Cisco CNS Network Registrar Web UI ガイド
基本的な管理のシナリオ
基本的な管理のシナリオ
発行日;2012/02/03 | 英語版ドキュメント(2009/02/14 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

基本的な管理のシナリオ

ロールの概要

管理者とグループ/ロールの関係

基本ロール

制約付きロール

グループ

シナリオの説明

実行するタスク

管理者を作成する

アドレス インフラストラクチャを作成する

ゾーン インフラストラクチャを作成する

ゾーンを作成する

初期ホストを作成する

制約付きホスト ロールを作成する

ロールをホスト管理者に割り当てる

ホストをホスト管理者のゾーンで作成する

追加の構成

基本的な管理のシナリオ

Cisco CNS Network Registrar Web UI は、任意の数の DNS、DHCP、TFTP のサーバを管理するシングル ポイントを提供します。Web UI はさらに、管理者の管理機能も備えているため、アプリケーションにログインしたユーザに管理ロールを割り当てることができます。

この章では、基本的な管理のシナリオについて説明し、そのシナリオを処理するアドレス インフラストラクチャと管理アカウントをセットアップするために必要な手順を示す、簡単なチュートリアルを紹介します。

 

表 2-1 基本的な管理のシナリオの項目

項目
参照先

ロールとグループ

「ロールの概要」

シナリオ例

「シナリオの説明」

シナリオで実行するタスク

「実行するタスク」

ホスト管理者の作成

「管理者を作成する」

アドレス インフラストラクチャの作成

「アドレス インフラストラクチャを作成する」

ゾーン インフラストラクチャの作成

「ゾーン インフラストラクチャを作成する」

制約付きホスト ロールの作成

「制約付きホスト ロールを作成する」

ホスト管理者へのロールの割り当て

「ロールをホスト管理者に割り当てる」

ホスト管理者のゾーンにおけるホストの作成

「ホストをホスト管理者のゾーンで作成する」

設定の拡張

「追加の構成」

ロールの概要

ネットワーク管理者が Network Registrar で実行できる機能の種類は、実行できるロールに基づいています。Web UI 管理者は、これらのロールを定義することができます。ロールは、ネットワーク管理機能にきめ細かさを与え、制約を加えます。Network Registrar では、「 基本ロール」 と「 制約付きロール」 を区別します。

基本ロール:管理機能に対する一般的な制約のないロール。これらの基本ロールが、制約付きロールの基本形となります。

制約付きロール:基本ロールから派生したロールで、一連の制約によってサーバ データの閲覧が制限されています。

管理者とグループ/ロールの関係

Network Registrar には、「 管理者」 、「 グループ」 、「 ロール」 という 3 つの管理者概念があります。

管理者:ログインし、関連する 1 つ以上のグループまたはロールを通して特定の機能を実行できるアカウント。これらの機能には、ホスト、ゾーン、アドレス空間、DHCP の管理が含まれます。管理者はさらに、特定のホストまたはゾーンを管理するように制約を受けることもあります。

グループ:ロールの集合。デフォルトでは、 address-mgt-group dns-mgt-group という 2 つのグループが作成されます。これらのロールは、柔軟性が高いので、ロールを直接管理者に関連付ける代わりに使用することができます。

ロール:管理者が実行できる機能および考えられる追加の制約を定義します。管理者またはグループには、少なくとも 1 つの基本ロールが割り当てられている必要があります。

基本ロール

管理者には、 表 2-2 に示す基本ロールを少なくとも 1 つ割り当てます。これらの基本ロールは削除できません。

 

