Cisco Prime Assurance Manager 1.1 ユーザ ガイド
ユーザ アクセスの制御
ユーザ アクセスの制御
発行日;2012/08/02 | 英語版ドキュメント(2012/02/11 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

ユーザ アクセスの制御

ユーザの管理

ユーザの追加

ユーザ パスワードの変更

ユーザ権限の変更

ユーザ グループの管理

仮想ドメイン アクセスの変更

パスワード ポリシーの変更

AAA モードの設定

仮想ドメインの変更

アクセスの監査

監査ログの表示

TACACS+ サーバの追加

RADIUS サーバの追加

ユーザ アクセスの制御

ユーザの管理

すべての Prime AM ユーザには、ユーザ名やパスワードなどの基本的なパラメータが与えられます。admin 権限を持つユーザは、アクティブなユーザ セッションを表示できます。

アクティブなセッションを表示するには、次の手順を実行します。


ステップ 1 [Administration] > [Users, Roles & AAA] を選択し、[Active Sessions] をクリックします。

ステップ 2 目的のユーザ名の [Audit Trail] アイコンをクリックして、次のデータを表示します。

[User]:ユーザのログイン名

[Operation]:監査された操作の種類

[Time]:操作が監査された時刻

[Status]:成功または失敗

[Reason]:ユーザがログインできなかった場合の失敗理由

[Configuration Changes]:設定変更が存在する場合、このフィールドに [Details] リンクが表示されます。この [Details] リンクをクリックすると、個々のユーザによって行われた設定変更の詳細が表示されます。


) 監査証跡エントリは、デバイス変更ごとに個別に記録される場合があります。たとえば、1 つのテンプレートが複数のスイッチに適用されると、そのテンプレートが適用された各スイッチに対して複数の監査エントリができます。



 

ユーザの追加

ユーザを追加して、事前定義済みの静的ロールを割り当てることができます。完全なアクセス以外に、区別した権限で特定のユーザ グループに対して管理アクセスを付与できます。Prime AM はこれらのアクセス制限を使用して外部ユーザの認証をサポートし、TACACS+ サーバおよび RADIUS サーバに対してユーザを認証します。


ステップ 1 [Administration] > [Users, Roles & AAA] を選択し、[Users] をクリックします。

ステップ 2 [Add a User] を選択し、[Go] をクリックします。

ステップ 3 新しいユーザのユーザ名、パスワード、および確認用パスワードを入力し、このユーザが所属するグループを選択します。

ステップ 4 [Virtual Domains] タブをクリックして、仮想ドメインをこのユーザに割り当てます。 仮想ドメインの変更を参照してください。

ステップ 5 [Save] をクリックします。


 

ユーザ パスワードの変更

ユーザのパスワードを変更するには、次の手順を実行します。


ステップ 1 [Administration] > [Users, Roles & AAA] を選択し、[Users] をクリックします。

ステップ 2 パスワードを変更するユーザ名を選択します。

ステップ 3 パスワードに関するフィールドをすべて入力し、[Save] をクリックします。


 

ユーザ権限の変更

Prime AM は、Prime AM ユーザがアクセスできる領域と、それらの領域内で実行できる機能を制御するために、タスクのリストを使用します。Prime AM 内のユーザ権限を変更するには、各ユーザが所属するユーザ グループを変更します。ユーザ グループ タスク リストを使用して、各グループ内のユーザに許可される実行内容やアクセス可能な画面を変更します。

また、仮想ドメインでアクセスできるサイトまたはデバイスを割り当てることもできます。

ユーザ グループのタスク リストを編集するには、次の手順を実行します。


ステップ 1 [Administration] > [Users, Roles & AAA] を選択し、[User Groups] をクリックします。

ステップ 2 グループ名をクリックして、そのグループに対して実行が許可されるタスクを変更します。

ステップ 3 [Members] タブをクリックして、このグループのユーザを表示します。


 

ユーザ グループの管理

Prime AM では、ユーザ グループが事前に定義されています。ユーザの権限を変更することはできますが、他のユーザを追加することはできません。新しいユーザを作成するとき、そのユーザをグループに割り当てます。

表 20-1 に、Prime AM のデフォルトのユーザ グループおよびそれらの権限の説明を示します。

 

表 20-1 デフォルトのユーザ グループ

グループ名
グループ内のユーザの権限

System Monitoring

Prime AM 操作をモニタします。

ConfigManagers

Prime AM 操作のモニタおよび設定を行います。

Admin

Prime AM 操作のモニタおよび設定を行い、Prime AM のユーザ アカウントとパスワードの管理を除いたすべてのシステム管理タスクを実行します。

SuperUsers

Prime AM 操作のモニタおよび設定を行い、Prime AM のユーザ アカウントとパスワードの管理を含むすべてのシステム管理タスクを実行します。スーパーユーザのタスクを変更できます。

