Cisco MDS 9000 ファミリー コンフィギュレーション ガイド Release 2.x
スイッチ セキュリティの設定
スイッチ セキュリティの設定
発行日;2012/02/01 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

スイッチ セキュリティの設定

スイッチ管理セキュリティ

CLIセキュリティ オプション

SNMPセキュリティ オプション

スイッチAAAの機能

認証

許可

アカウンティング

リモートAAAサービス

リモート認証に関する注意事項

サーバ グループ

AAAサービスの設定オプション

エラーイネーブル ステータス

RADIUSの設定

RADIUSサーバ アドレスの設定

グローバルな事前共有鍵の設定

RADIUSサーバ タイムアウト インターバルの設定

RADIUSサーバの再試行回数の設定

VSAの定義

VSAフォーマット

AAAサーバに対するSNMPv3の指定

RADIUSサーバの詳細情報の表示

TACACS+の設定

TACACS+の概要

TACACS+のイネーブル化

TACACS+サーバ アドレスの設定

グローバル秘密鍵の設定

タイムアウト値の設定

役割のカスタム属性の定義

サポートされているTACACS+サーバ

TACACS+サーバの詳細情報の表示

サーバ グループの設定

AAAサーバ設定の配布

RADIUSサーバの配布のイネーブル化

スイッチにおける配布セッションの開始

セッション ステータスの表示

配布する設定の表示

配布のコミット

配布セッションの廃棄

セッションのクリア

RADIUSおよびTACACS+設定の結合に関する注意事項

ローカルAAAサービス

AAA認証のディセーブル化

AAA認証の表示

認証および許可プロセス

役割ベースの許可

役割およびプロファイルの設定

役割ごとのルールおよびフィーチャの設定

プロファイルの変更

VSANポリシーの設定

VSANポリシーの変更

役割ベースの設定の配布

データベース実装

ファブリックのロック

変更のコミット

変更の廃棄

配布のイネーブル化

セッションのクリア

データベース結合に関する注意事項

役割ベース情報の表示

配布がイネーブルにされている場合の役割ベースの表示

ユーザ アカウントの設定

ユーザの作成または更新

ユーザのログアウト

ユーザ アカウント情報の表示

SNMPセキュリティ

アカウンティング サービスの設定

アカウンティング設定の表示

アカウンティング ログのクリア

SSHサービスの設定

SSHサービスのイネーブル化

SSHキーの指定

SSHサーバ キー ペアの生成

生成済みのキー ペアの上書き

SSHホストのクリア

SSHプロトコル ステータスの表示

管理者パスワードの回復

Cisco ACSサーバの設定

デフォルト設定値

スイッチ セキュリティの設定

Authentication, Authorization, Accounting(AAA;認証、許可、アカウンティング)メカニズムは、スイッチを管理するユーザのIDを確認し、アクセスを許可し、実行されたアクションを追跡します。Cisco MDS 9000ファミリーのすべてのスイッチはRemote Access Dial-In User Service(RADIUS)およびTerminal Access Controller Access Control System Plus(TACACS+)を使用し、リモートAAAサーバによるソリューションを提供します。

スイッチは提示されたユーザIDおよびパスワードの組み合わせに基づき、ローカル データベースによるローカル認証/許可、またはAAAサーバによるリモート認証/許可を実行します。事前共有された秘密鍵は、AAAサーバとスイッチの通信にセキュリティを提供します。この秘密鍵は、すべてのAAAサーバに設定することも、特定のAAAサーバにのみ設定することもできます。このセキュリティ メカニズムは、AAAサーバに対して中央集中型の管理機能を提供します。

この章の内容は、次のとおりです。

「スイッチ管理セキュリティ」

「スイッチAAAの機能」

「RADIUSの設定」

「TACACS+の設定」

「サーバ グループの設定」

「ローカルAAAサービス」

「AAA認証のディセーブル化」

「AAA認証の表示」

「認証および許可プロセス」

「役割ベースの許可」

「ユーザ アカウントの設定」

「SNMPセキュリティ」

「管理者パスワードの回復」

「SSHサービスの設定」

「SNMPセキュリティ」

「SSHサービスの設定」

「管理者パスワードの回復」

「Cisco ACSサーバの設定」

「デフォルト設定値」

スイッチ管理セキュリティ

Cisco MDS 9000ファミリー スイッチの管理セキュリティでは、CLI(コマンドライン インターフェイス)またはSNMP(簡易ネットワーク管理プロトコル)を含むすべての管理アクセス方式に対し、セキュリティを提供します。

CLIセキュリティ オプション

CLIにアクセスするには、コンソール(シリアル接続)、Telnet、またはSecure Shell(SSH;セキュア シェル)のいずれかを使用できます。それぞれの管理パス(コンソールまたはTelnetおよびSSH)に対して、次のセキュリティ制御オプションを1つ以上設定することができます。ローカル、リモート(RADIUSまたはTACACS+)、またはnone(なし)です。

リモート セキュリティ制御

RADIUSの使用。「RADIUSの設定」を参照してください。

TACACS+の使用。「TACACS+の設定」を参照してください。

ローカル セキュリティ制御。「ローカルAAAサービス」を参照してください。

これらのセキュリティ メカニズムは、次のシナリオにも設定することができます。

iSCSI認証( 認証方式を参照)

Fibre Channel Security Protocol(FC-SP)認証(「ファブリック セキュリティの設定」を参照)

SNMPセキュリティ オプション

SNMPエージェントは、SNMPv1、SNMPv 2c、およびSNMPv3のセキュリティ機能をサポートしています。通常のSNMPセキュリティ メカニズムが、SNMPを使用するすべてのアプリケーション(たとえば、Cisco MDS 9000 Fabric Manager)に適用されます。

CLIセキュリティ オプションは、Cisco MDS Fabric ManagerおよびDevice Managerにも適用されます。

「SNMPの設定」を参照してください。

Cisco MDS Fabric ManagerまたはDevice Managerについては、『 Cisco MDS 9000 Family Fabric Manager Configuration Guide 』を参照してください。

スイッチAAAの機能

Cisco MDS 9000ファミリー スイッチでは、CLIまたはSNMPアプリケーションを使用してAAAスイッチ機能を設定できます。

認証

認証は、スイッチを管理しようとする人物のIDを確認するプロセスです。このID確認は、スイッチの管理を試みる人物が提示したユーザIDおよびパスワードの組み合わせに基づいて行われます。Cisco MDS 9000ファミリー スイッチでは、ローカル認証(ローカル ルックアップ データベースを使用)またはリモート認証(1台または複数台のRADIUSサーバまたはTACACS+サーバを使用)を実行できます。


) TelnetまたはSSH経由でFabric ManagerまたはDevice Managerを使用して、Cisco MDSスイッチに正常にログインした場合は、そのスイッチがAAAサーバベースの認証に設定されている場合に限り、一時的なSNMPユーザ エントリが1日の有効期限で自動的に作成されます。Telnet/SSHログイン名がSNMPv3ユーザのSNMPv3 Protocol Data Unit(PDU)がスイッチによって認証されます。管理ステーションは、Telnet/SSHログイン名をSNMPv3 authおよびprivパスフレーズで一時的に使用します。1つまたは複数のアクティブMDS Shellセッションが存在する場合にのみ、この一時的なSNMPログインが許可されます。有効期限内にアクティブ セッションがなければ、ログインが削除され、SNMP v3操作を実行できなくなります。


許可

デフォルトでは、すべてのCisco MDSスイッチに次の2つの役割が存在します。

ネットワーク オペレータ( network-operator ) ― 設定内容を表示する権限のみあります。オペレータは設定を変更することはできません。

ネットワーク管理者( network-admin ) ― すべてのコマンドを実行し、設定内容を変更する権限があります。管理者はさらに、その他の最大64の役割を作成およびカスタマイズすることができます。

SAN Volume Controller(SVC)設定を使用する場合は、さらに2つのデフォルトの役割がすべてのCisco MDSスイッチに存在します。

SVC管理者( svc-admin ) ― 設定全体を表示し、 switch(svc) プロンプト内でSVC固有の設定を変更する権限があります。

SVCオペレータ( svc-operator ) ― 設定全体を表示する権限があります。オペレータは設定を変更することはできません。


) SVCの詳細については、『Cisco MDS 9000 Family SAN Volume Controller Configuration Guide』を参照してください。


これら4つのデフォルトの役割は、変更または削除することはできません。追加の役割を作成し、次のオプションを設定することができます。

ローカルまたはリモートAAAサーバを使用したユーザ役割の割り合てによる役割ベース許可の設定

役割情報を含むユーザ プロファイルのリモートAAAサーバ上での設定。リモートAAAサーバを通じてユーザを認証するときに、この役割情報が自動的にダウンロードされて使用されます。


) ユーザが、新しく作成された役割のいずれかに属し、その役割があとで削除された場合は、すぐにユーザのデフォルトの役割がnetwork-operatorになります。


アカウンティング

アカウンティング機能は、スイッチのアクセスに使用されるすべての管理セッションのログを追跡し、維持します。この情報を利用して、トラブルシューティングや監査目的で使用するレポートを生成できます。アカウンティング ログはローカルに保存することも、リモートAAAサーバに送信することもできます。

