Cisco DCNM for LAN セキュリティ コンフィギュレーション ガイド リリース 5.x
ユーザ アカウントと RBAC の設定
ユーザ アカウントと RBAC の設定
発行日;2012/09/13   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

ユーザ アカウントと RBAC の設定

この章では、Cisco NX-OS デバイス上でユーザ アカウントおよび Role-Based Access Control(RBAC; ロールベース アクセス コントロール)を設定する手順について説明します。

この章は、次の内容で構成されています。

ユーザ アカウントと RBAC の概要

ユーザ アカウントの作成および管理を行い、Cisco NX-OS デバイス上で実行できる操作を制限するロールを割り当てることができます。 RBAC は、ユーザが実行する必要のある管理操作の許可を制限するロールの割り当てのルールを定義することを可能にします。

ユーザ アカウント

最大 256 のユーザ アカウントを作成できます。 デフォルトでは、明示的に期限を指定しないかぎり、ユーザ アカウントは無期限に有効です。 expire オプションを使用すると、ユーザ アカウントをディセーブルにする日付を設定できます。

ユーザは、ユーザ アカウントを複数の VDC 上に所有できます。 これらのユーザは、最初に 1 つの VDC に接続してから複数の VDC 間を移動できます。

次の語は予約済みであり、ユーザ設定に使用できません。bin、daemon、adm、lp、sync、shutdown、halt、mail、news、uucp、operator、games、gopher、ftp、nobody、nscd、mailnull、root、rpc、rpcuser、xfs、gdm、mtsuser、ftpuser、man、および sys。


(注)  


ユーザのパスワードは、設定ファイルでは表示されません。



注意    


ユーザ名の先頭は英数字とする必要があります。ユーザ名には特殊文字 ( + = . _ \ - ) のみを含めることができます。 # 記号と ! 記号はサポートされていません。 ユーザ名に許可されていない文字が含まれている場合、指定したユーザはログインできません。


強力なパスワードの特性

強固なパスワードは、次の特性を持ちます。

  • 長さが 8 文字以上である
  • 複数の連続する文字(「abcd」など)を含んでいない
  • 複数の同じ文字の繰返し(「aaabbb」など)を含んでいない
  • 辞書に載っている単語を含んでいない
  • 固有名詞を含んでいない
  • 大文字および小文字の両方が含まれている
  • 数字が含まれている

強固なパスワードの例を次に示します。

  • If2CoM18
  • 2004AsdfLkj30
  • Cb1955S21

パスワードの強度確認をイネーブルにすると、パスワードが単純である場合(短く、簡単に解読されるパスワードなど)に、Cisco NX-OS ソフトウェアによってパスワード設定が拒否されます。 サンプル設定にあるような強固なパスワードを設定してください。 パスワードでは、大文字と小文字が区別されます。

ユーザ ロール

ユーザ ロールには、そのロールを割り当てられたユーザが実行できる操作を定義するルールが含まれています。 各ユーザ ロールに複数のルールを含めることができ、各ユーザが複数のロールを持つことができます。 たとえば、ロール 1 では設定操作の実行だけが許可されており、ロール 2 ではデバッグ操作の実行だけが許可されている場合、ロール 1 とロール 2 の両方に属するユーザは、設定操作とデバッグ操作を実行できます。 また、特定の VLAN、Virtual Routing and Forwarding(VRF;仮想ルーティング/転送)インスタンス、およびインターフェイスへのアクセスも制限できます。

Cisco NX-OS ソフトウェアには、デフォルトで次の 4 つのユーザ ロールが用意されています。

  • network-admin:NX-OS デバイス全体に対する読み取り/書き込みアクセスを実行できます(デフォルト DVC でだけ使用可能)。
  • network-operator:NX-OS デバイス全体に対する読み取りアクセスを実行できます(デフォルト DVC でだけ使用可能)。
  • vdc-admin:VDC に限定した読み取り/書き込みアクセス。
  • vdc-operator:VDC に限定した読み取りアクセス。

(注)  


