Cisco 4700 シリーズ Application Control Engine Appliance Device Manager GUI コンフィギュレー ション ガイド
ACE Appliance の管理
ACE Applianceの管理
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

ACE Applianceの管理

Admin 機能の概要

Cisco ACE Applianceへのアクセスの制御

ユーザのタイプ

ロールについて

操作権限について

ドメインについて

ユーザの管理

ユーザの管理上の注意事項

ユーザのリストの表示

ユーザ アカウントの作成

ユーザ アカウントの修正

ユーザ アカウントの削除

現在のユーザ セッションの表示

アクティブ ユーザの削除

アクティブ ユーザ セッションの終了

ユーザ パスワードの変更

Admin パスワードの変更

ユーザ ロールの管理

ユーザ ロールの管理上の注意事項

ACE Appliance Device Manager でのロール マッピング

仮想サーバに関連する RBAC ユーザ ロール要件

ユーザ ロールの表示

ユーザ ロールの作成

ユーザ ロールの修正

ユーザ ロールの削除

ルールの追加、編集、または削除

ドメインの管理

ドメインの管理上の注意事項

ネットワーク ドメインの表示

ドメインの作成

ドメインの修正

ドメインの削除

ドメインへのドメイン オブジェクトの追加またはドメインからのドメイン オブジェクトの削除

ACE Appliance統計情報のモニタリング

ACE Appliance サーバ統計情報の表示

ACE Appliance サーバの統計情報収集の設定

Admin ツールの使用

ACE Applianceの管理

ここでは、ACE Appliance Device Manager を使用して ACE Applianceを管理する方法について説明します。

「Admin 機能の概要」

「Cisco ACE Applianceへのアクセスの制御」

「ユーザの管理」

「ユーザ ロールの管理」

「ドメインの管理」

「ACE Appliance統計情報のモニタリング」

「Admin ツールの使用」

ACE Appliance Device Manager にログインする方法の詳細については、「ACE Appliance Device Manager へのログイン」を参照してください。

Admin 機能の概要

[Admin] タブでは、ロールベース アクセス コントロースの管理、ACE Applianceの統計情報データの設定および表示を実行したり、ACE Appliance Device Manager のトラブルシューティング ツールを使用したりできます。


) 一部の Admin オプションは一部のユーザに対して表示されない場合があります。ログインに割り当てられたロールによって、使用可能なオプションが決まります。


表 13-1 で、 [Admin] をクリックしたときに表示されるオプションについて説明します。

 

表 13-1 [Admin] メニュー オプション

メニュー
オプション
説明
参照先

[Role-Based Access Control]

[Users]

ユーザとそれらのコンテキストへのアクセスを管理します。

「ユーザの管理」を参照してください。

[Active Users]

アクティブなユーザのセッションを表示または終了します。

「現在のユーザ セッションの表示」または「アクティブ ユーザ セッションの終了」を参照してください。

[Roles]

コマンドおよびリソースへのユーザのアクセスを管理します。

「ユーザ ロールの管理」を参照してください。

[Domains]

選択されたコンテキスト ユーザのグループと、選択されたコンテキスト オブジェクトのグループとのアソシエーションを管理します。

「ドメインの管理」を参照してください。

[Device Management]

ACE Appliance Device Manager のステータスをチェックします。

「ACE Appliance統計情報のモニタリング」を参照してください。

[Tools]

Cisco サポート ラインに問題を報告して診断パッケージを生成し、ACE Applianceから表示または追跡するファイルにアクセスして、すべての仮想コンテキスト設定を ACE Appliance からのCLI 設定で置き換えます。

「ACE Appliance Device Manager トラブルシューティング ツールの使用」を参照してください。

関連トピック

「ACE Applianceの管理」

「Cisco ACE Applianceへのアクセスの制御」

Cisco ACE Applianceへのアクセスの制御

ACE Appliance Device Manager へのアクセスは、ACE Applianceにアクセスする場合と同じユーザ名およびパスワードを使用して制御されます。これにより、ローカル データベース、または外部 RADIUS、TACACS+、または LDAP サーバに対する認証が可能になります。ローカル データベースではなく AAA を使用した認証を選択した場合は、CLI を使用して AAA を設定する必要があります。AAA サーバを使用したリモート認証の設定方法の詳細については、『 Cisco 4700 Series Application Control Engine Appliance Security Configuration Guide 』を参照してください。


) ACE は、ACE 上のローカル データベースを使用したローカル ユーザの認証、または1 つ以上の AAA サーバを使用するリモート認証を通じたローカル ユーザの認証をサポートします。AAA リモート サーバは、TACACS+ サーバ、RADIUS サーバ、または LDAP サーバの独立したグループに分類されます。認証によって、有効なユーザ名とパスワードの指定を要求することで、ACE へのユーザ アクセスを制御できます。認証を使用しないと、パスワードは検証されません。CLI から、ユーザ認証およびアカウンティング機能をサポートするように ACE Appliance を設定すると、Device Manager は、指定したリモート サーバによって実行されるタスクをサポートします。認証およびアカウンティングの詳細については、『Cisco 4700 Series Application Control Engine Appliance Security Configuration Guide』を参照してください。

また、リモート サーバ上でユーザに関連付けられたロールとドメインも Device Manager によってサポートされます。


ACE Appliance Device Manager は、AAA を設定しません。代わりに、機能へのアクセスに関してロールベース アクセス コントロールを使用します。ユーザがシステムにログインすると、ユーザが実行可能な特定のタスクと使用可能なシステムの領域は、 コンテキスト、ロール 、および ドメイン によって制御されます。ユーザのアクセスを制限する必要がある場合は、最初にロール/ドメイン ペアを割り当てる必要があります。

ユーザに割り当てられたロールによって、ユーザが実行可能なタスクと、階層内で表示可能な項目が定義されます。ロールは、事前に定義されるか、システム管理者によって設定されます。各ロール、ユーザ、およびドメインは、コンテキストに関連付けられます。Admin コンテキストに関連付けられたロールとドメインだけが、その他のコンテキストを表示できます。詳細については、「ロールについて」を参照してください。

ドメインは、管理対象オブジェクトの集合です。ユーザにドメインへのアクセス権が付与されている場合、ドメインは、仮想コンテキストとして表示されるネットワーク上のオブジェクトのサブセットのフィルタとして動作します。ドメインによって制御されるシステム内のオブジェクトのタイプは、次のとおりです。

次に一覧表示されたすべてのオブジェクト

Access list - Ethertype

Access list - Extended

Class-map

Interface VLAN

Interface BVI

Parameter-map

Policy-map

Probe

Real server

Script

Server farm

Sticky

したがって、ロールベース アクセス コントロールは、ユーザが、アクセス権の付与されているドメインに含まれるデバイスまたはサービスだけを表示でき、処理だけを実行できるように保証します。

図 13-1 ロールベース アクセス コントロールの包含の概要

 

次に、ロールベース アクセス コントロールの包含の例を示します。

 

ドメイン

東海岸のサーバ

中央のサーバ

西海岸のサーバ

ロール

Web サーバ管理者

ユーザ

ユーザ A

ユーザ B

ユーザ C

(注) 各アソシエーションは、1 対多です。

設定、モニタリング、管理などのその他のすべてのユーザ インターフェイスが、次のロールベース アクセス コントロール ポリシーに準じます。

ロールは、ユーザが表示できる画面(または、それらの画面上の機能)を制限します。

ドメインは、ロールによって許可された画面上に一覧表示されるオブジェクトを制限します。

ユーザ(管理者以外)は、割り当てられているドメインのサブドメインだけを作成できます。ただし、親/子関係は、ドメイン間で保持されません。

システム管理者ユーザ(Admin)は、すべてのオブジェクトを表示および修正できます(d fs およびドメインを除く)。他のすべてのユーザは、図 13-1 に示すロールベース アクセス コントロールに準じます。

