Cisco IOS セキュリティ コンフィギュレーション ガ イド:ユーザ サービスのセキュリティ保護
ロールベースの CLI アクセス
ロールベースの CLI アクセス
発行日;2012/02/04 | 英語版ドキュメント(2011/04/25 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

ロールベースの CLI アクセス

機能情報の確認

この章の構成

ロールベースの CLI アクセスの前提条件

ロールベースの CLI アクセスの制約事項

ロールベースの CLI アクセスに関する情報

CLI ビューを使用するメリット

ルート ビュー

ビュー認証と新しい AAA アトリビュート

ロールベースの CLI アクセスの使用方法

CLI ビューの設定

前提条件

トラブルシューティングのヒント

合法的傍受ビューの設定

合法的傍受ビューについて

前提条件

トラブルシューティングのヒント

スーパービューの設定

スーパービューについて

ビューとビュー ユーザの監視

ロールベースの CLI アクセスの設定例

CLI ビューの設定:例

CLI ビューの確認:例

合法的傍受ビューの設定:例

スーパービューの設定:例

その他の参考資料

関連資料

規格

MIB

RFC

シスコのテクニカル サポート

ロールベースの CLI アクセスの機能情報

ロールベースの CLI アクセス

ロールベースの CLI アクセス機能を使用すれば、ネットワーク管理者は「ビュー」を定義できます。ビューは、Cisco IOS EXEC コマンドおよびコンフィギュレーション(config)モード コマンドへのアクセスを精選したり部分的に制限する、操作コマンドと設定機能のセットです。ビューは、Cisco IOS Command-Line Interface(CLI; コマンドライン インターフェイス)と設定情報へのユーザ アクセスを制限します。つまり、ビューは、どのコマンドを受け入れて、どの設定情報を表示するかを定義できます。したがって、ネットワーク管理者はシスコ ネットワーキング デバイスへのアクセスを柔軟に管理できます。

機能情報の確認

ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「ロールベースの CLI アクセスの機能情報」を参照してください。

プラットフォーム サポートと Cisco IOS および Catalyst OS ソフトウェア イメージ サポートに関する情報を入手するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。

ロールベースの CLI アクセスの前提条件

イメージで CLI ビューをサポートする必要があります。

ロールベースの CLI アクセスの制約事項

合法的傍受イメージの制限

CLI ビューは Cisco IOS パーサーの一部であるため、すべてのプラットフォームと Cisco IOS イメージの一部でもあります。ただし、合法的傍受ビューは、合法的傍受サブシステムが組み込まれたイメージ内でしか使用できません。

許可されたビューの最大数

1 つの合法的傍受ビューを含む CLI ビューとスーパービューの設定可能な最大数は 15 です(これには、ルート ビューは含まれません)。

ロールベースの CLI アクセスに関する情報

ビューを作成して使用するには、次の概念を理解しておく必要があります。

「CLI ビューを使用するメリット」

「ルート ビュー」

「ビュー認証と新しい AAA アトリビュート」

CLI ビューを使用するメリット

ビュー:詳細なアクセス コントロール

ユーザは権限レベルとイネーブル モード パスワードの両方を介して CLI アクセスを制御できますが、これらの機能では、ネットワーク管理者に Cisco IOS ルータとスイッチを操作するのに必要な詳細レベルが提供されません。CLI ビューは、より詳細なアクセス コントロール機能をネットワーク管理者に提供するため、Cisco IOS ソフトウェア全体のセキュリティとアカウンタビリティが向上します。

Cisco IOS リリース 12.3(11)T 以降では、ネットワーク管理者が、ビューへのインターフェイスまたはインターフェイス グループを指定することもできます。そのため、指定されたインターフェイスに基づくアクセスが可能になります。

ルート ビュー

システムが「ルート ビュー」になっている場合は、レベル 15 権限を持つユーザとして、すべてのアクセス権限が付与されます。管理者がシステムのビュー(CLI ビュー、スーパービュー、合法的傍受ビューなど)を設定する場合は、システムをルート ビューにする必要があります。

レベル 15 権限を持つユーザとルート ビュー ユーザの違いは、ルート ビュー ユーザは、新しいビューを設定したり、ビューに対してコマンドを追加または削除したりできることです。また、CLI ビューでは、ルート ビュー ユーザがそのビューに追加したコマンドにしかアクセスできません。

ビュー認証と新しい AAA アトリビュート

ビュー認証は、新しいアトリビュートの「cli-view-name」を介して、外部の Authentication, Authorization, and Accounting(AAA; 認証、認可、およびアカウンティング)サーバで実行されます。