デフォルトのユーザ ロールは変更できません。


VDC 内でカスタム ロールを作成できます。 デフォルトでは、管理者のロールがないユーザ アカウントは、機能情報の表示だけを行うことができますルールを追加して、ユーザが機能を設定できるようにすることが可能です。

同じ物理デバイス上の VDC は、ユーザ ロールを共有しません。 各 VDC には、独立したユーザ ロール データベースがあります。 ロールは、VDC 内でルールと属性を割り当てることで設定します。


(注)  


複数のロールに属するユーザは、そのロールで許可されるすべてのコマンドの組み合わせを実行できます。 コマンドへのアクセス権は、コマンドへのアクセス拒否よりも優先されます。 たとえば、ユーザが、コンフィギュレーション コマンドへのアクセスが拒否されたロール A を持っていたとします。 しかし、同じユーザが RoleB も持ち、このロールではコンフィギュレーション コマンドにアクセスできるとします。 この場合、このユーザはコンフィギュレーション コマンドにアクセスできます。


ユーザ ロールのルール

ルールは、ロールの基本要素です。 ルールは、そのロールがユーザにどの操作の実行を許可するかを定義します。 ルールは次のパラメータで適用できます。

コマンド
正規表現で定義されたコマンドまたはコマンド グループ
機能
正規表現で定義されたコマンドまたはコマンド グループ
機能グループ
機能のデフォルト グループまたはユーザ定義グループ

command、feature、および feature group の各パラメータにより、階層的な関係が作成されます。 最も基本的な制御パラメータは command です。 次の制御パラメータは feature です。これは、その機能にアソシエートされているすべてのコマンドを表します。 最後の制御パラメータが、feature group です。 機能グループは、関連する機能を組み合わせたものです。機能グループによりルールを簡単に管理できます。 また、Cisco NX-OS ソフトウェアには、使用可能な機能グループ L3 があらかじめ定義されています。

ロールごとに最大 256 のルールを設定できます。 ルールが適用される順序は、ユーザ指定のルール番号で決まります。 ルールは降順で適用されます。 たとえば、1 つのロールが 3 つのルールを持っている場合、ルール 3 がルール 2 よりも前に適用され、ルール 2 はルール 1 よりも前に適用されます。

ユーザ アカウントおよび RBAC のライセンス要件

次の表に、この機能のライセンス要件を示します。

製品

ライセンス要件

Cisco DCNM

ユーザ アカウントおよび RBAC にはライセンスは必要ありません。 ライセンス パッケージに含まれていない機能は Cisco DCNM にバンドルされており、無料で提供されます。 Cisco DCNM ライセンス方式についての詳細は、『Cisco DCNM Installation and Licensing Guide, Release 5.x』を参照してください。

Cisco NX-OS

ユーザ アカウントおよび RBAC にはライセンスは必要ありません。 ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。 各プラットフォームの Cisco NX-OS ライセンス方式の詳細については、プラットフォームのライセンス ガイドを参照してください。

ユーザ アカウントおよび RBAC をサポートしているプラットフォーム

この機能をサポートするプラットフォームは次のとおりです。ただし、実装方法は異なる場合があります。 注意事項や制約事項、システムのデフォルト値、コンフィギュレーションの制限などに関するプラットフォーム固有の情報については、対応するマニュアルを参照してください。

プラットフォーム マニュアル
Cisco Nexus 1000V シリーズ スイッチ Cisco Nexus 1000V シリーズ スイッチのマニュアル
Cisco Nexus 3000 シリーズ スイッチ Cisco Nexus 3000 シリーズ スイッチのマニュアル
Cisco Nexus 4000 シリーズ スイッチ Cisco Nexus 4000 シリーズ スイッチのマニュアル
Cisco Nexus 5000 シリーズ スイッチ Cisco Nexus 5000 シリーズ スイッチ マニュアル
Cisco Nexus 7000 シリーズ スイッチ Cisco Nexus 7000 シリーズ スイッチのマニュアル