関連トピック

「ユーザのタイプ」

「ロールについて」

「操作権限について」

「ドメインについて」

「ユーザの管理」

ユーザのタイプ

2 つのタイプのユーザが ACE Applianceを設定および監視します。

デフォルト ユーザ:ACE Applianceがインストールされているデータセンターまたは IT 部門に関連付けられた個人。デフォルトの管理アカウント(ユーザ ID admin )は、システムに事前に設定されたシステム ユーザ アカウントです。admin ユーザ パスワードは、システムがインストールされたときに事前に設定されます。admin ユーザ パスワードは、ユーザ パスワードと同じ方法で変更できます(「ユーザの管理」を参照)。

事前定義されたシステム ロールは、ロール、ドメイン、および操作の権限の観点から見て指定されています。1 つのコンテキスト内では、各ロールは特定の操作およびドメインのセットと一緒に動作します。

割り当てられたユーザ:ACE Applianceへのアクセス権を付与する対象であるユーザ。ロールおよび所属するドメインを選択することで、ユーザに制限付きのアクセス権を割り当てることができます。ユーザは、他のコンテキストへの変更は許可されておらず、作成されたコンテキスト内で特定の操作およびドメインのセットで動作できます。

関連トピック

「ユーザの管理」

「ユーザの管理上の注意事項」

「ユーザのリストの表示」

「ユーザ アカウントの作成」

ロールについて

ユーザ ロールによって、ユーザが保持する権限、アクセス可能な機能、特定のコンテキストで実行可能な処理が決まります。

Cisco ACE Applianceには、事前定義されたロールのセットがあります(表 13-2を参照)。また、システム管理者は追加のロールを定義できます。ロールは、ルールとして知られている、リソース タイプと操作の権限の観点から指定されます。ロールごとに、ルールは、ロールが作業可能なリソース タイプと、各リソース タイプに対してロールが実行可能な操作について権限を提供します。

各ユーザは 1 つのロールに割り当てられ(Network-Monitor がデフォルト)、そのロールに割り当てられたルールごとに指定されている操作権限を継承します。複数のユーザが、1 つのロールに割り当てられます。他の割り当てられたロールとは無関係に、ロールごとに異なるアクセス権限(ルールの形式で)を持つことができます。

メニューでユーザに対して表示されるオプションは、ユーザのロールに従ってフィルタされます。


) ユーザのアクセスを制限する必要がある場合は、ロール/ドメイン ペアを割り当てる必要があります。ロール/ドメイン ペアを割り当てないと、ユーザがどのロールを持っているかに関係なく、ユーザはどの特定のリソースにもアクセスできず、システムに対して権限がない場合と同じ状態になります。


すべてのユーザが、コンテキスト、ロール、およびドメインの組み合わせによって厳密に制限されます。たとえば、ユーザは、上位の権限またはアクセス権を持つ別のユーザや、ドメイン外部の別のユーザを作成することはできません。

ユーザによって現在参照されているロールは、削除できません。事前定義されたロールは、変更または削除できません。

関連トピック

「ユーザ ロールの管理上の注意事項」

「ACE Appliance Device Manager でのロール マッピング」

「ユーザ ロールの表示」

「ユーザ ロールの作成」

「ユーザ ロールの修正」

「ユーザ ロールの削除」

操作権限について

操作権限は、指定されたコンテキストでユーザが何を実行できるかを定義します。2 つのアクセス レベルがあります。第 1 レベルは、許可または拒否アクセス権です。第 2 レベルは、ユーザによる実行を許可または拒否する操作権限です。たとえば、ACE Applianceの各機能には割り当てられた権限があります。ユーザの権限が不十分な場合は、その機能は使用できません。最低の権限レベルから最高の権限レベルまでで、次の操作権限を許可または拒否することができます。

監視:ユーザに統計情報の表示とパラメータ収集の指定を許可します。

修正:ユーザに、設定などの、システム オブジェクトに関連付けられた永続的な情報の変更を許可します。

デバッグ:ユーザに既存の問題に関する情報の収集を許可します。

作成:ユーザに、システム オブジェクトの制御、たとえば、システム オブジェクトの作成、有効化、起動などを許可します。また、削除権限も持ちます。

権限は階層型です。ユーザが修正権限を持つ場合は、監視権限も持っています。ユーザが作成権限またはデバッグ権限を持つ場合は、修正権限も持っています。Admin だけが、リソース クラス管理アクセス権を持っています。


) 作成機能には、自動的に修正機能が含まれますが、逆は当てはまりません(修正権限を持つユーザは、自動的に項目を作成できるようにはなりません)。


関連トピック

「ユーザ ロールの管理上の注意事項」

「ACE Appliance Device Manager でのロール マッピング」

「ユーザ ロールの管理」

ドメインについて

Cisco ACE Appliance には、すべてのオブジェクトを含む、事前定義されたデフォルトのドメインがあります。事前定義されたドメインは修正または削除できません。システム管理者は追加のドメインを定義できます。ドメインは、ユーザにアクセス権を付与する管理対象オブジェクトの集合です。カスタマイズしたドメインを設定することで、ネットワーク上のオブジェクトのサブセットをフィルタできます。その後、ユーザに、このドメインへのアクセス権を付与します。

たとえば、ユーザは、アクセス権を持つドメインに含まれるものだけを表示できます(行のフィルタリングによって実現されます)。デフォルトのドメインに 50 のオブジェクトが含まれ、カスタマイズしたドメイン dom1 が Rserver rs1、Rserver rs2、Serverfarm sf1、Serverfarm sf2、および Accesslist extended acl1 のドメイン オブジェクトから構成される場合、ドメイン dom1 に関連付けられたユーザは、コンテキスト全体の中で、これらの 5 つのオブジェクトだけを表示できます。

任意のテーブルでユーザに対して表示される行は、そのユーザがアクセス権を持つドメインに従ってフィルタされます。


) ユーザのアクセスを制限する必要がある場合は、ロール/ドメイン ペアを割り当てる必要があります。ロール/ドメイン ペアを割り当てないと、ユーザがどのロールを持っているかに関係なく、ユーザはどの特定のリソースにもアクセスできず、システムに対して権限がない場合と同じ状態になります。


関連トピック

「ドメインの管理」

「ドメインの管理上の注意事項」

ユーザの管理

システムへのログインを許可するユーザを指定するには、ロールベース アクセス コントロール機能を使用します。ここでは、ユーザ アカウントを管理する方法について説明します。

「ユーザの管理上の注意事項」

「ユーザのリストの表示」

「ユーザ アカウントの作成」

「ユーザ アカウントの修正」

「ユーザ アカウントの削除」

「現在のユーザ セッションの表示」


) ACE は、ACE 上のローカル データベースを使用したローカル ユーザの認証、または1 つ以上の AAA サーバを使用するリモート認証を通じたローカル ユーザの認証をサポートします。AAA リモート サーバは、TACACS+ サーバ、RADIUS サーバ、または LDAP サーバの独立したグループに分類されます。認証によって、有効なユーザ名とパスワードの指定を要求することで、ACE へのユーザ アクセスを制御できます。認証を使用しないと、パスワードは検証されません。CLI から、ユーザ認証およびアカウンティング機能をサポートするように ACE Appliance を設定すると、Device Manager は、指定したリモート サーバによって実行されるタスクをサポートします。認証およびアカウンティングの詳細については、『Cisco 4700 Series Application Control Engine Appliance Security Configuration Guide』を参照してください。