表 2-2 Web UI 管理者の基本ロール

基本ロール
機能

ccm-admin

グローバル管理者。このロールは、Web UI Central Configuration Management (CCM)データベースを管理します。

host-admin

ホスト管理者。この管理者は通常、ゾーン全体のデータではなく、ゾーン内の Address (A)リソース レコードだけに重点を置き、ホスト IP アドレスを管理しています。このロールは、ゾーンと IP アドレス範囲、およびゾーンのセット内のホスト名によって制約を受けます。

zone-admin

ゾーン管理者。この管理者は通常、ゾーン内のホストではなく、Start of Authority (SOA)やネームサーバ アトリビュートなどのゾーン データおよびリソース レコードの管理に重点を置いています。このロールは、ゾーンとその所有者によって制約を受けます。

dhcp-admin

DHCP 管理者。この管理者は、スコープ、ポリシー、フェールオーバー構成などによって、ネットワーク内のホストのダイナミック構成を管理します。このロールには、これ以外の制約はありません。

addrblock-admin

アドレス ブロック管理者。この管理者は、アドレス ブロックの階層表現を使用して利用可能なアドレス空間を系統的にまとめて、特定のサブネットまたはスタティック アドレス割り当てのレベルよりも高いレベルでアドレス空間を管理します。このロールには、これ以外の制約はありません。

制約付きロール

管理者ロールは、基本ロールに制約を適用することによって制限できます。基本ロールが host-admin であり、これを特定の IP アドレスの範囲に制限している制約付きロールが 192.168.50.0-host-admin という名前であるとします。 host-admin 基本ロールに基づき、それぞれ固有の名前を必要とする制約付きロールが多数存在できます。これらのロールが該当する管理者に割り当てられると、その管理者は有効な制約のもとでログインします。

ロールはさらに、読み取り専用モードに制約されることがあります。管理者は、そのロールに対してあらゆるデータを読み取ることはできますが、データを修正できません。読み取り専用の制約がロールに適用されると、これは他のすべての制約に優先し、ロールは完全に読み取り専用になります。

グループ

「グループ」 は、ロールの集合です。グループを作成して、それを特定の管理者に割り当てることができます。この割り当ては、管理者に個別のロールを割り当てるのではなく、管理者をまとめて 1 つのグループ定義にする便利な方法です。特に、新規ユーザを追加する場合に役立ちます。

Web UI は、2 つのグループであらかじめ定義されています( 表 2-3 を参照)。追加のグループを作成して、各グループにロール(1 つまたはそれ以上)を割り当ててから、そのグループを共通のタスクを実行する管理者に適用します。

 

表 2-3 Web UI 管理者グループ

グループ
説明

address-mgt-group

グループにまとめられた DHCP、アドレス ブロック、CCM 管理者。

dns-mgt-group

グループにまとめられたホスト、ゾーン、CCM 管理者。

シナリオの説明

この基本シナリオでは、Example Company においてゾーン データを管理する責任を
example-zone-admin
および example-host-admin という名前の 2 つの管理者が分担していると想定します。この 2 つの管理者は、会社の example.com と boston.example.com という 2 つの DNS ゾーンを管理するという異なる側面に責任を負っています。第 3 の管理者 example-cnr-admin は、サーバのステータスを監視し、ソフトウェアのインストールやアップグレードを行うなど、一般的な Network Registrar の管理に責任を負っています。

example-cnr-admin 管理者は、サーバが正常に動作していることを確認する責任を負っています。この管理者はさらに、管理者のリストを保持して、ほかの管理者に対するアクセス制約をセットアップしています。

example-zone-admin 管理者は、DNS が正しく設定されていることを確認する責任を負っています。この管理者は、example.com zone および boston.example.com zones、その権限サーバ、リソース レコード、ダイナミック DNS 更新機能を保守します。

example-host-admin 管理者は、オフィスの移転を調整する責任、およびホストがボストン地区にあるネットワークにアクセスできることを保証する責任を負っています。この管理者は、ホスト リストとその IP アドレス割り当てを保守します。

実行するタスク

次の項では、各ユーザが作成にあたって行う手順を説明してから、Example Company のこの管理シナリオに沿って作業を進めてゆきます。

1. admin スーパーユーザは、新規管理者アカウントを作成します。

2. example-cnr-admin 管理者は、アドレス インフラストラクチャを作成します。

3. example-zone-admin 管理者は、ゾーン インフラストラクチャを作成します。

4. example-zone-admin 管理者は、制約付き boston-host-admin ロールを作成します。

5. example-zone-admin 管理者は、 example-host-admin 管理者を boston-host-admin ロールに割り当てます。