North bound API

Prime AM Navigator でのみ使用されます。

User Assistant

ローカル ネット ユーザの管理のみ。ユーザ アシスタントはデバイスの設定もモニタもできません。

Lobby Ambassador

ユーザ アカウントの設定および管理を行うためだけのゲスト アクセス。

Monitor lite

アセット ロケーションのモニタリング。

Root

Prime AM 操作のモニタおよび設定を行い、パスワードの変更を含むすべてのシステム管理タスクを実行します。このグループに割り当てることができるユーザは 1 つだけで、インストールの際に決定されます。このユーザをシステムから削除でません。また、このユーザに対してタスクを変更できません。

ユーザ グループと、それらに関連付けられているタスクを表示するには、次の手順を実行します。


ステップ 1 [Administration] > [Users, Roles & AAA] を選択し、[User Groups] をクリックします。

ステップ 2 グループ名をクリックして、そのグループに対して実行が許可されるタスクを変更します。

ステップ 3 [Members] タブをクリックして、このグループのユーザを表示します。


 

仮想ドメイン アクセスの変更

仮想ドメインでアクセスできるサイトまたはデバイスを編集するには、次の手順を実行します。


ステップ 1 [Administration] > [Virtual Domains] を選択します。

ステップ 2 サイトまたはデバイスを割り当てるドメインを選択します。

ステップ 3 [Sites] タブまたは [Devices] タブをクリックし、必要な項目を [Available] リストから [Selected] リストに移動します。

ステップ 4 [Submit] をクリックします。

ユーザを仮想ドメインに関連付けるには、[Administration] > [Users, Roles & AAA] を選択し、[Users] をクリックします。 仮想ドメインへのユーザの割り当てを参照してください。


 

パスワード ポリシーの変更

Prime AM では、さまざまなパスワード ポリシー コントロール(最小長さ、繰り返し文字など)がサポートされています。

パスワード ポリシーを変更するには、次の手順を実行します。


ステップ 1 [Administration] > [Users, Roles & AAA] を選択し、[Local Password Policy] をクリックします。

ステップ 2 必要なポリシーを選択し、[Save] をクリックします。


 

AAA モードの設定

Prime AM では、ローカルに加え、TACACS+ と RADIUS もサポートされています。ただし、TACACS+ サーバまたは RADIUS サーバは先に指定する必要があります。

TACACS+ サーバを指定し、AAA モードを TACACS+ に変更するには、次の手順を実行します。


ステップ 1 [Administration] > [Users, Roles & AAA] を選択し、[TACACS+] をクリックします。

ステップ 2 コマンド プルダウン メニューから、[Add TACACS+ Server] を選択し、[Go] をクリックします。

ステップ 3 TACACS+ サーバのパラメータを入力し、[Save] をクリックします。

ステップ 4 [AAA Mode] をクリックします。

ステップ 5 [TACACS+] を選択し、ローカル状態へのフォールバックをイネーブルにするかどうかを指定します。

ステップ 6 [Save] をクリックします。


 

仮想ドメインの変更

Prime AM 仮想ドメインは、一連の Prime AM デバイスやマップから構成され、ユーザ表示をこれらの管理対象オブジェクトに関連した情報に制限します。

仮想ドメインを使用して、管理者はユーザが担当するデバイスおよびマップだけを表示できるようにすることができます。また、仮想ドメイン フィルタにより、ユーザは、割り当てられたネットワーク部分についてだけ、設定、アラームの表示、レポートの生成を行うことができます。

管理者は、各ユーザに使用できる仮想ドメインを指定します。ログインの際、ユーザについてこれらのドメインのうちアクティブとなるのは 1 つだけです。ユーザは、ページ上部の [Virtual Domain] ドロップダウン リストで別の有効な仮想ドメインを選択して、現在の仮想ドメインを変更できます。仮想ドメインによって、すべてのレポート、アラーム、およびその他の機能がフィルタ処理されます。

システムに定義されている仮想ドメインが 1 つだけ(「root」)であり、かつ TACACS+/RADIUS サーバでユーザのカスタム属性フィールドに仮想ドメインが設定されていない場合、そのユーザにはデフォルトで「root」の仮想ドメインが割り当てられます。仮想ドメインが複数あり、ユーザに指定された属性がない場合、ユーザのログインはブロックされます。

サイトとデバイスを仮想ドメインに追加するには、次の手順を実行します。


ステップ 1 [Administration] > [Virtual Domains] を選択します。

ステップ 2 左の [Virtual Domain Hierarchy] サイドバー メニューから、サイトまたはデバイスを追加する仮想ドメインをクリックします。

ステップ 3 サイトとデバイスを [Available] 列から [Selected] 列に移動し、[Submit] をクリックします。


 