AAA 認証は特定のユーザに 1 つのビュー名のみを関連付けます。つまり、認証サーバ内の 1 人のユーザに対して 1 つのビュー名しか設定できません。

ロールベースの CLI アクセスの使用方法

ここでは、次の各手順について説明します。

「CLI ビューの設定」(必須)

「合法的傍受ビューの設定」(任意)

「スーパービューの設定」(任意)

「ビューとビュー ユーザの監視」(任意)

CLI ビューの設定

このタスクを使用して、CLI ビューを作成し、必要に応じて、コマンドまたはインターフェイスをビューに追加します。

前提条件

ビューを作成する前に、次のタスクを実行する必要があります。

aaa new-model コマンド経由で AAA を有効にします。

システムが権限レベル 15 ではなく、ルート ビューになっていることを確認します。

手順の概要

1. enable view

2. configure terminal

3. parser view view-name

4. secret 5 encrypted-password

5. commands parser-mode { include | include-exclusive | exclude } [ all ] [ interface interface-name | command ]

6. exit

7. exit

8. enable [ privilege-level ] [ view view-name ]

9. show parser view [ all ]

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable view

 

Router> enable view

ルート ビューを有効にします。

プロンプトが表示されたら、権限レベル 15 パスワード(ルート パスワードなど)を入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

parser view view-name

 

Router(config)# parser view first

ビューを作成して、ビュー コンフィギュレーション モードに入ります。

ステップ 4

secret 5 encrypted-password

 

Router(config-view)# secret 5 secret

CLI ビューまたはスーパービューとパスワードを関連付けます。

(注) このコマンドを発行しなければ、ビューのその他のアトリビュートが設定できません。

ステップ 5

commands parser-mode {include | include-exclusive | exclude} [all] [interface interface-name | command]

 

Router(config-view)# commands exec include show version

ビューにコマンドまたはインターフェイスを追加します。

parser-mode :指定されたコマンドが存在するモード

include :ビューにコマンドまたはインターフェイスを追加して、新しいビューに同じコマンドまたはインターフェイスを追加できるようにします。

include-exclusive :ビューにコマンドまたはインターフェイスを追加して、同じコマンドまたはインターフェイスを他のビューに追加できないようにします。

exclude :ビューからコマンドまたはインターフェイスを除外します。つまり、顧客はコマンドまたはインターフェイスにアクセスできません。

all :同じキーワードで始まる特定のコンフィギュレーション モード内のすべてのコマンド、またはビューの一部として指定されたインターフェイスのすべてのサブインターフェイスを許可する「ワイルドカード」

interface interface-name ビューに追加されたインターフェイス

command :ビューに追加されたコマンド

ステップ 6

exit

 

Router(config-view)# exit

ビュー コンフィギュレーション モードを終了します。

ステップ 7

exit

 

Router(config)# exit

グローバル コンフィギュレーション モードを終了します。

ステップ 8

enable [privilege-level] [view view-name]

 

Router# enable view first

ユーザにパスワードの入力を要求します。このパスワードは、設定された CLI ビューへのアクセスをユーザに許可し、ビュー間の切り替えに使用されます。

正しいパスワードが入力されたら、ユーザはビューにアクセスできます。

ステップ 9

show parser view [ all ]

 

Router# show parser view

(任意)ユーザが現在使用しているビューに関する情報を表示します。

all :ルータ上で設定されたすべてのビューに関する情報を表示します。

キーワードは、ルート ビュー内のユーザが、合法的傍受ビューや CLI ビュー内のユーザに使用を許可するように設定できます。

トラブルシューティングのヒント

ビューが正常に作成されたら、次のようなシステム メッセージが表示されます。

%PARSER-6-VIEW_CREATED: view ‘first’ successfully created.
 

ビューが正常に削除されたら、次のようなシステム メッセージが表示されます。

%PARSER-6-VIEW_DELETED: view "first" successfully deleted.

 

パスワードとビューを関連付ける必要があります。パスワードを関連付けずに、 commands コマンド経由でビューにコマンドを追加しようとすると、次のようなシステム メッセージが表示されます。

%Password not set for view <viewname>.