リモートAAAサービス

RADIUSおよびTACACS+プロトコルによって提供されるリモートAAAサービスには、AAAサーバ上で次の利点があります。

ファブリック内の各スイッチのユーザ パスワード リストが管理しやすくなります。

AAAサーバはすでに全社的な展開を実現しており、簡単に導入できます。

簡単に管理できます。

ファブリック内の全スイッチ用のアカウンティング ログを集中的に管理できます。

ファブリック内の各スイッチのユーザ役割マッピングを簡単に管理できます。

リモート認証に関する注意事項

リモートAAAサーバを使用する場合は、次の注意事項に従ってください。

最低1つのAAAサーバがIPで到達可能でなければなりません。

必ず、所望のローカルAAAポリシーを設定してください。AAAサーバがどれも到達不可能な場合はこのポリシーが使用されます。

スイッチにオーバーレイ イーサネットLANが接続している場合、AAAサーバに簡単に到達できます(「IPSの設定」を参照)。これが推奨される方式です。

スイッチに接続するSANネットワークには、AAAサーバに到達するイーサネットLANに接続されたゲートウェイ スイッチが最低1つ必要です。

サーバ グループ

サーバ グループによって、認証、許可、アカウンティングに使用する複数のリモートAAAサーバを指定できます。サーバ グループは、同じAAAプロトコルを実装しているリモートAAAサーバで構成されます。サーバ グループの目的は、1つのリモートAAAサーバが応答できなかった場合に備えてフェールオーバーを提供することです。グループの最初のリモート サーバが応答しなかった場合、いずれかのサーバが応答を返すまで、グループの次のリモート サーバを試行します。サーバ グループのすべてのAAAサーバが応答しなかった場合、そのサーバ グループ オプションは失敗したとみなされます。必要に応じて、複数のサーバ グループを指定できます。Cisco MDSスイッチが最初のグループのサーバでエラーを検出すると、次のサーバ グループのサーバを試行します。

サーバ グループを作成するには、 aaa group server コマンドを使用します。

AAAサービスの設定オプション

Cisco MDS 9000ファミリー スイッチのAAA設定は、サービス ベースです。次のサービスについて、それぞれ個別のAAA設定を使用できます。

TelnetまたはSSHログイン(Cisco MDS Fabric ManagerおよびDevice Managerログイン)

コンソール ログイン

iSCSI認証( 認証方式を参照)

FC-SP認証(「ファブリック セキュリティの設定」を参照)

アカウンティング

一般に、AAA設定のどのサービスについても、サーバ グループ、ローカル、およびnone(なし)を指定できます。各オプションが指定した順序で試行されます。すべての方式が失敗した場合、ローカル方式が試行されます。


) オプションの1つにローカルを指定していなくても、設定したその他のオプションがすべて失敗した場合、ローカル方式が試行されます。


表 19-1 に、各AAAサービスの設定オプションに関連するCLIコマンドを示します。

.

表 19-1 AAAサービスの設定コマンド

AAAサービスの設定オプション
関連するコマンド

TelnetまたはSSHログイン(Cisco MDS Fabric ManagerおよびDevice Managerログイン)

aaa authentication login default コマンドを使用

コンソール ログイン

aaa authentication login console コマンドを使用

iSCSI認証

aaa authentication iscsi default コマンドを使用

FC-SP認証

aaa authentication dhchap default コマンドを使用

アカウンティング

aaa accounting default コマンドを使用

エラーイネーブル ステータス

リモートAAAサーバが応答しない場合は、ログインすると、ログインはローカル ユーザ データベースにロールオーバーされます。このような場合にエラーイネーブル機能をイネーブルにしておくと、ユーザの端末に次のメッセージが表示されます。

Remote AAA servers unreachable; local authentication done.
 

このメッセージの表示をイネーブルにするには、 aaa authentication login error-enable コマンドを使用します。

このメッセージの表示をディセーブルにするには、 no aaa authentication login error-enable コマンドを使用します。

現在の表示ステータスを表示するには、 show aaa authentication login error-enable コマンドを使用します(例19-6を参照)。

例19-1 AAA認証ログイン情報の表示

switch# show aaa authentication login error-enable
enabled

RADIUSの設定

Cisco MDS 9000ファミリー スイッチは、RADIUSプロトコルを使用してリモートAAAサーバと通信します。複数のRADIUSサーバおよびサーバ グループを設定し、タイムアウトおよび再試行回数を指定できます。

ここでは、RADIUSの動作、ネットワーク環境、および可能な設定方法について説明します。

RADIUSは、不正アクセスからネットワークを保護する分散型クライアント/サーバ プロトコルです。シスコが実装するRADIUSクライアントは、Cisco MDS 9000ファミリー スイッチ上で稼働し、中央のRADIUSサーバ(すべてのユーザの認証情報およびネットワーク サービスのアクセス情報を含む)に認証要求を送信します。

RADIUSサーバ アドレスの設定

最大64のRADIUSサーバを追加できます。RADIUSキーは常に、永続的ストレージに暗号化形式で保存されます。実行コンフィギュレーションでも、暗号化されたキーが表示されます。

ホストRADIUSサーバ アドレスおよび各種オプションを指定する手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# radius-server host 10.10.0.0 key HostKey

選択したRADIUSサーバの事前共有鍵を指定します。このキーは、 radius-server key コマンドを使用して割り当てたキーを上書きします。この例では、ホストは10.10.0.0、鍵はHostKeyです。

ステップ 3

switch(config)# r adius-server host 10.10.0.0 auth-port 2003

RADIUS認証メッセージを送信する宛先UDPポート番号を指定します。この例では、ホストは10.10.0.0、認証ポートは2003です。デフォルトの認証ポートは1812であり、指定できる範囲は0~65366です。

ステップ 4

switch(config)# radius-server host 10.10.0.0 acct-port 2004

RADIUSアカウンティング メッセージを送信する宛先UDPポート番号を指定します。デフォルトのアカウンティング ポートは1813であり、指定できる範囲は0~65366です。

ステップ 5

switch(config)# radius-server host 10.10.0.0 accounting

このサーバをアカウンティング用にのみ使用することを指定します。


authenticationオプションとaccountingオプションのどちらも指定しない場合、そのサーバはアカウンティングと認証の両方に使用されます。


ステップ 6

switch(config)# radius-server host radius2 key 0 abcd

特定のサーバのクリアテキスト キーを指定します。このキーは最大64文字です。

switch(config)# radius-server host radius3 key 7 da3Asda2ioyuoiuH

特定のサーバの暗号化鍵を指定します。このキーは最大64文字です。

グローバルな事前共有鍵の設定

スイッチをRADIUSサーバに対して認証するためのRADIUS事前共有鍵を設定する必要があります。このキーの長さは最大64文字であり、任意の印字可能ASCII文字を使用できます(ホワイト スペースは使用できません)。スイッチ上のすべてのRADIUSサーバ コンフィギュレーションに使用されるグローバル キーを設定できます。

この方法で割り当てたグローバル キーは、 radius-server host コマンドで明示的な key オプションを使用することによって上書きできます。

RADIUS事前共有鍵を設定する手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# radius-server key AnyWord

RADIUSクライアントとサーバ間の通信を認証するための事前共有鍵(AnyWord)を設定します。デフォルトはクリアテキストです。

switch(config)# radius-server key 0 AnyWord

RADIUSクライアントとサーバ間の通信を認証するためのクリアテキスト(0で表される)の事前共有鍵(AnyWord)を設定します。

switch(config)# radius-server key 7 abe4DFeeweo00o

RADIUSクライアントとサーバ間の通信を認証するための暗号化テキスト(7で表される)に指定された事前共有鍵を設定します。

RADIUSサーバ タイムアウト インターバルの設定

RADIUSサーバへの再送信の間隔を指定する手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# radius-server timeout 30

RADIUSサーバへの再送信の間隔(秒)を指定します。デフォルトのタイムアウトは1秒です。指定できる時間範囲は1~60秒です。

switch(config)# no radius-server timeout 30

送信時間をデフォルトの1秒に戻します。

RADIUSサーバの再試行回数の設定

デフォルトでは、スイッチはRADIUSサーバとの接続を1回のみ再試行します。この回数は設定可能です。最大はサーバごとに5回です。

再試行回数をデフォルトに戻すには、 no radius-server retransmit コマンドを使用します。

RADIUSサーバがユーザの認証を試みる回数を指定する手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# radius-server retransmit 3

スイッチがローカル認証に戻る前にRADIUSサーバとの接続を試みる回数(3)を設定します。

VSAの定義

ネットワーク アクセス サーバとRADIUSサーバの間でVendor-Specific Attribute(VSA)を通信する方式が、Internet Engineering Task Force(IETF)ドラフト規格で定められています。IETFは属性26を使用しています。VSAによって各ベンダーは一般的な用途に適さない独自の拡張属性をサポートできます。シスコが実装したRADIUSでは、この仕様で推奨されているフォーマットのベンダー固有オプションをサポートしています。シスコのベンダーIDは9であり、サポートするオプションはベンダー タイプ1、名前は cisco-avpair です。値は、次の形式のストリングです。

protocol : attribute sep value *
 

protocol は、特定の許可タイプを表すシスコの属性です。 sep は、必須の属性の場合は = 、省略可能な属性の場合は * です。

Cisco MDS 9000ファミリー スイッチに対してユーザ自身を認証するためにRADIUSサーバを使用した場合、RADIUSプロトコルはRADIUSサーバに対し、認証結果とともに許可情報などのユーザ属性を戻すように指示します。この許可情報をVSAで指定します。

VSAフォーマット

次のVSAプロトコル オプションがCisco SAN OSソフトウェアでサポートされています。

Shall プロトコル ― ユーザ プロファイル情報を提供するAccess-Acceptパケットで使用されます。

Accounting プロトコル ― Accounting-Requestパケットで使用されます。値にホワイト スペースが含まれる場合は、値全体を二重引用符で囲む必要があります。

次の属性がCisco SAN OSソフトウェアでサポートされています。

roles ― この属性は、ユーザが属するすべての役割をリストします。値フィールドは、一連のグループ名をホワイト スペースで区切ったリストで構成されるストリングです。たとえば、ユーザが vsan-admin および storage-admin の役割に属している場合、値フィールドは" vsan-admin storage-admin "です。このサブ属性は、RADIUSサーバからのAccess-AcceptフレームのVSA部分で送信され、シェル プロトコル値とのみ一緒に使用できます。次に、roles属性を使用した2つの例を示します。

shell:roles=“network-admin vsan-admin”
shell:roles*“network-admin vsan-admin”
 

VSAが shell:roles*"network-admin vsan-admin" として指定されている場合、このVSAには任意の属性としてフラグが付き、他のシスコ製装置はこの属性を無視します。

accountinginfo ― この属性は、標準のRADIUSアカウンティング プロトコルに含まれる属性を補足する追加的なアカウンティング情報を表します。この属性は、RADIUSクライアントからのAccount-RequestフレームのVSA部分で送信され、アカウンティング プロトコルに関連するPDUとのみ一緒に使用できます。

AAAサーバに対するSNMPv3の指定

ベンダー/カスタム属性 cisco-av-pair は、次の形式によるユーザの役割マッピングを指定するのに使用できます。

shell:roles="roleA roleB ..."
 

