Cisco Anomaly Guard Module Web-Based Manager コンフィギュレーション ガイド (Software Release 5.0)
ユーザ アクセスの管理
ユーザ アクセスの管理
発行日;2012/02/04 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

ユーザ アクセスの管理

ユーザ認証方式

定義済みのシステム ユーザ プロファイル

ユーザ リストの表示

ユーザ プロファイルの作成

ユーザ プロファイルの削除

現在のユーザのパスワードの変更

別のユーザのパスワードの変更

TACACS+ サーバ上でのユーザ プロファイルの設定

ユーザ アクセスの管理

Guard モジュールへのアクセスを制御するには、ユーザ プロファイルを作成します。ユーザが WBM へのログインを試みると、Guard モジュールはユーザ プロファイル データベースに対してログイン ユーザ名とパスワードを認証します。この章では、WBM を使用してユーザ プロファイルを作成および削除する方法について説明します。

この章は、次の項で構成されています。

ユーザ認証方式

定義済みのシステム ユーザ プロファイル

ユーザ リストの表示

ユーザ プロファイルの作成

ユーザ プロファイルの削除

現在のユーザのパスワードの変更

別のユーザのパスワードの変更

TACACS+ サーバ上でのユーザ プロファイルの設定

ユーザ認証方式

CLI を使用して Guard モジュールをどのように設定するかに応じて、Guard モジュールは、次の方式の一方または両方を使用してユーザ認証を実行します。

ローカル認証:Guard モジュールは、Guard モジュールのデータベースにあるユーザ プロファイル情報に対してユーザを認証します。ユーザ名ごとに、定義済みの一連のコマンド機能の実行をユーザに許可するためのユーザ特権レベルを、システム管理者が設定します。ローカル ユーザ認証は、WBM を使用して設定します。

AAA サービス(認証、認可、アカウンティング):Guard モジュールは、1 つまたは複数の TACACS+ サーバのデータベースにあるユーザ プロファイル情報に対してユーザを認証します。ユーザ認証とコマンド認可を設定する機能のほか、AAA サービスにはアカウンティング機能があります。この機能を使用すると、Guard モジュールの設定変更など、ユーザが開始したイベントを追跡できます。CLI を使用して AAA サービスをイネーブルにし、Guard モジュールに TACACS+ サーバを定義する必要があります。また、各 TACACS+ サーバもユーザ プロファイル情報を使用して設定する必要があります。

定義済みのシステム ユーザ プロファイル

Guard モジュールでは、ローカル データベース上に次の 2 つのユーザ プロファイル(システム ユーザ)があらかじめ設定されています。

admin:このデフォルトのユーザ名は、Guard モジュール上で CLI に最初にアクセスするときに使用します。このシステム ユーザ プロファイルには、コンソール接続を使用した最初のログイン プロセスでパスワードを割り当てます。管理者としてログインすると、CLI コマンドに完全にアクセスできます。入力した admin パスワードは、admin ユーザ プロファイルに保存されます。Guard モジュールの動作を設定するときや、他のユーザ プロファイルを作成するときは、このシステム ユーザ プロファイルを使用します。

riverhead:Cisco Traffic Anomaly Detector Module は、Guard に最初にアクセスして、Cisco Traffic Anomaly Detector Module と Guard の間に通信チャネルを確立するときに、このユーザ名を使用します。このシステム ユーザ プロファイルには、コンソール接続を使用した最初のログイン プロセスでパスワードを割り当てます。Cisco Traffic Anomaly Detector Module と Guard の間に初期の通信リンクが確立されると、その 2 つのデバイスは、ユーザの介入なしに、SSL を使用して以後の通信リンクを確立します。riverhead システム ユーザ プロファイルには、Dynamic ユーザ特権レベルが設定されています。

システム ユーザのパスワードは変更できますが、Guard モジュールのデータベースからシステム ユーザを削除することはできません。

初期設定が完了した後は、ユーザのアクションを監視できるように新しいアカウントを作成し、システム ユーザ アカウントは使用しないことをお勧めします。

ユーザ リストの表示

WBM を使用すると、Guard モジュールへのアクセスが現在認可されているユーザのリストを表示できます。ユーザ リストでは、ユーザ プロファイルを追加または削除できます。ユーザ リストは、次の 2 つのカテゴリに分かれています。

System users :シスコによってあらかじめ定義されているユーザ プロファイル。削除することはできません(「定義済みのシステム ユーザ プロファイル」の項を参照)。

