この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章は、次の項で構成されています。
ロールベース アクセス コントロール(RBAC)は、ユーザのロールとロケールに基づいてユーザのシステム アクセスを制限または許可する方法です。 ロールによってシステム内でのユーザの権限が定義され、ロケールによってユーザがアクセス可能な組織(ドメイン)が定義されます。 権限がユーザに直接割り当てられることはないため、個々のユーザ権限の管理では、適切なロールとロケールを割り当てることが主な作業になります。
必要なシステム リソースへの書き込みアクセス権限がユーザに与えられるのは、割り当てられたロールによりアクセス権限が与えられ、割り当てられたロケールによりアクセスが許可されている場合に限ります。 たとえば、エンジニアリング組織内のサーバ管理者ロールを持つユーザは、エンジニアリング組織内のサーバ設定を更新できますが、そのユーザに割り当てられたロケールに財務組織が含まれていなければ、財務組織内のサーバ設定を更新できません。
ユーザ アカウントは、システムにアクセスするために使用されます。 各 Cisco UCS Managerで、最大 48 のローカル ユーザ アカウントを設定できます。 各ユーザ アカウントには、一意のユーザ名とパスワードが必要です。
ユーザ アカウントは、SSH 公開キーを付けて設定できます。 公開キーは、OpenSSH と SECSH のいずれかの形式で設定できます。
各 Cisco UCS ドメインには管理者アカウントがあります。 管理者アカウントはデフォルト ユーザ アカウントであり、変更や削除はできません。 このアカウントは、システム管理者またはスーパーユーザ アカウントであり、すべての権限が与えられています。 admin アカウントには、デフォルトのパスワードは割り当てられません。初期システム セットアップ時にパスワードを選択する必要があります。
管理者アカウントは常にアクティブで、有効期限がありません。 管理者アカウントを非アクティブに設定することはできません。
ローカル認証されたユーザ アカウントは、ファブリック インターコネクトのを介して直接認証され、admin または aaa 権限の所有者によって有効または無効にできます。 ローカル ユーザ アカウントが無効になっている場合、ユーザはログインできません。 無効化されたローカル ユーザ アカウントの設定の詳細は、データベースから削除されません。 無効化されたローカル ユーザ アカウントを再び有効にすると、そのアカウントは、ユーザ名とパスワードを含め、既存の設定で再びアクティブになります。
リモート認証されたユーザ アカウントとは、LDAP、RADIUS、または TACACS+ で認証されたユーザ アカウントです。
ユーザがローカル ユーザ アカウントとリモート ユーザ アカウントを同時に保持している場合は、ローカル ユーザ アカウントで定義されたロールによってリモート ユーザ アカウントのロールが上書きされます。
ユーザ アカウントは、事前に定義した時間に有効期限が切れるように設定できます。 有効期限に達すると、ユーザ アカウントは無効になります。
デフォルトでは、ユーザ アカウントの有効期限はありません。
(注) |
ユーザ アカウントに有効期限を設定した後、「有効期限なし」に再設定することはできません。 ただし、アカウントの有効期限を使用可能な最も遅い日付に設定することは可能です。 |
ユーザ名は、Cisco UCS Manager のログイン ID としても使用されます。 Cisco UCS のユーザ アカウントにログイン ID を割り当てる際は、次のガイドラインおよび制約事項を考慮してください。
次の語は Cisco UCS でローカル ユーザ アカウントを作成するときに使用できません。
ローカル認証されるユーザ アカウントのそれぞれにパスワードが必要です。 admin または aaa の権限を持つユーザは、Cisco UCS Manager を設定して、ユーザ パスワードの強度確認を実行できます。 パスワードの強度確認が有効になっている場合は、各ユーザが強力なパスワードを使用する必要があります。
各ユーザが強力なパスワードを設定することを推奨します。 ローカル認証ユーザに対するパスワードの強度確認を有効にすると、Cisco UCS Manager は、次の要件を満たさないパスワードを拒否します。
Web セッション制限は、ある時点おいて、特定のユーザ アカウントがアクセス可能な Web セッションの数(GUI と XML の両方)を制限するために、Cisco UCS Manager によって使用されます。
各 Cisco UCS Manager ドメインは、ユーザごとに最大 32 の同時 Web セッションをサポートし、合計 256 のユーザ セッションをサポートします。 デフォルトでは、Cisco UCS Manager が許可する同時 Web セッションはユーザ 1 人あたり 32 に設定されます。ただし、この値はシステム上限である 256 まで設定できます。
ユーザ ロールには、ユーザに許可する操作を定義する 1 つ以上の権限が含まれています。 各ユーザに 1 つ以上のロールを割り当てることができます。 複数のロールを持つユーザは、割り当てられたすべてのロールを組み合わせた権限を持ちます。 たとえば、Role1 にストレージ関連の権限が含まれ、Role2 にサーバ関連の権限が含まれている場合、Role1 と Role2 の両方を持つユーザは、ストレージ関連の権限とサーバ関連の権限を持つことになります。
Cisco UCS ドメインには、デフォルトのユーザ ロールを含めて、最大 48 のユーザ ロールを含めることができます。 最初の 48 のユーザ ロール以降に設定されたユーザ ロールは受け入れられますが、エラーが発生して非アクティブになります。
すべてのロールには、Cisco UCS ドメイン内のすべての設定に対する読み取りアクセス権限が含まれています。 読み取り専用ロールを持つユーザは、システムのステータスを変更できません。
ロールは、作成、変更(新しい権限の追加や既存の権限の削除)、および削除できます。 ロールを変更すると、そのロールを持つすべてのユーザに新しい権限が適用されます。 権限の割り当ては、デフォルト ロールに定義されている権限に限定されません。 つまり、カスタムの権限の組み合わせを使用して、独自のロールを作成できます。 たとえば、デフォルトのサーバ アドミニストレータ ロールとストレージ アドミニストレータ ロールの権限は異なっていますが、両方のロールの権限を組み合わせて、新しい 1 つのサーバおよびストレージ アドミニストレータ ロールを作成できます。
ロールがユーザへの割り当て後に削除されると、それらのユーザ アカウントからも削除されます。
AAA サーバ(RADIUS または TACACS+)上のユーザ プロファイルは、そのユーザに与える権限に対応したロールを追加するように変更する必要があります。 属性はロール情報を保存するために使用されます。 AAA サーバでは、要求とともにこの属性が返され、それを解析してロールが得られます。 LDAP サーバでは、ユーザ プロファイル属性内のロールが返されます。
(注) |
ローカル ユーザ アカウントとリモート ユーザ アカウントが同じユーザ名の場合、リモート ユーザに割り当てられているすべてのロールは、ローカル ユーザに割り当てられているロールによって上書きされます。 |
システムには、次のデフォルトのユーザ ロールが用意されています。
ユーザ、ロール、および AAA 設定に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。
システム全体に対する完全な読み取りと書き込みのアクセス権。 デフォルトの admin アカウントは、デフォルトでこのロールが割り当てられ、変更はできません。
power-mgmt 権限による、電源管理操作に対する読み取りと書き込みアクセス。 システムの残りの部分に対する読み取りアクセス権。
ファブリック インターコネクト インフラストラクチャとネットワーク セキュリティ操作に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。
システムのログ(syslog サーバを含む)と障害に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。
システム設定に対する読み取り専用アクセス権。システム状態を変更する権限はありません。
サービス プロファイルのほとんどの側面に対する読み取りと書き込みのアクセス権。 ただし、ユーザは vNIC や vHBA を作成、変更、削除できません。
物理サーバ関連の操作に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。
論理サーバ関連の操作に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。
サーバ セキュリティ関連の操作に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。
ストレージ操作に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。
次の単語は、Cisco UCS でカスタム ロールを作成するときに使用できません。
ユーザ ロールを割り当てられたユーザは、権限により、特定のシステム リソースへアクセスしたり、特定のタスクを実行したりできるようになります。 次の表に、各権限と、その権限がデフォルトで与えられるユーザ ロールのリストを示します。
ヒント |
これらの権限および権限によってユーザが実行可能なタスクの詳細情報は、『Privileges in Cisco UCS』は、次の URL で入手可能です。 http://www.cisco.com/en/US/products/ps10281/prod_technical_reference_list.html にあります。 |
特権 |
説明 |
デフォルトのロール割り当て |
---|---|---|
aaa |
システム セキュリティおよび AAA |
AAA アドミニストレータ |
admin |
システム管理 |
管理者 |
ext-lan-config |
外部 LAN 設定 |
Network Administrator |
ext-lan-policy |
外部 LAN ポリシー |
Network Administrator |
ext-lan-qos |
外部 LAN QoS |
Network Administrator |
ext-lan-security |
外部 LAN セキュリティ |
Network Administrator |
ext-san-config |
外部 SAN 設定 |
ストレージ アドミニストレータ |
ext-san-policy |
外部 SAN ポリシー |
ストレージ アドミニストレータ |
ext-san-qos |
外部 SAN QoS |
ストレージ アドミニストレータ |
ext-san-security |
外部 SAN セキュリティ |
ストレージ アドミニストレータ |
障害 |
アラームおよびアラーム ポリシー |
動作 |
operations |
ログおよび Smart Call Home |
動作 |
org-management |
組織管理 |
動作 |
pod-config |
ポッド設定 |
Network Administrator |
pod-policy |
ポッド ポリシー |
Network Administrator |
pod-qos |
ポッド QoS |
Network Administrator |
pod-security |
ポッド セキュリティ |
Network Administrator |
power-mgmt |
電源管理操作に対する読み取りおよび書き込みアクセス権 |
ファシリティ マネージャ |
read-only |
読み取り専用アクセス権 読み取り専用は、権限として選択できません。この権限は、すべてのユーザ ロールに割り当てられます。 |
Read-Only |
server-equipment |
サーバ ハードウェア管理 |
サーバ機器アドミニストレータ |
server-maintenance |
サーバ メンテナンス |
サーバ機器アドミニストレータ |
server-policy |
サーバ ポリシー |
サーバ機器アドミニストレータ |
server-security |
サーバ セキュリティ |
サーバ セキュリティ アドミニストレータ |
service-profile-compute |
サービス プロファイルの計算 |
サーバ計算アドミニストレータ |
service-profile-config |
サービス プロファイル設定 |
サーバ プロファイル アドミニストレータ |
service-profile-config-policy |
サービス プロファイル設定ポリシー |
サーバ プロファイル アドミニストレータ |
service-profile-ext-access |
サービス プロファイル エンド ポイント アクセス |
サーバ プロファイル アドミニストレータ |
service-profile-network |
サービス プロファイル ネットワーク |
Network Administrator |
service-profile-network-policy |
サービス プロファイル ネットワーク ポリシー |
Network Administrator |
service-profile-qos |
サービス プロファイル QoS |
Network Administrator |
service-profile-qos-policy |
サービス プロファイル QoS ポリシー |