ユーザ アカウントの設定

ここでは、Cisco NX-OS デバイスのユーザ アカウントを設定する手順について説明します。

ユーザ アカウントの作成

Cisco NX-OS デバイス上には最大 256 のユーザ アカウントを作成できます。 ユーザ アカウントは、次の属性を持ちます。

  • ユーザ名
  • パスワード
  • 失効日
  • ユーザ ロール

ユーザ名は、最大 28 文字の長さの英数字のストリングで、大文字小文字が区別されます。

ユーザ アカウントは、最大 64 個のユーザ ロールを持つことができます。

ユーザ アカウントは、VDC に対してローカルです。 ただし、network-admin または network-operator のロールを持つユーザは、デフォルト VDC にログインし、他の VDC にアクセスできます。


(注)  


パスワードを指定しないと、ユーザは Cisco NX-OS デバイスにログインできない場合があります。
手順
    ステップ 1   [Feature Selector] ペインで、[Security] > [RBAC] > [Users] を選択します。
    ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてユーザを表示します。
    ステップ 3   メニュー バーで、[Actions] > [Add User] を選択します。 ユーザのリストに新しい行が表示されます。
    ステップ 4   ユーザ名を入力します。 ユーザ名は、最大 28 文字の長さの文字ストリングで、大文字小文字が区別されます。 指定できる文字は、A ~ Z の英大文字、a ~ z の英小文字、0 ~ 9 の数字、ハイフン(-)、ピリオド(.)、アンダースコア(_)、プラス符号(+)、および等号(=)です。
    ステップ 5   [Password] セルをダブルクリックし、下向きの矢印をクリックしてパスワードのダイアログボックスを表示します。
    図 1. パスワードのダイアログボックス. 次の図に、パスワードのダイアログボックスを示します。

    ステップ 6   パスワードのダイアログボックスで、[Password] と [Confirm Password] のフィールドにパスワードを入力します。
    ステップ 7   [Encryption Type] メニュー リストで、[Clear Text] または [Strongly Encrypted] を選択します。
    ステップ 8   [OK] をクリックします。
    ステップ 9   [Expiry Date] セルをダブルクリックし、下向きの矢印をクリックして [Expiry Date] ダイアログボックスを表示します。
    図 2. [Expiry Date] ダイアログボックス. 次の図に、[Expiry Date] ダイアログボックスを示します。

    ステップ 10   適切な失効日に移動して [OK] をクリックします。 デフォルトの失効日は [Never] です。
    ステップ 11   [Roles] セルをダブルクリックし、下向きの矢印をクリックしてユーザ ロールのダイアログボックスを表示します。
    図 3. ユーザ ロールのダイアログボックス. 次の図に、ユーザ ロールのダイアログボックスを示します。

    ステップ 12   1 つまたは複数のユーザ ロールを [Permitted] カラムに移動してユーザ ロールを選択し、[OK] をクリックします。
    ステップ 13   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

    ユーザ アカウントのコピー

    ユーザ アカウントの設定を、Cisco NX-OS デバイスから、別の Cisco NX-OS デバイスにコピーできます。

    はじめる前に

    1 つまたは複数のユーザ アカウントを作成します。

    ユーザ アカウントに割り当てられたロールがターゲット デバイスにも存在することを確認します。

    手順
      ステップ 1   [Feature Selector] ペインで、[Security] > [RBAC] > [Users] を選択します。
      ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてユーザを表示します。
      ステップ 3   コピーするユーザ アカウントをクリックします。
      ステップ 4   メニュー バーで、[Actions] > [Copy] を選択します。
      ステップ 5   宛先デバイスをクリックします。
      ステップ 6   メニュー バーで、[Actions] > [Paste] を選択します。

      デバイスのユーザのリストにユーザ アカウントが表示されます。

      ステップ 7   [Password] セルをダブルクリックし、下向きの矢印をクリックしてパスワードのダイアログボックスを表示します。
      図 4. パスワードのダイアログボックス. 次の図に、パスワードのダイアログボックスを示します。



      ステップ 8   パスワードのダイアログボックスで、[Password] と [Confirm Password] のフィールドにパスワードを入力します。
      ステップ 9   [Encryption Type] メニュー リストで、[Clear Text] または [Strongly Encrypted] を選択します。
      ステップ 10   [OK] をクリックします。
      ステップ 11   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