合法的傍受ビューの設定

このタスクを使用して、ビューを初期化し、合法的傍受固有のコマンドと設定情報用に設定します(レベル 15 権限を持っている管理者またはユーザだけが合法的傍受ビューを初期化できます)。

合法的傍受ビューについて

CLI ビューと同様に、合法的傍受ビューは、特定のコマンドと設定情報へのアクセスを制限します。具体的には、合法的傍受ビューを使用すれば、ユーザは、コールとユーザに関する情報を保存する Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)コマンドの特別なセットである TAP-MIB 内に保持された合法的傍受コマンドへのアクセスを保護できます。

合法的傍受ビュー内で使用可能なコマンドは、次のカテゴリのいずれかに属します。

他のビューまたは権限レベルでは使用不可にすべき合法的傍受コマンド

合法的傍受ユーザにとっては有効であるが、他のビューまたは権限レベルから除外する必要のない CLI ビュー

前提条件

合法的傍受ビューを初期化する前に、 privilege コマンド経由で権限レベルが 15 に設定されていることを確認します。

手順の概要

1. enable view

2. configure terminal

3. li-view li-password user username password password

4. username [ lawful-intercept ] name [ privilege privilege-level | view view-name ] password password

5. parser view view-name

6. secret 5 encrypted-password

7. name new-name

手順の詳細

 

コマンドまたはアクション
目的

ステップ 1

enable view

 

Router> enable view

ルート ビューを有効にします。

プロンプトが表示されたら、権限レベル 15 パスワード(ルート パスワードなど)を入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

li-view li-password user username password password

 

Router(config)# li-view lipass user li_admin password li_adminpass

合法的傍受ビューを初期化します。

li-view が初期化されたら、 user username password password options 経由で少なくとも 1 人のユーザを指定する必要があります。

ステップ 4

username [ lawful-intercept [ name ] [ privilege privilege-level | view view-name ] password password

 

Router(config)# username lawful-intercept li-user1 password li-user1pass

シスコ デバイス上で合法的傍受ユーザを設定します。

ステップ 5

parser view view-name

 

Router(config)# parser view li view name

(任意)ビュー コンフィギュレーション モードに入ります。このモードでは、合法的傍受ビューのパスワードや名前を変更できます。

ステップ 6

secret 5 encrypted-password

 

Router(config-view)# secret 5 secret

(任意)合法的傍受ビューの既存のパスワードを変更します。

ステップ 7

name new-name

 

Router(config-view)# name second

(任意)合法的傍受ビューの名前を変更します。

このコマンドが発行されなかった場合、合法的傍受ビューのデフォルト名は「li-view」になります。

トラブルシューティングのヒント

合法的傍受ビューにアクセス可能なすべてのユーザに関する情報を表示するには、 show users lawful-intercept コマンドを発行します(このコマンドは、認可された合法的傍受ビュー ユーザしか使用できません)。

スーパービューの設定

このタスクを使用して、スーパービューを設定し、スーパービューに少なくとも 1 つの CLI ビューを追加します。

スーパービューについて

スーパービューは、1 つ以上の CLI ビューで構成されています。このビューでは、受け入れるコマンドと表示する設定情報を定義できます。スーパービューを使用すれば、ネットワーク管理者は、複数の CLI ビューをユーザ グループに割り当てなくても、設定された CLI ビュー内のすべてのユーザをスーパービューに割り当てることができます。

スーパービューには次のような特徴があります。

CLI ビューを複数のスーパービュー間で共有できます。

スーパービューにはコマンドを設定できません。つまり、CLI ビューにコマンドを追加してから、その CLI ビューをスーパービューに追加する必要があります。

スーパービューにログインしたユーザは、そのスーパービューに属している CLI ビューに設定されたすべてのコマンドにアクセスできます。

スーパービューごとにパスワードが設定されます。このパスワードは、スーパービューを切り替えたり、CLI ビューからスーパービューに切り替えたりするために使用されます。

スーパービューが削除された場合は、そのスーパービューに関連付けられたすべての CLI ビューも削除されます。

スーパービューへの CLI ビューの追加

スーパービューにビューを追加するには、スーパービューに対してパスワードを設定する必要があります( secret 5 コマンド経由)。その後で、ビュー コンフィギュレーション モードで view コマンドを発行して、少なくとも 1 つの CLI ビューをスーパービューに追加します。


) CLI ビューをスーパービューに追加する前に、スーパービューに追加する CLI ビューがシステム内で有効なビューであることを確認します。つまり、ビューが、parser view コマンド経由で正常に作成されたことを確認します。


手順の概要

1. enable view

2. configure terminal

3. parser view superview-name superview

4. secret 5 encrypted-password

5. view view-name

6. exit

7. exit

8. show parser view [ all ]

手順の詳細

コマンドまたはアクション
目的

ステップ 1

enable view

 

Router> enable view

ルート ビューを有効にします。

プロンプトが表示されたら、権限レベル 15 パスワード(ルート パスワードなど)を入力します。

ステップ 2

configure terminal

 

Router# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 3

parser view superview-name superview

 