Network Administrator |
service-profile-security |
サービス プロファイル セキュリティ |
サーバ セキュリティ アドミニストレータ |
service-profile-security-policy |
サービス プロファイル セキュリティ ポリシー |
サーバ セキュリティ アドミニストレータ |
service-profile-server |
サービス プロファイル サーバ管理 |
サーバ プロファイル アドミニストレータ |
service-profile-server-oper |
サービス プロファイル コンシューマ |
サーバ プロファイル アドミニストレータ |
service-profile-server-policy |
サービス プロファイル プール ポリシー |
サーバ セキュリティ アドミニストレータ |
service-profile-storage |
サービス プロファイル ストレージ |
ストレージ アドミニストレータ |
service-profile-storage-policy |
サービス プロファイル ストレージ ポリシー |
ストレージ アドミニストレータ |
ユーザには、ロケールを 1 つ以上割り当てることができます。 各ロケールには、ユーザからのアクセスを許可する 1 つ以上の組織(ドメイン)を定義します。アクセスは、このロケールで指定された組織の範囲内に制限されます。 このルールの 1 つの例外として、組織が指定されていないロケールがあります。この場合、すべての組織内のシステム リソースに対して無制限のアクセスが可能になります。
Cisco UCS ドメインには最大 48 のユーザ ロケールを含めることができます。 最初の 48 のユーザ ローケル以降に設定されたユーザ ロケールは受け入れられますが、エラーが発生して非アクティブになります。
admin または aaa の権限を持つユーザは、他のユーザのロケールに組織を割り当てることができます。 組織の割り当ては、それを行うユーザのロケール内の組織だけに制限されます。 たとえば、ロケールにエンジニアリング組織しか含まれていない場合、そのロケールを割り当てられたユーザは、他のユーザにエンジニアリング組織のみを割り当てることできます。
(注) |
次の権限の 1 つ以上を持つユーザにロケールを割り当てることはできません。 |
組織は階層的に管理できます。 トップ レベルの組織に割り当てられたユーザは、自動的にその下にあるすべての組織にアクセスできます。 たとえば、エンジニアリング組織が、ソフトウェア エンジニアリング組織とハードウェア エンジニアリング組織で構成されているとします。 ソフトウェア エンジニアリング組織のみを含むロケールでは、その組織内のシステム リソースにしかアクセスできません。一方、エンジニアリング組織が含まれるロケールでは、ソフトウェア エンジニアリング組織とハードウェア エンジニアリング組織の両方のリソースにアクセスできます。
次の例は、service-profile-security-admin ロールを作成し、ロールにサービス プロファイル セキュリティおよびサービス プロファイル セキュリティ ポリシー権限を追加し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # create role ls-security-admin UCS-A /security/role* # add privilege service-profile-security service-profile-security-policy UCS-A /security/role* # commit-buffer UCS-A /security/role #
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
||
ステップ 2 | UCS-A /security # scope role name | 指定したロールに対するセキュリティ ロール モードを開始します。 |
||
ステップ 3 | UCS-A /security/role # add privilege privilege-name | ユーザ ロールの既存の権限に 1 つ以上の権限を追加します。
|
||
ステップ 4 | UCS-A /security/role # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次の例では、service-profile-security-admin ロールにサーバ セキュリティ権限とサーバ ポリシー権限を追加し、トランザクションをコミットする方法を示します。
UCS-A# scope security UCS-A /security # scope role service-profile-security-admin UCS-A /security/role # add privilege server-security server-policy UCS-A /security/role* # commit-buffer UCS-A /security/role #
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
||
ステップ 2 | UCS-A /security # scope role name | 指定したロールに対するセキュリティ ロール モードを開始します。 |
||
ステップ 3 | UCS-A /security/role # set privilege privilege-name | ユーザ ロールの既存の権限を置き換えます。
|
||
ステップ 4 | UCS-A /security/role # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次の例では、service-profile-security-admin ロール用の既存の権限をサーバ セキュリティおよびサーバ ポリシー権限に置き換え、トランザクションをコミットする方法を示します。
UCS-A# scope security UCS-A /security # scope role service-profile-security-admin UCS-A /security/role # set privilege server-security server-policy UCS-A /security/role* # commit-buffer UCS-A /security/role #
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
||
ステップ 2 | UCS-A /security # scope role name | 指定したロールに対するセキュリティ ロール モードを開始します。 |
||
ステップ 3 | UCS-A /security/role # remove privilege privilege-name | 既存のユーザ ロール特権から 1 つ以上の特権を削除します。
|
||
ステップ 4 | UCS-A /security/role # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次に、service-profile-security-admin ロールからサーバ セキュリティ特権とサーバ ポリシー特権を削除し、トランザクションをコミットする例を示します。
UCS-A# scope security UCS-A /security # scope role service-profile-security-admin UCS-A /security/role # remove privilege server-security server-policy UCS-A /security/role* # commit-buffer UCS-A /security/role #
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # delete role name | ユーザ ロールを削除します。 |
ステップ 3 | UCS-A /security # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次に、service-profile-security-admin ロールを削除し、トランザクションをコミットする例を示します。
UCS-A# scope security UCS-A /security # delete role service-profile-security-admin UCS-A /security* # commit-buffer UCS-A /security #
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # create locale locale-name | ロケールを作成し、セキュリティ ロケール モードを開始します。 |
ステップ 3 | UCS-A /security/locale # create org-ref org-ref-name orgdn orgdn org-root/org-ref-name | ロケールに組織を参照(バインド)します。 org-ref-name 引数は組織参照の識別に使用される名前で、orgdn-name 引数は参照されている組織の識別名です。 |
ステップ 4 | UCS-A /security/locale # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次の例は、western ロケールを作成し、そのロケールに財務組織を参照し、参照に finance-ref という名前を指定し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # create locale western UCS-A /security/locale* # create org-ref finance-ref orgdn org-root/org-finance UCS-A /security/locale* # commit-buffer UCS-A /security/locale #
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A# scope locale locale-name | セキュリティ ロケール モードを開始します。 |
ステップ 3 | UCS-A /security/locale # create org-ref org-ref-name orgdn org-root/org-ref-name | ロケールに組織を参照(バインド)します。 org-ref-name 引数は組織参照の識別に使用される名前で、orgdn-name 引数は参照されている組織の識別名です。 |
ステップ 4 | UCS-A /security/locale # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次の例は、western ロケールに入り、そのロケールに marketing 組織を追加(参照)し、参照に marketing-ref という名前を指定し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope locale western UCS-A /security/locale* # create org-ref marketing-ref orgdn org-root/org-marketing UCS-A /security/locale* # commit-buffer UCS-A /security/locale #
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # scope locale locale-name | セキュリティ ロケール モードを開始します。 |
ステップ 3 | UCS-A /security/locale # delete org-ref org-ref-name | ロケールから組織を削除します。 |
ステップ 4 | UCS-A /security/locale # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次に、western ロケールから finance 組織を削除し、トランザクションをコミットする例を示します。
UCS-A# scope security UCS-A /security # scope locale western UCS-A /security/locale # delete org-ref finance-ref UCS-A /security/locale* # commit-buffer UCS-A /security/locale #
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # delete locale locale-name | ロケールを削除します。 |
ステップ 3 | UCS-A /security # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次の例は、western ロケールを削除し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # delete locale western UCS-A /security* # commit-buffer UCS-A /security #
少なくとも、次のユーザを作成することを推奨します。
