の記事を参照してください。
次の作業
CIMC を使用して LDAP サーバを設定します。
CIMC での LDAP の設定
手順
コマンドまたはアクション 目的 ステップ 1 Server# scope ldap LDAP コマンド モードを開始します。
ステップ 2 Server /ldap # set enabled {yes | no} LDAP セキュリティをイネーブルまたはディセーブルにします。 LDAP セキュリティがイネーブルの場合、ローカル ユーザ データベースにないユーザ アカウントに対し、ユーザ認証とロール許可が LDAP によって実行されます。
ステップ 3 Server /ldap # set domainLDAP domain name LDAP ドメイン名を指定します。
ステップ 4 Server /ldap # set timeout seconds LDAP 検索操作がタイムアウトするまで CIMC が待機する秒数を指定します。 0 ~ 1800 秒の間隔を指定する必要があります。
ステップ 5 Server /ldap # set encrypted {yes | no} 暗号化がイネーブルである場合、サーバは AD に送信されるすべての情報を暗号化します。
ステップ 6 Server /ldap # set base-dn domain-name LDAP サーバで検索するベース DN を指定します。
ステップ 7 Server /ldap # set attribute name ユーザのロールとロケール情報を保持する LDAP 属性を指定します。 このプロパティは、常に、名前と値のペアで指定されます。 システムは、ユーザ レコードで、この属性名と一致する値を検索します。
CIMC ユーザ ロールおよびロケールにマップされた既存の LDAP 属性を使用するか、CiscoAVPair 属性など、次の属性 ID を持つカスタム属性を作成できます。
1.3.6.1.4.1.9.287247.1
(注) このプロパティを指定しない場合、ユーザ アクセスが拒否されます。
ステップ 8 Server /ldap # set filter-attribute アカウント名属性を指定します。 Active Directory を使用している場合は、このフィールドに sAMAccountName を指定します。
ステップ 9 Server /ldap # commit トランザクションをシステムの設定にコミットします。
ステップ 10 Server /ldap # show [detail] (任意)LDAP の設定を表示します。
次の作業次に、CiscoAVPair 属性を使用して LDAP を設定する例を示します。
Server# scope ldap Server /ldap # set enabled yes Server /ldap *# set domain sample-domain Server /ldap *# set timeout 60 Server /ldap *# set encrypted yes Server /ldap *# set base-dn example.com Server /ldap *# set attribute CiscoAVPair Server /ldap *# set filter-attribute sAMAccountName Server /ldap *# commit Server /ldap # show detail LDAP Settings: Enabled: yes Encrypted: yes Domain: sample-domain BaseDN: example.com Timeout: 60 Filter-Attribute: sAMAccountName Attribute: CiscoAvPair Server /ldap #グループ許可用に LDAP グループを使用する場合は、CIMC での LDAP グループの設定 を参照してください。
CIMC での LDAP グループの設定
手順
(注)
Active Directory(AD)グループ許可をイネーブルにして設定すると、ローカル ユーザ データベースにないユーザや、Active Directory で CIMC の使用を許可されていないユーザに対するグループ レベルでのユーザ認証も行われます。
コマンドまたはアクション 目的 ステップ 1 Server# scope ldap LDAP コマンド モードを開始して、AD を設定します。
ステップ 2 Server /ldap# scope ldap-group-rule LDAP グループ ルール コマンド モードを開始して、AD を設定します。
ステップ 3 Server /ldap/ldap-group-rule # set group-auth {yes | no} LDAP グループ許可をイネーブルまたはディセーブルにします。
ステップ 4 Server /ldap # scope role-group index 設定に使用可能なグループ プロファイルのいずれかを選択します。ここで、index は 1 から 28 までの数字です。
ステップ 5 Server /ldap/role-group # set name group-name サーバへのアクセスが許可されているグループの名前を AD データベースに指定します。
ステップ 6 Server /ldap/role-group # set domain domain-name グループが存在する必要がある AD ドメインを指定します。
ステップ 7 Server /ldap/role-group # set role {admin | user | readonly} この AD グループのすべてのユーザに割り当てられる権限レベル(ロール)を指定します。 次のいずれかになります。
ステップ 8 Server /ldap/role-group # commit トランザクションをシステムの設定にコミットします。
次に、LDAP グループの許可を設定する例を示します。
Server# scope ldap Server /ldap # scope ldap-group-rule Server /ldap/ldap-group-rule # set group-auth yes Server /ldap *# scope role-group 5 Server /ldap/role-group # set name Training Server /ldap/role-group* # set domain example.com Server /ldap/role-group* # set role readonly Server /ldap/role-group* # commit ucs-c250-M2 /ldap # show role-group Group Group Name Domain Name Assigned Role ------ ----------- -------------- -------------- 1 (n/a) (n/a) admin 2 (n/a) (n/a) user 3 (n/a) (n/a) readonly 4 (n/a) (n/a) (n/a) 5 Training example.com readonly Server /ldap/role-group #ユーザ セッションの表示
ユーザ セッションの終了
手順
コマンドまたはアクション 目的 ステップ 1 Server# show user-session 現在のユーザ セッションの情報を表示します。 終了するユーザ セッションは、終了可能(killable)であり、独自のセッションではないことが必要です。
ステップ 2 Server /user-session # scope user-session session-number 終了する番号付きのユーザ セッションに対してユーザ セッション コマンド モードを開始します。
ステップ 3 Server /user-session # terminate ユーザ セッションを終了します。
次に、ユーザ セッション 10 の admin がユーザ セッション 15 を終了する例を示します。
Server# show user-session ID Name IP Address Type Killable ------ ---------------- ----------------- ------------ -------- 10 admin 10.20.41.234 CLI yes 15 admin 10.20.30.138 CLI yes Server# scope user-session 15 Server /user-session # terminate User session 15 terminated. Server /user-session #