      ユーザ アカウント パスワードの変更

      任意のユーザ アカウントのパスワードを変更できます。


      (注)  


      ユーザ アカウントのパスワードに加えられた変更は、そのユーザがログインして新しいセッションを作成するまで有効になりません。


      はじめる前に

      1 つまたは複数のユーザ アカウントを作成します。

      手順
        ステップ 1   [Feature Selector] ペインで、[Security] > [RBAC] > [Users] を選択します。
        ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてユーザを表示します。
        ステップ 3   変更するユーザ アカウントをクリックします。
        ステップ 4   [Password] セルをダブルクリックし、下向きの矢印をクリックしてパスワードのダイアログボックスを表示します。
        図 5. パスワードのダイアログボックス. 次の図に、パスワードのダイアログボックスを示します。

        ステップ 5   パスワードのダイアログボックスで、[Password] と [Confirm Password] のフィールドにパスワードを入力します。
        ステップ 6   [Encryption Type] メニュー リストで、[Clear Text] または [Strongly Encrypted] を選択して [OK] をクリックします。
        ステップ 7   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

        ユーザ アカウント失効日の変更

        任意のユーザ アカウントの失効日を変更できます。


        (注)  


        ユーザ アカウントの失効日に加えられた変更は、そのユーザがログインして新しいセッションを作成するまで有効になりません。


        はじめる前に

        1 つまたは複数のユーザ アカウントを作成します。

        手順
          ステップ 1   [Feature Selector] ペインで、[Security] > [RBAC] > [Users] を選択します。
          ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてユーザを表示します。
          ステップ 3   変更するユーザ アカウントをクリックします。
          ステップ 4   [Expiry Date] セルをダブルクリックし、下向きの矢印をクリックして [Expiry Date] ダイアログボックスを表示します。
          図 6. [Expiry Date] ダイアログボックス. 次の図に、[Expiry Date] ダイアログボックスを示します。

          ステップ 5   適切な失効日に移動して [OK] をクリックします。 デフォルトの失効日は [Never] です。
          ステップ 6   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

          ユーザ アカウント ロールの追加

          ユーザ アカウントにロールを追加できます。


          (注)  


          ユーザ アカウントのロールに加えられた変更は、そのユーザがログインして新しいセッションを作成するまで有効になりません。


          はじめる前に

          1 つまたは複数のユーザ アカウントを作成します。

          手順
            ステップ 1   [Feature Selector] ペインで、[Security] > [RBAC] > [Users] を選択します。
            ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてユーザを表示します。
            ステップ 3   変更するユーザ アカウントをクリックします。
            ステップ 4   [Roles] セルをダブルクリックし、下向きの矢印をクリックしてユーザ ロールのダイアログボックスを表示します。
            図 7. ユーザ ロールのダイアログボックス. 次の図に、ユーザ ロールのダイアログボックスを示します。

            ステップ 5   1 つまたは複数のユーザ ロールを [Permitted Roles] カラムに移動してユーザ ロールを選択し、[OK] をクリックします。
            ステップ 6   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

            ユーザ アカウント ロールの削除

            任意のユーザ アカウントからロールを削除できます。


            (注)  


            ユーザ アカウントのロールに加えられた変更は、そのユーザがログインして新しいセッションを作成するまで有効になりません。


            はじめる前に

            1 つまたは複数のユーザ アカウントを作成します。

            ユーザ アカウントにロールを追加します。

            手順
              ステップ 1   [Feature Selector] ペインで、[Security] > [RBAC] > [Users] を選択します。
              ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてユーザを表示します。
              ステップ 3   変更するユーザ アカウントをクリックします。
              ステップ 4   [Roles] セルをダブルクリックし、下向きの矢印をクリックしてユーザ ロールのダイアログボックスを表示します。
              図 8. ユーザ ロールのダイアログボックス. 次の図に、ユーザ ロールのダイアログボックスを示します。

              ステップ 5   1 つまたは複数のユーザ ロールを [Available Roles] カラムに移動してユーザ ロールを削除し、[OK] をクリックします。
              (注)     