また、リモート サーバ上でユーザに関連付けられたロールとドメインも Device Manager によってサポートされます。


ユーザの管理上の注意事項

Admin コンテキストで作成されたユーザの場合、デフォルトのアクセス スコープは ACE 全体になります。

新規ユーザにロールを割り当てない場合、デフォルトのユーザ ロールは Network-Monitor です。その他のコンテキストで作成されたユーザの場合、デフォルトのアクセス スコープはコンテキスト全体になります。

ユーザは、ドメインとユーザ ロールに関連付けられるまでログインできません。

既存のユーザに関連付けられているロールとドメインは削除できません。

ユーザのリストの表示

手順


ステップ 1 [Admin] > [Role-Based Access Control] > [Users] を選択します。次のフィールドを持つ [Users] テーブルが表示されます。

[Name]

[Expiry Date]

[Role]

[Domains]

ステップ 2 この画面のオプションを使用して、新規ユーザを作成したり、アクセス権を持つ既存のユーザを修正または削除したりすることができます( 表 13-2 を参照)。


 

関連トピック

「ユーザ アカウントの作成」

「ユーザ アカウントの削除」

「ユーザの管理」

「ユーザの管理上の注意事項」

ユーザ アカウントの作成


) このオプションが使用できるかどうかは、ユーザのロールによって決まります。


手順


ステップ 1 [Admin] > [Role-Based Access Control] > [Users] を選択します。[Users] テーブルにユーザのリストが表示されます。

ステップ 2 [Add] をクリックします。

ステップ 3 次の必須フィールドを埋めます(特に注記がないかぎり)。

 

表 13-2 ユーザ アトリビュート

フィールド
説明

[Name]

システム内でユーザを識別するための名前を指定します(最大 24 文字)。文字、数字、および下線だけを使用できます。フィールドは、大文字と小文字を区別します。

[Expiry Date]1

ユーザ名がシステム内で使用可能な日付

[Password Entered As]

パスワードをクリア テキストとして入力するか、または暗号化するかを指定します。

[Password]

このユーザ アカウントのパスワードを指定できます。パスワードは、8 文字以上にする必要があります。

[Confirm]

パスワードが正しく入力されたことを確認します。

[Role]

ユーザがこのシステム内で何を実行できるかを定義します。次のオプションから選択するか、専用のロールを作成します。

[Admin]

[Network-Admin]

[Network-Monitor]

[Security-Admin]

[Server-Appln-Maintenance]

[Server-Maintenance]

[SLB-Admin]

[SSL-Admin]


) ユーザのアクセスを制限する必要がある場合は、ロール/ドメイン ペアを割り当てる必要があります。


事前に定義されたロールの詳細については、表 13-4を参照してください。

[Domains]

ネットワーク内のデバイスとそれらのコンポーネント(物理および論理)を編成する手段

1.必須ではありません。

ステップ 4 この設定を展開するには、 [Deploy Now] をクリックします。[Users] テーブルが再度表示されます。

ステップ 5 別のユーザを追加するには、 [Add Another] をクリックします。


 

関連トピック

「ユーザ アカウントの作成」

「ユーザ アカウントの削除」

「ユーザのリストの表示」

「ユーザの管理」

「ユーザの管理上の注意事項」

ユーザ アカウントの修正


) このオプションが使用できるかどうかは、ユーザのロールによって決まります。


手順


ステップ 1 [Admin] > [Role-Based Access Control] > [Users] を選択します。[Users] テーブルが表示されます。

ステップ 2 修正するユーザ アカウントを選択します。

ステップ 3 [Edit] をクリックします。

ステップ 4 [User details] 画面が表示されます。変更を加え( 表 13-2 を参照)、 [Deploy Now] をクリックします。

その後、[Users] テーブルが表示されます。


 

関連トピック

「ユーザ アカウントの作成」

「ユーザ アカウントの削除」

「ユーザのリストの表示」

「ユーザの管理」

「ユーザの管理上の注意事項」

ユーザ アカウントの削除

次の手順で、ユーザを削除できます。また、[Active Users] ウィンドウからユーザを削除することもできます。


) このオプションが使用できるかどうかは、ユーザのロールによって決まります。


手順


ステップ 1 [Admin] > [Role-Based Access Control] > [Users] を選択します。ユーザ、ロール、ドメイン、およびその他のユーザ情報を示す [Users] テーブルが表示されます。

ステップ 2 削除するユーザ アカウントを選択します。

ステップ 3 [Delete] をクリックします。

削除の確認を求めるウィンドウが表示されます。

ステップ 4 ユーザ アカウントを削除するには、 [OK] をクリックします。または、ユーザを削除せずに手順を終了するには、 [Cancel] をクリックします。[OK] をクリックすると、ウィンドウは [Users] テーブルとともにリフレッシュされ、削除したユーザ アカウントの表示は消えます。


 

関連トピック

「ユーザ アカウントの作成」

「ユーザ アカウントの修正」

「ユーザのリストの表示」

「ユーザの管理」

「ユーザの管理上の注意事項」

現在のユーザ セッションの表示

現在、システムにログインしているユーザのリストを表示し、必要に応じてそれらのセッションを終了できます。

使用可能なドメイン内のユーザだけを表示できます。


) このオプションが使用できるかどうかは、ユーザのロールによって決まります。


手順


ステップ 1 [Admin] > [Role-Based Access Control] > [Active Users] を選択します。

[Active User Sessions] 画面に、ログインしている各アクティブ ユーザに関する次の情報が表示されます。

 

表 13-3 [Active User Session] 画面の情報

カラム
説明

[Name]

ACE appliance Device Manager へのログインに使用される名前

[Type of Login]

ログインに使用する方式。たとえば、WEB または CLI

[Login From IP]

ホストの IP アドレス

[Time Of Login]

ユーザがログインした時間

ステップ 2 アクティブな Web セッションを終了するには、 [Terminate] をクリックします(詳細については、「アクティブ ユーザ セッションの終了」を参照してください)。CLI ユーザ セッションは終了できません。


 

関連トピック

「アクティブ ユーザの削除」

「アクティブ ユーザ セッションの終了」

「ユーザのリストの表示」

「ユーザの管理」

「ユーザの管理上の注意事項」

アクティブ ユーザの削除

次の手順で、ユーザを削除できます。 [Admin] > [Role-Based Access Control] > [Users] メニューを使用して、ユーザを削除することもできます。


) このオプションが使用できるかどうかは、ユーザのロールによって決まります。


手順


ステップ 1 [Admin] > [Role-Based Access Control] > [Active Users] を選択します。

ステップ 2 削除するユーザ アカウントを含むテーブルの行を選択します。

ステップ 3 [Delete] をクリックします。

選択したユーザが、ACE Appliance Device Manager から削除されます。


 

関連トピック

「現在のユーザ セッションの表示」

「アクティブ ユーザ セッションの終了」

「ユーザの管理」

アクティブ ユーザ セッションの終了

ユーザ セッションを終了すると、そのユーザは、ユーザ セッションを開始したインターフェイスからログアウトされます。ユーザが設定に変更を加えている場合は、設定のロックが解除され、確定されていない設定の変更は廃棄されます。