ユーザを仮想ドメインに追加するには、次の手順を実行します。


ステップ 1 [Administration] > [Users, Roles & AAA] を選択し、[Users] をクリックします。

ステップ 2 仮想ドメインに追加するユーザをクリックします。

ステップ 3 [Virtual Domains] タブをクリックします。

ステップ 4 ユーザを追加する仮想ドメインを [Available Virtual Domains] 列から [Selected Virtual Domains] 列に移動し、[Save] をクリックします。


) 各仮想ドメインには、親仮想ドメインに含まれている要素のサブセットが含まれている場合があります。仮想ドメインがユーザに割り当てられると、そのユーザは、その仮想ドメインに割り当てられているデバイスを表示できます。



 

アクセスの監査

Prime AM は、ユーザ アクセスの監査レコードを保持します。

ユーザまたはユーザのアクティブ セッションに関する監査証跡にアクセスするには、次の手順を実行します。


ステップ 1 [Administration] > [Users, Roles & AAA] を選択し、[Active Sessions] をクリックします。

ステップ 2 目的のユーザ名の [Audit Trail] アイコンをクリックして、次のデータを表示します。

[User]:ユーザのログイン名

[Operation]:監査された操作の種類

[Time]:操作が監査された時刻

[Status]:成功または失敗

[Configuration Changes]:設定変更が存在する場合、このフィールドに [Details] リンクが表示されます。この [Details] リンクをクリックすると、個々のユーザによって行われた設定変更の詳細が表示されます。


) 監査証跡エントリは、デバイス変更ごとに個別に記録される場合があります。たとえば、1 つのテンプレートが複数のスイッチに適用されると、そのテンプレートが適用された各スイッチに対して複数の監査エントリができます。



 

ユーザ グループの監査証跡にアクセスするには、次の手順を実行します。


ステップ 1 [Administration] > [Users, Roles & AAA] を選択し、[User Groups] をクリックします。

ステップ 2 目的のユーザ名の [Audit Trail] アイコンをクリックして、次のデータを表示します。

[User]:ユーザのログイン名

[Operation]:監査された操作の種類

[Time]:操作が監査された時刻

[Status]:成功または失敗

[Configuration Changes]:設定変更が存在する場合、このフィールドに [Details] リンクが表示されます。この [Details] リンクをクリックすると、個々のユーザによって行われた設定変更の詳細が表示されます。


) 監査証跡エントリは、デバイス変更ごとに個別に記録される場合があります。たとえば、1 つのテンプレートが複数のスイッチに適用されると、そのテンプレートが適用された各スイッチに対して複数の監査エントリができます。



 

監査ログの表示

Prime AM には、2 種類の監査ログが用意されています。

アプリケーション監査ログ:Prime AM 機能に関連したイベントを記録します。たとえば、アプリケーション監査ログを表示して、特定のユーザがいつログインし、どのようなアクションを実行したか確認できます。

ネットワーク監査ログ:ネットワーク内のデバイスに関連したイベントを記録します。たとえば、ネットワーク監査ログを表示して、特定のテンプレートを導入したユーザと、そのテンプレートが導入された日時を確認できます。


ステップ 1 [Administration] > [Audit Logs] を選択します。

ステップ 2 [Application Audit] タブまたは [Network Audit] タブをクリックします。


) [Application Audit] の場合、TACACS+/RADIUS ユーザの [User Group] 列は空白になります。


ステップ 3 ログの詳細を表示するには、詳細について表示する行をクリックして展開します。


 

TACACS+ サーバの追加

TACACS+ サーバと通信できるように Prime AM を設定するには、次の手順を実行します。


ステップ 1 [Administration] > [Users, Roles & AAA] を選択し、[TACACS+] をクリックします。

ステップ 2 [Add TACACS+ Server] を選択し、[Go] をクリックします。

ステップ 3 TACACS+ サーバの情報を入力し、[Save] をクリックします。


) Prime AM が TACACS+ サーバと通信する場合、このページで入力する共有秘密は、TACACS+ サーバで設定されている共有秘密と一致する必要があります。



 

RADIUS サーバの追加

RADIUS サーバと通信できるように Prime AM を設定するには、次の手順を実行します。


ステップ 1 [Administration] > [Users, Roles & AAA] を選択し、[RADIUS Servers] をクリックします。

ステップ 2 [Add Radius Server] を選択し、[Go] をクリックします。

ステップ 3 RADIUS サーバの情報を入力し、[Save] をクリックします。


) Prime AM が RADIUS サーバと通信する場合、このページで入力する共有秘密は、RADIUS サーバで設定されている共有秘密と一致する必要があります。