              ユーザ アカウントは、少なくとも 1 つのユーザ ロールを持たなければなりません。

              ステップ 6   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

              ユーザ アカウントの削除

              ユーザ アカウントを削除できます。

              はじめる前に

              1 つまたは複数のユーザ アカウントを作成します。

              手順
                ステップ 1   [Feature Selector] ペインで、[Security] > [RBAC] > [Users] を選択します。
                ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてユーザを表示します。
                ステップ 3   削除するユーザ アカウントをクリックします。
                ステップ 4   最上位のメニュー バーで [Users] > [Delete User] を選択して、確認ダイアログで [Yes] をクリックします。 ユーザ アカウント リストにユーザ アカウント名が表示されなくなります。
                ステップ 5   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                ロールの設定

                ここでは、ユーザ ロールの設定方法について説明します。

                図 9. ロールのコンテンツ ペイン. 次の図に、RBAC ロールのコンテンツ ペインを示します。

                ユーザ ロールの作成

                VDC には最大 64 のユーザ ロールを設定できます。 1 つのユーザ ロールを複数のユーザ アカウントに割り当てることができます。

                手順
                  ステップ 1   [Feature Selector] ペインで、[Security] > [RBAC] > [Roles] を選択します。
                  ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてロールを表示します。
                  ステップ 3   メニュー バーで、[Actions] > [Add Role] を選択します。

                  ロールのリストに新しい行が表示されます。

                  ステップ 4   [Name] セルに、ロール名を入力します。

                  ロール名の最大長は 16 文字です。

                  ステップ 5   (任意)[Description] セルに、ロールの説明を入力します。
                  ステップ 6   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                  ユーザ ロールのコピー

                  Cisco NX-OS デバイス内のユーザ ロールの設定を、Cisco NX-OS デバイスから別の Cisco NX-OS デバイスにコピーできます。

                  手順
                    ステップ 1   [Feature Selector] ペインで、[Security] > [RBAC] > [Roles] を選択します。
                    ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてロールを表示します。
                    ステップ 3   コピーするロールをクリックします。
                    ステップ 4   メニュー バーで、[Actions] > [Copy] を選択します。
                    ステップ 5   宛先デバイスをクリックします。
                    ステップ 6   メニュー バーで、[Actions] > [Paste] を選択します。

                    デバイスのロールのリストにロールが表示されます。

                    ステップ 7   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                    ユーザ ロールへのルールの追加

                    ルールを使用して、Cisco NX-OS デバイスでユーザが実行できるアクションを定義できます。 各ユーザ ロールが、最大 256 個のルールを持つことができます。

                    指定するルール番号は、適用したルールの順序を決めます。 ルールは降順で適用されます。 たとえば、1 つのロールが 3 つのルールを持っている場合、ルール 3 がルール 2 よりも前に適用され、ルール 2 はルール 1 よりも前に適用されます。

                    はじめる前に

                    1 つまたは複数のユーザ ロールを作成します。

                    手順
                      ステップ 1   [Feature Selector] ペインで、[Security] > [RBAC] > [Roles] を選択します。
                      ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてユーザ ロールを表示します。 [Details] ペインに [Details] タブが表示されます。
                      ステップ 3   ルールを追加するユーザ ロールをクリックします。
                      (注)     

                      デフォルトのロールである network-admin、network-operator、vdc-admin、および vdc-operator は変更できません。

                      ステップ 4   [Details] タブで、[Command Authorization Rules] をクリックします。
                      ステップ 5   メニュー バーで、[Actions] > [Add Rule] または [Actions] > [Insert Rule Above] または [Actions] > [Insert Rule Below] を選択します。 [Details] ペインに新しいルールが表示されます。
                      ステップ 6   新しいルールの [Permission] セルをダブルクリックして、[Permit] または [Deny] を選択します。
                      ステップ 7   新しいルールの [Match Command Type] セルをダブルクリックして、ドロップダウン リストから選択します。
                      ステップ 8   新しいルールの [Match Value (Component/Command)] セルをダブルクリックします。
                      ステップ 9   下向きの矢印をクリックして照合値のダイアログボックスを表示します。
                      図 10. 照合値のダイアログボックス. 次の図に、照合値のダイアログボックスを示します。

