Cisco Nexus 5000 シリーズ スイッチ CLI ソフト ウェア コンフィギュレーション ガイド
ユーザ アカウントおよび RBAC の設定
ユーザ アカウントおよび RBAC の設定
発行日;2012/02/01 | 英語版ドキュメント(2009/08/13 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

ユーザ アカウントおよび RBAC の設定

ユーザ アカウントおよび RBAC について

ユーザ アカウントの概要

強力なパスワードの特性

ユーザ ロールの概要

ルールの概要

ユーザ ロール ポリシーの概要

注意事項と制限事項

ユーザ アカウントの設定

RBAC の設定

ユーザ ロールおよびルールの作成

機能グループの作成

ユーザ ロール インターフェイス ポリシーの変更

ユーザ ロール VLAN ポリシーの変更

ユーザ ロール VSAN ポリシーの変更

ユーザ アカウントおよび RBAC 設定の確認

ユーザ アカウントおよび RBAC の設定例

デフォルト設定値

ユーザ アカウントおよび RBAC の設定

この章では、Nexus 5000 シリーズ スイッチ上でユーザ アカウントおよび Role-Based Access Control(RBAC; ロールベース アクセス コントロール)を設定する手順について説明します。

この章の内容は、次のとおりです。

「ユーザ アカウントおよび RBAC について」

「注意事項と制限事項」

「ユーザ アカウントの設定」

「RBAC の設定」

「ユーザ アカウントおよび RBAC 設定の確認」

「ユーザ アカウントおよび RBAC の設定例」

「デフォルト設定値」

ユーザ アカウントおよび RBAC について

ユーザ アカウントの作成および管理を行い、Nexus 5000 シリーズ スイッチ上で実行できる操作を制限するロールを割り当てることができます。RBAC を使用すると、割り当てたロールにルールを定義して、管理操作を実行するためにユーザが所有する権限を制限できます。

ここで説明する内容は、次のとおりです。

「ユーザ アカウントの概要」

「強力なパスワードの特性」

「ユーザ ロールの概要」

「ルールの概要」

「ユーザ ロール ポリシーの概要」

ユーザ アカウントの概要


ヒント 次の語は予約済みであり、ユーザ設定に使用できません。bin、daemon、adm、lp、sync、shutdown、halt、mail、news、uucp、operator、games、gopher、ftp、nobody、nscd、mailnull、rpc、rpcuser、xfs、gdm、mtsuser、ftpuser、man、および sys。



) ユーザ パスワードはコンフィギュレーション ファイルに表示されません。



注意 Nexus 5000 シリーズ スイッチは、TACACS+ または RADIUS によって作成されたか、ローカルに作成されたかに関係なく、すべて数字のユーザ名をサポートしていません。ローカル ユーザの名前は数字だけでは作成できません。AAA サーバに数字だけのユーザ名が存在する場合、ログイン時に入力しても、そのユーザはログインできません。

強力なパスワードの特性

強力なパスワードは、次の特性を備えています。

長さが 8 文字以上である

複数の連続する文字(「abcd」など)を含んでいない

複数の同じ文字の繰返し(「aaabbb」など)を含んでいない

辞書に載っている単語を含んでいない

正しい名前At least eight characters long

大文字および小文字の両方が含まれている

数字が含まれている

強力なパスワードの例としては、次のようなものがあります。

If2CoM18

2004AsdfLkj30

Cb1955S21


) クリア テキスト パスワードに含めることができる文字は、英数字だけです。ドル記号($)やパーセント記号(%)などの特殊文字は使用できません。



ヒント パスワードが簡単な場合(短く、解読されやすいパスワード)、Nexus 5000 シリーズ スイッチはパスワード設定を拒否します。コンフィギュレーション例に表示されるように、強力なパスワードを設定してください。パスワードは大文字と小文字が区別されます。


ユーザ ロールの概要

ユーザ ロールにはルールが含まれており、ルールにはロールを割り当てられたユーザに許可された操作が定義されています。ユーザ ロールには複数のルールを含めることができ、ユーザは複数のロールを持てます。たとえば、role1 が設定操作へのアクセスだけを許可し、role2 がデバッグ操作へのアクセスだけを許可する場合、role1 と role2 の両方に属するユーザは、設定操作とデバッグ操作にアクセスできます。特定の VSAN、VLAN、およびインターフェイスへのアクセスを制限することもできます。

Nexus 5000 シリーズ スイッチは、次のデフォルトのユーザ ロールを提供します。

network-admin(スーパーユーザ):Nexus 5000 シリーズ スイッチ全体に対する読み取り/書き込みアクセスを実行できます。

network-operator:Nexus 5000 シリーズ スイッチに対する読み取りアクセスを実行できます。


) ユーザが複数のロールに属している場合、各ロールで許可されているすべてのコマンドを実行できます。コマンドへのアクセス権は、そのコマンドへのアクセス拒否よりも優先されます。たとえば、あるユーザが RoleA を持っており、このロールでは設定コマンドへのアクセスが拒否されるとします。しかし、同じユーザが RoleB も持ち、このロールでは設定コマンドにアクセスできるとします。この場合、このユーザは設定コマンドにアクセスできます。


ルールの概要

ルールはロールの基本的な要素です。ルールには、そのロールでユーザが実行可能な操作を定義します。次のパラメータのルールを適用できます。

コマンド:正規表現で定義されたコマンドまたはコマンド グループ

機能:Nexus 5000 シリーズ スイッチによって提供された機能に適用されるコマンド

このパラメータで使用可能な機能名を表示するには、 show role feature コマンドを入力します。

機能グループ:デフォルトまたはユーザ定義の機能グループ

このパラメータで使用可能なデフォルトの機能グループを表示するには、 show role feature-group コマンドを入力します。

これらのパラメータは階層型の関係を作成します。最も基本的な制御パラメータはコマンドです。次の制御パラメータは機能で、機能に関連付けられたすべてのコマンドを示します。最後の制御パラメータは機能グループです。機能グループは関連する機能の組み合わせです。機能グループによりユーザはルールを簡単に管理できます。

ロールごとに最大 256 のルールを設定できます。ユーザ側で指定するルール番号によって、ルールが適用される順序が決まります。ルールは降順で適用されます。たとえば、ロールに 3 つのルールがある場合、ルール 3、ルール 2、ルール 1 の順に適用されます。

ユーザ ロール ポリシーの概要

ユーザがアクセスできるスイッチ リソースを制限するロール ポリシーを定義できます。インターフェイス、VLAN、および VSAN へのアクセスを制限するユーザ ロール ポリシーを定義できます。

ユーザ ロール ポリシーは、ロール用に定義されたルールによって制約されます。たとえば、特定のインターフェイスへのアクセスを許可するようインターフェイス ポリシーを定義する場合、インターフェイス コマンドを許可するようロールのコマンド ルールを設定しない限り、ユーザにはインターフェイスへのアクセス権がありません。「ユーザ ロール インターフェイス ポリシーの変更」に、設定例を示します。

コマンド ルールが特定のリソース(インターフェイス、VLAN、または VSAN)へのアクセスを許可した場合、リソースがユーザに関連付けられたユーザ ロール ポリシーに表示されていなくても、ユーザはこれらのリソースへのアクセスが許可されます。

注意事項と制限事項

ユーザ アカウントおよび RBAC には、次の注意事項および制限事項があります。

ユーザ ロールには最大 256 のルールを追加できます。

最大 64 のユーザ ロールをユーザ アカウントに割り当てることができます。


) ユーザ アカウントには少なくとも 1 つのユーザ ロールが必要です。


ユーザ アカウントの設定

Nexus 5000 シリーズ スイッチで最大 256 のユーザ アカウントを作成できます。ユーザ アカウントには、次の属性があります。

ユーザ名

パスワード

有効期限

ユーザ ロール

ユーザ アカウントには最大 64 のユーザ ロールが含まれます。ユーザ ロールの詳細については、「RBAC の設定」を参照してください。


) ユーザ アカウント属性の変更は、ユーザがログインし、新しいセッションを作成するまでは有効になりません。


ユーザ アカウントを設定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch(config)# show role

(任意)使用可能なユーザ ロールを表示します。必要に応じて、他のユーザ ロールを設定できます(「ユーザ ロールおよびルールの作成」を参照)。

ステップ 2

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 3

switch(config)# username user-id [ password password ] [ expire date ] [ role role-name ]

ユーザ アカウントを設定します。 user-id 引数は、最大 28 文字の英数字で、大文字と小文字が区別されます。

デフォルトのパスワードは定義されていません。

(注) パスワードを指定しないと、ユーザは Nexus 5000 シリーズ スイッチにログインできなくなる可能性があります。

expire date オプションのフォーマットは YYYY-MM-DD です。デフォルトは無期限です。

ステップ 4

switch(config)# exit

グローバル コンフィギュレーション モードを終了します。

ステップ 5

switch# show user-account

(任意)ロール設定を表示します。

ステップ 6

switch# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

次に、ユーザ アカウントを設定する例を示します。

switch# configure terminal
switch(config)# username NewUser password 4Ty18Rnt
switch(config)# exit
switch# show user-account
switch# copy running-config startup-config

RBAC の設定

ここで説明する内容は、次のとおりです。

「ユーザ ロールおよびルールの作成」

「ユーザ ロール インターフェイス ポリシーの変更」

ユーザ ロールおよびルールの作成

ユーザごとに最大 256 のルールを設定できます。ユーザ ロールを複数のユーザ アカウントに割り当てることができます。

指定するルール番号によって、ルールが適用される順序が決まります。ルールは降順で適用されます。たとえば、ロールに 3 つのルールがある場合、ルール 3、ルール 2、ルール 1 の順に適用されます。

ユーザ ロールを作成し、ルールを指定する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# role name role-name

ユーザ ロールを指定し、ロール コンフィギュレーション モードを開始します。 role-name 引数は、最大 16 文字の英数字で、大文字と小文字が区別されます。

ステップ 3

switch(config-role)# rule number { deny | permit } command command-string

コマンド ルールを設定します。

command-string 引数には、スペースおよび正規表現を含めることができます。たとえば、「interface ethernet *」にはすべてのイーサネット インターフェイスが含まれます。

必要なルールの数だけ、このコマンドを繰り返します。

switch(config-role)# rule number { deny | permit } { read | read-write }

すべての操作の読み取り専用ルール、または読み取り/書き込みルールを設定します。

switch(config-role)# rule number { deny | permit } { read | read-write } feature feature-name

機能の読み取り専用ルール、または読み取り/書き込みルールを設定します。

show role feature コマンドを使用して、機能リストを表示します。

必要なルールの数だけ、このコマンドを繰り返します。

switch(config-role)#

rule number { deny | permit } { read | read-write } feature-group group-name

機能グループの読み取り専用ルール、または読み取り/書き込みルールを設定します。

show role feature-group コマンドを使用して、機能グループ リストを表示します。

必要なルールの数だけ、このコマンドを繰り返します。

ステップ 4

switch(config-role)# description text

(任意)ロールの説明を設定します。説明にスペースを含めることができます。

ステップ 5

switch(config-role)# exit

ロール コンフィギュレーション モードを終了します。

ステップ 6

switch(config)# show role

(任意)ユーザ ロール設定を表示します。

ステップ 7

switch(config)# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

次に、ユーザ ロールを作成し、ルールを指定する例を示します。

switch# configure terminal
switch(config)# role name UserA
switch(config-role)# rule deny command clear users
switch(config-role)# rule deny read-write
switch(config-role)# rule permit read feature router-bgp
switch(config-role)# rule deny read-write L3
switch(config-role)# description This role does not allow users to use clear commands
switch(config-role)# exit
switch(config)# show role
switch(config)# copy running-config startup-config

機能グループの作成

機能グループを作成する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# role feature-group group-name

ユーザ ロール機能グループを指定し、ロール機能グループ コンフィギュレーション モードを開始します。

group-name 引数は、最大 32 文字の英数字で、大文字と小文字が区別されます。

ステップ 3

switch(config-role-featuregrp)# exit

ロール機能グループ コンフィギュレーション モードを終了します。

ステップ 4

switch(config)# show role feature-group

(任意)ロール機能グループ設定を表示します。

ステップ 5

switch(config)# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

ユーザ ロール インターフェイス ポリシーの変更

ユーザ ロール インターフェイス ポリシーを変更して、ユーザがアクセスできるインターフェイスを制限できます。ユーザ ロール インターフェイス ポリシーを変更する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# role name role-name

ユーザ ロールを指定し、ロール コンフィギュレーション モードを開始します。

ステップ 3

switch(config-role)# rule number permit command configure terminal ; interface *

すべてのインターフェイスへのアクセスを許可するコマンド ルールを設定します。

ステップ 4

switch(config-role)# interface policy deny

ロール インターフェイス ポリシー コンフィギュレーション モードを開始します。

ステップ 5

switch(config-role-interface)# permit interface interface-list

ロールがアクセスできるインターフェイスのリストを指定します。

必要なインターフェイスの数だけ、このコマンドを繰り返します。

このコマンドの場合、イーサネット インターフェイス、ファイバ チャネル インターフェイス、および仮想ファイバ チャネル インターフェイスを指定できます。

ステップ 6

switch(config-role-interface)# exit

ロール インターフェイス ポリシー コンフィギュレーション モードを終了します。

ステップ 7

switch(config-role)# show role

(任意)ロール設定を表示します。

ステップ 8

switch(config-role)# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

ロールがアクセスできるインターフェイスのリストを指定できます。インターフェイスは必要な数だけ指定できます。

switch(config-role-interface)# permit interface ethernet 2/1
switch(config-role-interface)# permit interface fc 3/1
switch(config-role-interface)# permit interface vfc 30/1

ユーザ ロール VLAN ポリシーの変更

ユーザ ロール VLAN ポリシーを変更して、ユーザがアクセスできる VLAN を制限できます。ユーザ ロール VLAN ポリシーを変更する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config)# role name role-name

ユーザ ロールを指定し、ロール コンフィギュレーション モードを開始します。

ステップ 3

switch(config-role)# rule number permit command configure terminal ; vlan *

すべての VLAN へのアクセスを許可するコマンド ルールを設定します。

ステップ 4

switch(config-role)# vlan policy deny

ロール VLAN ポリシー コンフィギュレーション モードを開始します。

ステップ 5

switch(config-role-vlan)# permit vlan vlan-list

ロールがアクセスできる VLAN 範囲を指定します。

必要な VLAN の数だけ、このコマンドを繰り返します。

ステップ 6

switch(config-role-vlan)# exit

ロール VLAN ポリシー コンフィギュレーション モードを終了します。

ステップ 7

switch(config-role)# show role

(任意)ロール設定を表示します。

ステップ 8

switch(config-role)# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

ユーザ ロール VSAN ポリシーの変更

ユーザ ロール VSAN ポリシーを変更して、ユーザがアクセスできる VSAN を制限できます。

ユーザがアクセスできる VSAN を制限するユーザ ロール VSAN ポリシーを変更する手順は、次のとおりです。

 

コマンド
目的

ステップ 1

switch# configure terminal

コンフィギュレーション モードを開始します。

ステップ 2

switch(config-role)# role name role-name

ユーザ ロールを指定し、ロール コンフィギュレーション モードを開始します。

ステップ 3

switch(config-role)# rule number permit command vsan database; vsan *

すべての VSAN へのアクセスを許可するコマンド ルールを設定します。

ステップ 4

switch(config-role)# vsan policy deny

ロール VSAN ポリシー コンフィギュレーション モードを開始します。

ステップ 5

switch(config-role-vsan)# permit vsan vsan-list

ロールがアクセスできる VSAN 範囲を指定します。

必要な VSAN の数だけ、このコマンドを繰り返します。

ステップ 6

switch(config-role-vsan)# exit

ロール VSAN ポリシー コンフィギュレーション モードを終了します。

ステップ 7

switch(config-role)# show role

(任意)ロール設定を表示します。

ステップ 8

switch(config-role)# copy running-config startup-config

(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーします。

ユーザ アカウントおよび RBAC 設定の確認

ユーザ アカウントおよび RBAC 設定情報を表示する手順は、次のとおりです。

 

コマンド
目的

show role

ユーザ ロール設定を表示します。

show role feature

機能リストを表示します。

show role feature-group

機能グループ設定を表示します。

show startup-config security

スタートアップ コンフィギュレーション内のユーザ アカウント設定を表示します。

show running-config security [ all ]

実行コンフィギュレーション内のユーザ アカウント設定を表示します。 all キーワードは、ユーザ アカウントのデフォルト値を表示します。

show user-account

ユーザ アカウント情報を表示します。

ユーザ アカウントおよび RBAC の設定例

次に、ユーザ ロールを設定する例を示します。

role name UserA
rule 3 permit read feature l2nac
rule 2 permit read feature dot1x
rule 1 deny command clear *
 

次に、ユーザ ロール機能グループを設定する例を示します。

role feature-group name Security-features
feature radius
feature tacacs
feature aaa
feature acl
feature access-list
 

デフォルト設定値

表 22-1 に、ユーザ アカウントおよび RBAC パラメータのデフォルト設定値を示します。

 

表 22-1 デフォルトのユーザ アカウントおよび RBAC パラメータ

パラメータ
デフォルト

ユーザ アカウント パスワード

未定義

ユーザ アカウントの有効期限

なし

インターフェイス ポリシー

すべてのインターフェイスにアクセス可能。

VLAN ポリシー

すべてのインターフェイスにアクセス可能。

VFC ポリシー

すべての VFC にアクセス可能。

VETH ポリシー

すべての VETH にアクセス可能。