6. example-host-admin 管理者は、ホストを boston.example.com ゾーンに追加します。

管理者を作成する

この例で、デフォルトのスーパーユーザは、「シナリオの説明」の項に説明してある別個の機能を、重複する部分があるが、付与して、 example-cnr-admin example-zone-admin 、および example-host-admin 管理者を作成する必要があります。


ステップ 1 デフォルトのスーパーユーザとしてログインします(たとえば、 admin )。

ステップ 2 Primary Navigation バーの Administration タブをクリックします。

ステップ 3 List/Add Administrators ページで、Name フィールドに example-cnr-admin を、Password フィールドに examplecnr を入力します(パスワードは、ページ上ではアスタリスクで表示されます)。

ステップ 4 example-cnr-admin にサーバを管理するスーパーユーザ特権を与えるために、Superuser チェックボックスをオンにします。この設定によって、Web UI、command line interface (CLI; コマンド ライン インターフェイス)、Windows ベース GUI において、すべてのサーバ機能へのフル アクセスが自動的に可能になります。

ステップ 5 Add Administrator をクリックします(図 2-1 を参照)。

図 2-1 管理者の追加

 

ステップ 6 ゾーン管理者を追加するには、Name フィールドに example-zone-admin を、Password フィールドに examplezone を入力します。 example-zone-admin は DNS サーバに責任を負う必要があるため、 dns-mgt-group がこの管理者を加えるのに最適のグループです。このグループには自動的に、 ccm-admin host-admin 、および zone-admin という非制約ロールが割り当てられます(DNS サーバのプロパティを表示して編集し、DNS サーバの開始、停止、リロードを行えるのは、非制約ゾーン管理者だけです)。そのため、Groups ドロップダウン リストで dns-mgt-group を選択します。 Add Administrator をクリックします。

ステップ 7 ホスト管理者を追加するには、Name フィールドに example-host-admin を、Password フィールドに examplehost を入力します。 example-host-admin は boston.example.com ゾーン内の特定のホストだけを作成して管理するように制約する必要があるので、前のステップで作成した example-zone-admin 管理者は、この管理者に対して特別な制約付きロールを作成する必要があります。したがって、Groups ドロップダウン リストまたは Roles ドロップダウン リストからも項目を選択しないでください。 Add Administrator をクリックします。

ステップ 8 3 つの管理者の名前が List/Add Administrators ページに表示されます。 example-cnr-admin 管理者は Superuser フラグがオンになっており、 example-zone-admin 管理者は Groups カラムに dns-mgt-group が表示され、 example-host-admin 管理者にはグループもロールも表示されないことになります。


 

アドレス インフラストラクチャを作成する

この例で必要なゾーンとホストを管理するように管理者ロールをセットアップするために不可欠な作業に、基礎となるネットワーク インフラストラクチャを構成する作業があります。多くの場合、ネットワーク構成はすでに存在し、あらかじめインポートされているので、Web UI で選択できるようになっています。この例では、ネットワークを構成するための設定を初めて行うことを想定しています。

このシナリオでは、 example-cnr-admin 管理者は、スタティックに管理される IP アドレスが割り当てられる boston.example.com ゾーン内のホストに対して許容アドレス範囲を作成する必要があります。管理対象ホストが入ることになる固定 IP アドレス範囲を作成します。これには、192.168.50.0/24 サブネットを作成して、192.168.50.101 ~ 192.168.50.200 というスタティック アドレス範囲を追加する必要があります。


ステップ 1 ユーザ example-cnr-admin としてパスワード examplecnr を使用してログインします。

ステップ 2 Address Space リンクをクリックして、View Unified Address Space ページを開きます。

ステップ 3 Secondary Navigation バーの Subnets タブをクリックして、List/Add Subnets ページを開きます。

ステップ 4 Address/Mask フィールドにアドレス 192.168.50.0 を入力し、mask ドロップダウン リストで値 24 を選択します。Owner と Region のフィールドはそのままにして、 Add Subnet をクリックします(図 2-2 を参照)。

図 2-2 サブネットの追加

 