                      ステップ 10   ダイアログボックスで、ルールの照合値を指定して [OK] をクリックします。
                      ステップ 11   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                      ユーザ ロール内のルールの変更

                      ユーザ ロールに含まれるルールのコマンド許可基準を変更できます。

                      はじめる前に

                      1 つまたは複数のルールをユーザ ロールに追加します。

                      手順
                        ステップ 1   [Feature Selector] ペインで、[Security] > [RBAC] > [Roles] を選択します。
                        ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてユーザ ロールを表示します。 [Details] ペインに [Details] タブが表示されます。
                        ステップ 3   変更するユーザ ロールをクリックします。
                        (注)     

                        デフォルトのロールである network-admin、network-operator、vdc-admin、および vdc-operator は変更できません。

                        ステップ 4   [Details] タブで、[Command Authorization Rules] をクリックします。
                        ステップ 5   再編成するルールをクリックします。
                        ステップ 6   ルールの [Match Command Type] セルをダブルクリックして、ドロップダウン リストから選択します。
                        ステップ 7   ルールの [Match Value (Component/Command)] セルをダブルクリックします。
                        ステップ 8   下向きの矢印をクリックして照合値のダイアログボックスを表示します。
                        図 11. 照合値のダイアログボックス. 次の図に、照合値のダイアログボックスを示します。

                        ステップ 9   ダイアログボックスで、ルールの照合値を指定して [OK] をクリックします。
                        ステップ 10   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                        ユーザ ロール内のルールの再編成

                        ユーザ ロール内のルールを再編成できます。

                        はじめる前に

                        1 つまたは複数のルールをユーザ ロールに追加します。

                        手順
                          ステップ 1   [Feature Selector] ペインで、[Security] > [RBAC] > [Roles] を選択します。
                          ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてユーザ ロールを表示します。 [Details] ペインに [Details] タブが表示されます。
                          ステップ 3   変更するユーザ ロールをクリックします。
                          (注)     

                          デフォルトのロールである network-admin、network-operator、vdc-admin、および vdc-operator は変更できません。

                          ステップ 4   [Details] タブで、[Command Authorization Rules] をクリックします。
                          ステップ 5   再編成するルールをクリックします。
                          ステップ 6   メニュー バーで、[Actions] > [Move Up] または [Actions] > [Move Down] を選択します。
                          ステップ 7   ルールの [Match Value (Component/Command)] セルをダブルクリックします。
                          ステップ 8   下向きの矢印をクリックして照合値のダイアログボックスを表示します。
                          図 12. 照合値のダイアログボックス. 次の図に、照合値のダイアログボックスを示します。

                          ステップ 9   ダイアログボックスで、ルールの照合値を指定して [OK] をクリックします。
                          ステップ 10   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                          ユーザ ロールからのルールの削除

                          ユーザ ロールからルールを削除できます。 各ロールは少なくとも 1 つのルールを持つ必要があります。

                          はじめる前に

                          1 つまたは複数のルールをユーザ ロールに追加します。

                          手順
                            ステップ 1   [Feature Selector] ペインで、[Security] > [RBAC] > [Roles] を選択します。
                            ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてユーザ ロールを表示します。

                            [Details] ペインに [Details] タブが表示されます。

                            ステップ 3   ルールを削除するユーザ ロールをクリックします。
                            (注)     

                            デフォルトのロールである network-admin、network-operator、vdc-admin、および vdc-operator は変更できません。

                            ステップ 4   [Details] タブで、[Command Authorization Rules] をクリックします。
                            ステップ 5   削除するルールをクリックします。
                            ステップ 6   メニュー バーで [Actions] > [Delete Rule] を選択して、確認ダイアログボックスで [Yes] をクリックします。

                            [Details] ペインにルールが表示されなくなります。

                            ステップ 7   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                            ユーザ ロール インターフェイス ポリシーの変更