操作の進行中にユーザ セッションを終了すると、現在の操作は停止されませんが、以降の操作は拒否されます。


) このオプションが使用できるかどうかは、ユーザのロールによって決まります。


手順


ステップ 1 [Admin] > [Role-Based Access Control] > [Active Users] を選択します。

ステップ 2 終了するユーザ セッションを含むテーブルの行を選択します。

ステップ 3 [Terminate] をクリックします。

選択したユーザは、強制的にシステムからログアウトされます。


 

関連トピック

「現在のユーザ セッションの表示」

「アクティブ ユーザの削除」

「ユーザの管理」

「Cisco ACE Applianceへのアクセスの制御」

ユーザ パスワードの変更


) このオプションが使用できるかどうかは、ユーザのロールによって決まります。


手順


ステップ 1 [Admin] > [Role-Based Access Control] > [Users ] を選択します。ユーザのテーブルが表示されます。

ステップ 2 修正するユーザ アカウントを選択します。

ステップ 3 [Edit] をクリックします。

ステップ 4 アトリビュート テーブルでパスワード アトリビュートを変更します( 表 13-2 を参照)。

ステップ 5 [Deploy Now] をクリックして、この設定を展開し、[Users] テーブルに戻ります。


 

関連トピック

「ユーザの管理」

「Admin パスワードの変更」

Admin パスワードの変更

各 ACE Appliance では、デバイスに admin ユーザ アカウントが組み込まれています。ルート ユーザ ID は admin で、パスワードはシステムのインストール時に設定されます。Admin パスワードの変更方法の詳細については、「アカウント パスワードの変更」を参照してください。

ユーザ ロールの管理

ユーザ定義のロールを追加、修正、および削除するには、ロール機能を使用します。事前定義されたロールは、背景付きの灰色の斜体テキストで表示され、削除または修正できません。

ユーザのロールによって、ユーザがアクセス可能なタスクが決まります。各ロールは、このロールにどの機能へのアクセスが含まれるかを定義するアクセス権またはルールに関連付けられます。

ここでは、ユーザ ロールを管理する方法について説明します。

「ユーザ ロールの管理上の注意事項」

「ACE Appliance Device Manager でのロール マッピング」

「仮想サーバに関連する RBAC ユーザ ロール要件」

「ユーザ ロールの表示」

「ユーザ ロールの作成」

「ユーザ ロールの修正」

「ユーザ ロールの削除」

ユーザ ロールの管理上の注意事項

ロールを管理する際は、次の注意事項を留意してください。

管理者は、すべてのロールを表示および修正できます。

その他のユーザは、そのユーザに割り当てられたロールだけを表示できます。

デフォルトのロールは変更できません。

ロールのアクセス権は、Admin コンテキストで作成されたか、Admin 以外のコンテキストまたはユーザ コンテキストで作成されたかによって異なります。ユーザにコンテキスト間の切り替えを許可する場合は、そのユーザが事前定義されたロールを持っていることを確認してください。ユーザをホーム コンテキストだけに制限する場合は、そのユーザにカスタマイズしたユーザ ロールを割り当てます。

デフォルトのロールだけが使用できる特定のロール機能があります。たとえば、Admin コンテキストの Admin ロールは changeto および system アクセス権を持ち、ライセンス管理、リソース クラス管理、HA セットアップなどのタスクを実行できます。ユーザが作成したロールは、これらの機能を使用できません。

事前定義されたロールについて

表 13-4 に、事前定義されたロールとそれらの権限を定義しています。この表には、Admin コンテキストとユーザ コンテキスト(admin 以外のコンテキスト)でのルールの違いについても記載されています。ロールベース アクセス コントロールの詳細については、『 Cisco 4700 Series Application Control Engine Appliance Virtualization Configuration Guide 』を参照してください。事前定義されたロールを ACE Appliance Device Manager タスクおよび機能にマッピングする方法の詳細については、 表 13-5 を参照してください。

changeto コマンド(ユーザが他のコンテキストに切り替えることができる)を使用するには、Admin コンテキストの事前定義されたロールのうち 1 つを保持している必要があります。admin 以外のコンテキストまたはユーザ コンテキストは、 changeto コマンドへのアクセス権を持っていません。それらは、ホーム コンテキストだけにアクセスできます。複数のコンテキストへのアクセス権を持つコンテキスト管理者は、アクセス権を持つ他のコンテキストに明示的にログインする必要があります。

 

表 13-4 Admin コンテキストおよびユーザ コンテキストの事前定義されたロール ルール

事前定義されたロール/コンテキスト
説明
操作
機能
Admin ロール

Admin コンテキスト

Admin コンテキストで作成された場合、ユーザは、すべてのコンテキストに完全にアクセスでき、ACE 全体のすべてのコンテキスト、ドメイン、ロール、ユーザ、リソース、およびオブジェクトに完全にアクセスでき、それらを制御できます。

デバッグ

作成

修正

監視

すべて(コンテキスト サービス設定)

ユーザ アクセス(ロール、ドメイン、およびユーザ)

システム(コンテキスト管理)

changeto コマンド(すべてのコンテキストへのアクセス)

exec コマンド(すべてのデフォルト カスタム ロール コマンドをイネーブル化)

ユーザ コンテキスト

ユーザ コンテキストで作成された場合、ユーザは、そのコンテキスト内のすべてのオブジェクトに完全にアクセスでき、それらを制御できます。

作成

すべて

ユーザ アクセス

Network-Admin ロール

Admin コンテキスト

L3(IP およびルート)および L4 VIP の Admin

作成

インターフェイス

ルーティング

接続パラメータ

Network Address Translation(NAT; ネットワーク アドレス変換)

VIP

設定のコピー2

changeto コマンド

exec コマンド

ユーザ コンテキスト

L3(IP およびルート)および L4 VIP へのアクセス

作成

インターフェイス

ルーティング

接続パラメータ

Network Address Translation(NAT; ネットワーク アドレス変換)

VIP

設定のコピー1

Network-Monitor ロール

Admin コンテキスト

すべての機能のモニタリング

監視

すべての show コマンド

changeto コマンド

exec コマンド

ユーザ コンテキスト

すべての機能のモニタリング

監視

すべての show コマンド

Security-Admin ロール

Admin コンテキスト

セキュリティ機能

作成

Access Control List(ACL; アクセス コントロール リスト)

アプリケーション インスペクション

接続パラメータ

Authentication, authorization and accounting(AAA; 認証、許可、アカウンティング)

NAT

設定のコピー1

changeto コマンド

exec コマンド

修正

インターフェイス

ユーザ コンテキスト

セキュリティ機能

作成

Access Control List(ACL; アクセス コントロール リスト)

アプリケーション インスペクション

接続パラメータ

Authentication, authorization and accounting(AAA; 認証、許可、アカウンティング)