Cisco SAN OS Release 2.0(1b)以降では、VSA形式は強化され、次のように任意でSNMPv3認証およびプライバシ プロトコル属性を指定することもできます。

shell:roles="roleA roleB..." snmpv3:auth=SHA priv=AES-128
 

SNMPv3認証プロトコルのオプションは、SHAおよびMD5です。プライバシ プロトコルのオプションは、AES-128およびDESです。これらのオプションがAccess Control Server(ACS)サーバの cisco-av-pair 属性で指定されていない場合は、デフォルトでMD5およびDESが使用されます。

RADIUSサーバの詳細情報の表示

設定されているRADIUSパラメータを表示するには、 show radius-server コマンドを使用します(例19-2を参照)。

例19-2 設定済みのRADIUS情報の表示

switch# show radius-server
Global RADIUS shared secret:*******
retransmission count:5
timeout value:10
following RADIUS servers are configured:
myradius.cisco.users.com:
available for authentication on port:1812
available for accounting on port:1813
172.22.91.37:
available for authentication on port:1812
available for accounting on port:1813
RADIUS shared secret:******
10.10.0.0:
available for authentication on port:1812
available for accounting on port:1813
RADIUS shared secret:******
 

例19-3 設定済みのRADIUSサーバ グループ順序の表示

switch# show radius-server groups
total number of groups:4
following RADIUS server groups are configured:
group radius:
server: all configured radius servers
group Group1:
server: Server3 on auth-port 1812, acct-port 1813
server: Server5 on auth-port 1812, acct-port 1813
group Group5:
 

TACACS+の設定

Cisco MDSスイッチは、TACACS+プロトコルを使用してリモートAAAサーバと通信します。複数のTACACS+サーバを設定し、タイムアウト値を指定できます。

TACACS+の概要

TACACS+は、TCP(TCPポート49)を使用してトランスポート要件を満たすクライアント/サーバ プロトコルです。Cisco MDS 9000ファミリーの全スイッチで、TACACS+プロトコルを使用する中央集中的な認証機能が提供されます。Cisco SAN OS 1.3でTACACS+のサポートが追加され、RADIUS認証と比較して次のような利点が提供されるようになっています。

独立したモジュラ式のAAA機能 ― 認証なしで許可を実行できます。

TCPトランスポート プロトコル ― コネクション型プロトコルによる信頼性の高い転送を使用して、AAAクライアントとサーバの間でデータを送受信できます。

スイッチとAAAサーバの間でプロトコル ペイロード全体を暗号化し、高度なデータ機密性を確保します。RADIUSプロトコルでは、パスワードしか暗号化されません。

TACACS+のイネーブル化

デフォルトでは、Cisco MDS 9000ファミリーの全スイッチでTACACS+機能がディセーブルに設定されています。ファブリック認証の設定および確認を行うコマンドにアクセスするには、TACACS+機能を明示的にイネーブルにする必要があります。この機能をディセーブルにすると、関連するすべての設定が自動的に廃棄されます。

Cisco MDSスイッチでTACACS+をイネーブルにする手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# tacacs+ enable

このスイッチ上でTACACS+をイネーブルにします。

switch(config)# no tacacs+ enable

このスイッチ上でTACACS+をディセーブル(デフォルト)にします。

TACACS+サーバ アドレスの設定

設定済みのサーバに秘密鍵が設定されていなくて、グローバル キーが設定されていない場合は、警告メッセージが表示されます。サーバ キーが設定されていない場合、グローバル キー(設定されている場合)がそのサーバに使用されます(グローバル秘密鍵の設定を参照)。

必要なTACACS+サーバの通信パラメータを設定するには、 tacacs-server コマンドを使用します。

TACACS+サーバ オプションを設定する手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# tacacs-server host 171.71.58.91

warning: no key is configured for the host

指定したIPアドレスで表されるTACACS+サーバを設定します。

switch(config)# no tacacs-server host 10.10.1.0

IPアドレスで表される特定のTACACS+サーバを削除します。デフォルトでは、サーバは1つも設定されていません。

ステップ 3

switch(config)# tacacs-server host 171.71.58.91 port 2

すべてのTACACS+要求に対応するTCPポートを設定します。

switch(config)# no tacacs-server host 171.71.58.91 port 2

出荷時デフォルト(ポート49を使用してサーバにアクセスする)に戻します。

ステップ 4

switch(config)# tacacs-server host host1.cisco.com key MyKey

指定したドメイン名で表されるTACACS+サーバを設定し、秘密鍵を割り当てます。

ステップ 5

switch(config)# tacacs-server host host100.cisco.com timeout 25

指定したサーバからの応答をスイッチが待機し、タイムアウト エラーを宣言するまでの時間を設定します。

グローバル秘密鍵の設定

すべてのTACACS+サーバの キー を表すグローバルな値を設定できます。


) 個々のサーバに秘密鍵を設定した場合、それらのキーは、グローバルに設定されたキーを上書きします。


TACACS+サーバの秘密鍵を設定する手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# tacacs-server key 7 3sdaA3daKUngd

TACACS+サーバにアクセスするためのグローバル秘密鍵(暗号化形式)を割り当てます。この例では、暗号化形式が使用されていることを表す 7 を指定しています。このグローバル キーおよび個々のサーバのキーを設定しない場合、TACACS+サーバに対してクリアテキスト メッセージが送信されます。

switch(config)# no tacacs-server key oldPword

TACACS+サーバのアクセス用に設定済みの秘密鍵を削除し、出荷時デフォルト(設定されている全サーバへのアクセスを許可する)に戻します。

タイムアウト値の設定

すべてのTACACS+サーバのグローバルなタイムアウト値を設定できます。


) 個々のサーバにタイムアウト値を設定した場合、その値は、グローバルに設定された値を上書きします。


TACACS+サーバのタイムアウト値を設定する手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# tacacs-server timeout 30

すべてのサーバからの応答をスイッチが待機し、タイムアウト エラーを宣言するまでのグローバル タイムアウト時間を設定します。

switch(config)# no tacacs-server timeout 30

設定済みのタイムアウト時間を削除し、出荷時デフォルト(5秒)に戻します。

役割のカスタム属性の定義

Cisco MDS 9000ファミリー スイッチは、サービス シェル用のTACACS+カスタム属性を使用して、ユーザが所属する役割を設定します。TACACS+属性は name=value のフォーマットで指定します。このカスタム属性の属性名は cisco-av-pair です。次に、この属性を使用して役割を指定する例を示します。

cisco-av-pair=shell:roles=”network-admin vsan-admin”
 

同一のAAAサーバを使用するCisco MDS以外のスイッチと矛盾が生じないように、オプションのカスタム属性を設定することもできます。

cisco-av-pair*shell:roles="network-admin vsan-admin"
 

追加のカスタム属性であるshell:rolesもサポートされています。

shell:roles="network-admin vsan-admin"
 

または

shell:roles*"network-admin vsan-admin

) ACS上で各種サービス(たとえば、シェル)用にTACACS+カスタム属性を定義できます。Cisco MDS 9000ファミリー スイッチでは、サービス シェル用のTACACS+カスタム属性を使用して、役割を定義する必要があります。


サポートされているTACACS+サーバ

Cisco SAN OSソフトウェアは現在、表示されているTACACS+サーバの次のパラメータをサポートしています。

TACACS

cisco-av-pair=shell:roles="network-admin"
 

Cisco ACS TACACS

shell:roles="network-admin"
shell:roles*"network-admin"
cisco-av-pair*shell:roles="network-admin"
cisco-av-pair*shell:roles*"network-admin"
cisco-av-pair=shell:roles*"network-admin"
 

開放型TACACS

cisco-av-pair*shell:roles="network-admin"
cisco-av-pair=shell:roles*"network-admin"

TACACS+サーバの詳細情報の表示

Cisco MDS 9000ファミリーの全スイッチで、TACACS+プロトコルの設定を表示するには、 show tacacs+ コマンドを使用します(例 19-4 19-8 を参照)。

例19-4 設定済みのTACACS+サーバ情報の表示

switch# show tacacs-server
Global TACACS+ shared secret:***********
timeout value:30
total number of servers:3
 
following TACACS+ servers are configured:
171.71.58.91:
available on port:2
cisco.com:
available on port:49
171.71.22.95:
available on port:49
TACACS+ shared secret:*****
 

例19-5 AAA認証情報の表示

switch# show aaa authentication
default: group TacServer local none
console: local
iscsi: local
dhchap: local
 

例19-6 AAA認証ログイン情報の表示

switch# show aaa authentication login error-enable
enabled
 

例19-7 設定済みのTACACSサーバ グループの表示

switch# show tacacs-server groups
total number of groups:2
 
following TACACS+ server groups are configured:
group TacServer:
server 171.71.58.91 on port 2
group TacacsServer1:
server ServerA on port 49
server ServerB on port 49:
 

例19-8 すべてのAAAサーバ グループの表示

switch# show aaa groups
radius
TacServer
 

サーバ グループの設定

サーバ グループを使用して、1台または複数台のリモートAAAサーバによるユーザ認証を指定することができます。グループのメンバーはすべて同じプロトコル(RADIUSまたはTACACS+)に属している必要があります。設定した順序に従って一連のサーバが試行されます。