                            ユーザ ロール インターフェイス ポリシーを変更することで、ユーザがアクセスできるインターフェイスを制限できます。 デフォルトでは、ユーザ ロールは VDC のすべてのインターフェイスにアクセスできます。

                            はじめる前に

                            1 つまたは複数のユーザ ロールを作成します。

                            手順
                              ステップ 1   [Feature Selector] ペインで、[Security] > [RBAC] > [Roles] を選択します。
                              ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてロールを表示します。
                              ステップ 3   変更するロールをクリックします。
                              (注)     

                              デフォルトのロールである network-admin、network-operator、vdc-admin、および vdc-operator は変更できません。

                              [Details] ペインに [Details] タブが表示されます。

                              ステップ 4   [Details] ペインで、[General] をクリックします。
                              ステップ 5   [Permitted Interfaces] フィールドで下向きの矢印をクリックして、許可されたインターフェイスのダイアログボックスを表示します。
                              図 13. 許可されたインターフェイスのダイアログボックス. 次の図に、許可されたインターフェイスのダイアログボックスを示します。

                              ステップ 6   このダイアログボックスで、許可するインターフェイス範囲の入力、選択したインターフェイスに対する許可の指定、すべてのインターフェイスの拒否、またはすべてのインターフェイスの許可を行うことができます。
                              ステップ 7   [OK] をクリックします。
                              ステップ 8   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                              ユーザ ロール VLAN ポリシーの変更

                              ユーザ ロール VLAN ポリシーを変更することで、ユーザがアクセスできる VLAN を制限できます。 デフォルトでは、ユーザ ロールは VDC のすべての VLAN にアクセスできます。

                              はじめる前に

                              1 つまたは複数のユーザ ロールを作成します。

                              手順
                                ステップ 1   [Feature Selector] ペインで、[Security] > [RBAC] > [Roles] を選択します。
                                ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてロールを表示します。
                                ステップ 3   変更するロールをクリックします。
                                (注)     

                                デフォルトのロールである network-admin、network-operator、vdc-admin、および vdc-operator は変更できません。

                                [Details] ペインに [Details] タブが表示されます。

                                ステップ 4   [Details] ペインで、[General] をクリックします。
                                ステップ 5   [Permitted VLANs] フィールドで下向きの矢印をクリックして、許可された VLAN のダイアログボックスを表示します。
                                図 14. 許可された VLAN のダイアログボックス. 次の図に、許可された VLAN のダイアログボックスを示します。

                                ステップ 6   このダイアログボックスで、許可する VLAN 範囲の入力、選択した VLAN に対する許可の指定、すべての VLAN の拒否、またはすべての VLAN の許可を行うことができます。
                                ステップ 7   [OK] をクリックします。
                                ステップ 8   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                                ユーザ ロール VRF ポリシーの変更

                                ユーザ ロールの VRF ポリシーを変更して、ユーザがアクセスできる VRF を制限できます。 デフォルトでは、ユーザ ロールは VDC のすべての VRF にアクセスできます。

                                はじめる前に

                                1 つまたは複数のユーザ ロールを作成します。

                                手順
                                  ステップ 1   [Feature Selector] ペインで、[Security] > [RBAC] > [Roles] を選択します。
                                  ステップ 2   [Summary] ペインで、デバイスをダブルクリックしてロールを表示します。
                                  ステップ 3   変更するロールをクリックします。
                                  (注)     

                                  デフォルトのロールである network-admin、network-operator、vdc-admin、および vdc-operator は変更できません。

                                  [Details] ペインに [Details] タブが表示されます。

                                  ステップ 4   [Details] ペインで、[General] をクリックします。
                                  ステップ 5   [Permitted VRFs] フィールドで下向きの矢印をクリックして、許可された VRF のダイアログボックスを表示します。
                                  図 15. 許可された VRF のダイアログボックス. 次の図に、許可された VRF のダイアログボックスを示します。

                                  ステップ 6   このダイアログボックスで、許可する VRF 範囲の入力、選択した VRF に対する許可の指定、すべての VRF の拒否、またはすべての VRF の許可を行うことができます。
                                  ステップ 7   [OK] をクリックします。
                                  ステップ 8   メニュー バーの [File] > [Deploy] を選択して、変更をデバイスに適用します。