Router(config)# parser view su_view1 superview

スーパービューを作成して、ビュー コンフィギュレーション モードに入ります。

ステップ 4

secret 5 encrypted-password

 

Router(config-view)# secret 5 secret

CLI ビューまたはスーパービューとパスワードを関連付けます。

(注) このコマンドを発行しなければ、ビューのその他のアトリビュートが設定できません。

ステップ 5

view view-name

 

Router(config-view)# view view_three

正常な CLI ビューをスーパービューに追加します。

特定のスーパービューに追加する各 CLI ビューに対して、このコマンドを発行します。

ステップ 6

exit

 

Router(config-view)# exit

ビュー コンフィギュレーション モードを終了します。

ステップ 7

exit

 

Router(config)# exit

グローバル コンフィギュレーション モードを終了します。

ステップ 8

show parser view [ all ]

 

Router# show parser view

(任意)ユーザが現在使用しているビューに関する情報を表示します。

all :ルータ上で設定されたすべてのビューに関する情報を表示します。

キーワードは、ルート ビュー内のユーザが、合法的傍受ビューや CLI ビュー内のユーザに使用を許可するように設定できます。

ビューとビュー ユーザの監視

すべてのビュー(ルート、CLI、合法的傍受、およびスーパー)に関するデバッグ メッセージを表示するには、特権 EXEC モードで debug parser view コマンドを使用します。

ロールベースの CLI アクセスの設定例

ここでは、次の設定例について説明します。

「CLI ビューの設定:例」

「CLI ビューの確認:例」

「合法的傍受ビューの設定:例」

「スーパービューの設定:例」

CLI ビューの設定:例

次の例は、"first" と "second" の 2 つの CLI ビューの設定方法を示しています。その後で、実行設定内で CLI ビューを確認できます。

Router(config)# parser view first
00:11:40:%PARSER-6-VIEW_CREATED:view 'first' successfully created.
Router(config-view)# secret 5 firstpass
Router(config-view)# command exec include show version
Router(config-view)# command exec include configure terminal
Router(config-view)# command exec include all show ip
Router(config-view)# exit
Router(config)# parser view second
00:13:42:%PARSER-6-VIEW_CREATED:view 'second' successfully created.
Router(config-view)# secret 5 secondpass
Router(config-view)# command exec include-exclusive show ip interface
Router(config-view)# command exec include logout
Router(config-view)# exit
!
!
Router(config-view)# do show run | beg view
parser view first
secret 5 $1$MCmh$QuZaU8PIMPlff9sFCZvgW/
commands exec include configure terminal
commands exec include configure
commands exec include all show ip
commands exec include show version
commands exec include show
!
parser view second
secret 5 $1$iP2M$R16BXKecMEiQesxLyqygW.
commands exec include-exclusive show ip interface
commands exec include show ip
commands exec include show
commands exec include logout
!

CLI ビューの確認:例

CLI ビューの "first" と "second" を設定したら、 enable view コマンドを発行して、各ビュー内で使用可能なコマンドを確認できます。次の例は、ユーザが CLI ビューの "first" にログイン後に、どのコマンドがこのビュー内で使用可能かを示しています( show ip コマンドは all オプションと一緒に設定されているため、second ビュー内で include-exclusive キーワードを使用している show ip interface コマンドを除く、すべてのサブオプションのセットが表示されます)。

Router# enable view first
Password:
 
00:28:23:%PARSER-6-VIEW_SWITCH:successfully set to view 'first'.
Router# ?
Exec commands:
configure Enter configuration mode
enable Turn on privileged commands
exit Exit from the EXEC
show Show running system information
 
Router# show ?
 
ip IP information
parser Display parser information
version System hardware and software status
 
Router# show ip ?
 
access-lists List IP access lists
accounting The active IP accounting database
aliases IP alias table
arp IP ARP table
as-path-access-list List AS path access lists
bgp BGP information
cache IP fast-switching route cache
casa display casa information
cef Cisco Express Forwarding
community-list List community-list
dfp DFP information
dhcp Show items in the DHCP database
drp Director response protocol
dvmrp DVMRP information
eigrp IP-EIGRP show commands
extcommunity-list List extended-community list
flow NetFlow switching
helper-address helper-address table
http HTTP information
igmp IGMP information
irdp ICMP Router Discovery Protocol
.
.
.