ステップ 5 ページのリストに 192.168.50.0/24 サブネットが表示されたら、その名前をクリックして編集します。

ステップ 6 Edit Subnet ページで、Start フィールドに 101 、End フィールドに 200 を入力して、アドレス範囲を追加します。 Add IP Range をクリックします。リストに範囲が追加されます(図 2-3 を参照)。

図 2-3 アドレス範囲のサブネットへの追加

 

ステップ 7 設定を確認するには、Secondary Navigation バーの Address Space タブをクリックし、Refresh アイコン( )をクリックしてページをリフレッシュします。192.168.50.0/24 サブネットがリストに表示されます。


 

ゾーン インフラストラクチャを作成する

このシナリオでは、 example-zone-admin 管理者は Example Company ゾーン、一部のホスト レコード、boston.example.com ゾーンへのホスト管理者アクセスの制限を定義する制約付きロールを作成する必要があります。

example.com と boston.example.com という 2 つのゾーンを作成します。

boston.example.com ゾーンに 2 つのホストを作成します。

boston-host-admin 管理者に対する制約付きロールを作成します。

boston-host-role ロールを example-host-admin 管理者に割り当てます。

ゾーンを作成する

このシナリオでは、Web UI にまだ example.com ゾーンと boston.example.com ゾーンがないので、最初に作成する必要があります。


ステップ 1 ユーザ example-zone-admin としてパスワード examplezone を使用してログインします。この管理者が dns-mgt-group ロールに制限されているため、Address Space と DHCP のメニュー項目が表示されないことに注目してください。

ステップ 2 Zone リンクをクリックして、List/Add Zones ページを開きます。

ステップ 3 Name フィールドに example.com を入力します(図 2-4 を参照)。この例では、テンプレートも所有者も作成されません。

図 2-4 ゾーンの作成

 

ステップ 4 Add Zone をクリックして Add Zone ページを開きます。次に、ゾーンを作成する上で必要最小限のデータである Start of Authority (SOA)シリアル番号、プライマリ DNS サーバ名、ホストマスターの連絡先電子メール アドレス、ゾーンの権限ネームサーバを入力します。該当するフィールドそれぞれに、次のデータを入力します(図 2-5 を参照)。

シリアル番号: 1

ネームサーバ: ns1

連絡先電子メール: hostmaster

Add Nameserver ボタンの横の Nameservers 領域: ns1 Add Nameserver をクリック)

他のすべてのフィールドには、デフォルトの値を採用することができます。

図 2-5 ゾーン情報の追加

 

ステップ 5 Add Zone をクリックしてゾーンを作成し、List/Add Zones ページに戻ります。

ステップ 6 同様に boston.example.com ゾーンを、同じゾーン プロパティ値を使用して作成します。List/Add Zones ページには、作成されているゾーンのリストに example.com boston.example.com が含まれているはずです(図 2-6 を参照)。

図 2-6 ゾーンの表示

 


 

初期ホストを作成する

確認のために、example.com ゾーンに 2 つのホストを作成します。


ステップ 1 Primary Navigation バーの Host タブをクリックして、List Zones ページを開きます。

ステップ 2 Refresh アイコン( )をクリックして、新しく作成されたゾーンを表示します(図 2-7 を参照)。

図 2-7 ホストを追加するゾーンの選択

 

ステップ 3 ゾーンのリストで example.com をクリックします。List/Add Hosts for Zone ページが開きます。

ステップ 4 Name フィールドに userhost1 、IP Address フィールドに 192.168.50.101 を入力します。Create PTR Records? ボックスはオンのままにしておきます。 Add Host をクリックします(図 2-8 を参照)。

図 2-8 ホストとアドレスのゾーンへの追加

 

ステップ 5 Name フィールドに userhost2 、IP Address フィールドに 192.168.50.102 を入力します。Create PTR Records? ボックスはオンのままにしておきます。 Add Host をクリックします。これで 2 つのホストが List/Add Hosts for Zone ページに表示されます。


 

制約付きホスト ロールを作成する

次のステップで、 example-zone-admin boston-host-admin-role を作成します。


ステップ 1 Primary Navigation バーの Administration タブをクリックし、Secondary Navigation バーの Roles タブをクリックして、List/Add Administrator Roles ページを開きます。