システムに次のいずれかがある場合は、該当するタスクを実行します。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
||
ステップ 2 | UCS-A /security # create local-user local-user-name | 指定したローカル ユーザのユーザ アカウントを作成し、セキュリティ ローカル ユーザ モードを開始します。 |
||
ステップ 3 | UCS-A /security/local-user # set account-status {active| inactive} | ローカル ユーザ アカウントをイネーブルにするか、ディセーブルにするかを指定します。 ローカル ユーザ アカウントのアカウント ステータスが非アクティブに設定された場合、ユーザは既存のクレデンシャルを使用してシステムにロギングできません。 |
||
ステップ 4 | UCS-A /security/local-user # set password password | ユーザ アカウントのパスワードを設定します |
||
ステップ 5 | UCS-A /security/local-user # set firstname first-name | (任意) ユーザの名前を指定します。 |
||
ステップ 6 | UCS-A /security/local-user # set lastname last-name | (任意) ユーザの姓を指定します。 |
||
ステップ 7 | UCS-A /security/local-user # set expiration month day-of-month year | (任意) ユーザ アカウントが期限切れになる日付を指定します。 month 引数は、月の英名の最初の 3 文字です。
|
||
ステップ 8 | UCS-A /security/local-user # set email email-addr | (任意) ユーザの電子メール アドレスを指定します。 |
||
ステップ 9 | UCS-A /security/local-user # set phone phone-num | (任意) ユーザの電話番号を指定します。 |
||
ステップ 10 | UCS-A /security/local-user # set sshkey ssh-key | (任意) パスワードレス アクセス用の SSH キーを指定します。 |
||
ステップ 11 | UCS-A security/local-user # commit-buffer | トランザクションをコミットします。 |
次の例は、kikipopo という名前のユーザ アカウントを作成し、ユーザ アカウントをイネーブルにし、foo12345 にパスワードを設定し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # create local-user kikipopo UCS-A /security/local-user* # set account-status active UCS-A /security/local-user* # set password Enter a password: Confirm the password: UCS-A /security/local-user* # commit-buffer UCS-A /security/local-user #
次の例は、lincey という名前のユーザ アカウントを作成し、ユーザ アカウントをイネーブルにし、パスワードレス アクセス用の OpenSSH キーを設定し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # create local-user lincey UCS-A /security/local-user* # set account-status active UCS-A /security/local-user* # set sshkey "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAuo9VQ2CmWBI9/S1f30klCWjnV3lgdXMzO0WUl5iPw85lkdQqap+NFuNmHcb4K iaQB8X/PDdmtlxQQcawclj+k8f4VcOelBxlsGk5luq5ls1ob1VOIEwcKEL/h5lrdbNlI8y3SS9I/gGiBZ9ARlop9LDpD m8HPh2LOgyH7Ei1MI8=" UCS-A /security/local-user* # commit-buffer UCS-A /security/local-user #
次の例は、jforlenz という名前のユーザ アカウントを作成し、ユーザ アカウントをイネーブルにし、パスワードレス アクセス用のセキュア SSH キーを設定し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # create local-user jforlenz UCS-A /security/local-user* # set account-status active UCS-A /security/local-user* # set sshkey Enter lines one at a time. Enter ENDOFBUF to finish. Press ^C to abort. User's SSH key: > ---- BEGIN SSH2 PUBLIC KEY ---- >AAAAB3NzaC1yc2EAAAABIwAAAIEAuo9VQ2CmWBI9/S1f30klCWjnV3lgdXMzO0WUl5iPw8 >5lkdQqap+NFuNmHcb4KiaQB8X/PDdmtlxQQcawclj+k8f4VcOelBxlsGk5luq5ls1ob1VO >IEwcKEL/h5lrdbNlI8y3SS9I/gGiBZ9ARlop9LDpDm8HPh2LOgyH7Ei1MI8= > ---- END SSH2 PUBLIC KEY ---- > ENDOFBUF UCS-A /security/local-user* # commit-buffer UCS-A /security/local-user #
パスワードの強度の確認を有効にするには、ユーザが admin または aaa 権限を持っている必要があります。 パスワードの強度の確認が有効になっている場合、Cisco UCS Manager では、強力なパスワードのガイドラインを満たしていないパスワードを選択できません。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # enforce-strong-password {yes | no} | パスワードの強度確認をイネーブルにするか、ディセーブルにするかを指定します。 |
次に、パスワード強度チェックをイネーブルにする例を示します。
UCS-A# scope security UCS-A /security # set enforce-strong-password yes UCS-A /security #
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope system | システム モードを開始します。 |
ステップ 2 | UCS-A /system # scope services | システム サービス モードを開始します。 |
ステップ 3 | UCS-A /system/services # scope web-session-limits | システム サービス Web セッション制限モードを開始します。 |
ステップ 4 | UCS-A /system/services/web-session-limits # set peruser num-of-logins-per-user | 各ユーザに許可する同時 HTTP および HTTPS セッションの最大数を設定します。 1 ~ 256 の整数を入力します。 デフォルトでは、この値は 32 に設定されています。 |
ステップ 5 | UCS-A /system/services/web-session-limits # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次に、各ユーザ アカウントに許可する HTTP および HTTPS セッションの最大数を 60 に設定し、トランザクションをコミットする例を示します。
UCS-A# scope system UCS-A /system # scope services UCS-A /system/services # scope web-session-limits UCS-A /system/services/web-session-limits* # set peruser 60 UCS-A /system/services/web-session-limits* # commit-buffer UCS-A /system/services/web-session-limits #
ユーザ ロールと権限の変更は、次回ユーザがログインするまで有効になりません。 ユーザ アカウントへの新しいロールの割り当てや既存のロールの削除を行うときにユーザがログインしている場合、アクティブなセッションは以前のロールや権限を引き続き使用します。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
||
ステップ 2 | UCS-A /security # scope local-user local-user-name | 指定したローカル ユーザ アカウントに対するセキュリティ ローカル ユーザ モードを開始します。 |
||
ステップ 3 | UCS-A /security/local-user # create role role-name | ユーザ アカウントに指定したロールを割り当てます。
|
||
ステップ 4 | UCS-A security/local-user # commit-buffer | トランザクションをコミットします。 |
次の例では、ローカル ユーザ アカウント kikipopo に operations ロールを割り当て、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope local-user kikipopo UCS-A /security/local-user # create role operations UCS-A /security/local-user* # commit-buffer UCS-A /security/local-user #
(注) |
admin または aaa ロールを持つユーザにロケールを割り当てないでください。 |
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
||
ステップ 2 | UCS-A /security # scope local-user local-user-name | 指定したローカル ユーザ アカウントに対するセキュリティ ローカル ユーザ モードを開始します。 |
||
ステップ 3 | UCS-A /security/local-user # create locale locale-name | ユーザ アカウントに指定したロケールを割り当てます。
|
||
ステップ 4 | UCS-A security/local-user # commit-buffer | トランザクションをコミットします。 |
次の例では、ローカル ユーザ アカウント kikipopo に西洋言語ロケールを割り当て、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope local-user kikipopo UCS-A /security/local-user # create locale western UCS-A /security/local-user* # commit-buffer UCS-A /security/local-user #
ユーザ ロールと権限の変更は、次回ユーザがログインするまで有効になりません。 ユーザ アカウントへの新しいロールの割り当てや既存のロールの削除を行うときにユーザがログインしている場合、アクティブなセッションは以前のロールや権限を引き続き使用します。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
||
ステップ 2 | UCS-A /security # scope local-user local-user-name | 指定したローカル ユーザ アカウントに対するセキュリティ ローカル ユーザ モードを開始します。 |
||
ステップ 3 | UCS-A /security/local-user # delete role role-name | ユーザ アカウントから指定したロールを削除します。
|
||
ステップ 4 | UCS-A security/local-user # commit-buffer | トランザクションをコミットします。 |
次に、kikipopo というローカル ユーザ アカウントから operations ロールを削除し、トランザクションをコミットする例を示します。
UCS-A# scope security UCS-A /security # scope local-user kikipopo UCS-A /security/local-user # delete role operations UCS-A /security/local-user* # commit-buffer UCS-A /security/local-user #
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