これらのサーバ グループはいつでも設定できますが、これらのグループが有効になるのは、AAAサービスに適用してからです。

サーバ グループをAAAサービスに適用するには、 aaa authentication コマンドを使用します。たとえば、 aaa authentication コマンドを使用して、CLI、Fabric Managerユーザ、またはDevice ManagerユーザのAAAポリシーを設定できます。

グループ内のTACACS+サーバの順序を指定する手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# aaa group server tacacs+ TacacsServer1

switch(config-tacacs+)#

TacacsServer1グループを設定し、このグループに関するサブモードを開始します。

switch(config)# no aaa group server tacacs+ TacacsServer19

認証リストからグループTacacsServer19を削除します。

ステップ 3

switch(config-tacacs+)# server ServerA

サーバ グループTacacsServer1の中で最初にServerAを使用するように設定します。


ヒント 指定したTACACS+サーバが見つからなかった場合、tacacs-server hostコマンドを使用してサーバを設定し、このコマンドをもう一度実行します。

ステップ 4

switch(config-tacacs+)# server ServerB

TacacsServer1の中で2番めにServerBを使用するように設定します。

switch(config-tacacs+)# no server ServerZ

サーバのリストTacacsServer1からServerZを削除します。

設定したサーバ グループの順序を確認するには、 show tacacs-server groups コマンドを使用します。

switch# show tacacs-server groups
total number of groups:2
 
following TACACS+ server groups are configured:
group TacServer:
server 171.71.58.91 on port 2
group TacacsServer1:
server ServerA on port 49
server ServerB on port 49:

AAAサーバ設定の配布

Cisco Fabric Services(CFS)を使用して、MDSスイッチのRADIUSおよびTACACS+ AAAの設定を配布することができます。この配布はデフォルトでは、ディセーブルにされています(「CFSインフラストラクチャの使用」を参照)。

配布をイネーブルすると、最初のサーバまたはグローバル設定が暗黙のセッションを開始します。その後入力された全サーバのコンフィギュレーション コマンドは、一時的なデータベースに保存され、データベースを明示的にコミットするときにファブリック内のすべてのスイッチ(開始したスイッチを含む)に適用されます。サーバ キーおよびグローバル キー以外の様々な各種のサーバ パラメータおよびグローバル パラメータが配布されます。これらのキーはスイッチに特有の秘密鍵であり、他のスイッチと共有しないようにする必要があります。


) サーバ グループの設定は配布されません。


RADIUSサーバの配布のイネーブル化

配布がイネーブルにされたスイッチだけが、配布のアクティビティに参加できます。

RADUISサーバの配布をイネーブルにする手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# radius distribute

このスイッチのRADIUS設定の配布をイネーブルにします。

switch(config)# no radius distribute

このスイッチのRADIUS設定の配布をディセーブルにします(デフォルト)。

TACACS+サーバの配布をイネーブルにする手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# tacacs+ distribute

このスイッチのTACACS+設定の配布をイネーブルにします。

switch(config)# no tacacs+ distribute

このスイッチのTACACS+設定の配布をディセーブルにします(デフォルト)。

スイッチにおける配布セッションの開始

配布セッションは、RADIUS/TACACS+サーバまたはグローバル設定を開始すると同時に始まります。たとえば、次の作業によって暗黙のセッションが開始します。

RADIUSサーバのグローバル タイムアウトの指定

TACACS+サーバのグローバル タイムアウトの指定


) AAAサーバに関連する最初のコンフィギュレーション コマンドを入力すると、作成されたすべてのサーバおよびグローバル設定(配布セッションを開始させた設定を含む)が一時的なバッファに保存されます(実行コンフィギュレーションには保存されません)。


グローバル タイムアウトを指定し、RADIUSサーバの暗黙のセッションを開始する手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# radius-server timeout 30

RADIUSサーバへの再送信の間隔(秒)を指定します。デフォルトのタイムアウトは1秒です。指定できる範囲は1~60(秒)です。

グローバル タイムアウトを指定し、TACACS+サーバの暗黙のセッションを開始する手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# tacacs-server timeout 30

すべてのサーバからの応答をスイッチが待機し、タイムアウト エラーを宣言するまでのグローバル タイムアウト時間を設定します。

switch(config)# no tacacs-server timeout 30

設定済みのタイムアウト時間を削除し、出荷時デフォルト(5秒)に戻します。

セッション ステータスの表示

暗黙の配布セッションが開始すると、 show radius distribution status コマンドを使用してセッション ステータスを確認できます。

switch# show radius distribution status
distribution : enabled
session ongoing: yes
session owner: admin
session db: exists
merge protocol status: merge activation done
 
 
last operation: enable
last operation status: success
 

暗黙の配布セッションが開始すると、 show tacacs distribution status コマンドを使用してセッション ステータスを確認できます。

switch# show tacacs+ distribution status
distribution : enabled
session ongoing: yes
session owner: admin
session db: exists
merge protocol status: merge activation done
 
 
last operation: enable
last operation status: success
 

配布する設定の表示

一時的なバッファに保存されているRADIUSのグローバル設定やサーバ設定を表示するには、 show radius pending コマンドを使用します。

switch(config)# show radius pending-diff
+radius-server host testhost1 authentication accounting
+radius-server host testhost2 authentication accounting
 

一時的なバッファに保存されているTACACSのグローバル設定やサーバの設定を表示するには、 show tacacs+ pending コマンドを使用します。

switch(config)# show tacacs+ pending-diff
+tacacs-server host testhost3
+tacacs-server host testhost4
 

配布のコミット

一時的なバッファに保存されているRADIUSまたはTACACSのグローバル設定やサーバ設定をファブリック内のすべてのスイッチ(開始したスイッチを含む)の実行コンフィギュレーションに適用できます。

RADIUSの配布をコミットする場合は radius commit コマンドを、TACACSの配布をコミットする場合は tacacs+ commit コマンドを使用します。

配布セッションの廃棄

進行中のセッションの配布を廃棄すると、一時的なバッファ内の設定が廃棄されます。これにより、配布が適用されなくなります。

進行中のRADIUSセッションの配布を廃棄するには、 radius abort コマンドを使用します。また、進行中のTACACS+セッションの配布を廃棄するには、 tacacs+ abort コマンドを使用します。

セッションのクリア

進行中のCFS配布セッションがある場合にそれをクリアし、RADIUS機能のファブリックのロックを解除するには、ファブリック内のスイッチから clear radius session コマンドを入力します。

switch# clear radius session
 

進行中のCFS配布セッションがある場合にそれをクリアし、TACACS+機能のファブリックのロックを解除するには、ファブリック内のスイッチから clear tacacs+ session コマンドを入力します。

switch# clear tacacs+ session
 

RADIUSおよびTACACS+設定の結合に関する注意事項

RADIUSおよびTACACS+のサーバおよびグローバル設定は、2つのファブリックが結合するときに結合されます。結合された設定は、CFS配布対応スイッチに適用されます。

ファブリックを結合する場合、次の条件に注意してください。

サーバ グループは結合されません。

サーバ キーおよびグローバル キーは、結合の際に変更されません。

結合された設定には、すべてのCFS対応スイッチで検出された全サーバが含まれます。

結合された設定のタイムアウトおよび再送信パラメータは、各サーバおよびグローバルで検出された最大値に相当します。


注意 サーバ ポートが設定されている2つのスイッチ間で矛盾が生じると、結合に失敗します。

RADIUSファブリック結合のステータスを表示するには、 show radius distribution status コマンドを使用します(例19-9を参照)。

例19-9 RADIUSファブリック結合のステータスの表示

switch# show radius distribution status
distribution : enabled
session ongoing: no
session db: does not exist
merge protocol status: merge response received
merge error: conflict: server dmtest2 has auth-port 1812 on this switch and 1999
on remote
 
last operation: enable
last operation status: success
 

TACACS+ファブリック結合のステータスを表示するには、 show tacacs+ distribution status コマンドを使用します(例19-10を参照)。

例19-10 TACACS+ファブリック結合のステータスの表示

switch# show tacacs+ distribution status
distribution : enabled
session ongoing: no
session db: does not exist
merge protocol status: merge activation done
 
last operation: enable
last operation status: success
 

ローカルAAAサービス

システムはユーザ名およびパスワードをローカルで維持し、パスワード情報は暗号化形式で保存します。ユーザの認証は、ローカルで保存されたユーザ情報に基づいて実行されます。

ローカル ユーザとその役割を設定するには、 username コマンドを使用します(ユーザの作成または更新を参照)。

ローカル アカウンティング ログを表示するには、 show accounting log コマンドを使用します(例19-11を参照)。

例19-11 アカウンティング ログ情報の表示

switch# show accounting log
 
Sat Jan 24 03:22:06 1981:stop:snmp_349154526_171.71.58.69:admin:
Sat Jan 24 03:22:06 1981:start:snmp_349154526_171.71.58.69:admin:
Sat Jan 24 03:22:06 1981:update:snmp_349154526_171.71.58.69:admin:Added member [
WWN: 21:00:00:20:37:a6:be:00 ID: 2] to zone test-27 on VSAN 1
...
Sat Jan 24 23:59:56 1981:stop:/dev/pts/0_349228792:root:shell terminated
Sun Jan 25 00:00:06 1981:start:/dev/pts/1_349228806:admin:
 

AAA認証のディセーブル化

none オプションを使用して、パスワードの確認をオフにできます。このオプションを設定すると、ユーザは有効なパスワードを提示しなくてもログインできるようになります。ただし、ユーザは最低でもCisco MDS 9000ファミリー スイッチ上でローカルに存在している必要があります。


注意 このオプションは注意して使用してください。このオプションを設定すると、あらゆるユーザがいつでもスイッチにアクセスできるようになります。

パスワードの確認をディセーブルにするには、 aaa authentication login コマンドの none オプションを使用します。

username コマンドを使用して作成されたユーザは、Cisco MDS 9000ファミリー スイッチ上にローカルに存在します。

AAA認証の表示

設定されている認証方式を表示するには、 show aaa authentication コマンドを使用します(例19-12を参照)。

例19-12 AAA認証情報の表示

switch# show aaa authentication
 
No AAA Authentication
default: group TacServer local none
console: local none
iscsi: local
dhchap: local
 

