Cisco NX-OS Security コンフィギュレーション ガイド Release 4.0
ユーザ アカウントおよび RBAC の設定
ユーザ アカウントおよび RBAC の設定
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

ユーザ アカウントおよび RBAC の設定

ユーザ アカウントおよび RBAC の概要

ユーザ アカウントについて

強力なパスワード

ユーザ ロールについて

ユーザ ロールのルールについて

バーチャライゼーション サポート

ユーザ アカウントおよび RBAC のライセンス要件

注意事項および制限事項

ユーザ アカウントの設定

RBAC の設定

ユーザ ロールおよびルールの作成

機能グループの作成

ユーザ ロールのインターフェイス ポリシーの変更

ユーザ ロールの VLAN ポリシーの変更

ユーザ ロールの VRF ポリシーの変更

ユーザ アカウントおよび RBAC 設定の確認

ユーザ アカウントおよび RBAC の設定例

デフォルト設定

その他の参考資料

関連資料

規格

MIB

ユーザ アカウントおよび RBAC の設定

この章では、NX-OS デバイス上でユーザ アカウントおよび Role-Based Access Control(RBAC; ロールベース アクセス コントロール)を設定する手順について説明します。

ここでは、次の内容を説明します。

「ユーザ アカウントおよび RBAC の概要」

「ユーザ アカウントおよび RBAC のライセンス要件」

「注意事項および制限事項」

「ユーザ アカウントの設定」

「RBAC の設定」

「ユーザ アカウントおよび RBAC 設定の確認」

「ユーザ アカウントおよび RBAC の設定例」

「デフォルト設定」

「その他の参考資料」

ユーザ アカウントおよび RBAC の概要

ユーザ アカウントの作成および管理を行い、NX-OS デバイス上で実行できる操作を制限するロールを割り当てることができます。RBAC を使用すると、割り当てたロールにルールを定義して、管理操作を実行するためにユーザが所有する権限を制限できます。

ここでは、次の内容について説明します。

「ユーザ アカウントについて」

「強力なパスワード」

「ユーザ ロールについて」

「ユーザ ロールのルールについて」

「バーチャライゼーション サポート」

ユーザ アカウントについて

最大 256 のユーザ アカウントを作成できます。デフォルトでは、明示的に期限を指定しないかぎり、ユーザ アカウントは無期限に有効です。expire オプションを使用すると、ユーザ アカウントをディセーブルにする日付を設定できます。

ユーザは、ユーザ アカウントを複数の VDC 上に所有できます。これらのユーザは、最初に 1 つの VDC に接続してから複数の VDC 間を移動できます。


ヒント 次の語は予約済みのため、ユーザの設定には使用できません。bin、daemon、adm、lp、sync、shutdown、halt、mail、news、uucp、operator、games、gopher、ftp、nobody、nscd、mailnull、rpc、rpcuser、xfs、gdm、mtsuser、ftpuser、man、および sys。



) ユーザ パスワードはコンフィギュレーション ファイルに表示されません。



注意 Cisco NX-OS ソフトウェアは、ユーザ名が TACACS+ または RADIUS によって作成されたのかローカルに作成されたのかに関係なく、すべて数字のユーザ名をサポートしていません。すべて数字の名前を持つローカル ユーザは作成できません。すべて数字のユーザ名が AAA サーバ上に存在していて、ログイン時に入力された場合、そのユーザはログインできません。

強力なパスワード

強力なパスワードには、次の特性があります。

長さが 8 文字以上ある

多くの連続する文字("abcd" など)を含んでいない

多くの反復する文字("aaabbb" など)を含んでいない

辞書に載っている単語を含んでいない

固有名詞を含んでいない

大文字と小文字の両方を含んでいる

数字を含んでいる

次に、強力なパスワードの例を示します。

If2CoM18

2004AsdfLkj30

Cb1955S21


) クリア テキスト パスワードには、特殊文字のドル記号($)を含めることができません。



ヒント パスワードが単純(短く、簡単に解読されるパスワードなど)な場合、NX-OS ソフトウェアはパスワード設定を拒否します。例に示すような強力なパスワードを設定するようにしてください。パスワードでは大文字と小文字が区別されます。