||
ステップ 2 | UCS-A /security # scope local-user local-user-name | 指定したローカル ユーザ アカウントに対するセキュリティ ローカル ユーザ モードを開始します。 |
||
ステップ 3 | UCS-A /security/local-user # delete locale locale-name | ユーザ アカウントから指定したロケールを削除します。
|
||
ステップ 4 | UCS-A security/local-user # commit-buffer | トランザクションをコミットします。 |
次に、kikipopo というローカル ユーザ アカウントから western ロケールを削除し、トランザクションをコミットする例を示します。
UCS-A# scope security UCS-A /security # scope local-user kikipopo UCS-A /security/local-user # delete locale western UCS-A /security/local-user* # commit-buffer UCS-A /security/local-user #
ローカル ユーザ アカウントを有効または無効にするには、ユーザが admin または aaa 権限を持っている必要があります。
ローカル ユーザ アカウントを作成します。
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
||
ステップ 2 | UCS-A /security # scope local-user | ローカル ユーザ セキュリティ モードを開始します。 |
||
ステップ 3 | UCS-A /security/local-user # set account-status {active | inactive} | ローカル ユーザ アカウントをイネーブルにするか、ディセーブルにするかを指定します。 admin ユーザ アカウントは常にアクティブに設定されます。 変更はできません。
|
次に、accounting というローカル ユーザ アカウントをイネーブルにする例を示します。
UCS-A# scope security UCS-A /security # scope local-user accounting UCS-A /security/local-user # set account-status active
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # scope local-user user-name | 指定されたユーザ アカウントに対するローカル ユーザ セキュリティ モードを開始します。 |
ステップ 3 | UCS-A /security/local-user # set clear password-history yes | 指定されたユーザ アカウントのパスワード履歴をクリアします。 |
ステップ 4 | UCS-A /security/local-user # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次の例は、パスワード履歴カウントを設定し、トランザクションをコミットします。
UCS-A # scope security UCS-A /security # scope local-user admin UCS-A /security/local-user # set clear password-history yes UCS-A /security/local-user* # commit-buffer UCS-A /security/local-user #
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # delete local-user local-user-name | ローカル ユーザ アカウントを削除します。 |
ステップ 3 | UCS-A /security # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次に、foo というユーザ アカウントを削除し、トランザクションをコミットする例を示します。
UCS-A# scope security UCS-A /security # delete local-user foo UCS-A /security* # commit-buffer UCS-A /security #
パスワード プロファイルには、Cisco UCS Manager のローカル認証されたユーザ全員のパスワード履歴とパスワード変更間隔のプロパティが含まれています。 ローカル認証されたユーザそれぞれに異なるパスワード プロファイルを指定することはできません。
(注) |
パスワード プロファイル プロパティを変更するには、admin または aaa 権限を持っている必要があります。 パスワード履歴を除き、これらのプロパティは、admin または aaa 権限を持つユーザに適用されません。 |
パスワード履歴カウントによって、ローカル認証されたユーザが何度も同じパスワードを再利用しないようにすることができます。 このプロパティが設定されている場合、Cisco UCS Manager は、ローカル認証されたユーザがこれまでに使用した最大 15 個のパスワードを保存します。 パスワードは最近のものから時系列に逆順で格納され、履歴カウントがしきい値に達すると、最も古いパスワードだけが再利用可能になります。
あるパスワードが再利用可能になるまでに、ユーザはパスワード履歴カウントで設定された数だけパスワードを作成して使用する必要があります。 たとえば、パスワード履歴カウントを 8 に設定した場合、ローカル認証されたユーザは、9 番目のパスワードが期限切れになるまで、最初のパスワードを再利用できません。
デフォルトでは、パスワード履歴は 0 に設定されます。 この値によって履歴カウントが無効化されるため、ユーザはいつでも以前のパスワードを使用できます。
必要に応じて、ローカル認証されたユーザのパスワード履歴カウントをクリアし、以前のパスワードの再利用を有効にできます。
パスワード変更間隔によって、ローカル認証されたユーザが特定の時間内に実施できるパスワード変更の回数を制限することができます。 次の表は、パスワード変更間隔の 2 つの設定オプションを示しています。
間隔の設定 | 説明 | 例 |
---|---|---|
No password change allowed |
このオプションを設定すると、ローカル認証されたユーザは、パスワードを変更してから特定の時間内はパスワードを変更できなくなります。 1 ~ 745 時間の変更禁止間隔を指定できます。 デフォルトでは、変更禁止間隔は 24 時間です。 |
たとえば、ローカル認証されたユーザが 48 時間以内にパスワードを変更できないようにするには、次のように設定します。 |
Password changes allowed within change interval |
このオプションでは、事前に定義した時間内にローカル認証ユーザがパスワードを変更できる最大回数を指定します。 変更間隔を 1 ~ 745 時間、パスワード変更の最大回数を 0 ~ 10 に指定できます。 デフォルトでは、ローカル認証されたユーザは、48 時間以内に最大 2 回パスワードを変更できます。 |
たとえば、ローカル認証されたユーザがパスワードを変更した後 24 時間以内に最大 1 回それを変更できるようにするには、次のように設定します。 |
パスワード プロファイル プロパティを変更するには、admin または aaa 権限を持っている必要があります。 パスワード履歴を除き、これらのプロパティは、admin または aaa 権限を持つユーザに適用されません。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # scope password-profile | パスワード プロファイル セキュリティ モードを開始します。 |
ステップ 3 | UCS-A /security/password-profile # set change-during-interval enable | ローカル認証されたユーザが指定された時間の間に実行できるパスワード変更の回数を制限します。 |
ステップ 4 | UCS-A /security/password-profile # set change-count pass-change-num | [Change Interval] の間に、ローカル認証されたユーザがパスワードを変更できる最大回数。 を指定します この値は、0 ~ 10 から自由に設定できます。 |
ステップ 5 | UCS-A /security/password-profile # set change-interval num-of-hours | [Change Count] フィールドで指定したパスワード変更回数が適用される最大時間数。 を指定します この値は、1 ~ 745 時間から自由に設定できます。 たとえば、このフィールドが 48 に設定され、[Change Count] フィールドが 2 に設定されている場合、ローカル認証されたユーザは 48 時間以内に 2 回以上パスワードを変更できません。 |
ステップ 6 | UCS-A /security/password-profile # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次の例は、change during interval オプションをイネーブルにし、変更回数を 5 回、変更間隔を 72 時間に設定し、トランザクションをコミットします。
UCS-A # scope security UCS-A /security # scope password-profile UCS-A /security/password-profile # set change-during-interval enable UCS-A /security/password-profile* # set change-count 5 UCS-A /security/password-profile* # set change-interval 72 UCS-A /security/password-profile* # commit-buffer UCS-A /security/password-profile #
パスワード プロファイル プロパティを変更するには、admin または aaa 権限を持っている必要があります。 パスワード履歴を除き、これらのプロパティは、admin または aaa 権限を持つユーザに適用されません。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # scope password-profile | パスワード プロファイル セキュリティ モードを開始します。 |
ステップ 3 | UCS-A /security/password-profile # set change-during-interval disable | 間隔中の変更機能をディセーブルにします。 |
ステップ 4 | UCS-A /security/password-profile # set no-change-interval min-num-hours | 新たに作成したパスワードが変更可能になるまでに、ローカル認証されたユーザが待つ必要がある最小時間数。 を指定します この値は、1 ~ 745 時間から自由に設定できます。 この間隔は、[Change During Interval] プロパティが [Disable] に設定されていない場合は無視されます。 |
ステップ 5 | UCS-A /security/password-profile # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次に、間隔中の変更オプションをディセーブルにし、変更禁止間隔を 72 時間に設定し、トランザクションをコミットする例を示します。
UCS-A # scope security UCS-A /security # scope password-profile UCS-A /security/password-profile # set change-during-interval disable UCS-A /security/password-profile* # set no-change-interval 72 UCS-A /security/password-profile* # commit-buffer UCS-A /security/password-profile #
パスワード プロファイル プロパティを変更するには、admin または aaa 権限を持っている必要があります。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # scope password-profile | パスワード プロファイル セキュリティ モードを開始します。 |
ステップ 3 | UCS-A /security/password-profile # set history-count num-of-passwords | ローカル認証されたユーザが、以前に使用されたパスワードを再利用できるまでに、作成する必要がある一意のパスワードの数を指定します この値は、0 ~ 15 から自由に設定できます。 デフォルトでは、[History Count] フィールドは 0 に設定されます。この値によって履歴カウントが無効化されるため、ユーザはいつでも以前のパスワードを使用できます。 |
ステップ 4 | UCS-A /security/password-profile # commit-buffer | トランザクションをシステムの設定にコミットします。 |
次の例は、パスワード履歴カウントを設定し、トランザクションをコミットします。
UCS-A # scope security UCS-A /security # scope password-profile UCS-A /security/password-profile # set history-count 5 UCS-A /security/password-profile* # commit-buffer UCS-A /security/password-profile #
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | UCS-A# scope security | セキュリティ モードを開始します。 |
ステップ 2 | UCS-A /security # show user-session {local | remote} [detail] | システムにログインしているすべてのユーザのセッション情報を表示します。 セッション ID の横のアスタリスク(*)は、現在のログイン セッションを示します。 |
次に、システムにログインしているすべてのローカル ユーザのリストを表示する例を示します。 アスタリスクは、どのセッションが現在のログイン セッションであるかを示します。
UCS-A# scope security UCS-A /security # show user-session local Session Id User Host Login Time --------------- --------------- -------------------- ---------- pts_25_1_31264* steve 192.168.100.111 2009-05-09T14:06:59 ttyS0_1_3532 jeff console 2009-05-02T15:11:08 web_25277_A faye 192.168.100.112 2009-05-15T22:11:25
次に、システムにログインしているすべてのローカル ユーザの詳細情報を表示する例を示します。
UCS-A# scope security UCS-A /security # show user-session local detail Session Id pts_25_1_31264: Fabric Id: A Term: pts/25 User: steve Host: 64.101.53.93 Pid: 31264 Login Time: 2009-05-09T14:06:59 Session Id ttyS0_1_3532: Fabric Id: A Term: ttyS0 User: jeff Host: console Pid: 3532 Login Time: 2009-05-02T15:11:08 Session Id web_25277_A: Fabric Id: A Term: web_25277 User: faye Host: 192.168.100.112 Pid: 3518 Login Time: 2009-05-15T22:11:25
目次
- ロールベース アクセス コントロールの設定
- ロールベース アクセス コントロール
- Cisco UCS のユーザ アカウント
- Cisco UCS ユーザ名に関するガイドライン
- 予約語:ローカル認証されたユーザ アカウント
- Cisco UCS パスワードに関するガイドライン
- ユーザ アカウントの Web セッション制限
- ユーザ ロール
- デフォルト ユーザ ロール
- 予約語:ユーザ ロール
- 権限
- ユーザ ロケール
- ユーザ ロールの設定
- ユーザ ロールの作成
- ユーザ ロールへの権限の追加
- ユーザ ロールの権限の置換
- ユーザ ロールからの権限の削除
- ユーザ ロールの削除
- ロケールの設定
- ロケールの作成
- ロケールへの組織の割り当て
- ロケールからの組織の削除
- ロケールの削除
- ローカル認証されたユーザ アカウントの設定
- ユーザ アカウントの作成
- ローカル認証されたユーザへのパスワード強度チェックのイネーブル化
- ユーザ アカウントの Web セッション制限の設定
- ユーザ アカウントへのロールの割り当て
- ユーザ アカウントへのロケールの割り当て
- ユーザ アカウントからのロールの削除
- ユーザ アカウントからのロケールの削除
- ユーザ アカウントのイネーブル化またはディセーブル化
- ローカル認証されたユーザのパスワード履歴のクリア
- ユーザ アカウントの削除
- ローカル認証されたユーザのパスワード プロファイル
- 変更間隔のパスワード変更の最大数の設定
- パスワードの変更禁止間隔の設定
- パスワード履歴カウントの設定
- ユーザ セッションのモニタリング
この章は、次の項で構成されています。
- ロールベース アクセス コントロール
- Cisco UCS のユーザ アカウント
- ユーザ ロール
- ユーザ ロケール
- ユーザ ロールの設定
- ロケールの設定
- ローカル認証されたユーザ アカウントの設定
- ローカル認証されたユーザのパスワード プロファイル
- ユーザ セッションのモニタリング
ロールベース アクセス コントロール
ロールベース アクセス コントロール(RBAC)は、ユーザのロールとロケールに基づいてユーザのシステム アクセスを制限または許可する方法です。 ロールによってシステム内でのユーザの権限が定義され、ロケールによってユーザがアクセス可能な組織(ドメイン)が定義されます。 権限がユーザに直接割り当てられることはないため、個々のユーザ権限の管理では、適切なロールとロケールを割り当てることが主な作業になります。
必要なシステム リソースへの書き込みアクセス権限がユーザに与えられるのは、割り当てられたロールによりアクセス権限が与えられ、割り当てられたロケールによりアクセスが許可されている場合に限ります。 たとえば、エンジニアリング組織内のサーバ管理者ロールを持つユーザは、エンジニアリング組織内のサーバ設定を更新できますが、そのユーザに割り当てられたロケールに財務組織が含まれていなければ、財務組織内のサーバ設定を更新できません。
Cisco UCS のユーザ アカウント
ユーザ アカウントは、システムにアクセスするために使用されます。 各 Cisco UCS Managerで、最大 48 のローカル ユーザ アカウントを設定できます。 各ユーザ アカウントには、一意のユーザ名とパスワードが必要です。
ユーザ アカウントは、SSH 公開キーを付けて設定できます。 公開キーは、OpenSSH と SECSH のいずれかの形式で設定できます。
管理者アカウント
各 Cisco UCS ドメインには管理者アカウントがあります。 管理者アカウントはデフォルト ユーザ アカウントであり、変更や削除はできません。 このアカウントは、システム管理者またはスーパーユーザ アカウントであり、すべての権限が与えられています。 admin アカウントには、デフォルトのパスワードは割り当てられません。初期システム セットアップ時にパスワードを選択する必要があります。
管理者アカウントは常にアクティブで、有効期限がありません。 管理者アカウントを非アクティブに設定することはできません。
ローカル認証されたユーザ アカウント
ローカル認証されたユーザ アカウントは、ファブリック インターコネクトのを介して直接認証され、admin または aaa 権限の所有者によって有効または無効にできます。 ローカル ユーザ アカウントが無効になっている場合、ユーザはログインできません。 無効化されたローカル ユーザ アカウントの設定の詳細は、データベースから削除されません。 無効化されたローカル ユーザ アカウントを再び有効にすると、そのアカウントは、ユーザ名とパスワードを含め、既存の設定で再びアクティブになります。
Cisco UCS ユーザ名に関するガイドライン
ユーザ名は、Cisco UCS Manager のログイン ID としても使用されます。 Cisco UCS のユーザ アカウントにログイン ID を割り当てる際は、次のガイドラインおよび制約事項を考慮してください。
Cisco UCS パスワードに関するガイドライン
ユーザ アカウントの Web セッション制限
Web セッション制限は、ある時点おいて、特定のユーザ アカウントがアクセス可能な Web セッションの数(GUI と XML の両方)を制限するために、Cisco UCS Manager によって使用されます。
各 Cisco UCS Manager ドメインは、ユーザごとに最大 32 の同時 Web セッションをサポートし、合計 256 のユーザ セッションをサポートします。 デフォルトでは、Cisco UCS Manager が許可する同時 Web セッションはユーザ 1 人あたり 32 に設定されます。ただし、この値はシステム上限である 256 まで設定できます。
ユーザ ロール
ユーザ ロールには、ユーザに許可する操作を定義する 1 つ以上の権限が含まれています。 各ユーザに 1 つ以上のロールを割り当てることができます。 複数のロールを持つユーザは、割り当てられたすべてのロールを組み合わせた権限を持ちます。 たとえば、Role1 にストレージ関連の権限が含まれ、Role2 にサーバ関連の権限が含まれている場合、Role1 と Role2 の両方を持つユーザは、ストレージ関連の権限とサーバ関連の権限を持つことになります。
Cisco UCS ドメインには、デフォルトのユーザ ロールを含めて、最大 48 のユーザ ロールを含めることができます。 最初の 48 のユーザ ロール以降に設定されたユーザ ロールは受け入れられますが、エラーが発生して非アクティブになります。
すべてのロールには、Cisco UCS ドメイン内のすべての設定に対する読み取りアクセス権限が含まれています。 読み取り専用ロールを持つユーザは、システムのステータスを変更できません。
ロールは、作成、変更(新しい権限の追加や既存の権限の削除)、および削除できます。 ロールを変更すると、そのロールを持つすべてのユーザに新しい権限が適用されます。 権限の割り当ては、デフォルト ロールに定義されている権限に限定されません。 つまり、カスタムの権限の組み合わせを使用して、独自のロールを作成できます。 たとえば、デフォルトのサーバ アドミニストレータ ロールとストレージ アドミニストレータ ロールの権限は異なっていますが、両方のロールの権限を組み合わせて、新しい 1 つのサーバおよびストレージ アドミニストレータ ロールを作成できます。
ロールがユーザへの割り当て後に削除されると、それらのユーザ アカウントからも削除されます。
AAA サーバ(RADIUS または TACACS+)上のユーザ プロファイルは、そのユーザに与える権限に対応したロールを追加するように変更する必要があります。 属性はロール情報を保存するために使用されます。 AAA サーバでは、要求とともにこの属性が返され、それを解析してロールが得られます。 LDAP サーバでは、ユーザ プロファイル属性内のロールが返されます。
(注)
ローカル ユーザ アカウントとリモート ユーザ アカウントが同じユーザ名の場合、リモート ユーザに割り当てられているすべてのロールは、ローカル ユーザに割り当てられているロールによって上書きされます。
デフォルト ユーザ ロール
システムには、次のデフォルトのユーザ ロールが用意されています。
- AAA アドミニストレータ
ユーザ、ロール、および AAA 設定に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。
- 管理者
システム全体に対する完全な読み取りと書き込みのアクセス権。 デフォルトの admin アカウントは、デフォルトでこのロールが割り当てられ、変更はできません。
- ファシリティ マネージャ
power-mgmt 権限による、電源管理操作に対する読み取りと書き込みアクセス。 システムの残りの部分に対する読み取りアクセス権。
- Network Administrator
ファブリック インターコネクト インフラストラクチャとネットワーク セキュリティ操作に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。
- 動作
システムのログ(syslog サーバを含む)と障害に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。
- Read-Only
システム設定に対する読み取り専用アクセス権。システム状態を変更する権限はありません。
- Server Compute
サービス プロファイルのほとんどの側面に対する読み取りと書き込みのアクセス権。 ただし、ユーザは vNIC や vHBA を作成、変更、削除できません。
- サーバ機器アドミニストレータ
物理サーバ関連の操作に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。
- サーバ プロファイル アドミニストレータ
論理サーバ関連の操作に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。
- サーバ セキュリティ アドミニストレータ
サーバ セキュリティ関連の操作に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。
- ストレージ アドミニストレータ
ストレージ操作に対する読み取りと書き込みのアクセス権。 システムの残りの部分に対する読み取りアクセス権。
権限
ユーザ ロールを割り当てられたユーザは、権限により、特定のシステム リソースへアクセスしたり、特定のタスクを実行したりできるようになります。 次の表に、各権限と、その権限がデフォルトで与えられるユーザ ロールのリストを示します。
ヒント
これらの権限および権限によってユーザが実行可能なタスクの詳細情報は、『Privileges in Cisco UCS』は、次の URL で入手可能です。 http://www.cisco.com/en/US/products/ps10281/prod_technical_reference_list.html にあります。
表 1 ユーザの権限 特権
説明
デフォルトのロール割り当て
aaa
システム セキュリティおよび AAA
AAA アドミニストレータ
admin
システム管理
管理者
ext-lan-config
外部 LAN 設定
Network Administrator
ext-lan-policy
外部 LAN ポリシー
Network Administrator
ext-lan-qos
外部 LAN QoS
Network Administrator
ext-lan-security
外部 LAN セキュリティ
Network Administrator
ext-san-config
外部 SAN 設定
ストレージ アドミニストレータ
ext-san-policy
外部 SAN ポリシー
ストレージ アドミニストレータ
ext-san-qos
外部 SAN QoS
ストレージ アドミニストレータ
ext-san-security
外部 SAN セキュリティ
ストレージ アドミニストレータ
障害
アラームおよびアラーム ポリシー
動作
operations
ログおよび Smart Call Home
動作
org-management
組織管理
動作
pod-config
ポッド設定
Network Administrator
pod-policy
ポッド ポリシー
Network Administrator
pod-qos
ポッド QoS
Network Administrator
pod-security
ポッド セキュリティ
Network Administrator
power-mgmt
電源管理操作に対する読み取りおよび書き込みアクセス権
ファシリティ マネージャ
read-only
読み取り専用アクセス権
読み取り専用は、権限として選択できません。この権限は、すべてのユーザ ロールに割り当てられます。
Read-Only
server-equipment
サーバ ハードウェア管理
サーバ機器アドミニストレータ
server-maintenance
サーバ メンテナンス
サーバ機器アドミニストレータ
server-policy
サーバ ポリシー
サーバ機器アドミニストレータ
server-security
サーバ セキュリティ
サーバ セキュリティ アドミニストレータ
service-profile-compute
サービス プロファイルの計算
サーバ計算アドミニストレータ
service-profile-config
サービス プロファイル設定
サーバ プロファイル アドミニストレータ
service-profile-config-policy
サービス プロファイル設定ポリシー
サーバ プロファイル アドミニストレータ
service-profile-ext-access
サービス プロファイル エンド ポイント アクセス
サーバ プロファイル アドミニストレータ
service-profile-network
サービス プロファイル ネットワーク
Network Administrator
service-profile-network-policy
サービス プロファイル ネットワーク ポリシー
Network Administrator
service-profile-qos
サービス プロファイル QoS
Network Administrator
service-profile-qos-policy
サービス プロファイル QoS ポリシー
Network Administrator
service-profile-security
サービス プロファイル セキュリティ
サーバ セキュリティ アドミニストレータ
service-profile-security-policy
サービス プロファイル セキュリティ ポリシー
サーバ セキュリティ アドミニストレータ
service-profile-server
サービス プロファイル サーバ管理
サーバ プロファイル アドミニストレータ
service-profile-server-oper
サービス プロファイル コンシューマ
サーバ プロファイル アドミニストレータ
service-profile-server-policy
サービス プロファイル プール ポリシー
サーバ セキュリティ アドミニストレータ
service-profile-storage
サービス プロファイル ストレージ
ストレージ アドミニストレータ
service-profile-storage-policy
サービス プロファイル ストレージ ポリシー
ストレージ アドミニストレータ
ユーザ ロケール
ユーザには、ロケールを 1 つ以上割り当てることができます。 各ロケールには、ユーザからのアクセスを許可する 1 つ以上の組織(ドメイン)を定義します。アクセスは、このロケールで指定された組織の範囲内に制限されます。 このルールの 1 つの例外として、組織が指定されていないロケールがあります。この場合、すべての組織内のシステム リソースに対して無制限のアクセスが可能になります。
Cisco UCS ドメインには最大 48 のユーザ ロケールを含めることができます。 最初の 48 のユーザ ローケル以降に設定されたユーザ ロケールは受け入れられますが、エラーが発生して非アクティブになります。
admin または aaa の権限を持つユーザは、他のユーザのロケールに組織を割り当てることができます。 組織の割り当ては、それを行うユーザのロケール内の組織だけに制限されます。 たとえば、ロケールにエンジニアリング組織しか含まれていない場合、そのロケールを割り当てられたユーザは、他のユーザにエンジニアリング組織のみを割り当てることできます。
(注)
次の権限の 1 つ以上を持つユーザにロケールを割り当てることはできません。
組織は階層的に管理できます。 トップ レベルの組織に割り当てられたユーザは、自動的にその下にあるすべての組織にアクセスできます。 たとえば、エンジニアリング組織が、ソフトウェア エンジニアリング組織とハードウェア エンジニアリング組織で構成されているとします。 ソフトウェア エンジニアリング組織のみを含むロケールでは、その組織内のシステム リソースにしかアクセスできません。一方、エンジニアリング組織が含まれるロケールでは、ソフトウェア エンジニアリング組織とハードウェア エンジニアリング組織の両方のリソースにアクセスできます。
ユーザ ロールの作成
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # create role name ユーザ ロールを作成し、セキュリティ ロール モードを開始します。
ステップ 3 UCS-A /security/role # add privilege privilege-name ロールに 1 つ以上の権限を追加します。
(注) 複数の privilege-name を同じコマンドラインに指定してロールに複数の権限を追加することもできますし、複数の add コマンドを使用して同じロールに複数の権限を追加することもできます。
ステップ 4 UCS-A /security/role # commit-buffer トランザクションをシステムの設定にコミットします。
次の例は、service-profile-security-admin ロールを作成し、ロールにサービス プロファイル セキュリティおよびサービス プロファイル セキュリティ ポリシー権限を追加し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # create role ls-security-admin UCS-A /security/role* # add privilege service-profile-security service-profile-security-policy UCS-A /security/role* # commit-buffer UCS-A /security/role #ユーザ ロールへの権限の追加
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # scope role name 指定したロールに対するセキュリティ ロール モードを開始します。
ステップ 3 UCS-A /security/role # add privilege privilege-name ユーザ ロールの既存の権限に 1 つ以上の権限を追加します。
(注) 複数の privilege-name を同じコマンドラインに指定してロールに複数の権限を追加することもできますし、複数の add privilege コマンドを使用して同じロールに複数の権限を追加することもできます。
ステップ 4 UCS-A /security/role # commit-buffer トランザクションをシステムの設定にコミットします。
次の例では、service-profile-security-admin ロールにサーバ セキュリティ権限とサーバ ポリシー権限を追加し、トランザクションをコミットする方法を示します。
UCS-A# scope security UCS-A /security # scope role service-profile-security-admin UCS-A /security/role # add privilege server-security server-policy UCS-A /security/role* # commit-buffer UCS-A /security/role #ユーザ ロールの権限の置換
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # scope role name 指定したロールに対するセキュリティ ロール モードを開始します。
ステップ 3 UCS-A /security/role # set privilege privilege-name ユーザ ロールの既存の権限を置き換えます。
(注) 同じコマンド ラインで複数の privilege-name を指定することで、既存の権限を複数の権限に置換できます。 権限を置換した後、add privilege コマンドを使用して同じロールに権限を追加できます。
ステップ 4 UCS-A /security/role # commit-buffer トランザクションをシステムの設定にコミットします。
次の例では、service-profile-security-admin ロール用の既存の権限をサーバ セキュリティおよびサーバ ポリシー権限に置き換え、トランザクションをコミットする方法を示します。
UCS-A# scope security UCS-A /security # scope role service-profile-security-admin UCS-A /security/role # set privilege server-security server-policy UCS-A /security/role* # commit-buffer UCS-A /security/role #ユーザ ロールからの権限の削除
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # scope role name 指定したロールに対するセキュリティ ロール モードを開始します。
ステップ 3 UCS-A /security/role # remove privilege privilege-name 既存のユーザ ロール特権から 1 つ以上の特権を削除します。
(注) 同じコマンド ラインで複数の privilege-name を指定することで、複数の特権をロールから削除できます。また、複数の remove privilege コマンドを使用することで、同じロールから特権を削除できます。
ステップ 4 UCS-A /security/role # commit-buffer トランザクションをシステムの設定にコミットします。
次に、service-profile-security-admin ロールからサーバ セキュリティ特権とサーバ ポリシー特権を削除し、トランザクションをコミットする例を示します。
UCS-A# scope security UCS-A /security # scope role service-profile-security-admin UCS-A /security/role # remove privilege server-security server-policy UCS-A /security/role* # commit-buffer UCS-A /security/role #ユーザ ロールの削除
ロケールの作成
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # create locale locale-name ロケールを作成し、セキュリティ ロケール モードを開始します。
ステップ 3 UCS-A /security/locale # create org-ref org-ref-name orgdn orgdn org-root/org-ref-name ロケールに組織を参照(バインド)します。 org-ref-name 引数は組織参照の識別に使用される名前で、orgdn-name 引数は参照されている組織の識別名です。
ステップ 4 UCS-A /security/locale # commit-buffer トランザクションをシステムの設定にコミットします。
ロケールへの組織の割り当て
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A# scope locale locale-name セキュリティ ロケール モードを開始します。
ステップ 3 UCS-A /security/locale # create org-ref org-ref-name orgdn org-root/org-ref-name ロケールに組織を参照(バインド)します。 org-ref-name 引数は組織参照の識別に使用される名前で、orgdn-name 引数は参照されている組織の識別名です。
ステップ 4 UCS-A /security/locale # commit-buffer トランザクションをシステムの設定にコミットします。
次の例は、western ロケールに入り、そのロケールに marketing 組織を追加(参照)し、参照に marketing-ref という名前を指定し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # scope locale western UCS-A /security/locale* # create org-ref marketing-ref orgdn org-root/org-marketing UCS-A /security/locale* # commit-buffer UCS-A /security/locale #ロケールからの組織の削除
ロケールの削除
ユーザ アカウントの作成
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # create local-user local-user-name 指定したローカル ユーザのユーザ アカウントを作成し、セキュリティ ローカル ユーザ モードを開始します。
ステップ 3 UCS-A /security/local-user # set account-status {active| inactive} ローカル ユーザ アカウントをイネーブルにするか、ディセーブルにするかを指定します。
ローカル ユーザ アカウントのアカウント ステータスが非アクティブに設定された場合、ユーザは既存のクレデンシャルを使用してシステムにロギングできません。
ステップ 4 UCS-A /security/local-user # set password password ユーザ アカウントのパスワードを設定します
ステップ 5 UCS-A /security/local-user # set firstname first-name (任意) ユーザの名前を指定します。
ステップ 6 UCS-A /security/local-user # set lastname last-name (任意) ユーザの姓を指定します。
ステップ 7 UCS-A /security/local-user # set expiration month day-of-month year (任意) ユーザ アカウントが期限切れになる日付を指定します。 month 引数は、月の英名の最初の 3 文字です。
(注) ユーザ アカウントに有効期限を設定した後、「有効期限なし」に再設定することはできません。 ただし、アカウントの有効期限を使用可能な最も遅い日付に設定することは可能です。
ステップ 8 UCS-A /security/local-user # set email email-addr (任意) ユーザの電子メール アドレスを指定します。
ステップ 9 UCS-A /security/local-user # set phone phone-num (任意) ユーザの電話番号を指定します。
ステップ 10 UCS-A /security/local-user # set sshkey ssh-key (任意) パスワードレス アクセス用の SSH キーを指定します。
ステップ 11 UCS-A security/local-user # commit-buffer トランザクションをコミットします。
次の例は、kikipopo という名前のユーザ アカウントを作成し、ユーザ アカウントをイネーブルにし、foo12345 にパスワードを設定し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # create local-user kikipopo UCS-A /security/local-user* # set account-status active UCS-A /security/local-user* # set password Enter a password: Confirm the password: UCS-A /security/local-user* # commit-buffer UCS-A /security/local-user #次の例は、lincey という名前のユーザ アカウントを作成し、ユーザ アカウントをイネーブルにし、パスワードレス アクセス用の OpenSSH キーを設定し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # create local-user lincey UCS-A /security/local-user* # set account-status active UCS-A /security/local-user* # set sshkey "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAuo9VQ2CmWBI9/S1f30klCWjnV3lgdXMzO0WUl5iPw85lkdQqap+NFuNmHcb4K iaQB8X/PDdmtlxQQcawclj+k8f4VcOelBxlsGk5luq5ls1ob1VOIEwcKEL/h5lrdbNlI8y3SS9I/gGiBZ9ARlop9LDpD m8HPh2LOgyH7Ei1MI8=" UCS-A /security/local-user* # commit-buffer UCS-A /security/local-user #次の例は、jforlenz という名前のユーザ アカウントを作成し、ユーザ アカウントをイネーブルにし、パスワードレス アクセス用のセキュア SSH キーを設定し、トランザクションをコミットします。
UCS-A# scope security UCS-A /security # create local-user jforlenz UCS-A /security/local-user* # set account-status active UCS-A /security/local-user* # set sshkey Enter lines one at a time. Enter ENDOFBUF to finish. Press ^C to abort. User's SSH key: > ---- BEGIN SSH2 PUBLIC KEY ---- >AAAAB3NzaC1yc2EAAAABIwAAAIEAuo9VQ2CmWBI9/S1f30klCWjnV3lgdXMzO0WUl5iPw8 >5lkdQqap+NFuNmHcb4KiaQB8X/PDdmtlxQQcawclj+k8f4VcOelBxlsGk5luq5ls1ob1VO >IEwcKEL/h5lrdbNlI8y3SS9I/gGiBZ9ARlop9LDpDm8HPh2LOgyH7Ei1MI8= > ---- END SSH2 PUBLIC KEY ---- > ENDOFBUF UCS-A /security/local-user* # commit-buffer UCS-A /security/local-user #ローカル認証されたユーザへのパスワード強度チェックのイネーブル化
手順パスワードの強度の確認を有効にするには、ユーザが admin または aaa 権限を持っている必要があります。 パスワードの強度の確認が有効になっている場合、Cisco UCS Manager では、強力なパスワードのガイドラインを満たしていないパスワードを選択できません。
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # enforce-strong-password {yes | no} パスワードの強度確認をイネーブルにするか、ディセーブルにするかを指定します。
ユーザ アカウントの Web セッション制限の設定
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope system システム モードを開始します。
ステップ 2 UCS-A /system # scope services システム サービス モードを開始します。
ステップ 3 UCS-A /system/services # scope web-session-limits システム サービス Web セッション制限モードを開始します。
ステップ 4 UCS-A /system/services/web-session-limits # set peruser num-of-logins-per-user 各ユーザに許可する同時 HTTP および HTTPS セッションの最大数を設定します。
1 ~ 256 の整数を入力します。 デフォルトでは、この値は 32 に設定されています。
ステップ 5 UCS-A /system/services/web-session-limits # commit-buffer トランザクションをシステムの設定にコミットします。
次に、各ユーザ アカウントに許可する HTTP および HTTPS セッションの最大数を 60 に設定し、トランザクションをコミットする例を示します。
UCS-A# scope system UCS-A /system # scope services UCS-A /system/services # scope web-session-limits UCS-A /system/services/web-session-limits* # set peruser 60 UCS-A /system/services/web-session-limits* # commit-buffer UCS-A /system/services/web-session-limits #ユーザ アカウントへのロールの割り当て
手順ユーザ ロールと権限の変更は、次回ユーザがログインするまで有効になりません。 ユーザ アカウントへの新しいロールの割り当てや既存のロールの削除を行うときにユーザがログインしている場合、アクティブなセッションは以前のロールや権限を引き続き使用します。
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # scope local-user local-user-name 指定したローカル ユーザ アカウントに対するセキュリティ ローカル ユーザ モードを開始します。
ステップ 3 UCS-A /security/local-user # create role role-name ユーザ アカウントに指定したロールを割り当てます。
(注) create role コマンドは、あるユーザ アカウントに複数のロールを割り当てるために複数回入力できます。
ステップ 4 UCS-A security/local-user # commit-buffer トランザクションをコミットします。
ユーザ アカウントへのロケールの割り当て
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # scope local-user local-user-name 指定したローカル ユーザ アカウントに対するセキュリティ ローカル ユーザ モードを開始します。
ステップ 3 UCS-A /security/local-user # create locale locale-name ユーザ アカウントに指定したロケールを割り当てます。
(注) create locale コマンドは、あるユーザ アカウントに複数のロケールを割り当てるために複数回入力できます。
ステップ 4 UCS-A security/local-user # commit-buffer トランザクションをコミットします。
ユーザ アカウントからのロールの削除
手順ユーザ ロールと権限の変更は、次回ユーザがログインするまで有効になりません。 ユーザ アカウントへの新しいロールの割り当てや既存のロールの削除を行うときにユーザがログインしている場合、アクティブなセッションは以前のロールや権限を引き続き使用します。
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # scope local-user local-user-name 指定したローカル ユーザ アカウントに対するセキュリティ ローカル ユーザ モードを開始します。
ステップ 3 UCS-A /security/local-user # delete role role-name ユーザ アカウントから指定したロールを削除します。
(注) ユーザ アカウントから複数のロールを削除するために、delete role コマンドを複数回入力できます。
ステップ 4 UCS-A security/local-user # commit-buffer トランザクションをコミットします。
ユーザ アカウントからのロケールの削除
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # scope local-user local-user-name 指定したローカル ユーザ アカウントに対するセキュリティ ローカル ユーザ モードを開始します。
ステップ 3 UCS-A /security/local-user # delete locale locale-name ユーザ アカウントから指定したロケールを削除します。
(注) ユーザ アカウントから複数のロケールを削除するために、delete locale コマンドを複数回入力できます。
ステップ 4 UCS-A security/local-user # commit-buffer トランザクションをコミットします。
ユーザ アカウントのイネーブル化またはディセーブル化
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # scope local-user ローカル ユーザ セキュリティ モードを開始します。
ステップ 3 UCS-A /security/local-user # set account-status {active | inactive} ローカル ユーザ アカウントをイネーブルにするか、ディセーブルにするかを指定します。
admin ユーザ アカウントは常にアクティブに設定されます。 変更はできません。
(注) アカウント ステータスを非アクティブに設定しても、データベースからコンフィギュレーションは削除されません。
ローカル認証されたユーザのパスワード履歴のクリア
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # scope local-user user-name 指定されたユーザ アカウントに対するローカル ユーザ セキュリティ モードを開始します。
ステップ 3 UCS-A /security/local-user # set clear password-history yes 指定されたユーザ アカウントのパスワード履歴をクリアします。
ステップ 4 UCS-A /security/local-user # commit-buffer トランザクションをシステムの設定にコミットします。
ユーザ アカウントの削除
ローカル認証されたユーザのパスワード プロファイル
パスワード プロファイルには、Cisco UCS Manager のローカル認証されたユーザ全員のパスワード履歴とパスワード変更間隔のプロパティが含まれています。 ローカル認証されたユーザそれぞれに異なるパスワード プロファイルを指定することはできません。
(注)
パスワード プロファイル プロパティを変更するには、admin または aaa 権限を持っている必要があります。 パスワード履歴を除き、これらのプロパティは、admin または aaa 権限を持つユーザに適用されません。
Password History Count
パスワード履歴カウントによって、ローカル認証されたユーザが何度も同じパスワードを再利用しないようにすることができます。 このプロパティが設定されている場合、Cisco UCS Manager は、ローカル認証されたユーザがこれまでに使用した最大 15 個のパスワードを保存します。 パスワードは最近のものから時系列に逆順で格納され、履歴カウントがしきい値に達すると、最も古いパスワードだけが再利用可能になります。
あるパスワードが再利用可能になるまでに、ユーザはパスワード履歴カウントで設定された数だけパスワードを作成して使用する必要があります。 たとえば、パスワード履歴カウントを 8 に設定した場合、ローカル認証されたユーザは、9 番目のパスワードが期限切れになるまで、最初のパスワードを再利用できません。
デフォルトでは、パスワード履歴は 0 に設定されます。 この値によって履歴カウントが無効化されるため、ユーザはいつでも以前のパスワードを使用できます。
必要に応じて、ローカル認証されたユーザのパスワード履歴カウントをクリアし、以前のパスワードの再利用を有効にできます。
パスワード変更間隔
パスワード変更間隔によって、ローカル認証されたユーザが特定の時間内に実施できるパスワード変更の回数を制限することができます。 次の表は、パスワード変更間隔の 2 つの設定オプションを示しています。
間隔の設定 説明 例 No password change allowed
このオプションを設定すると、ローカル認証されたユーザは、パスワードを変更してから特定の時間内はパスワードを変更できなくなります。
1 ~ 745 時間の変更禁止間隔を指定できます。 デフォルトでは、変更禁止間隔は 24 時間です。
たとえば、ローカル認証されたユーザが 48 時間以内にパスワードを変更できないようにするには、次のように設定します。
Password changes allowed within change interval
このオプションでは、事前に定義した時間内にローカル認証ユーザがパスワードを変更できる最大回数を指定します。
変更間隔を 1 ~ 745 時間、パスワード変更の最大回数を 0 ~ 10 に指定できます。 デフォルトでは、ローカル認証されたユーザは、48 時間以内に最大 2 回パスワードを変更できます。
たとえば、ローカル認証されたユーザがパスワードを変更した後 24 時間以内に最大 1 回それを変更できるようにするには、次のように設定します。
変更間隔のパスワード変更の最大数の設定
手順パスワード プロファイル プロパティを変更するには、admin または aaa 権限を持っている必要があります。 パスワード履歴を除き、これらのプロパティは、admin または aaa 権限を持つユーザに適用されません。
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # scope password-profile パスワード プロファイル セキュリティ モードを開始します。
ステップ 3 UCS-A /security/password-profile # set change-during-interval enable ローカル認証されたユーザが指定された時間の間に実行できるパスワード変更の回数を制限します。
ステップ 4 UCS-A /security/password-profile # set change-count pass-change-num [Change Interval] の間に、ローカル認証されたユーザがパスワードを変更できる最大回数。 を指定します
この値は、0 ~ 10 から自由に設定できます。
ステップ 5 UCS-A /security/password-profile # set change-interval num-of-hours [Change Count] フィールドで指定したパスワード変更回数が適用される最大時間数。 を指定します
この値は、1 ~ 745 時間から自由に設定できます。
たとえば、このフィールドが 48 に設定され、[Change Count] フィールドが 2 に設定されている場合、ローカル認証されたユーザは 48 時間以内に 2 回以上パスワードを変更できません。
ステップ 6 UCS-A /security/password-profile # commit-buffer トランザクションをシステムの設定にコミットします。
次の例は、change during interval オプションをイネーブルにし、変更回数を 5 回、変更間隔を 72 時間に設定し、トランザクションをコミットします。
UCS-A # scope security UCS-A /security # scope password-profile UCS-A /security/password-profile # set change-during-interval enable UCS-A /security/password-profile* # set change-count 5 UCS-A /security/password-profile* # set change-interval 72 UCS-A /security/password-profile* # commit-buffer UCS-A /security/password-profile #パスワードの変更禁止間隔の設定
手順パスワード プロファイル プロパティを変更するには、admin または aaa 権限を持っている必要があります。 パスワード履歴を除き、これらのプロパティは、admin または aaa 権限を持つユーザに適用されません。
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # scope password-profile パスワード プロファイル セキュリティ モードを開始します。
ステップ 3 UCS-A /security/password-profile # set change-during-interval disable 間隔中の変更機能をディセーブルにします。
ステップ 4 UCS-A /security/password-profile # set no-change-interval min-num-hours 新たに作成したパスワードが変更可能になるまでに、ローカル認証されたユーザが待つ必要がある最小時間数。 を指定します
この値は、1 ~ 745 時間から自由に設定できます。
この間隔は、[Change During Interval] プロパティが [Disable] に設定されていない場合は無視されます。
ステップ 5 UCS-A /security/password-profile # commit-buffer トランザクションをシステムの設定にコミットします。
次に、間隔中の変更オプションをディセーブルにし、変更禁止間隔を 72 時間に設定し、トランザクションをコミットする例を示します。
UCS-A # scope security UCS-A /security # scope password-profile UCS-A /security/password-profile # set change-during-interval disable UCS-A /security/password-profile* # set no-change-interval 72 UCS-A /security/password-profile* # commit-buffer UCS-A /security/password-profile #パスワード履歴カウントの設定
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # scope password-profile パスワード プロファイル セキュリティ モードを開始します。
ステップ 3 UCS-A /security/password-profile # set history-count num-of-passwords ローカル認証されたユーザが、以前に使用されたパスワードを再利用できるまでに、作成する必要がある一意のパスワードの数を指定します
この値は、0 ~ 15 から自由に設定できます。
デフォルトでは、[History Count] フィールドは 0 に設定されます。この値によって履歴カウントが無効化されるため、ユーザはいつでも以前のパスワードを使用できます。
ステップ 4 UCS-A /security/password-profile # commit-buffer トランザクションをシステムの設定にコミットします。
ユーザ セッションのモニタリング
手順
コマンドまたはアクション 目的 ステップ 1 UCS-A# scope security セキュリティ モードを開始します。
ステップ 2 UCS-A /security # show user-session {local | remote} [detail] システムにログインしているすべてのユーザのセッション情報を表示します。 セッション ID の横のアスタリスク(*)は、現在のログイン セッションを示します。
次に、システムにログインしているすべてのローカル ユーザのリストを表示する例を示します。 アスタリスクは、どのセッションが現在のログイン セッションであるかを示します。
UCS-A# scope security UCS-A /security # show user-session local Session Id User Host Login Time --------------- --------------- -------------------- ---------- pts_25_1_31264* steve 192.168.100.111 2009-05-09T14:06:59 ttyS0_1_3532 jeff console 2009-05-02T15:11:08 web_25277_A faye 192.168.100.112 2009-05-15T22:11:25次に、システムにログインしているすべてのローカル ユーザの詳細情報を表示する例を示します。
UCS-A# scope security UCS-A /security # show user-session local detail Session Id pts_25_1_31264: Fabric Id: A Term: pts/25 User: steve Host: 64.101.53.93 Pid: 31264 Login Time: 2009-05-09T14:06:59 Session Id ttyS0_1_3532: Fabric Id: A Term: ttyS0 User: jeff Host: console Pid: 3532 Login Time: 2009-05-02T15:11:08 Session Id web_25277_A: Fabric Id: A Term: web_25277 User: faye Host: 192.168.100.112 Pid: 3518 Login Time: 2009-05-15T22:11:25