認証および許可プロセス

認証は、スイッチを管理しようとする人物のIDを確認するプロセスです。このID確認は、スイッチの管理を試みる人物が提示したユーザIDおよびパスワードの組み合わせに基づいて行われます。Cisco MDS 9000ファミリー スイッチでは、ローカル認証(ルックアップ データベースを使用)またはリモート認証(1台または複数台のRADIUSサーバまたはTACACS+サーバを使用)を実行できます。

図 19-1に、このプロセスのフローチャートを示します。次の手順では、認証および許可プロセスについて説明します。


ステップ 1 Cisco MDS 9000ファミリーの必要なスイッチにログインできる場合、Telnet、SSH、Fabric Manager/Device Manager、またはコンソール ログインのいずれかを使用できます。

ステップ 2 サーバ グループ認証方式を使用してサーバ グループを設定した場合、そのグループの最初のAAAサーバに認証要求が送信されます。

AAAサーバが応答しなかった場合、リモート サーバが認証要求に応答するまで、その次のAAAサーバが順に使用されます。

サーバ グループのすべてのAAAサーバが応答しなかった場合、その次のサーバ グループのサーバが使用されます。

設定されている方式がすべて失敗した場合、ローカル データベースを使用して認証が実行されます。

ステップ 3 リモートAAAサーバによる認証が成功すると、次のようになります。

AAAサーバ プロトコルがRADIUSである場合、認証応答とともに、 cisco-av-pair 属性で指定されるユーザの役割がダウンロードされます。

AAAサーバ プロトコルがTACACS+である場合、同じサーバに新しい要求が送信され、シェル用のカスタム属性で指定されたユーザの役割が取得されます。

リモートAAAサーバからユーザの役割を取り出せなかった場合、ユーザにはnetwork-operatorの役割が割り当てられます。

ステップ 4 ユーザ名とパスワードのローカル認証に成功すると、ログインが認められ、ローカル データベースに設定された役割が割り当てられます。


 

図 19-1 スイッチの許可および認証のフロー

 


) 図中に表示される「残りのサーバ グループがない」とは、すべてのサーバ グループのサーバから応答がないことを示します。
「残りのサーバがない」は、このサーバ グループ内のサーバから応答がないことを示します。



ヒント ステップ1では、aaa authentication login defaultコマンドを使用して、Telnet、SSH、またはFabric Manager/Device Managerでポリシーを設定します。aaa authentication login consoleコマンドは、コンソールによるAAAポリシーを設定するために使用します。aaa authentication login consoleコマンドがコンソール ログインに対して設定されていない場合、ソフトウェアはaaa authentication login defaultコマンドで使用されているポリシーを自動的に使用します。


役割ベースの許可

Cisco MDS 9000ファミリー スイッチは、役割ベースの認証を実行します。役割ベースの許可は、ユーザに役割を割り当てることによってスイッチへのアクセスを制限します。このタイプの認証は、ユーザに割り当てられた役割に基づいて、管理動作の実行を制限します。

ユーザがコマンドを実行したり、コマンドを完了させたり、コンテキスト センシティブ ヘルプを表示するとき、スイッチ ソフトウェアは、ユーザがそのコマンドにアクセスする権限がある場合に限り、動作を続行します。

役割ごとに複数のユーザを含めることができ、各ユーザは複数の役割に所属できます。たとえば、role1のユーザはコンフィギュレーション コマンドへのアクセスだけが許可され、role2のユーザはデバッグ コマンドへのアクセスだけが許可され、role1とrole2の両方に属するユーザは、コンフィギュレーション コマンドにもデバッグ コマンドにもアクセスできます。


) ユーザが複数の役割に所属している場合、それらの役割で許可されているすべてのコマンドを実行できます。コマンドへのアクセス権は、そのコマンドへのアクセス拒否よりも優先されます。たとえば、あるユーザがTechDocsグループに属していて、コンフィギュレーション コマンドにアクセスできないと仮定します。ただし、このユーザはengineeringグループにも属していて、そのグループはコンフィギュレーション コマンドにアクセス可能です。この場合、このユーザはコンフィギュレーション コマンドを実行できます。



ヒント 役割を作成した時点で、必要なコマンドへのアクセスが即時に認められるわけではありません。管理者が役割ごとに適切なルールを設定し、必要なコマンドへのアクセスを許可する必要があります。


役割およびプロファイルの設定

追加の役割を作成する、または既存の役割のプロファイルを変更する手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# role name techdocs

switch(config-role)#

指定した役割(techdocs)に対応するモードを開始します。


) プロンプトが変化し、役割サブモードが開始されたことがわかります。このサブモードは、techdocsグループ固有になっています。


switch(config)# no role name techdocs

役割techdocsを削除します。

ステップ 3

switch(config-role)# description Entire Tech. Docs. group

新しい役割への記述を割り当てます。この記述は最大1行であり、スペースを使用することができます。

switch(config-role)# no description

Tech. Docs.グループの記述をリセットします。

役割ごとのルールおよびフィーチャの設定

役割ごとに最大16のルールを設定できます。ユーザ側で指定するルール番号によって、ルールの適用順が決まります。たとえば、rule 1が適用されたあとでrule 2が適用され、そのあとでrule 3が適用され、以下同様です。network-admin役割に属さないユーザは、役割に関連するコマンドを実行できません。

たとえば、user Aはすべての show コマンドの実行が許可されていますが、network-admin役割に属さない場合は、 show role コマンドの出力を表示できません。

特定の役割で実行できる動作を指定するには、 rule コマンドを使用します。各ルールは、ルール番号、ルール タイプ(permitまたはdeny)、コマンド タイプ(たとえば、 config clear show exec debug )、および省略可能なフィーチャ名(たとえば、FSPF、zone、VSAN、fcping、またはinterface)で構成されます。


) この場合、execコマンドとは、showdebug、およびclearのカテゴリに含まれない、EXECモードのすべてのコマンドを意味します。


プロファイルの変更

既存の役割のプロファイルを変更する手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# role name sangroup

switch(config-role)#

sangroupの役割サブモードを開始します。

ステップ 3

switch(config-role)# rule 1 permit config

switch(config-role)# rule 2 deny config feature fspf

switch(config-role)# rule 3 permit debug feature zone

switch(config-role)# rule 4 permit exec feature fcping

役割sangroupに属するすべてのユーザが、 fspf config コマンドを除くすべてのコンフィギュレーション コマンドを実行できるようにします。これらのユーザは、 zone debug コマンドおよび fcping EXECモード コマンドも実行できます。

ステップ 4

switch(config-role)# no rule 4

rule 4を削除し、sangroupが fcping コマンドを実行できないようにします。

ステップ3で、rule 1が最初に適用されるので、sangroupのユーザにすべての config コマンドへのアクセスが許可されます。次にrule 2が適用され、sangroupのユーザはFSPFのコンフィギュレーションを禁止されます。その結果、sangroupのユーザは fspf コンフィギュレーション コマンド以外のすべての config コマンドを実行できるようになります。


ルールを指定する順序が重要です。これら2つのルールを入れ替え、deny config feature fspfというルールを最初に発行して、次にpermit configというルールを発行すると、sangroupの全ユーザにすべてのコンフィギュレーション コマンドの実行を許可したことになります。2番めのルールが最初のルールをグローバルに上書きするからです。


VSANポリシーの設定

VSAN(仮想SAN)ポリシーを設定するには、ENTERPRISE_PKGライセンスが必要です(「ライセンスの入手とインストール」を参照)。

特定のVSANの集合についてのみ、作業の実行を許可するように役割を設定することができます。デフォルトでは、VSANポリシーはすべての役割で permit です。つまり、ある役割は、選択的にVSANに1つの役割を割り当てることができるので、VSANポリシーを deny に設定し、そのあとで適切なVSANを許可する必要があります。


) VSANポリシーがdenyに設定されている役割に属するユーザは、Eポートの設定を変更できません。これらのユーザが変更できるのは、(設定されているルールでこのような設定が実行可能かどうかに応じて)FポートおよびFLポートの設定だけです。これは、ファブリックのコア トポロジーに影響を与える可能性のある設定変更を防止するためです。



ヒント 役割を使用して、VSAN管理者を作成することができます。これらのVSAN管理者は、設定されたルールに応じて、他のVSANに影響を与えずに、自分が管理するVSANのMDS機能(たとえば、ゾーン、FCドメイン、またはVSANプロパティ)を設定することができます。さらに、役割によって複数のVSANに対する動作が許可されている場合には、VSAN管理者はこれらのVSAN間でFポートまたはFLポートのVSANメンバーシップを変更することができます。


VSANポリシーが deny に設定されている役割に属するユーザのことを、VSAN制限付きユーザといいます。これらのユーザは、スタートアップ コンフィギュレーションの表示または変更を必要とする次のコマンドを実行することができません。

それらのコマンドには、copy running startup show startup show running-config diff copy startup <destination> 、および copy <source> startup コマンドが含まれます。これらのコマンドについての詳細は、「設定作業を開始する前に」を参照してください。

VSANポリシーの変更

既存の役割のVSANポリシーを変更する手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# role name sangroup

switch(config-role)#

sangroupの役割サブモードを開始します。

ステップ 3

switch(config)# vsan policy deny

switch(config-role-vsan)

この役割のVSANポリシーを deny に変更し、VSANを選択的に許可できるサブモードを開始します。

switch(config-role)# no vsan policy deny

設定されているVSAN役割ポリシーを削除し、出荷時のデフォルト( permit )に戻します。

ステップ 4

switch(config-role-vsan)# permit vsan 10-30

この役割のユーザが、VSAN 10~30に許可されたコマンドを実行できるようにします。

switch(config-role-vsan)# no permit vsan 15-20

この役割で実行できるコマンドを、VSAN 15~20については禁止します。したがって、この役割に属するユーザは、VSAN 10~14および21~30でコマンドを実行できることになります。

役割ベースの設定の配布

役割ベースの設定はCFSインフラストラクチャを使用して効率的なデータベース管理を実現し、ファブリック全体に1つの設定を提供します(「CFSインフラストラクチャの使用」を参照)。

次の設定が配布されます。

役割の名前と記述

役割の役割リスト

VSANポリシーおよび許可VSANのリスト

データベース実装

役割ベースの設定は2つのデータベースを使用して、設定を受け入れ、実装します。

コンフィギュレーション データベース ― ファブリックが現在実行しているデータベース

保留中のデータベース ― 保留中の設定の変更が保留中のデータベースに保存されます。設定を変更する場合、コンフィギュレーション データベースに保留中のデータベースの変更をコミットまたは廃棄する必要があります。その間、ファブリックはロックされた状態のままです。保留中のデータベースへの変更は、変更をコミットするまでコンフィギュレーション データベースに反映されません。

ファブリックのロック

データベースを変更するときの最初のアクションによって、保留中のデータベースが作成され、ファブリック全体の機能がロックされます。ファブリックがロックされると、次のような状況になります。

他のユーザがこの機能の設定に変更を加えることができなくなります。

コンフィギュレーション データベースのコピーが、最初の変更と同時に保留中のデータベースになります。

変更のコミット

保留中のデータベースに加えられた変更をコミットする場合、ファブリック内のすべてのスイッチに設定がコミットされます。コミットが正常に行われると、設定の変更がファブリックを介して適用され、ロックが解除されます。これにより、コミットされた変更内容がコンフィギュレーション データベースに加えられ、保留中のデータベースがクリアされます。

役割ベースの設定の変更をコミットする手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# config t

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# role commit vsan 3

役割ベースの設定の変更をコミットします。

変更の廃棄

保留中のデータベースに加えられた変更を廃棄(中断)する場合、コンフィギュレーション データベースは影響されないまま、ロックが解除されます。

役割ベースの設定の変更を廃棄する手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# config t

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# role abort

役割ベースの設定の変更を廃棄し、保留中のコンフィギュレーション データベースをクリアします。

配布のイネーブル化

役割ベースの設定の配布をイネーブルにする手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# config t

switch(config)#

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# role distribute

役割ベースの設定の配布をイネーブルにします。

switch(config)# no role distribute

役割ベースの設定の配布をディセーブルにします(デフォルト)。

セッションのクリア

ファブリック内の既存の役割セッションを強制的にクリアするには、開始したセッションに参加中のスイッチのいずれかから clear role session コマンドを入力します。


注意 このコマンドを入力すると、保留中のデータベースに加えられた変更が削除されます。

switch# clear role session
 

データベース結合に関する注意事項

ファブリック結合は、スイッチ上の役割データベースを変更しません。2つのファブリックが結合し、それぞれのファブリックの役割データベースが異なる場合、ソフトウェアは警告メッセージを生成します。

詳しい概念については、「CFS結合のサポート」を参照してください。

役割データベースがファブリック全体のすべてのスイッチで同じであることを確認します。

スイッチ上の役割データベースを希望するデータベースに編集してから、コミットするようにしてください。これにより、ファブリック内のすべてのスイッチの役割データベースが同期化されます。

役割ベース情報の表示

スイッチ上に設定された役割を表示するには、 show role コマンドを使用します。各ルールが、ルール番号順で役割別に表示されます。役割名が指定されていなくても、すべての役割が表示されます。例19-13を参照してください。

例19-13 すべての役割に関する情報の表示

switch# show role
Role: network-admin
Description: Predefined Network Admin group. This role cannot be modified
Access to all the switch commands
 
Role: network-operator
Description: Predefined Network Operator group. This role cannot be modified
Access to Show commands and selected Exec commands
 
Role: svc-admin
Description: Predefined SVC Admin group. This role cannot be modified
Access to all SAN Volume Controller commands
 
Role: svc-operator
Description: Predefined SVC Operator group. This role cannot be modified
Access to selected SAN Volume Controller commands
 
Role: TechDocs
vsan policy: permit (default)
 
Role: sangroup
Description: SAN management group
vsan policy: deny
Permitted vsans: 10-30
 
---------------------------------------------
Rule Type Command-type Feature
---------------------------------------------
1. permit config *
2. deny config fspf
3. permit debug zone
4. permit exec fcping
 

配布がイネーブルにされている場合の役割ベースの表示

コンフィギュレーション データベースを表示するには、 show role コマンドを使用します。

配布が役割設定に対してイネーブルにされているかどうか、現在のファブリック ステータス(ロックまたはロック解除)、および最後に実行された動作の内容を表示するには、 show role status コマンドを使用します。例19-14を参照してください。

例19-14 役割ステータス情報の表示

switch# show role status
Distribution: Enabled
Session State: Locked
 
Last operation (initiated from this switch): Distribution enable
Last operation status: Success
 

保留中の役割データベースを表示するには、 show role pending コマンドを使用します。例19-15を参照してください。

例19-15は、次の手順に従った場合の show role pending コマンドの出力を表示します。

role name myrole コマンドを使用して myrole 役割を作成します。

rule 1 permit config feature fspf コマンドを入力します。

show role pending コマンドを入力して、例19-15の出力を参照します。

例19-15 保留中の役割データベース情報の表示

switch# show role pending
Role: network-admin
Description: Predefined Network Admin group. This role cannot be modified
Access to all the switch commands
 
Role: network-operator
Description: Predefined Network Operator group. This role cannot be modified
Access to Show commands and selected Exec commands
 
Role: svc-admin
Description: Predefined SVC Admin group. This role cannot be modified
Access to all SAN Volume Controller commands
 
Role: svc-operator
Description: Predefined SVC Operator group. This role cannot be modified
Access to selected SAN Volume Controller commands
 
Role: TechDocs
vsan policy: permit (default)
 
Role: sangroup
Description: SAN management group
vsan policy: deny
Permitted vsans: 10-30
 
---------------------------------------------
Rule Type Command-type Feature
---------------------------------------------
1. permit config *
2. deny config fspf
3. permit debug zone
4. permit exec fcping
 
Role: myrole
vsan policy: permit (default)
---------------------------------------------
Rule Type Command-type Feature
---------------------------------------------
1. permit config fspf
 

保留中の役割データベースとコンフィギュレーションの役割データベースの違いを表示するには、 show role pending-diff コマンドを使用します。例19-16を参照してください。

例19-16 2つのデータベースの相違の表示

switch# show role pending-diff
+Role: myrole
+ vsan policy: permit (default)
+ ---------------------------------------------
+ Rule Type Command-type Feature
+ ---------------------------------------------
+ 1. permit config fspf
 

ユーザ アカウントの設定

Cisco MDS 9000ファミリー スイッチでは、ユーザごとにアカウント情報がシステムに保存されます。ユーザの認証情報、ユーザ名、ユーザ パスワード、パスワードの有効期限、および役割メンバーシップが、そのユーザのユーザ プロファイルに保存されます。

ここで説明する作業は、ユーザを作成し、既存のユーザのプロファイルを変更します。これらの作業を行うことができるのは、管理者によって指定された権限のあるユーザだけです。

ユーザの作成または更新

Cisco SAN OS Release 2.0(1b)以降では、 snmp-server user オプションで指定されたパスフレーズおよび username オプションで指定されたパスワードが同期化されます( SNMPv3 CLIのユーザ管理およびAAAの統合を参照)。

デフォルトでは、明示的に期限を指定しないかぎり、ユーザ アカウントは無期限に有効です。 expire オプションを使用すると、ユーザ アカウントをディセーブルにする日付を設定できます。日付はYYYY-MM-DDフォーマットで指定します。


ヒント 次の語は予約済みであり、ユーザ設定に使用することはできません。bin、daemon、adm、lp、sync、shutdown、halt、mail、news、uucp、operator、games、gopher、ftp、nobody、nscd、mailnull、rpc、rpcuser、xfs、gdm、mtsuser、ftpuser、man、およびsysです。



) スイッチのコンフィギュレーション ファイルには、ユーザ パスワードは表示されません。



ヒント パスワードが簡単(短く、解読されやすい)な場合、パスワード設定が拒否されます。コンフィギュレーション例に表示されるように、解読されにくいパスワードを設定してください。パスワードは大文字と小文字が区別されます。Release 2.0(1b)以降では、adminはCisco MDS 9000ファミリー スイッチのデフォルト パスワードではありません。上記の条件に合うパスワードを明示的に設定する必要があります。


新しいユーザを設定する、または既存のユーザのプロファイルを変更する手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# username usam password abcd123AAA expire 2003-05-31

ユーザ アカウント(usam)を作成または更新し、パスワード(abcd123AAA)および有効期限(2003-05-31)を設定します。パスワードは最大64文字です。

switch(config)# username msam password 0 abcd12AAA role network-operator

ユーザ アカウント(msam)を作成または更新し、クリアテキスト(0で表される)のパスワード(abcd12AAA)を設定します。パスワードは最大64文字です。

switch(config)# username user1 password 5 !@*asdsfsdfjh!@df

ユーザ アカウント(user1)に、暗号化形式(5で表される)のパスワード(!@*asdsfsdfjh!@df)を設定します。

ステップ 3

switch(config)# username usam role network-admin

指定したユーザ(usam)を役割network-adminに追加します。

switch(config)# no username usam role vsan-admin

指定したユーザ(usam)を役割vsan-adminから削除します。

ステップ 4

switch(config)# username admin sshkey ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAtjIHrIt/3dDeohix6JcRSIYZ0EOdJ3l5RONWcwSgAuTUSrLk

3a9hdYkzY94fhHmNGQGCjVg+8cbOxyH4Z1jcVFcrDogtQT+Q8dveqts/8XQhqkNAFeGy4u8TJ2Us

oreCU6DlibwkpzDafzKTpA5vB6FmHd2TI6Gnse9FUgKD5fs=

ユーザ アカウント(usam)のSSHキーを指定します。

switch(config)# no username admin sshkey ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAtjIHrIt/3dDeohix6JcRSIYZ0EOdJ3l5RONWcwSgAuTUSrLk

3a9hdYkzY94fhHmNGQGCjVg+8cbOxyH4Z1jcVFcrDogtQT+Q8dveqts/8XQhqkNAFeGy4u8TJ2Us

oreCU6DlibwkpzDafzKTpA5vB6FmHd2TI6Gnse9FUgKD5fs=

ユーザ アカウント(usam)のSSHキーを削除します。

ユーザのログアウト

スイッチから他のユーザをログアウトさせるには、 clear user コマンドを使用します。

次の例では、ユーザvsamをスイッチからログアウトしています。

switch# clear user vsam
 

ログインしているユーザの一覧を表示するには、 show users コマンドを使用します(例19-17を参照)。

例19-17 ログインしている全ユーザの表示

switch# show users
admin pts/7 Jan 12 20:56 (10.77.202.149)
admin pts/9 Jan 12 23:29 (modena.cisco.com)
admin pts/10 Jan 13 03:05 (dhcp-171-71-58-120.cisco.com)
admin pts/11 Jan 13 01:53 (dhcp-171-71-49-49.cisco.com)
 

ユーザ アカウント情報の表示

ユーザ アカウントに関して設定されている情報を表示するには、 show user-account コマンドを使用します(例 19-18 19-19 を参照)。

例19-18 特定のユーザに関する情報の表示

switch# show user-account user1
user:user1
this user account has no expiry date
roles:network-operator
no password set. Local login not allowed
Remote login through RADIUS is possible
 

例19-19 すべてのユーザに関する情報の表示

switch# show user-account
show user-account
user:admin
this user account has no expiry date
roles:network-admin
user:usam
expires on Sat May 31 00:00:00 2003
roles:network-admin network-operator
user:msam
this user account has no expiry date
roles:network-operator
user:user1
this user account has no expiry date
roles:network-operator
no password set. local login not allowed
Remote login through RADIUS is possible
 

SNMPセキュリティ

Cisco MDS SAN OS Release 1.2以降、CLIおよびSNMPはCisco MDS 9000ファミリーのすべてのスイッチでコモン ロール(共通の役割)を使用しています。CLIを使用して作成した役割は、SNMPで変更することができ、その逆も可能です(「SNMPの設定」を参照)。

Cisco MDS SAN OS Release 2.0(1b)以降、CLIとSNMPのユーザ、パスワード、および役割はすべて共通化されています。CLIを使用して設定されたユーザは、SNMPを使用してスイッチにアクセスできます(たとえば、Fabric ManagerまたはDevice Manager)。またSNMPを使用して設定されたユーザは、CLIを使用してスイッチにアクセスできます。

アカウンティング サービスの設定

アカウンティングは、スイッチ上の管理セッションごとに保存されるログ情報を意味します。この情報を利用して、トラブルシューティングや監査目的で使用するレポートを生成できます。アカウンティングはローカルで実装することも、リモートで(RADIUSを使用して)実装することもできます。


ヒント Cisco MDS 9000ファミリー スイッチは、Interim-Update RADIUSアカウンティング要求パケットを使用して、アカウンティング ログ情報をRADIUSサーバに伝送します。RADIUSサーバは、これらのパケットで伝送される情報を記録するように、適切に設定されている必要があります。サーバでは通常、AAAクライアント コンフィギュレーションにLog Update/Watchdog Packetsフラグが使用されています。RADIUSアカウンティングを適切に実行するには、このフラグをオンにします。



) コンフィギュレーション モードで実行された設定動作は、自動的にアカウンティング ログに記録されます。そのほか、重要なシステム イベント(たとえば、コンフィギュレーションの保存、システムのスイッチオーバーなど)も、アカウンティング ログに記録されます。


アカウンティング設定の表示

設定されているアカウンティング情報を表示するには、 show accounting コマンドを使用します(例 19-20 19-22 を参照)。表示するローカル アカウンティング ログのサイズを指定するには、show accounting logコマンドを使用します。デフォルトでは、約250 KBのアカウンティング ログが表示されます。

例19-20 設定済みアカウンティング パラメータの2つの例の表示

switch# show accounting config
show aaa accounting
default: local
 
switch# show aaa accounting
default: group rad1
 

例19-21 60 Kのアカウンティング ログの表示

switch# show accounting log 600000
Fri Jan 16 15:28:21 1981:stop:snmp_348506901_64.104.131.208:admin:
Fri Jan 16 21:17:04 1981:start:/dev/pts/0_348527824:admin:
Fri Jan 16 21:35:45 1981:update:/dev/pts/0_348527824:admin:updated RADIUS parameters for group:Group1
Fri Jan 16 21:35:51 1981:update:/dev/pts/0_348527824:admin:updated RADIUS parameters for group:Group1
Fri Jan 16 21:35:51 1981:update:/dev/pts/0_348527824:admin:updated RADIUS parameters for group:Group5
Fri Jan 16 21:35:55 1981:update:/dev/pts/0_348527824:admin:updated RADIUS parameters for group:Group5
Fri Jan 16 21:35:55 1981:update:/dev/pts/0_348527824:admin:updated RADIUS parameters for group:Group3
Fri Jan 16 21:58:17 1981:start:snmp_348530297_171.71.150.105:admin:
...
 

例19-22 ログ ファイル全体の表示

switch# show accounting log
Fri Jan 16 15:28:21 1981:stop:snmp_348506901_64.104.131.208:admin:
Fri Jan 16 21:17:04 1981:start:/dev/pts/0_348527824:admin:
Fri Jan 16 21:35:45 1981:update:/dev/pts/0_348527824:admin:updated RADIUS parameters for group:Group1
Fri Jan 16 21:35:51 1981:update:/dev/pts/0_348527824:admin:updated RADIUS parameters for group:Group1
Fri Jan 16 21:35:51 1981:update:/dev/pts/0_348527824:admin:updated RADIUS parameters for group:Group5
Fri Jan 16 21:35:55 1981:update:/dev/pts/0_348527824:admin:updated RADIUS parameters for group:Group5
Fri Jan 16 21:35:55 1981:update:/dev/pts/0_348527824:admin:updated RADIUS parameters for group:Group3
Fri Jan 16 21:58:17 1981:start:snmp_348530297_171.71.150.105:admin:
Fri Jan 16 21:58:17 1981:stop:snmp_348530297_171.71.150.105:admin:
Fri Jan 16 21:58:18 1981:start:snmp_348530298_171.71.150.105:admin:
Fri Jan 16 21:58:18 1981:stop:snmp_348530298_171.71.150.105:admin:
...
Fri Jan 16 23:37:02 1981:update:/dev/pts/0_348527824:admin:updated RADIUS parameters for group:Group3
Fri Jan 16 23:37:26 1981:update:/dev/pts/0_348527824:admin:updated TACACS+ parameters for group:TacacsServer1
Fri Jan 16 23:45:19 1981:update:/dev/pts/0_348527824:admin:updated TACACS+ parameters for group:TacacsServer1
Fri Jan 16 23:45:19 1981:update:/dev/pts/0_348527824:admin:updated RADIUS parameters for group:Group1
...
Fri Jan 16 23:53:51 1981:update:/dev/pts/0_348527824:admin:updated RADIUS parameters for server:Server3
Fri Jan 16 23:54:00 1981:update:/dev/pts/0_348527824:admin:updated RADIUS parameters for server:Server5
Fri Jan 16 23:54:22 1981:update:/dev/pts/0_348527824:admin:updated TACACS+ parameters for server:ServerA
Fri Jan 16 23:54:25 1981:update:/dev/pts/0_348527824:admin:updated TACACS+ parameters for server:ServerB
Fri Jan 16 23:55:03 1981:update:/dev/pts/0_348527824:admin:updated RADIUS parameters for group:Group1
...
Sat Jan 17 00:01:41 1981:start:snmp_348537701_171.71.58.100:admin:
Sat Jan 17 00:01:41 1981:stop:snmp_348537701_171.71.58.100:admin:
Sat Jan 17 00:01:42 1981:start:snmp_348537702_171.71.58.100:admin:
Sat Jan 17 00:01:42 1981:stop:snmp_348537702_171.71.58.100:admin:
...
 

アカウンティング ログのクリア

現在のログの内容をクリアするには、 clear accounting log コマンドを使用します。

switch# clear accounting log
 

SSHサービスの設定

Cisco MDS 9000ファミリーの全スイッチで、Telnetサービスがデフォルトでイネーブルに設定されています。SSHサービスをイネーブルにする場合は、事前にサーバ キー ペアを生成してください。「SSHサーバ キー ペアの生成」を参照してください。

サーバ キーを生成するには、 ssh key コマンドを使用します。

SSHサービスのイネーブル化

デフォルトでは、SSHサービスはディセーブルに設定されています。

SSHサービスをイネーブルまたはディセーブルにする手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# ssh server enable

updated

SSHサービスの使用をイネーブルにします。

switch(config)# no ssh server enable

updated

SSHサービスの使用をディセーブル(デフォルト)にして、スイッチを出荷時デフォルトにリセットします。


注意 SSHを介してスイッチにログインし、aaa authentication login default noneコマンドを入力した場合は、1つまたは複数のキーストロークを入力してログインする必要があります。最低でも1つのキーストロークを入力しないでEnterキーを押すと、ログインが拒否されます。

SSHキーの指定

SSHキーを指定すると、パスワードを要求されることなく、SSHクライアントを使用してログインすることができます。

指定したユーザのSSHキーを指定または削除する手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# username admin sshkey ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAtjIHrIt/3dDeohix6JcRSIYZ0EOdJ3l5RONWcwSgAuTUSrLk3a9hdYkzY94fhHmNGQGCjVg+8cbOxyH4Z1jcVFcrDogtQT+Q8dveqts/8XQhqkNAFeGy4u8TJ2UsoreCU6DlibwkpzDafzKTpA5vB6FmHd2TI6Gnse9FUgKD5fs=

ユーザ アカウント(usam)のSSHキーを指定します。

switch(config)# no username admin sshkey ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAtjIHrIt/3dDeohix6JcRSIYZ0EOdJ3l5RONWcwSgAuTUSrLk3a9hdYkzY94fhHmNGQGCjVg+8cbOxyH4Z1jcVFcrDogtQT+Q8dveqts/8XQhqkNAFeGy4u8TJ2UsoreCU6DlibwkpzDafzKTpA5vB6FmHd2TI6Gnse9FUgKD5fs=

ユーザ アカウント(usam)のSSHキーを削除します。

SSHサーバ キー ペアの生成

SSHサービスをイネーブルにする前に、適切なバージョンのSSHサーバ キー ペアを生成してください。使用するSSHクライアントのバージョンに適したSSHサーバ キー ペアを生成してください。各キー ペアに指定されるビット数の範囲は、768~2048です。

SSHサービスでは、SSHバージョン1および2に対応する3タイプのキー ペアを使用できます。

rsa1 オプションを使用すると、SSHバージョン1プロトコルに対応するRSA1キー ペアが生成されます。

dsa オプションを使用すると、SSHバージョン2プロトコルに対応するDSAキー ペアが生成されます。

rsa オプションを使用すると、SSHバージョン2プロトコルに対応するRSAキー ペアが生成されます。


注意 SSHキーをすべて削除すると、新しいSSHセッションを開始できません。

SSHサーバ キー ペアを生成する手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# ssh key rsa1 1024

generating rsa1 key.....

generated rsa1 key

RSA1サーバ キー ペアを生成します。

switch(config)# ssh key dsa 1024

generating dsa key.....

generated dsa key

DSAサーバ キー ペアを生成します。

switch(config)# ssh key rsa 1024

generating rsa key.....

generated rsa key

RSAサーバ キー ペアを生成します。

switch(config)# no ssh key rsa 1024

cleared RSA keys

RSAサーバ キー ペアの設定をクリアします。

生成済みのキー ペアの上書き

必要なバージョンに応じてSSHキー ペア オプションがすでに生成されている場合、前に生成したキー ペアを上書きするには、 force オプションを使用します。

前に生成したキー ペアを上書きする手順は、次のとおりです。

 

 
コマンド
目的

ステップ 1

switch# config t

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# ssh key dsa 768

ssh key dsa 512

dsa keys already present, use force option to overwrite them

switch(config)# ssh key dsa 512 force

deleting old dsa key.....

generating dsa key.....

generated dsa key

サーバ キー ペアを設定します。必要なサーバ キー ペアがすでに設定されている場合、 force オプションを使用して、そのサーバ キー ペアを上書きします。

以前のDSAキーを削除し、新しく指定されたビットを使用してサーバ キー ペアを設定します。

SSHホストのクリア

clear ssh hosts コマンドは、信頼性のあるSSHホストの既存のリストをクリアし、SCP/SFTPを特定のホストの copy コマンドと一緒に使用することを再許可します。

copy コマンドと一緒にSCP/SFTPを使用すると、信頼性のあるSSHホストのリストが作成され、スイッチ内に保存されます(例19-23を参照)。

例19-23 ファイルのコピーに対するSCP/SFTPの使用

switch# copy scp://abcd@171.71.48.223/users/abcd/abc
bootflash:abc The authenticity of host '171.71.48.223 (171.71.48.223)'
can't be established.
RSA1 key fingerprint is 01:29:62:16:33:ff:f7:dc:cc:af:aa:20:f8:20:a2:db.
Are you sure you want to continue connecting (yes/no)? yes
Added the host to the list of known hosts
(/var/home/admin/.ssh/known_hosts). [SSH key information about the host is
stored on the switch]
abcd@171.71.48.223's password:
switch#
 

copy コマンドと一緒にSCP/SFTPを使用する前に、ホストのSSHキーが変更された場合は、エラーが表示されます(例19-24を参照)。

例19-24 ファイルのコピーに対するSCP/SFTPの使用(SSHキーの変更によってエラーが生じる場合)

switch# copy scp://apn@171.69.16.46/isan-104
bootflash:isan-ram-1.0.4
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA1 host key has just been changed.
The fingerprint for the RSA1 key sent by the remote host is
36:96:ca:d7:29:99:79:74:aa:4d:97:49:81:fb:23:2f.
Please contact your system administrator.
Add correct host key in /mnt/pss/.ssh/known_hosts to get rid of this
message.
Offending key in /mnt/pss/.ssh/known_hosts:2
RSA1 host key for 171.69.16.46 has changed and you have requested strict
checking.
 

SSHプロトコル ステータスの表示

SSHプロトコルのステータス(イネーブルまたはディセーブル)と、そのスイッチ上でイネーブルになっているバージョンを表示するには、 show ssh server コマンドを使用します(例19-25を参照)。

例19-25 SSHプロトコル ステータスの表示

switch# show ssh server
ssh is enabled
version 1 enabled
version 2 enabled
 

特定のキーまたはすべてのキーに関するサーバ キー ペアの詳細情報を表示するには、 show ssh key コマンドを使用します(例19-26を参照)。

例19-26 サーバ キー ペアの詳細情報の表示

switch# show ssh key
rsa1 Keys generated:Sun Jan 13 07:16:26 1980
1024 35
fingerprint:
1024 67:76:02:bd:3e:8d:f5:ad:59:5a:1e:c4:5e:44:03:07
could not retrieve rsa key information
dsa Keys generated:Sun Jan 13 07:40:08 1980
ssh-dss AAAAB3NzaC1kc3MAAABBAJTCRQOydNRel2v7uiO6Fix+OTn8eGdnnDVxw5eJs5OcOEXOyjaWcMMYsEgxc9ada1NElp8Wy7GPMWGOQYj9CU0AAAAVAMCcWhNN18zFNOIPo7cU3t7d0iEbAAAAQBdQ8UAOi/Cti84qFb3kTqXlS9mEhdQUo0lHcH5bw5PKfj2Y/dLR437zCBKXetPj4p7mhQ6Fq5os8RZtJEyOsNsAAABAA0oxZbPyWeR5NHATXiyXdPI7j9i8fgyn9FNipMkOF2Mn75Mi/lqQ4NIq0gQNvQOx27uCeQlRts/QwI4q68/eaw=
fingerprint:
512 f7:cc:90:3d:f5:8a:a9:ca:48:76:9f:f8:6e:71:d4:ae
 

管理者パスワードの回復

管理者は、ローカル コンソール接続を使用してパスワードを回復できます。パスワードの回復手順は、この回復手順の完了後にアクティブ スーパバイザ モジュールとなるスーパバイザ モジュール上で実行する必要があります。

別のスーパバイザ モジュールがアクティブ モジュールにならないようにするには、次のいずれかの方法があります。

シャーシからもう一方のスーパバイザ モジュールを物理的に取り外します。

この手順の実行中に、もう一方のスーパバイザ モジュールのコンソール プロンプトを loader> または switch(boot)# に変更します(「ソフトウェア イメージ」を参照)。


) TelnetまたはSSHセッションでは、パスワードを回復することはできません。


管理者パスワードを回復する手順は、次のとおりです。


ステップ 1 スイッチを再起動します。

switch# reload
The supervisor is going down for reboot NOW!

ステップ 2 スイッチがCisco SAN OSソフトウェアの起動シーケンスを開始したときに、 Ctrl-] キー シーケンスを押して、 switch(boot)# プロンプトを表示させます( switch(boot)#プロンプトからの復旧を参照)。

Ctrl-]
switch(boot)#
 

ステップ 3 コンフィギュレーション モードに切り替えます。

switch(boot)# config terminal

ステップ 4 admin-password コマンドを入力して、管理者パスワードをリセットします。

switch(boot-config)# admin-password password

ステップ 5 EXECモードに切り替えます。

switch(boot-config)# exit
switchboot#
 

ステップ 6 load コマンドを入力して、Cisco SAN OSソフトウェアをロードします。

switch(boot)# load bootflash:system.img
 

ステップ 7 ソフトウェア コンフィギュレーションを保存します。

switch# copy running-config startup-config


 

Cisco ACSサーバの設定

Cisco ACSは、TACACS+およびRADIUSプロトコルを使用して、安全な環境を保証するAAAサービスを提供します。AAAサーバを使用する場合、通常Cisco ACSを使用してユーザ管理が行われます。図 19-2図 19-3図 19-4、および図 19-5は、TACACS+またはRADIUSを使用した場合のnetwork-admin役割および複数の役割のACSサーバのユーザ設定を表示します。

図 19-2 RADIUSを使用した場合のnetwork-admin役割の設定

 

図 19-3 RADIUSを使用した場合のSNMPv3属性による複数の役割の設定

 

図 19-4 TACACS+を使用した場合のSNMPv3属性によるnetwork-admin役割の設定

 

図 19-5 TACACS+を使用した場合のSNMPv3属性による複数の役割の設定

 

デフォルト設定値

表 19-2 に、スイッチのすべてのスイッチ セキュリティ機能のデフォルト設定値を示します。

 

表 19-2 デフォルトのスイッチ セキュリティ設定値

パラメータ
デフォルト

Cisco MDSスイッチの役割

ネットワーク オペレータ(network-operator)

AAAコンフィギュレーション サービス

ローカル

認証ポート

1821

アカウンティング ポート

1813

事前共有鍵の通信

クリア テキスト

RADIUSサーバのタイムアウト

1秒

RADIUSサーバの再試行

1回

TACACS

ディセーブル

TACACSサーバ

未設定

TACACSサーバのタイムアウト

5秒

AAAサーバの配布

ディセーブル

役割のVSANポリシー

permit

ユーザ アカウント

期限なし(設定されていない場合)

パスワード

なし

アカウンティング ログ サイズ

250 KB

SSHサービス

ディセーブル

Telnetサービス

イネーブル