ステップ 2 Name フィールドに boston-host-admin-role を入力して、Base Role ドロップダウン リストの host-admin をクリックします。

ステップ 3 Add Role をクリックします(図 2-9 を参照)。

図 2-9 制約付きロールの作成

 

ステップ 4 Add Host Administrator Role ページで、ロールの名前が boston-host-admin-role で種類が host-admin となっていることを確認します。Read Only Role はオフのままにしておきます。

ステップ 5 Zone Restrictions で、Available リストから boston.example.com を選択し、 << をクリックして Selected リストに移動します(図 2-10 を参照)。

図 2-10 ゾーン制約の設定

 

ステップ 6 このページの IP Restrictions 領域を、見出しの横にある + 記号をクリックして展開します。

ステップ 7 Available リストから 192.168.50.101 - 192.168.50.200 を選択し、 << をクリックしてこの範囲を Selected リストに移動します(図 2-11 を参照)。

図 2-11 IP アドレス制限の設定

 

ステップ 8 ページの下部にある Add Role をクリックします。これでロールが List/Add Administrator Roles ページの Name カラムの下にあるロールのリストに表示されます。


 

ロールをホスト管理者に割り当てる

次のステップで、 example-zone-admin は、 boston-host-admin-role example-host-admin に割り当てます。


ステップ 1 Secondary Navigation バーの Administrators タブをクリックします。

ステップ 2 List/Add Administrators ページで、 example-host-admin をクリックして管理者を編集します。

ステップ 3 Edit Administrator ページの Roles で、Available リストの boston-host-admin-role をクリックし、 << をクリックして Selected リストに移動します(図 2-12 を参照)。

図 2-12 ロールの割り当て

 

ステップ 4 Modify Administrator をクリックします。これで example-host-admin 管理者に対して、Roles カラムの下に boston-host-admin-role が表示されています。

ステップ 5 設定を確認するには、 example-host-admin 名をクリックして Edit Administrator ページを開きます。ページの下にある Show Current Roles 領域を展開します。表示されているロールが管理者に割り当てられている権限です。ロールが boston.example.com ゾーンと特定の IP 範囲に制約されるように定義されていることが確認できます。


 

ホストをホスト管理者のゾーンで作成する

この例では、 example-host-admin 管理者が範囲外のアドレスをテストしてから、使用が許されているアドレスを追加します。


ステップ 1 ユーザ example-host-admin としてパスワード examplehost を使用してログインします。この管理者は boston-host-admin-role に制限されているため、Host の選択だけが表示されることに注目してください。

ステップ 2 Host リンクをクリックして、List Zones ページを開きます。この管理者のビューが 1 つのゾーンに制限されているため、直接 boston.example.com の List/Add Hosts for Zone ページに進みます。

ステップ 3 Name フィールドに userhost3 を入力し、IP Address フィールドに範囲外のアドレス 192.168.50.51 を入力します。 Add Host をクリックします。エラー メッセージが表示され、IP Address フィールドは空になります。

ステップ 4 IP Address フィールドに使用が許されているアドレス 192.168.50.103 を入力し、 Add Host をクリックします。ホストがリストに表示されます。


 

追加の構成

この管理シナリオからは、ほかにも多くの可能性が考えられます。具体例を次に示します。

ゾーン管理者は、ゾーン管理権限を持つだけではなく、管理者アカウントも管理できるため、さまざまな制約を受ける管理者を作成できる。

管理者をそのロールに対して読み取り専用に制約できる。

dhcp-admin 基本ロールを管理者に割り当てて、その管理者がダイナミック アドレスのスコープを作成して DHCP 構成のほかのほかの側面を制御できるようにすることが可能。これを行う方法については、「DHCP の管理」を参照してください。

addrblock-admin 基本ロールを管理者に割り当てて、管理者がスタティック アドレス ブロック、追加サブネット、所有者、領域を作成できるようにすることが可能。これを行う方法については、「アドレス ブロックの管理」を参照してください。