ユーザ ロールについて

ユーザ ロールにはルールが含まれており、ルールにはロールを割り当てられたユーザに許可された操作が定義されています。ユーザ ロールには複数のルールを含めることが可能で、ユーザは複数のロールを持つことができます。たとえば、role1 は設定操作だけにアクセスすることができ、role2 はデバッグ操作だけにアクセスすることができるとします。role1 と role2 の両方に属するユーザは、設定操作とデバッグ操作にアクセスすることができます。また、特定の VLAN、Virtual Routing and Forwarding instance(VRF)、およびインターフェイスへのアクセスも制限できます。

Cisco NX-OS ソフトウェアは、デフォルトで次の 4 つのユーザ ロールを提供しています。

network-admin ― NX-OS デバイス全体に対する読み取り/書き込みアクセスを実行できます(デフォルト DVC でのみ使用可能)。

network-operator ― NX-OS デバイス全体に対する読み取りアクセスを実行できます(デフォルト DVC でのみ使用可能)。

vdc-admin ― VDC に限定した読み取り/書き込みアクセス

vdc-operator ― VDC に限定した読み取りアクセス


) デフォルトのユーザ ロールは変更できません。


VDC 内のカスタム ロールを作成できます。デフォルトでは、作成したユーザ ロールで使用できるコマンドは、 show exit end 、および configure terminal コマンドだけです。ユーザが機能を表示したり設定するためには、ルールを追加する必要があります。

VDC 間ではユーザ ロールを共有しません。各 VDC には、独立したユーザ ロール データベースがあります。ロールは、VDC 内でルールとアトリビュートを割り当てることで設定します。


) ユーザが複数のロールに属する場合、それらのロールで許可されるすべてのコマンドを組み合わせて実行できます。アクセスを許可されるコマンドは、アクセスを拒否されるコマンドに優先します。たとえば、あるユーザが RoleA を持っており、このロールでは設定コマンドへのアクセスが拒否されるとします。しかし、同じユーザが RoleB も持ち、このロールでは設定コマンドにアクセスできるとします。このような場合、同じユーザは設定コマンドにアクセスできます。


ユーザ ロールのルールについて

ルールは、ユーザ ロールの基本要素です。ルールには、そのロールでユーザが実行できる操作を定義します。次のパラメータのルールを適用できます。

コマンド ― 1 つのコマンドまたは正規表現で定義された複数のコマンド

機能 ― NX-OS ソフトウェアが提供する機能に適用するコマンド

機能グループ ― デフォルトの機能またはユーザが定義した機能グループ

これらのパラメータは、階層型の関係を形成します。最も基本的な制御パラメータは「コマンド」です。次の制御パラメータは「機能」です。これは、機能に関連付けられたすべてのコマンドを代表します。最後の制御パラメータは「機能グループ」です。機能グループは、関連する機能を組み合わせたものです。機能グループによりルールを簡単に管理できます。また、NX-OS ソフトウェアには、使用可能な機能グループ L3 があらかじめ定義されています。

ロールごとに最大 256 のルールを設定できます。ルールが適用される順番は、ユーザが指定したルール番号で決まります。ルールは降順で適用されます。たとえば、1 つのロールに 3 つのルールがある場合は、ルール 3、ルール 2、ルール 1 の順に適用されます。

バーチャライゼーション サポート

network-admin および network-operator のロールを持つユーザは、デフォルト VDC にログインし switchto vdc コマンドを使用することで、他の VDC アクセスできます。他のすべてのユーザ ロールは、VDC にローカルです。ロールは VDC 間で共有されません。各 VDC には、独立したユーザ ロール データベースがあります。VDC の詳細については、『 Cisco NX-OS Virtual Device Context Configuration Guide, Release 4.0 』を参照してください。

ユーザ アカウントおよび RBAC のライセンス要件

次の表に、この機能のライセンス要件を示します。

 

製品
ライセンス要件

NX-OS

ユーザ アカウントおよび RBAC にライセンスは必要ありません。ライセンス パッケージに含まれない機能はすべて、Cisco NX-OS システム イメージにバンドルされており、無償で提供されます。NX-OS のライセンス方式の詳細については、『 Cisco NX-OS Licensing Guide, Release 4.0 』を参照してください。

注意事項および制限事項

ユーザ アカウントおよび RBAC には、次の設定に関する注意事項と制限事項があります。

1 つの VDC には最大 64 のユーザ定義のユーザ ロールを作成できるほか、デフォルト VDC には 4 つのデフォルトのユーザ ロール、デフォルト以外の VDC には 2 つのデフォルトのユーザ ロールを作成できます。