Users :システム管理者が定義するユーザ プロファイル。

Guard モジュールへのアクセスが認可されているユーザのリストを表示するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで Guard Summary を選択します。Guard モジュールの要約メニューが表示されます。

ステップ 2 Guard モジュールの要約メニューの Users > Users list を選択します。 Users List が表示されます。


 

ユーザ プロファイルの作成

ローカル データベースにユーザ プロファイルを作成するには、管理者アクセス権が必要です。


) Guard モジュールが認証用のローカル サービスおよび AAA サービス(または AAA サービスだけ)を使用してユーザを認証するように設定されている場合は、認証用の各 TACACS+ サーバにもユーザ プロファイル情報を設定する必要があります(「TACACS+ サーバ上でのユーザ プロファイルの設定」の項を参照)。


新しいユーザ プロファイルを作成するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで Guard Summary を選択します。Guard モジュールの要約メニューが表示されます。

ステップ 2 次のいずれかの方法で、Create User 画面を表示します。

Guard モジュールの要約メニューの Users > Create user を選択します。

Guard モジュールの要約メニューの Users > Users list を選択します( Users List が表示されます)。次に、 Add をクリックします。

ステップ 3 表 3-1 の説明に従って、ユーザ プロファイルのパラメータを定義します。

 

表 3-1 ユーザ プロファイルのパラメータ

パラメータ
説明

User name

ユーザ プロファイルの名前。先頭を英字にして、1 ~ 63 文字の英数字文字列を入力します。文字列にスペースを含めることはできませんが、アンダースコア(_)を含めることはできます。

Initial password

ユーザのパスワード。スペースを含めずに、6 ~ 24 文字の英数字文字列を入力します。

Type

ユーザの特権レベル。ユーザの特権レベルを Type ドロップダウン リストから選択します。

show :監視操作と診断操作にアクセスできます。

dynamic :監視と診断、検出、およびラーニングに関する操作にアクセスできます。Dynamic 特権を持つユーザは、フレックスコンテンツ フィルタと動的フィルタを設定することもできます。

config :ユーザ プロファイルの管理を除くすべての WBM 機能にフル アクセスできます。

admin :すべての WBM 機能にフル アクセスできます。

ステップ 4 次のいずれかのオプションを選択します。

OK :ユーザ プロファイル情報をローカル データベースに保存します。ユーザの詳細画面が表示され、新しいユーザ プロファイルのパラメータが示されます。

Clear :User Form に追加した情報をすべて消去します。

Cancel:情報を保存せずに Create User 画面を終了します。Users List が表示されます。


 

ユーザ プロファイルの削除

ユーザ プロファイルを削除すると、ローカル ユーザ データベースだけを使用して認証を実行する場合に、関連付けられたユーザが Guard モジュールにアクセスできなくなる場合があります。

ユーザ プロファイルを削除するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで Guard Summary を選択します。Guard モジュールの要約メニューが表示されます。

ステップ 2 Guard モジュールの要約メニューの Users > Users list を選択します。 Users List が表示されます。

ステップ 3 削除するユーザ名の隣にあるチェックボックスをオンにし、 Delete をクリックします。表示されているユーザ名をすべて選択して削除するには、 User チェックボックスをオンにし、 Delete をクリックします。削除の確認メッセージが表示されます。

ステップ 4 次のいずれかのオプションを選択します。

OK :ユーザ プロファイルをローカル データベースから削除します。User List が表示されます。

Cancel :ユーザ削除要求を無視します。User List が表示されます。


 

現在のユーザのパスワードの変更

WBM を使用すると、すべてのユーザが各自のログイン パスワードを変更できます。現在ログインしているユーザのパスワードを変更するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで Guard Summary を選択します。Guard モジュールの要約メニューが表示されます。

ステップ 2 Guard モジュールの要約メニューの Users > Change Password を選択します。 Change Password 画面が表示されます。

ステップ 3 既存のパスワードを Old Password フィールドに入力します。

ステップ 4 新しいパスワードを New Password フィールドに入力します。パスワードは、スペースを含まず、6 ~ 24 文字の英数字文字列にする必要があります。

ステップ 5 Confirm New Password フィールドで、新しいパスワードを再度入力します。

ステップ 6 次のいずれかのオプションを選択します。

OK :新しいパスワードを Guard モジュールのデータベースのユーザ プロファイルに保存します。Guard モジュールの要約画面が表示されます。

Cancel 情報を保存せずに Change Password 画面を終了します。 Guard モジュールの要約画面が表示されます。


 

現在無効になっているパスワードが入力された場合や、Guard モジュールが新しいパスワードを確認できない場合、Guard モジュールはエラー メッセージを表示します。 Go Back をクリックして手順を繰り返してください。

別のユーザのパスワードの変更

WBM を使用すると、admin ユーザ特権レベルを持つユーザは他のユーザに割り当てられているパスワードを変更できます。

別のユーザのパスワードを変更するには、次の手順を実行します。


ステップ 1 ナビゲーション ペインで Guard Summary を選択します。Guard モジュールの要約メニューが表示されます。

ステップ 2 Guard モジュールの要約メニューの Users > Users list を選択します。 Users List が表示されます。

ステップ 3 ユーザ名をクリックします。ユーザの詳細画面が表示されます。

ステップ 4 Config をクリックします。Config User 画面が表示されます。

ステップ 5 新しいパスワードを入力します。パスワードは、スペースを含まず、6 ~ 24 文字である必要があります。

ステップ 6 次のいずれかのオプションを選択します。

OK :新しいパスワードをローカル データベースのユーザ プロファイルに保存します。User List 画面が表示されます。

Clear :User Form に追加した情報をすべて消去します。

Cancel:情報を保存せずに Config User 画面を終了します。User List 画面が表示されます。


 

TACACS+ サーバ上でのユーザ プロファイルの設定

この項の情報は、TACACS+ サーバ上で WBM ユーザ プロファイル情報を設定する必要のある管理者を対象としています。

定義済みのコマンド グループへのアクセス権を、ユーザ特権レベルによって指定することができます。 表 3-2 に、TACACS+ サーバ上で設定できる WBM のコマンドおよびコマンド グループを示します。


) コマンドは、すべて大文字と小文字が区別されます。


 

表 3-2 WBM のコマンド

特権レベル
TACACS+ コマンド
グループ
コマンド

Show

WBM-Show

ChangeLocalOwnPassword

Dynamic

WBM-Dynamic

AcceptPendingDynFilter

ActivateZone

ConfigExtendedFlexFilter

ConfigZoneFlexFilter

CreateDynamicFilter

DeleteAllDynamicFilters

DeleteDynamicFilter

RecommendationAccept

RecommendationAcceptForever

RecommendationIgnore

RemoveDynamicFilters

ZoneActivation

Configuration(config)

WBM-Config

acceptTh

ActivatePolicy

AddPolicyThreshold

AddService

AddPolicyThreshold

AddZoneIP

ChangePolicyState

ConfigLearn

ConfigPolicies

ConfigPolicy

ConfigPolicyGroup

ConfigPolicyTemplate

ConfigPolicyThreshold

ConfigZone

CopyPacketDump

CreateBypassFilter

CreateExtendedFlexFilter

CreateSnapshot

CreateUserFilter

CreateUserFilters

CreateZone

CreateZoneTemplate

deactivate

DeactivatePolicy

DeleteBypassFilters

Configuration(config)

(続き)

WBM-Config
(続き)

DeleteExtendedFlexFilter

DeletePacketDump

DeletePolicyThreshold

DeleteReports

DeleteSnapshot

DeleteUserFilters

DeleteZone

DeleteZoneIP

DeleteZones

DeleteZoneTemplate

ExportReports

protectIP

RemoveService

RenamePacketDump

SaveAsZone

SavePoliciesRecommendations

SetFtpServer

StartPacketDump

Administration(admin)

WBM-Admin

CreateUser

ConfigUser

DeleteUsers

DeleteUser


) 特権レベルを指定すると、その特権レベルに含まれているコマンドに関してのみアクセス権が付与されます。このため、設定機能へのアクセスをイネーブルにするには、WBM-Dynamic および WBM-Config にアクセスできるユーザ特権レベルを付与する必要があります。


次の例は、WBM の画面に対するユーザ Robin のアクセスを、TACACS+ サーバ上で Dynamic 特権レベルを指定して定義する方法を示しています。

user = Robin
{
cmd = WBM-Show
{
permit .*
}
cmd = WBM-Dynamic
{
permit .*
}
cmd = WBM-Config
{
deny .*
}
cmd = WBM-Admin
{
deny .*
} }