                                  RBAC のフィールドの説明

                                  ここでは、RBAC のフィールドについて説明します。

                                  [Security]:[RBAC]:[Roles]:[Summary] ペイン

                                  表 1 [Security]:[RBAC]:[Roles]:[Summary] ペイン

                                  要素

                                  説明

                                  Name

                                  ロール名

                                  Description

                                  ロールの説明

                                  Object Access Policy

                                  Permitted VLANs

                                  許可された VLAN

                                  Permitted Interfaces

                                  許可されたインターフェイス

                                  Permitted VRFs

                                  許可された VRF

                                  [Security]:[RBAC]:[Roles]:[device]:[role]:[Details] タブ:[General] 領域

                                  表 2  [Security]:[RBAC]:[Roles]:[device]:[role]:[Details] タブ

                                  要素

                                  説明

                                  Name

                                  ロール名

                                  Description

                                  ロールの説明

                                  Object Access Policy

                                  Permitted VLANs

                                  許可された VLAN

                                  Permitted Interfaces

                                  許可されたインターフェイス

                                  Permitted VRFs

                                  許可された VRF

                                  [Security]:[RBAC]:[Roles]:[device]:[role]:[Details] タブ:[Command Authorization Rules] 領域

                                  表 3  [Security]:[RBAC]:[Roles]:[device]:[role]:[Details] タブ

                                  要素

                                  説明

                                  Rule No

                                  ルールのシーケンス番号

                                  Permission

                                  ルールの権限

                                  Match Command Type

                                  match コマンド タイプ

                                  Match Value (Component/Command)

                                  照合値

                                  [Security]:[RBAC]:[Users]:[Summary] ペイン

                                  表 4  [Security]:[RBAC]:[Users]:[Summary] ペイン

                                  要素

                                  説明

                                  Name

                                  ユーザ アカウント名。

                                  Password

                                  ユーザ アカウント パスワード。 デフォルト パスワードは定義されていません。

                                  Expiry Date

                                  ユーザ アカウント失効日 デフォルトは never です。

                                  Roles

                                  ユーザ アカウントのロール。 network-admin ロールを持つユーザがデフォルト VDC 内に作成したユーザ アカウントの場合、デフォルトは network-operator です。 その他のアカウントの場合はすべて、デフォルトは vdc-operator です。

                                  ユーザ アカウントおよび RBAC に関する追加情報

                                  ここでは、ユーザ アカウントおよび RBAC の実装に関する追加情報について説明します。

                                  関連資料

                                  関連項目

                                  参照先

                                  Cisco NX-OS のライセンス

                                  Cisco NX-OS ライセンス ガイド

                                  Cisco DCNM ライセンス設定

                                  『Cisco DCNM Installation and Licensing Guide, Release 5.x』

                                  VRF コンフィギュレーション

                                  標準

                                  標準

                                  タイトル

                                  この機能では、新規の標準がサポートされることも、一部変更された標準がサポートされることもありません。また、既存の標準に対するサポートが変更されることもありません。

                                  MIB

                                  MIB

                                  MIB のリンク

                                  • CISCO-COMMON-MGMT-MIB

                                  MIB を検索およびダウンロードするには、次の URL にアクセスしてください。

                                  http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

                                  ユーザ アカウントおよび RBAC の機能の履歴

                                  次の表に、この機能のリリースの履歴を示します。

                                  表 5  ユーザ アカウントおよび RBAC の機能の履歴

                                  機能名

                                  リリース

                                  機能情報

                                  ユーザ アカウントおよび RBAC

                                  5.2(1)

                                  Cisco Nexus 3000 シリーズ スイッチのサポートが追加されました。

                                  ユーザ アカウントおよび RBAC

                                  5.1(1)

                                  Release 5.0 以降、変更はありません。

                                  ユーザ アカウントおよび RBAC

                                  5.0(2)

                                  Release 4.2 以降、変更はありません。