1 つのユーザ ロールには最大 256 のルールを追加できます。

1 つの VDC には最大 64 のユーザ定義の機能グループを追加できるほか、デフォルトの機能グループ L3 を追加できます。

1 つの VDC には最大 256 のユーザを設定できます。

ユーザ アカウントには最大 64 のユーザ ロールを割り当てることができます。

ローカルの Cisco NX-OS デバイス上に設定されているユーザ アカウントが、AAA サーバ上のリモート ユーザ アカウントと同じ名前の場合、Cisco NX-OS ソフトウェアは、AAA サーバ上に設定されているユーザ ロールでなく、ローカル ユーザ アカウントのユーザ ロールをリモート ユーザに適用します。


) Cisco IOS CLI の知識があるユーザは、この機能に関する Cisco NX-OS のコマンドが Cisco IOS のコマンドで使用されるものと異なる場合があることに注意してください。



) ユーザ アカウントには 1 つ以上のユーザ ロールが必要です。


ユーザ アカウントの設定

NX-OS デバイス上に最大 256 の ユーザ アカウントを作成できます。ユーザ アカウントには次のアトリビュートがあります。

ユーザ名

パスワード

有効期限

ユーザ ロール

ユーザ アカウントは最大 64 のユーザ ロールを持つことができます。ユーザ ロールの詳細については、「RBAC の設定」を参照してください。

ユーザ アカウントは、VDC に対してローカルです。ただし、network-admin または network-operator のロールを持つユーザは、デフォルト VDC にログインし、 switchto vdc コマンドを使用して他の VDC にアクセスできます


) ユーザ アカウントのアトリビュートを変更した場合、ユーザがログインして新しいセッションを作成するまで有効になりません。


作業を開始する前に

目的の VDC にいることを確認します(または switchto vdc コマンドを使用)。

手順の概要

1. config t

2. show role

3. username user-id [ password password ] [ expire date ] [ role role-name ]

4. exit

5. show user-account

6. copy running-config startup-config

詳細な手順

 

コマンド
目的

ステップ 1

config t

 

例:

switch# config t

switch(config)#

グローバル コンフィギュレーション モードを開始します。

ステップ 2

show role

 

例:

switch(config)# show role

(任意)使用可能なユーザ ロールを表示します。必要な場合は、他のユーザ ロールを作成できます(ユーザ ロールおよびルールの作成を参照)。

ステップ 3

username user-id [ password password ] [ expire date ] [ role role-name ]

 

例:

switch(config)# username NewUser password 4Ty18Rnt

ユーザ アカウントを設定します。 user-id 引数は、最大 28 文字の英数字ストリングで、大文字と小文字は区別されます。

デフォルト パスワードは未定義です。


) パスワードを指定しない場合、ユーザは NX-OS デバイスにログインできない可能性があります。パスワードでなく SSH 公開鍵を使用する手順については、「ユーザ アカウントの SSH 公開鍵の指定」を参照してください。


expire date オプションの形式は YYYY-MM-DD です。デフォルトは無期限です。

ユーザ アカウントは最大 64 のユーザ ロールを持つことができます。デフォルト VDC におけるデフォルトのユーザ ロールは、作成ユーザが network-admin のロールを持つ場合は
network-operator
になり、vdc-admin のロールを持つ場合は vdc-operator になります。デフォルト以外の VDC では、デフォルトのユーザ ロールは vdc-operator です。


) network-admin および network-operator のロールは、デフォルト VDC でのみ使用可能です。


ステップ 4

exit

 

例:

switch(config)# exit

switch#

グローバル コンフィギュレーション モードを終了します。

ステップ 5

show user-account

 

例:

switch# show user-account

(任意)ユーザ ロールの設定を表示します。

ステップ 6

copy running-config startup-config

 

例:

switch# copy running-config startup-config

(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

RBAC の設定

ここでは、次の内容について説明します。

「ユーザ ロールおよびルールの作成」

「機能グループの作成」

「ユーザ ロールのインターフェイス ポリシーの変更」

「ユーザ ロールの VLAN ポリシーの変更」

「ユーザ ロールの VRF ポリシーの変更」

ユーザ ロールおよびルールの作成

VDC には最大 64 のユーザ ロールを設定できます。各ユーザ ロールには最大 256 のルールを指定できます。1 つのユーザ ロールを複数のユーザ アカウントに割り当てることができます。