合法的傍受ビューの設定:例

次の例は、合法的傍受ビューの設定方法、ビューへのユーザの追加方法、および追加されたユーザの確認方法を示しています。

!Initialize the LI-View.
Router(config-view)# li-view lipass user li_admin password li_adminpass
00:19:25:%PARSER-6-LI_VIEW_INIT:LI-View initialized.
Router(config-view)# end
 
! Enter the LI-View; that is, check to see what commands are available within the view.
Router# enable view li-view
Password:
 
Router#
00:22:57:%PARSER-6-VIEW_SWITCH:successfully set to view 'li-view'.
Router# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)# parser view li-view
Router(config-view)# ?
View commands:
commands Configure commands for a view
default Set a command to its defaults
exit Exit from view configuration mode
name New LI-View name ===This option only resides in LI View.
no Negate a command or set its defaults
password Set a password associated with CLI views
 
Router(config-view)#
 
! NOTE:LI View configurations are never shown as part of ‘running-configuration’.
 
! Configure LI Users.
Router(config)# username lawful-intercept li-user1 password li-user1pass
Router(config)# username lawful-intercept li-user2 password li-user2pass
 
! Displaying LI User information.
Router# show users lawful-intercept
 
li_admin
li-user1
li-user2
Router#

スーパービューの設定:例

次の show running-config コマンドのサンプル出力は、"view_one" と "view_two" がスーパービューの "su_view1" に追加され、"view_three" と "view_four" がスーパービューの "su_view2" に追加されていることを示しています。

!
parser view su_view1 superview
secret 5 <encoded password>
view view_one
view view_two
!
parser view su_view2 superview
secret 5 <encoded password>
view view_three
view view_four
!

その他の参考資料

次の項で、ロールベースの CLI アクセス機能に関する参考資料を紹介します。

関連資料

規格

規格
タイトル

なし

--

MIB

MIB
MIB リンク

なし

選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を検索してダウンロードする場合は、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

RFC

RFC
タイトル

なし

--

シスコのテクニカル サポート

説明
リンク

Cisco Support Web サイトには、豊富なオンライン リソースが提供されており、それらに含まれる資料やツールを利用して、トラブルシューティングやシスコ製品およびテクノロジーに関する技術上の問題の解決に役立てることができます。

以下を含むさまざまな作業にこの Web サイトが役立ちます。

テクニカル サポートを受ける

ソフトウェアをダウンロードする

セキュリティの脆弱性を報告する、またはシスコ製品のセキュリティ問題に対する支援を受ける

ツールおよびリソースへアクセスする

Product Alert の受信登録

Field Notice の受信登録

Bug Toolkit を使用した既知の問題の検索

Networking Professionals(NetPro)コミュニティで、技術関連のディスカッションに参加する

トレーニング リソースへアクセスする

TAC Case Collection ツールを使用して、ハードウェアや設定、パフォーマンスに関する一般的な問題をインタラクティブに特定および解決する

Japan テクニカル サポート Web サイトでは、Technical Support Web サイト(http://www.cisco.com/techsupport)の、利用頻度の高いドキュメントを日本語で提供しています。Japan テクニカル サポート Web サイトには、次の URL からアクセスしてください。http://www.cisco.com/jp/go/tac

http://www.cisco.com/techsupport

ロールベースの CLI アクセスの機能情報

表 1 に、この機能のリリース履歴を示します。

ご使用の Cisco IOS ソフトウェア リリースによっては、コマンドの中に一部使用できないものがあります。特定のコマンドに関するリリース情報については、コマンド リファレンス マニュアルを参照してください。

Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートする Cisco IOS ソフトウェア イメージおよび Catalyst OS ソフトウェア イメージを確認できます。Cisco Feature Navigator には、 http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp からアクセスできます。Cisco.com のアカウントは必要ありません。


表 1 には、一連の Cisco IOS ソフトウェア リリースのうち、特定の機能が初めて導入された Cisco IOS ソフトウェア リリースだけが記載されています。特に明記していないかぎり、その機能は、一連の Cisco IOS ソフトウェア リリースの以降のリリースでもサポートされます。


 

表 1 ロールベースの CLI アクセスの機能情報

機能名
リリース
機能情報

ロールベースの CLI アクセス

12.3(7)T

12.3(11)T

12.2(33)SRB

12.2(33)SB

12.2(33)SXI

この機能は、ネットワーク管理者が、CLI と設定情報へのユーザ アクセスを制限できるようにします。

12.3(11)T で、インターフェイス単位レベルでユーザ アクセスを制限するように CLI ビュー機能が拡張され、拡張されたビュー機能をサポートするために新しい CLI ビューが導入されました。また、設定された CLI ビューをスーパービューにグループ分けするためのサポートが導入されました。

c ommands (view) enable i-view name (view) parser view parser view superview、secret show parser view show users username 、および view の各コマンドが導入または変更されました。