NAT

設定のコピー1

修正

インターフェイス

Server-Appln-Maintenance ロール

Admin コンテキスト

サーバ メンテナンスおよび L7 ポリシー アプリケーション

作成

実サーバ

サーバ ファーム

ロード バランシング

設定のコピー1

changeto コマンド

exec コマンド

ユーザ コンテキスト

サーバ メンテナンスおよび L7 ポリシー アプリケーション

作成

実サーバ

サーバ ファーム

ロード バランシング

設定のコピー1

Server-Maintenance ロール

Admin コンテキスト

サーバ メンテナンス、モニタリング、およびデバッグ

デバッグ

サーバ ファーム

VIP

プローブ

ロード バランシング

作成

changeto コマンド

exec コマンド

修正

実サーバ

ユーザ コンテキスト

サーバ メンテナンス、モニタリング、およびデバッグ

デバッグ

サーバ ファーム

VIP

プローブ

ロード バランシング

修正

実サーバ

SLB-Admin ロール

Admin コンテキスト

ロードバランシング機能

作成

実サーバ

サーバ ファーム

VIP

プローブ

ロード バランシング

NAT

設定のコピー1

実サーバ稼動中

changeto コマンド

exec コマンド

修正

インターフェイス

ユーザ コンテキスト

ロードバランシング機能

作成

実サーバ

サーバ ファーム

VIP

プローブ

ロード バランシング

NAT

設定のコピー1

実サーバ稼動中

修正

インターフェイス

SSL-Admin ロール

Admin コンテキスト

SSL 機能

作成

SSL

PKI

設定のコピー1

changeto コマンド

exec コマンド

修正

インターフェイス

ユーザ コンテキスト

SSL 機能

作成

SSL

PKI

設定のコピー1

修正

インターフェイス

2.copy コマンドの説明については、『Cisco 4700 Series Application Control Engine Appliance Command Reference』を参照してください。

関連トピック

「ACE Appliance Device Manager でのロール マッピング」

「Cisco ACE Applianceへのアクセスの制御」

「ユーザの管理」

「ユーザ ロールの管理」

「ドメインの管理」

ACE Appliance Device Manager でのロール マッピング

ACE Appliance Device Manager にログインすると、アクセス権が付与されているタスクが表示されます。 表 13-5 で、事前定義されたロール、およびそれらのロールで使用可能なメニュー タスクと機能について説明しています。ロールに適用されない機能とメニューは表示されません。

事前定義されたロールは、必要となることのあるすべてのロール タイプを網羅しているため、それらを使用することを推奨します。専用のロールを定義する場合は、CLI の機能と ACE Appliance Device Manager のメニュー タスクが 1 対 1 のマッピングではない点に注意してください。

ユーザ定義のロールに適したルールを定義するには、 表 13-4 の機能と ACE Appliance Device Manager のメニュー タスクとのマッピングを作成する必要があります。たとえば、仮想サーバを管理するためには、ロールで 6 つのメニュー機能(実サーバ、サーバ ファーム、VIP、プローブ、ロード バランシング、NAT、およびインターフェイス)を選択する必要があります。


) ACE Appliance Device Manager の機能には、CLI での対応する機能マッピングがない機能もあります。そのような例としては、クラス マップと Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル) があります。これらの機能を修正するには、修正権限を持つ機能を少なくとも 1 つは含む事前定義されたロールを選択する必要があります。


事前定義されたロールおよびそれらのデフォルトの権限の詳細については、 表 13-4 を参照してください。

 

表 13-5 ACE Appliance Device Manager でのロール マッピング

メニュー タスク
使用可能な機能
Admin の事前定義されたロール

[Config] > [Virtual Contexts] >

[System] > [Primary Attributes]

[System] > [Syslog]

[System] > [SNMP]

[System] > [Global Policies]

[System] > [Licenses]

[System] > [Resource Class]

[System] > [Application Acceleration and Optimization]

[Load Balancing] > [Virtual Servers]

[Load Balancing] > [Real Servers]

[Load Balancing] > [Server Farms]

[Load Balancing] > [Health Monitoring]

[Load Balancing] > [Stickiness]

[Load Balancing] > [Parameter Map]

[SSL] > [Certificates]

[SSL] > [Keys]

[SSL] > [Parameter Maps]

[SSL] > [Chain Group Parameters]

[SSL] > [CSR Parameters]

[SSL] > [Proxy Service]

[Security] > [ACLs]

[Network] > [Port Channel Interfaces]

[Network] > [GigabitEthernet Interfaces]

[Network] > [VLAN Interfaces]

[Network] > [BVI Interfaces]

[Network] > [Static Routes]

[High Availability (HA)] > [Setup]

[HA Tracking And Failure Detection] > [Interfaces]

[HA Tracking And Failure Detection] > [Hosts]

[Expert] > [Class Maps]

[Expert] > [Policy Maps]

[Expert] > [Action Lists]

[Config] > [Operations]

[Real Servers]

[Virtual Servers]

[Monitor] > [Virtual Contexts]

[Load Balancing]

[CPU]

[Interfaces]

[Real Servers]

[Statistics Collection]

[Probes]

[Resource Usage]

[Ping]

[Admin] > [Role-Based Access Control]

[Users]

[Active Users]

[Roles]

[Domains]

[Admin] > [Device Management]

[Statistics]

[Statistics Collection]

[Admin] > [Tools]

[Lifeline Management]

[File Browser]

Network-Admin の事前定義されたロール

[Config] > [Virtual Contexts] >

[System] > [Primary Attributes]

[System] > [SNMP]

[System] > [Global Policies]

[Load Balancing] > [Parameter Maps]

[Network] > [VLAN Interface]

[Network] > [BVI Interfaces]

[Network] > [Static Routes]

[Expert] > [Class Maps]

[Expert] > [Policy Maps]

[Config] > [Operations]

[Virtual Servers]

[Monitor] >

[Interfaces]

[Resources]

[Ping]

[Admin] > [Tools]

[File Browser]

Network-Monitor の事前定義されたロール3

[Config] > [Virtual Contexts] >

[System] > [Primary Attributes]

[System] > [Syslog]

[System] > [SNMP]

[System] > [Global Policies]

[Load Balancing] > [Virtual Servers]

[Load Balancing] > [Real Servers]

[Load Balancing] > [Server Farms]

[Load Balancing] > [Health Monitoring]

[Load Balancing] > [Stickiness]

[Load Balancing] > [Parameter Maps]

[SSL] > [Certificates]

[SSL] > [Keys]

[SSL] > [Parameter Map]

[SSL] > [Chain Group Parameters]

[SSL] > [CSR Parameters]

[SSL] > [Proxy Service]

[Security] > [ACLs]

[Network] > [VLAN Interfaces]

[Network] > [BVI Interfaces]

[Network] > [Static Routes]

[HA Tracking And Failure Detection] > [Interfaces]

[HA Tracking And Failure Detection] > [Hosts]

[Expert] > [Class Maps]

[Expert] > [Policy Maps]

[Expert] > [Action Lists]

[Config] > [Operations]

[Real Servers]

[Virtual Servers]

[Monitor] >

[Load Balancing]

[Application Acceleration]

[Interfaces]

[Real Servers]

[Probes]

[Resource Usage]

[Ping]

Security-Admin の事前定義されたロール

[Config] > [Virtual Contexts] >

[System] > [Primary Attributes]

[System] > [SNMP]

[System] > [Global Policies]

[Load Balancing] > [Parameter Maps]

[Security] > [ACLs]

[Security] > [Object Groups]

[Network] > [VLAN Interfaces]

[Network] > [BVI Interfaces]

[Expert] > [Class Maps]

[Expert] > [Policy Maps]

[Monitor] > [Virtual Contexts]

[Resource Usage]

[Ping]

[Admin] > [Tools]

[File Browser]

Server-Appln-Maintenance の事前定義されたロール

[Config] > [Virtual Contexts] >

[System] > [Primary Attributes]

[System] > [SNMP]

[Load Balancing] > [Real Servers]

[Load Balancing] > [Server Farms]

[Load Balancing] > [Parameter Maps]

[Expert] > [Class Maps]

[Expert] > [Policy Maps]

[Expert] > [Action Lists]

[Config] > [Operations]

[Real Servers]

[Monitor] > [Virtual Contexts]

[Load Balancing]

[Real Servers]

[Resource Usage]

[Ping]

[Admin] > [Tools]

[File Browser]

Server-Maintenance の事前定義されたロール

[Config] > [Virtual Contexts] >

[System] > [Primary Attributes]

[System] > [SNMP]

[Load Balancing] > [Real Servers]

[Load Balancing] > [Server Farms]

[Load Balancing] > [Health Monitoring]

[Expert] > [Class Maps]

[Expert] > [Policy Maps]

[Expert] > [Action Lists]

[Config] > [Operations]

[Real Servers]

[Virtual Servers]

[Monitor] > [Virtual Contexts]

[Load Balancing]

[Real Servers]

[Probes]

[Resource Usage]

[Ping]

SLB-Admin の事前定義されたロール

[Config] > [Virtual Contexts] >

[System] > [Primary Attributes]

[System] > [SNMP]

[System] > [Global Policies]

[Load Balancing] > [Virtual Servers]

[Load Balancing] > [Real Servers]

[Load Balancing] > [Server Farms]

[Load Balancing] > [Health Monitoring]

[Load Balancing] > [Parameter Maps]

[Network] > [VLAN Interfaces]

[Network] > [BVI Interfaces]

[Network] > [Global IP DHCP]

[Expert] > [Class Maps]

[Expert] > [Policy Maps]

[Expert] > [Action Lists]

[Config] > [Operations]

[Real Servers]

[Virtual Servers]

[Monitor] > [Virtual Contexts]

[Load Balancing]

[Real Servers]

[Probes]

[Resource Usage]

[Ping]

[Admin] > [Tools]

[File Browser]

[SSL-Admin]

[Config] > [Virtual Contexts] >

[System] > [Primary Attributes]

[System] > [SNMP]

[System] > [Global Policies]

[SSL] > [Certificates]

[SSL] > [Keys]

[SSL] > [Parameter Maps]

[SSL] > [Chain Group Parameters]

[SSL] > [CSR Parameters]

[SSL] > [Proxy Service]

[SSL] > [Auth Group Parameters]

[SSL] > [Certificate Revocation Lists (CRL)]

[Network] > [VLAN Interfaces]

[Network] > [BVI Interfaces]

[Network] > [Global IP DHCP]

[Expert] > [Class Maps]

[Expert] > [Policy Maps]

[Monitor] > [Virtual Contexts]

[Resource Usage]

[Ping]

[Admin] > [Tools]

[File Browser]

3.ACE Appliance Device Manager では、SNMP を修正するために、すべての機能に対する修正レベル以上の権限が必要となるため、Network-Monitor ロールに割り当てられたユーザは、デバイスに SNMP 設定値を設定することはできません。SNMP 設定値を修正する場合は、事前定義されたロールを変更し、修正権限を持つロールを含めます。

関連トピック

Admin コンテキストおよびユーザ コンテキストの事前定義されたロール ルール

「Cisco ACE Applianceへのアクセスの制御」

「ユーザ ロールの管理上の注意事項」

「ユーザの管理」

「ユーザ ロールの管理」

「ドメインの管理」

仮想サーバに関連する RBAC ユーザ ロール要件

仮想サーバの作成、修正、または削除が必要な場合、事前定義された Admin ロールの使用をお勧めします( 表 13-4 を参照)。ACE appliance Device Manager から機能する仮想サーバを正常に導入する能力をサポートしているのは、事前定義された Admin ロールだけです。

ユーザがカスタム ロールの割り当てを希望し、仮想サーバを作成、修正、または削除する権限を必要としている場合、管理者はこのユーザに対して、このような仮想サーバ アクティビティの実行に適したロールへの権限を定義する必要があります。


) 仮想サーバを構成できるようにするには、ユーザにデフォルト ドメイン(default-domain)を割り当てる必要があります。ドメインはユーザが操作を行う名前空間です。


仮想サーバを作成、修正、または削除するためにユーザが必要な RBAC 権限の一覧は次のとおりです。

---------------------------------------------
Rule Type Permission Feature
---------------------------------------------
1. Permit Create real
2. Permit Create serverfarm
3. Permit Create vip
4. Permit Create probe
5. Permit Create loadbalance
6. Permit Create nat
7. Permit Create interface
8. Permit Create connection
9. Permit Create ssl
10. Permit Create pki
11. Permit Create sticky
12. Permit Create inspect
 

ただし、特定の設定済み仮想サーバはこれらの機能の一部だけをカバーしており、上記の権限をすべて必要としているわけではありませんので注意してください。一般に、ユーザが仮想サーバのすべての要素を設定できるようにするには上記の権限が必要です。

ユーザ ロールの表示

既存のユーザ ロールを表示するには、このオプションを使用します。


) このオプションが使用できるかどうかは、ユーザのロールによって決まります。


手順


ステップ 1 [Admin] > [Role-Based Access Control] > [Roles] を選択します。定義済みのロールとそれらの設定値のテーブルが表示されます。

ステップ 2 この画面のオプションを使用して、新規ロールの作成、ストリングに基づくロールのフィルタ、またはアクセス権を持つ既存のロールの修正や削除を実行できます。

ステップ 3 ロールに割り当てられたユーザを表示するには、 [Admin] > [Role-Based Access Control] > [Users] を選択します。


 

関連トピック

「操作権限について」

「ユーザ ロールの管理」

ユーザ ロールの作成

新しいユーザ定義のロールを作成できます。新しいロールを作成するときは、新しいロールの名前と説明を指定し、その後、各タスクの操作権限を選択します。また、このロールは 1 人以上のユーザに割り当てることができます。


) このオプションが使用できるかどうかは、ユーザのロールによって決まります。


手順


ステップ 1 [Admin] > [Role-Based Access Control] > [Roles] を選択します。定義済みのロールとそれらの設定値のテーブルが表示されます。

ステップ 2 [Add] をクリックします。[New Role] 設定画面が表示されます。

ステップ 3 次のアトリビュートを入力します。

 

表 13-6 ロールのアトリビュート

アトリビュート
説明

[Name]

ロールの名前

[Description]

ロールの簡単な説明

ステップ 4 この設定を展開するには、 [Deploy Now] をクリックします。新しいロールがユーザ ロールのリストに追加され、コンテンツ エリアの Roles フォームの下に [Rules] テーブルが表示されます。

ステップ 5 [Add] をクリックし、このロールのルールを作成します。このロールは、それを作成したユーザのロールを継承します。

ステップ 6 ルールを変更するには、次のアトリビュートから変更を加えるアトリビュートを選択します。

 

表 13-7 ルールのアトリビュート

アトリビュート
説明

[Rule Number]

このルールに割り当てられた番号。

[Permission]

指定した操作を許可または拒否します。

[Operation]

指定した機能を作成、デバッグ、修正4、および監視します。

[Feature]

AAA、Access List、Change To Context、Config Copy、Connection、DHCP、Exec-Commands、Fault Tolerant、Inspect、Interface、Load Balance、NAT、PKI、Probe、Real Inservice、Routing、Real Server、Server Farm、SSL5、Sticky、Syslog、および VIP。

Changeto 機能を使用すると、Admin コンテキストから別の仮想コンテキストに移動し、新しいコンテストでも、仮想コンテキストと同じ権限、同じロールを維持し続けることができます。

Exec コマンドの機能は、ACE でデフォルトのカスタム ロール コマンドをすべてイネーブル化します。デフォルトのカスタム ロール コマンドは、capture、debug、gunzip、mkdir、move、rmkdir、tac-pac、untar、write、および undebug です。

4.機能の中には、特定の操作で使用できないものがあります。修正する場合、config-copy、DHCP、NAT、real-inservice、routing、および syslog の機能は使用できません。

5.SSL に関連するすべての操作において、カスタム ロールを持つユーザは SSL 機能を含むルールと、PKI 機能を含むルールの 2 つのルールが必要です。

ステップ 7 [Deploy Now] をクリックして、このロールのルールを更新します。


 

関連トピック

「ACE Appliance Device Manager でのロール マッピング」

「操作権限について」

「ユーザ ロールの管理」

ユーザ ロールの修正

任意のユーザ定義のロールを修正できます。


) このオプションが使用できるかどうかは、ユーザのロールによって決まります。


手順


ステップ 1 [Admin] > [Role-Based Access Control] > [Roles] を選択します。定義済みのロールとそれらの設定値のテーブルが表示されます。

ステップ 2 修正するロールを選択します。

ステップ 3 [Edit] をクリックします。

ステップ 4 変更を加えます。

ステップ 5 [Deploy Now] をクリックして、この設定を展開し、[Roles] テーブルに戻ります。


 

関連トピック

「ACE Appliance Device Manager でのロール マッピング」

「操作権限について」

「ユーザ ロールの管理」

ユーザ ロールの削除

任意のユーザ定義のロールを削除できます(ユーザによって使用されていないかぎり)。


) このオプションが使用できるかどうかは、ユーザのロールによって決まります。


手順


ステップ 1 [Admin] > [Role-Based Access Control] > [Roles] を選択します。定義済みのロールとそれらの設定値のテーブルが表示されます。

ステップ 2 削除するロールを選択します。

ステップ 3 [Delete] をクリックします。この処理の確定を求めるプロンプトが表示されます。ロールを削除するには、 [OK] をクリックします。または、ロールを削除せずに手順を終了するには、[Cancel] をクリックします。

[OK] をクリックすると、ウィンドウは [Roles] テーブルとともにリフレッシュされ、削除したロールの表示は消えます。削除したロールを持つユーザは、そのロールに該当するアクセス権を失います。


 

関連事項

「ユーザ ロールの管理」

ルールの追加、編集、または削除

ルールを変更または削除し、特定のロールに含まれる機能へのアクセス権を定義し直すことができます。


) このオプションが使用できるかどうかは、ユーザのロールによって決まります。


手順


ステップ 1 [Admin] > [Role-Based Access Control] > [Roles] を選択します。定義済みのロールとそれらの設定値のテーブルが表示されます。

ステップ 2 変更するロールを選択します。ペインでロールが 1 つだけ選択されている場合は、ルールの変更だけが実行できます。

ステップ 3 次のタスクのいずれかを実行します。

[Add] をクリックし、新しいルールを作成します。ルールの情報を入力し(表 13-7を参照)、 [Deploy Now] をクリックします。

ルールを選択して、 [Edit] をクリックし、既存のルールを変更します。 [Deploy Now] をクリックして、このエントリを保存します。

このロールから削除するルールを選択し、 [Delete] をクリックします。 [OK] をクリックして、削除を確定します。


 

関連事項

「ユーザ ロールの管理」

「ACE Appliance Device Manager でのロール マッピング」

「ユーザ ロールの管理上の注意事項」

ドメインの管理

ネットワーク ドメインは、ネットワーク内のデバイスおよびそれらのコンポーネント(物理および論理)を編成し、サイトの編成方法に従ってアクセスを許可する手段を提供します。

ここでは、ドメインを管理する方法について説明します。

「ドメインの管理上の注意事項」

「ネットワーク ドメインの表示」

「ドメインの作成」

「ドメインの修正」

「ドメインの削除」

ドメインの管理上の注意事項

デバイスおよびそれらのコンポーネントをドメインに追加するには、事前にそれらが ACE Appliance Device Manager に設定されている必要があります。

ドメインは、「 論理 」コンセプトです。ドメインを削除しても、ドメインのメンバーは削除 されません

事前定義されたドメインは、修正または削除できません。

通常、ユーザはデフォルトのドメインに関連付けられます。デフォルトのドメインでは、ユーザはコンテキスト内のすべての設定を表示できます。ユーザがカスタマイズされたドメインに設定されると、そのユーザはそのドメイン内のものしか表示できません。


) オブジェクトをカスタマイズしたドメインに追加するには、CLI を使用し、その後、ACE Appliance Device Manager の同期機能を使用して、このオブジェクトを ACE Appliance Device Manager のカスタマイズしたドメインに追加します。ACE Appliance Device Manager 内でオブジェクトをカスタマイズしたドメインに直接追加すると、オブジェクトはデフォルト ドメインに追加されます。


関連トピック

「ネットワーク ドメインの表示」

「ドメインの作成」

「ドメインの修正」

「ドメインの削除」

ネットワーク ドメインの表示


) このオプションが使用できるかどうかは、ユーザのロールによって決まります。


手順


ステップ 1 [Admin] > [Role-Based Access Control] > [Domains] を選択します。[Domains] テーブルが表示されます。

ステップ 2 すべてのネットワーク ドメインが表示されるまで、テーブルを拡大します。

ステップ 3 [Domains] テーブルからドメインを選択し、そのドメインの設定を表示します。

ステップ 4 また、このペインで、次のタスクを実行することもできます。

「ドメインの作成」

「ドメインの修正」

「ドメインへのドメイン オブジェクトの追加またはドメインからのドメイン オブジェクトの削除」

「ドメインの削除」


 

関連事項

「ドメインの管理」

「ドメインの管理上の注意事項」

ドメインの作成

新しいドメインを作成するには、このオプションを使用します。


) このオプションが使用できるかどうかは、ユーザのロールによって決まります。


手順


ステップ 1 [Admin] > [Role-Based Access Control] > [Domains] を選択します。[Domains] テーブルが表示されます。

ステップ 2 [Add] をクリックします。

ステップ 3 新しいドメインの名前を入力し、 [Deploy Now] をクリックします。

ステップ 4 Domain フォームの下に表示された [Domain Object] テーブルで [Add] をクリックします。

ステップ 5 表 13-8 に表示されたアトリビュートを入力します。

 

表 13-8 ドメインのアトリビュート

フィールド
説明

[Object Type]

このドメインを構成するオブジェクトの集合。仮想コンテキストに応じて、次のオプションが使用できます。

[All]

[Access List Ethertype]

[Access List Extended]

[Class Map]

[Interface VLAN]

[Interface BVI]

[Parameter Map]

[Policy Map]

[Probe]

[Real server]

[Script]

[Server Farm]

[Sticky]

[Object Name]

このフィールドは、特定のオブジェクト タイプが選択されている場合に表示されます。定義されている既存のオブジェクトの名前。

ステップ 6 この設定を展開するには、 [Deploy Now] をクリックします。


 

関連事項

「ドメインの管理」

「ドメインの管理上の注意事項」

ドメインの修正

ドメイン内の設定を変更するには、このオプションを使用します。


) このオプションが使用できるかどうかは、ユーザのロールによって決まります。


手順


ステップ 1 [Admin] > [Role-Based Access Control] > [Domains] を選択します。

ステップ 2 変更するドメインを選択します。

ステップ 3 [Edit] をクリックします。

ステップ 4 変更を加えます。

ステップ 5 この設定を展開するには、 [Deploy Now] をクリックします。


 

関連トピック

「ドメインの管理」

「ドメインの管理上の注意事項」

ドメインの削除

ネットワーク ドメイン、およびそのネットワーク ドメインに含まれるすべてのデバイスとドメイン オブジェクトをシステムから削除するには、このオプションを使用します。削除できるのは、ユーザに関連付けられていないドメインだけです。


) このオプションが使用できるかどうかは、ユーザのロールによって決まります。


手順


ステップ 1 [Admin] > [Role-Based Access Control] > [Domains] を選択します。

[Domains] テーブルには、既存のドメインのリストが含まれます。

ステップ 2 削除するドメインを選択します。

ステップ 3 [Delete] をクリックします。

この処理の確定を求めるプロンプトが表示されます。

ステップ 4 [OK] をクリックします。

ドメインは、ACE Appliance から削除されます。


 

関連トピック

「ドメインの管理」

「ドメインの管理上の注意事項」

ドメインへのドメイン オブジェクトの追加またはドメインからのドメイン オブジェクトの削除

ネットワーク ドメイン、およびそのネットワーク ドメインに含まれるすべてのデバイスとドメイン オブジェクトをシステムに追加、またはシステムから削除するには、このオプションを使用します。削除できるのは、ユーザに関連付けられていないドメインだけです。


) このオプションが使用できるかどうかは、ユーザのロールによって決まります。


手順


ステップ 1 [Admin] > [Role-Based Access Control] > [Domains] を選択します。

[Domains] テーブルには、既存のドメインのリストが含まれます。

ステップ 2 [Domains] テーブルから、処理を実行するドメインを選択します。

ステップ 3 その後、次の操作を実行できます。

[Domain Object] テーブルで [Add] をクリックし、オブジェクト タイプとオブジェクト名(必要な場合)を入力して、ドメイン オブジェクトを追加します。その後、 [Deploy Now] をクリックします。

[Domain Object] テーブルで削除する行を選択し、 [Delete] をクリックします。

この処理の確定を求めるプロンプトが表示されます。 [OK] をクリックします。ドメイン オブジェクトは、ACE Applianceから削除されます。


 

関連トピック

「ドメインの管理」

「ドメインの管理上の注意事項」

ACE Appliance統計情報のモニタリング

次のメニューを使用して、ACE Appliance プラットフォーム統計情報データを表示および設定できます。

[Statistics]:ACE Appliance統計情報を表示します。それらをグラフィカルに表示できます。「ACE Appliance サーバ統計情報の表示」 を参照してください。

[Statistics Collection]:ACE Appliance統計情報の収集を有効または無効にします。「ACE Appliance サーバの統計情報収集の設定」 を参照してください。

単一の仮想コンテキストの統計情報を CPU カテゴリ別に表示する場合は、「CPU のモニタリング」を参照してください。

ACE Appliance サーバ統計情報の表示

ACE Appliance統計情報(たとえば、CPU、ディスク、およびメモリ使用状況)を表示し、それらをグラフィカルに表示するには、次の手順を使用します。

デフォルトでは、統計情報の収集は有効になっており、デバイス SNMP 証明書設定が検証に成功し保存された後、5 分ごとに統計情報が収集され、データベースに保存されます。新たに作成された仮想コンテキストの場合、統計情報収集を開始するために入力する必要のある情報は、[Config] > [SNMP] 画面で入力するSNMP コミュニティ情報だけです。

仮想コンテキストごとにインターフェイス、CPU、ロード バランシング、およびその他の統計情報を表示する場合は、「CPU のモニタリング」を参照してください。ACE Appliance統計情報収集を有効または無効にするには、「ACE Appliance サーバの統計情報収集の設定」を参照してください。

手順


ステップ 1 [Admin] > [Device Management] > [Statistics] を選択します。 表 13-9 に示す ACE Appliance統計情報が表示されます。

 

表 13-9 ACE Appliance サーバの統計情報

名前
説明

[Owner]

統計情報を収集するプロセス。

[Statistic]

次の統計情報が含まれます。

[CPU Usage]:最新 5 分間の ACE ApplianceCPU 全体に対する使用された CPU のパーセンテージ

[Disk Usage]:ACE Applianceによって使用されているディスク容量

[Memory Usage]:ACE Applianceによって使用されているメモリ量

[Process Uptime]:このシステムが最後に初期化されてからの経過時間、またはシステムのネットワーク管理部分が最後に再初期化されてからの経過時間

[Value]

統計情報の値。

[Description]

収集した統計情報に関する情報。

ステップ 2 統計情報を選択して、 [Graph] をクリックします。Shift キー(1 行の統計情報を選択する場合)または Control キー(個々の統計情報を選択する場合)を押しながら追加の統計情報をクリックすることで、複数の統計情報を選択できます。

ACE Appliance Device Manager は値をクエリ-し、情報をグラフィカルに表示します。

ステップ 3 グラフに表示される情報を修正するには、表 1-5 で説明されているいずれかのボタンをクリックします。


 

関連トピック

「ACE Appliance統計情報のモニタリング」

「ACE Appliance サーバの統計情報収集の設定」

「CPU のモニタリング」

ACE Appliance サーバの統計情報収集の設定

[Monitor] メニューから ACE Appliance統計情報ポーリングを有効にするには、次の手順を使用します。収集される統計情報には、次の情報が含まれます。

[CPU Usage]:最新 5 分間の ACE ApplianceCPU 全体に対する使用された CPU のパーセンテージ

[Disk Usage]:ACE Applianceによって使用されているディスク容量

[Memory Usage]:ACE Applianceによって使用されているメモリ量

[Process Uptime]:このシステムが最後に初期化されてからの経過時間、またはシステムのネットワーク管理部分が最後に再初期化されてからの経過時間

仮想コンテキストごとにインターフェイス、CPU、ロード バランシング、およびその他の統計情報の収集を設定する場合は、「仮想コンテキスト統計情報収集のセットアップ」を参照してください。

手順


ステップ 1 [Admin] > [Device Management] > [Statistics Collection] を選択します。[Statistics Collection] 画面が表示されます。

ステップ 2 [Polling Stats] フィールドでは、 [Enable] を選択するとバックグラウンド ポーリングが開始し、 [Disable] を選択するとバックグラウンド ポーリングが停止します。

ステップ 3 [Background Polling Interval] フィールドで、ネットワーク環境に適したポーリング インターバルを選択します。インターバルの範囲は、1 分間~ 6 時間です。

ステップ 4 エントリを保存するには、 [OK] をクリックします。


) アプライアンスをリブートした場合、これらの設定値は保存されません。システムのデフォルト値が復元されます。



 

関連トピック

「ACE Appliance統計情報のモニタリング」

「ACE Appliance サーバ統計情報の表示」

Admin ツールの使用

トラブルシューティングおよび診断タスクを実行するには、Admin ツールを使用します。

「診断パッケージの生成」:クリティカルな問題を Cisco サポート ラインに報告し、診断パッケージを生成するには、ライフライン機能が提供するトラブルシューティングおよび診断ツールを使用します。

「ACE Appliance ファイルの操作」:表示したり追跡したりするために、ACE Applianceに対してファイルをダウンロードまたはアップロードするには、ファイル ブラウザを使用します。

これらの管理ツールの詳細については、「ACE Appliance Device Manager トラブルシューティング ツールの使用」を参照してください。