ルールが適用される順番は、指定したルール番号で決まります。ルールは降順で適用されます。たとえば、1 つのロールに 3 つのルールがある場合は、ルール 3、ルール 2、ルール 1 の順に適用されます。

作業を開始する前に

目的の VDC にいることを確認します(または switchto vdc コマンドを使用)。

手順の概要

1. config t

2. role name role-name

3. rule number { deny | permit } command command-string

rule number { deny | permit } { read | read-write }

rule number { deny | permit } { read | read-write } feature feature-name

rule number { deny | permit } { read | read-write } feature-group group-name

4. description text

5. exit

6. show role

7. copy running-config startup-config

詳細な手順

 

コマンド
目的

ステップ 1

config t

 

例:

switch# config t

switch(config)#

グローバル コンフィギュレーション モードを開始します。

ステップ 2

role name role-name

 

例:

switch(config)# role name UserA

switch(config-role)#

 

ユーザ ロールを指定し、ロール コンフィギュレーション モードを開始します。 role-name 引数は、最大 16 文字の英数字ストリングで、大文字と小文字は区別されます。

ステップ 3

rule number { deny | permit } command command-string

 

例:

switch(config-role)# rule 1 deny command clear users

コマンド ルールを設定します。

command-string 引数には、スペースと正規表現を含めることができます。たとえば、「interface ethernet *」は、すべてのイーサネット インターフェイスが含まれます。

必要なルールの数だけこのコマンドを繰り返します。

rule number { deny | permit } { read | read-write }

 

例:

switch(config-role)# rule 2 deny read-write

 

すべての操作の読み取り専用ルール、または読み取り/書き込みルールを設定します。

rule number { deny | permit } { read | read-write } feature feature-name

 

例:

switch(config-role)# rule 3 permit read feature router-bgp

 

機能の読み取り専用ルール、または読み取り/書き込みルールを設定します。

機能の一覧を表示する場合は、 show role feature コマンドを使用します。

必要なルールの数だけこのコマンドを繰り返します。

rule number { deny | permit } { read | read-write } feature-group group-name

 

例:

switch(config-role)# rule 4 deny read-write L3

 

機能グループの読み取り専用ルール、または読み取り/書き込みルールを設定します。

機能グループの一覧を表示する場合は、 show role feature-group コマンドを使用します。

必要なルールの数だけこのコマンドを繰り返します。

ステップ 4

description text

 

例:

switch(config-role)# description This role does not allow users to use clear commands

(任意)ユーザ ロールの説明を設定します。説明にはスペースを含めることができます。

ステップ 5

exit

 

例:

switch(config-role)# exit

switch(config)#

ロール コンフィギュレーション モードを終了します。

ステップ 6

show role

 

例:

switch(config)# show role

(任意)ユーザ ロールの設定を表示します。

ステップ 7

copy running-config startup-config

 

例:

switch(config)# copy running-config startup-config

(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

機能グループの作成

カスタム機能グループを作成して、Cisco NX-OS ソフトウェアが提供するデフォルトの機能リストに追加できます。これらの機能グループは 1 つまたは複数の機能を含んでいます。VDC には最大 64 の機能グループを設定できます。


) デフォルト機能グループ L3 を変更することはできません。


作業を開始する前に

目的の VDC にいることを確認します(または switchto vdc コマンドを使用)。

手順の概要

1. config t

2. role feature-group group-name

3. feature feature-name

4. exit

5. show role feature-group

6. copy running-config startup-config

詳細な手順

 

コマンド
目的

ステップ 1

config t

 

例:

switch# config t

switch(config)#

グローバル コンフィギュレーション モードを開始します。

ステップ 2

role feature-group group-name

 

例:

switch(config)# role feature GroupA

switch(config-role-featuregrp)#

 

ユーザ ロール機能グループを指定し、ロール機能グループ コンフィギュレーション モードを開始します。

group-name 引数は、最大 32 文字の英数字ストリングで、大文字と小文字は区別されます。

ステップ 3

feature feature-name

 

例:

switch(config-role-featuregrp)# feature vdc

機能グループの機能を指定します。

必要な機能の数だけこのコマンドを繰り返します。


) 機能の一覧を表示する場合は、show role component コマンドを使用します。


ステップ 4

exit

 

例:

switch(config-role-featuregrp)# exit

switch(config)#

ロール機能グループ コンフィギュレーション モードを終了します。

ステップ 5

show role feature-group

 

例:

switch(config)# show role feature-group

(任意)ロール機能グループの設定を表示します。

ステップ 6

copy running-config startup-config

 

例:

switch(config)# copy running-config startup-config

(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

ユーザ ロールのインターフェイス ポリシーの変更

ユーザ ロールのインターフェイス ポリシーを変更して、ユーザがアクセスできるインターフェイスを制限できます。デフォルトでは、ユーザ ロールは VDC のすべてのインターフェイスにアクセスできます。

作業を開始する前に

目的の VDC にいることを確認します(または switchto vdc コマンドを使用)。

1 つまたは複数のユーザ ロールを作成します(ユーザ ロールおよびルールの作成を参照)。

手順の概要

1. config t

2. role name role-name

3. interface policy deny

4. permit interface interface-list

5. exit

6. show role

7. copy running-config startup-config

詳細な手順

 

コマンド
目的

ステップ 1

config t

 

例:

switch# config t

switch(config)#

グローバル コンフィギュレーション モードを開始します。

ステップ 2

role name role-name

 

例:

switch(config)# role name UserA

switch(config-role)#

 

ユーザ ロールを指定し、ロール コンフィギュレーション モードを開始します。

ステップ 3

interface policy deny

 

例:

switch(config-role)# interface policy deny

switch(config-role-interface)#

ロール インターフェイス ポリシー コンフィギュレーション モードを開始します。

ステップ 4

permit interface interface-list

 

例:

switch(config-role-interface)# permit interface ethernet 2/1-4

ロールがアクセスできるインターフェイスのリストを指定します。

必要なインターフェイスの数だけこのコマンドを繰り返します。

ステップ 5

exit

 

例:

switch(config-role-interface)# exit

switch(config-role)#

ロール インターフェイス ポリシー コンフィギュレーション モードを終了します。

ステップ 6

show role

 

例:

switch(config-role)# show role

(任意)ユーザ ロールの設定を表示します。

ステップ 7

copy running-config startup-config

 

例:

switch(config-role)# copy running-config startup-config

(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

ユーザ ロールの VLAN ポリシーの変更

ユーザ ロールの VLAN ポリシーを変更して、ユーザがアクセスできる VLAN を制限できます。デフォルトでは、ユーザ ロールは VDC のすべての VLAN にアクセスできます。

作業を開始する前に

目的の VDC にいることを確認します(または switchto vdc コマンドを使用)。

1 つまたは複数のユーザ ロールを作成します(ユーザ ロールおよびルールの作成を参照)。

手順の概要

1. config t

2. role name role-name

3. vlan policy deny

4. permit vlan vlan-range

5. exit

6. show role

7. copy running-config startup-config

詳細な手順

 

コマンド
目的

ステップ 1

config t

 

例:

switch# config t

switch(config)#

グローバル コンフィギュレーション モードを開始します。

ステップ 2

role name role-name

 

例:

switch(config)# role name UserA

switch(config-role)#

 

ユーザ ロールを指定し、ロール コンフィギュレーション モードを開始します。

ステップ 3

vlan policy deny

 

例:

switch(config-role)# vlan policy deny

switch(config-role-vlan)#

ロール VLAN ポリシー コンフィギュレーション モードを開始します。

ステップ 4

permit vlan vlan-list

 

例:

switch(config-role-vlan)# permit vlan 1-4

ロールがアクセスできる VLAN の範囲を指定します。

必要な VLAN の数だけこのコマンドを繰り返します。

ステップ 5

exit

 

例:

switch(config-role-vlan)# exit

switch(config-role)#

ロール VLAN ポリシー コンフィギュレーション モードを終了します。

ステップ 6

show role

 

例:

switch(config-role)# show role

(任意)ユーザ ロールの設定を表示します。

ステップ 7

copy running-config startup-config

 

例:

switch(config-role)# copy running-config startup-config

(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

ユーザ ロールの VRF ポリシーの変更

ユーザ ロールの VRF ポリシーを変更して、ユーザがアクセスできる VRF を制限できます。デフォルトでは、ユーザ ロールは VDC のすべての VRF にアクセスできます。

作業を開始する前に

目的の VDC にいることを確認します(または switchto vdc コマンドを使用)。

1 つまたは複数のユーザ ロールを作成します(ユーザ ロールおよびルールの作成を参照)。

手順の概要

1. config t

2. role name role-name

3. vrf policy deny

4. permit vrf vrf-name

5. exit

6. show role

7. copy running-config startup-config

詳細な手順

 

コマンド
目的

ステップ 1

config t

 

例:

switch# config t

switch(config)#

グローバル コンフィギュレーション モードを開始します。

ステップ 2

role name role-name

 

例:

switch(config)# role name UserA

switch(config-role)#

ユーザ ロールを指定し、ロール コンフィギュレーション モードを開始します。

ステップ 3

vrf policy deny

 

例:

switch(config-role)# vrf policy deny

switch(config-role-vrf)#

ロール VRF ポリシー コンフィギュレーション モードを開始します。

ステップ 4

permit vrf vrf-name

 

例:

switch(config-role-vrf)# permit vrf vrf1

ロールがアクセスできる VRF を指定します。

必要な VRF の数だけこのコマンドを繰り返します。

ステップ 5

exit

 

例:

switch(config-role-vrf)# exit

switch(config-role)#

ロール VRF ポリシー コンフィギュレーション モードを終了します。

ステップ 6

show role

 

例:

switch(config-role)# show role

(任意)ユーザ ロールの設定を表示します。

ステップ 7

copy running-config startup-config

 

例:

switch(config-role)# copy running-config startup-config

(任意)実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

ユーザ アカウントおよび RBAC 設定の確認

ユーザ アカウントおよび RBAC の設定情報を表示するには、次の作業のいずれかを行います。

 

コマンド
目的

show role

ユーザ ロールの設定を表示します。

show role feature

機能リストを表示します。

show role feature-group

機能グループの設定を表示します。

show startup-config security

スタートアップ コンフィギュレーション内のユーザ アカウントの設定を表示します。

show running-config security [ all ]

実行コンフィギュレーション内のユーザ アカウントの設定を表示します。 all キーワードを使用すると、ユーザ アカウントのデフォルト値を表示します。

show user-account

ユーザ アカウントの情報を表示します。

このコマンドの出力に表示されるフィールドの詳細については、『 Cisco NX-OS Security Command Reference, Release 4.0 』を参照してください。

ユーザ アカウントおよび RBAC の設定例

次に、ユーザ ロールを設定する例を示します。

role name UserA
rule 3 permit read feature l2nac
rule 2 permit read feature dot1x
rule 1 deny command clear *
 

次に、ユーザ ロールの機能グループを設定する例を示します。

role feature-group name Security-features
feature radius
feature tacacs
feature dot1x
feature aaa
feature l2nac
feature acl
feature access-list
 

デフォルト設定

表6-1 に、ユーザ アカウントおよび RABC パラメータのデフォルト設定を示します。

 

表6-1 ユーザ アカウントおよび RBAC のデフォルト パラメータ

パラメータ
デフォルト

ユーザ アカウントのパスワード

未定義

ユーザ アカウントの有効期限

なし

デフォルト VDC のユーザ アカウント ロール

作成ユーザが network-admin のロールを持つ場合は network-operator、または vdc-admin のロールを持つ場合は vdc-operator

VDC 以外のユーザ アカウント ロール

作成ユーザが vdc-admin を持つ場合は vdc-operator

デフォルト VDC のデフォルト ユーザ ロール

network-admin、network-operator、vdc-admin、および vdc-operator

デフォルト以外の VDC のデフォルト ユーザ ロール

vdc-admin および vdc-operator

インターフェイス ポリシー

すべてのインターフェイスをアクセス可能

VLAN ポリシー

すべての VLAN がアクセス可能

VRF ポリシー

すべての VRF がアクセス可能

機能グループ

L3

その他の参考資料

RBAC の実装に関連する詳細情報については、次を参照してください。

「関連資料」

「規格」

「MIB」

関連資料

関連事項
タイトル

NX-OS ライセンス

Cisco NX-OS Licensing Guide, Release 4.0

コマンド リファレンス

Cisco NX-OS Security Command Reference, Release 4.0

VRF の設定

Cisco NX-OS Unicast Routing Configuration Guide, Release 4.0

規格

規格
タイトル

この機能によりサポートされた新規規格または改訂規格はありません。またこの機能による既存規格のサポートに変更はありません。

--

MIB

MIB
MIB のリンク

CISCO-COMMON-MGMT-MIB

MIB の確認とダウンロードを行うには、次の URL にアクセスします。

http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml