Cisco Nexus 7000 シリーズ NX-OS セキュリティ コンフィギュレーション ガイド リリース 6.x
ユーザ アカウントと RBAC の設定
ユーザ アカウントと RBAC の設定

目次

ユーザ アカウントと RBAC の設定

この章では、Cisco NX-OS デバイス上でユーザ アカウントおよび Role-Based Access Control(RBAC; ロールベース アクセス コントロール)を設定する手順について説明します。

この章は、次の内容で構成されています。

ユーザ アカウントと RBAC の概要

ユーザ アカウントの作成および管理を行い、Cisco NX-OS デバイス上で実行できる操作を制限するロールを割り当てることができます。 RBAC は、ユーザが実行する必要のある管理操作の許可を制限するロールの割り当てのルールを定義することを可能にします。

ユーザ アカウント

最大 256 のユーザ アカウントを作成できます。 デフォルトでは、明示的に期限を指定しないかぎり、ユーザ アカウントは無期限に有効です。 expire オプションを使用すると、ユーザ アカウントをディセーブルにする日付を設定できます。

ユーザは、ユーザ アカウントを複数の VDC 上に所有できます。 これらのユーザは、最初に 1 つの VDC に接続してから複数の VDC 間を移動できます。

次の語は予約済みであり、ユーザ設定に使用できません。bin、daemon、adm、lp、sync、shutdown、halt、mail、news、uucp、operator、games、gopher、ftp、nobody、nscd、mailnull、root、rpc、rpcuser、xfs、gdm、mtsuser、ftpuser、man、および sys。


(注)  


ユーザのパスワードは、設定ファイルでは表示されません。



注意    


ユーザ名の先頭は英数字とする必要があります。ユーザ名には特殊文字 ( + = . _ \ - ) のみを含めることができます。 # 記号と ! 記号はサポートされていません。 ユーザ名に許可されていない文字が含まれている場合、指定したユーザはログインできません。


強力なパスワードの特性

強固なパスワードは、次の特性を持ちます。

  • 長さが 8 文字以上である

  • 複数の連続する文字(「abcd」など)を含んでいない

  • 複数の同じ文字の繰返し(「aaabbb」など)を含んでいない

  • 辞書に載っている単語を含んでいない

  • 固有名詞を含んでいない

  • 大文字および小文字の両方が含まれている

  • 数字が含まれている

強固なパスワードの例を次に示します。

  • If2CoM18

  • 2004AsdfLkj30

  • Cb1955S21


(注)  


出力可能なすべての ASCII 文字は、引用符で囲めば、パスワード文字列でサポートされます。


パスワードの強度確認をイネーブルにすると、パスワードが単純である場合(短く、簡単に解読されるパスワードなど)に、Cisco NX-OS ソフトウェアによってパスワード設定が拒否されます。 サンプル設定にあるような強固なパスワードを設定してください。 パスワードでは、大文字と小文字が区別されます。

ユーザ ロール

ユーザ ロールには、そのロールを割り当てられたユーザが実行できる操作を定義するルールが含まれています。 各ユーザ ロールに複数のルールを含めることができ、各ユーザが複数のロールを持つことができます。 たとえば、ロール 1 では設定操作の実行だけが許可されており、ロール 2 ではデバッグ操作の実行だけが許可されている場合、ロール 1 とロール 2 の両方に属するユーザは、設定操作とデバッグ操作を実行できます。 また、特定の VLAN、仮想ルーティング/転送(VRF)インスタンス、およびインターフェイスへのアクセスも制限できます。

Cisco NX-OS ソフトウェアには、デフォルトで次の 4 つのユーザ ロールが用意されています。

  • network-admin:NX-OS デバイス全体に対する読み取り/書き込みアクセスを実行できます(デフォルト DVC でだけ使用可能)。

  • network-operator:NX-OS デバイス全体に対する読み取りアクセスを実行できます(デフォルト DVC でだけ使用可能)。

  • vdc-admin:VDC に限定した読み取り/書き込みアクセス。

  • vdc-operator:VDC に限定した読み取りアクセス。


(注)  


デフォルトのユーザ ロールは変更できません。



(注)  


network-operator ユーザおよび vdc-operator ユーザには、一部の show コマンドが表示されない場合があります。 また、show コマンド以外のコマンドの中には(telnet など)、これらのユーザ ロールでも使用できるコマンドがあります。


VDC 内でカスタム ロールを作成できます。 デフォルトでは、管理者のロールがないユーザ アカウントは、showexitend、および configure terminal コマンドだけにアクセスできますルールを追加して、ユーザが機能を設定できるようにすることが可能です。

同じ物理デバイス上の VDC は、ユーザ ロールを共有しません。 各 VDC には、独立したユーザ ロール データベースがあります。 ロールは、VDC 内でルールと属性を割り当てることで設定します。


(注)  


複数のロールに属するユーザは、そのロールで許可されるすべてのコマンドの組み合わせを実行できます。 コマンドへのアクセス権は、コマンドへのアクセス拒否よりも優先されます。 たとえば、ユーザが、コンフィギュレーション コマンドへのアクセスが拒否されたロール A を持っていたとします。 しかし、同じユーザがロール B も持ち、このロールではコンフィギュレーション コマンドにアクセスできるとします。 この場合、このユーザはコンフィギュレーション コマンドにアクセスできます。


ユーザ ロールのルール

ルールは、ロールの基本要素です。 ルールは、そのロールがユーザにどの操作の実行を許可するかを定義します。 ルールは次のパラメータで適用できます。

コマンド
正規表現で定義されたコマンドまたはコマンド グループ
機能
正規表現で定義されたコマンドまたはコマンド グループ
機能グループ
機能のデフォルト グループまたはユーザ定義グループ
OID
SNMP オブジェクト ID(OID)。

command、feature、および feature group の各パラメータにより、階層的な関係が作成されます。 最も基本的な制御パラメータは command です。 次の制御パラメータは feature です。これは、その機能にアソシエートされているすべてのコマンドを表します。 最後の制御パラメータが、feature group です。 機能グループは、関連する機能を組み合わせたものです。機能グループによりルールを簡単に管理できます。 また、Cisco NX-OS ソフトウェアには、使用可能な機能グループ L3 があらかじめ定義されています。

ロールごとに最大 256 のルールを設定できます。 ルールが適用される順序は、ユーザ指定のルール番号で決まります。 ルールは降順で適用されます。 たとえば、1 つのロールが 3 つのルールを持っている場合、ルール 3 がルール 2 よりも前に適用され、ルール 2 はルール 1 よりも前に適用されます。

ユーザ ロールの設定の配布

Cisco Fabric Services(CFS)を使用すると、Cisco NX-OS デバイスからネットワーク上の他の Cisco NX-OS デバイスにユーザ ロールの設定を配布できます。 使用しているデバイスにおいて、ある機能に対して CFS 配布をイネーブルにすると、そのデバイスは CFS 領域に属します。この CFS 領域には、その機能に対して CFS 配布をイネーブルにしているネットワーク上の他のデバイスが含まれます。 ユーザ ロール機能に対する CFS 配布はデフォルトではディセーブルになっています。


(注)  


設定変更を配布する場合は、ユーザ ロールに対する CFS を各デバイスで明示的にイネーブルにする必要があります。


使用している Cisco NX-OS デバイスでユーザ ロールに対する CFS 配布をイネーブルにした後、最初に入力したユーザ ロール コンフィギュレーション コマンドによって、Cisco NX-OS ソフトウェアで次の処理が行われます。

  • Cisco NX-OS デバイスで CFS セッションを作成します。

  • ユーザ ロールに対する CFS がイネーブルにされている CFS 領域で、すべての Cisco NX-OS デバイスのユーザ ロール設定をロックします。

  • ユーザ ロールの設定変更を Cisco NX-OS デバイスの一時バッファに保存します。

この変更は、CFS 領域にあるデバイスに対して配布するよう明示的にコミットするまで、Cisco NX-OS デバイスの一時バッファに存在します。 変更をコミットすると、Cisco NX-OS ソフトウェアが次の処理を実行します。

  • Cisco NX-OS デバイスの実行コンフィギュレーションに変更を適用します。

  • 更新されたユーザ ロール設定を CFS 領域内にある他の Cisco NX-OS デバイスに配布します。

  • CFS 領域内にある他のデバイスのユーザ ロール設定のロックを解除します。

  • CFS セッションを終了します。

CFS の詳細については、『Cisco Nexus 7000 Series NX-OS System Management Configuration Guide』を参照してください。

RBAC のバーチャライゼーション サポート

network-admin および network-operator のロールを持つユーザは、デフォルト VDC にログインし switchto vdc コマンドを使用すると、他の VDC アクセスできます。 他のすべてのユーザ ロールは、VDC にローカルです。 ロールは VDC 間で共有されません。 各 VDC には、独立したユーザ ロール データベースがあります。

次の注意事項と制限事項は、switchto vdc コマンドに適用されます。
  • network-admin または network-operator のロールを持つユーザのみが switchto vdc コマンドを使用できます。 他のユーザは使用することができません。

  • ユーザは、別のロールに switchto vdc コマンドを使用する権限を付与できません。

  • ネットワーク管理者が switchto vdc コマンドを使用すると、このユーザは新規 VDC に対する vdc-admin になります。 同様に network-operator が switchto vdc コマンドを使用すると、このユーザは新規 VDC に対する vdc-operator になります。 switchto vdc コマンドを入力した後は、ユーザに関連付けられている他のロールはすべて無効になります。

  • network-admin または network-operator が switchto vdc コマンドを使用した後は、このユーザはこのコマンドを使用して別の VDC に切り替えることはできません。 唯一のオプションとして、元の VDC に戻るための switchback コマンドを使用できます。

Cisco NX-OS Release 5.2 以降では、ストレージ VDC の RBAC を設定できます。 ストレージ VDC の RBAC は Cisco Nexus 7000 シリーズ スイッチ用の RBAC であり、Cisco MDS 9500 シリーズ スイッチのものとは異なることに注意してください。


(注)  


VDC の詳細については、『Cisco Nexus 7000 Series NX-OS Virtual Device Context Configuration Guide』を参照してください。


ユーザ アカウントおよび RBAC のライセンス要件

次の表に、この機能のライセンス要件を示します。

製品

ライセンス要件

Cisco NX-OS

ユーザ アカウントおよび RBAC にはライセンスは必要ありません。 ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。 Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。

ユーザ アカウントおよび RBAC の注意事項と制約事項

ユーザ アカウントおよび RBAC に関する注意事項と制約事項は次のとおりです。

  • 1 つの VDC には最大 64 のユーザ定義のユーザ ロールを作成できるほか、デフォルト VDC には 4 つのデフォルトのユーザ ロール、デフォルト以外の VDC には 2 つのデフォルトのユーザ ロールを作成できます。

  • ユーザ ロールには最大 256 個の規則を追加できます。

  • 1 つの VDC には最大 64 のユーザ定義の機能グループを追加できるほか、デフォルトの機能グループ L3 を追加できます。

  • 1 つの VDC には最大 256 のユーザを設定できます。

  • 1 つのユーザ アカウントに最大 64 個のユーザ ロールを割り当てられます。

  • ローカルの Cisco NX-OS デバイス上に設定されているユーザ アカウントが、AAA サーバ上のリモート ユーザ アカウントと同じ名前の場合、Cisco NX-OS ソフトウェアは、AAA サーバ上に設定されているユーザ ロールではなく、ローカル ユーザ アカウントのユーザ ロールをリモート ユーザに適用します。

  • デフォルトの admin と SNMP ユーザ アカウントは削除できません。

  • デフォルトのユーザ ロールを、デフォルトの admin ユーザ アカウントから削除することはできません。

  • network-operator および vdc-operator ロールは、show running-config および show startup-config コマンドを実行できません。

  • RBAC は、同じ VLAN 内の F1 シリーズ モジュール ポートと M1 シリーズ モジュール ポートの間のトラフィックではサポートされていません。

  • Cisco NX-OS リリース 6.0 以降では、RBAC は F2 シリーズ モジュールでサポートされます。


(注)  


Cisco IOS の CLI に慣れている場合、この機能に対応する Cisco NX-OS コマンドは通常使用する Cisco IOS コマンドと異なる場合があるので注意してください。


ユーザ アカウントおよび RBAC のデフォルト設定

次の表に、ユーザ アカウントおよび RBAC パラメータのデフォルト設定を示します。

表 1 デフォルトのユーザ アカウントと RBAC パラメータ

パラメータ

デフォルト

ユーザ アカウント パスワード

未定義

ユーザ アカウントの有効期限

なし。

デフォルト VDC のユーザ アカウント ロール

作成ユーザが network-admin のロールを持つ場合は network-operator、または vdc-admin のロールを持つ場合は vdc-operator

VDC 以外のユーザ アカウント ロール

作成ユーザが vdc-admin を持つ場合は vdc-operator

デフォルト VDC のデフォルト ユーザ ロール

network-operator

デフォルト以外の VDC のデフォルト ユーザ ロール

vdc-operator

インターフェイス ポリシー

すべてのインターフェイスがアクセス可能

VLAN ポリシー

すべての VLAN がアクセス可能

VRF ポリシー

すべての VRF にアクセス可能

機能グループ

L3

パスワードの強度確認のイネーブル化

ユーザ アカウントに対して弱いパスワードを設定しないように、パスワードの強度確認機能をイネーブルにすることができます。


(注)  


パスワード強度確認をイネーブルにしても、Cisco NX-OS ソフトウェアでは、既存パスワードの強度確認は行われません。


手順の概要

    1.    configure terminal

    2.    password strength-check

    3.    exit

    4.    (任意) show password strength-check

    5.    (任意) copy running-config startup-config


手順の詳細
     コマンドまたはアクション目的
    ステップ 1 configure terminal


    例:
    switch# configure terminal
    switch(config)#
     

    グローバル コンフィギュレーション モードを開始します。

     
    ステップ 2 password strength-check


    例:
    switch(config)# password strength-check
     

    パスワードの強度確認をイネーブルにします。 デフォルトはイネーブルです。

    パスワードの強度確認をディセーブルにするには、このコマンドの no 形式を使用します。

     
    ステップ 3 exit


    例:
    switch(config)# exit
    switch#
     

    グローバル コンフィギュレーション モードを終了します。

     
    ステップ 4 show password strength-check


    例:
    switch# show password strength-check
     
    (任意)

    パスワードの強度確認の設定を表示します。

     
    ステップ 5 copy running-config startup-config


    例:
    switch# copy running-config startup-config
     
    (任意)

    実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

     
    関連コンセプト

    ユーザ アカウントの設定

    Cisco NX-OS デバイス上には最大 256 のユーザ アカウントを作成できます。 ユーザ アカウントは、次の属性を持ちます。

    • ユーザ名

    • パスワード

    • 失効日

    • ユーザ ロール

    パスワードはクリア テキストか暗号化された形式で入力できます。 Cisco NX-OS では、実行コンフィギュレーションに保存する前にクリア テキストのパスワードを暗号化します。 暗号化された形式のパスワードは、これ以上の暗号化を行わずに実行コンフィギュレーションに保存されます。

    ユーザ アカウントは、最大 64 個のユーザ ロールを持つことができます。 コマンドライン インターフェイス(CLI)の状況依存ヘルプ ユーティリティを使用して、利用できるコマンドを確認できます。


    (注)  


    ユーザ アカウントの属性に加えられた変更は、そのユーザがログインして新しいセッションを作成するまで有効になりません。


    手順の概要

      1.    configure terminal

      2.    (任意) show role

      3.    username user-id [password [0 | 5] password] [expire date] [role role-name]

      4.    exit

      5.    (任意) show user-account

      6.    (任意) copy running-config startup-config


    手順の詳細
       コマンドまたはアクション目的
      ステップ 1 configure terminal


      例:
      switch# configure terminal
      switch(config)#
       

      グローバル コンフィギュレーション モードを開始します。

       
      ステップ 2 show role


      例:
      switch(config)# show role
       
      (任意)

      使用可能なユーザ ロールを表示します。 必要に応じて、他のユーザ ロールを設定できます。

       
      ステップ 3 username user-id [password [0 | 5] password] [expire date] [role role-name]


      例:
      switch(config)# username NewUser password 4Ty18Rnt
       

      ユーザ アカウントを設定します。 user-id 引数は、最大 28 文字の英数字で、大文字と小文字が区別されます。 指定できる文字は、A ~ Z の英大文字、a ~ z の英小文字、0 ~ 9 の数字、ハイフン(-)、ピリオド(.)、アンダースコア(_)、プラス符号(+)、および等号(=)です。 アット マーク(@)はリモート ユーザ名では使用できますが、ローカル ユーザ名では使用できません。

      デフォルト パスワードは定義されていません。 オプションの 0 は、パスワードがクリア テキストであることを、5 は、パスワードが暗号化されていることを意味します。 デフォルトは 0(クリア テキスト)です。

      (注)     

      パスワードを指定しないと、ユーザは Cisco NX-OS デバイスにログインできない場合があります。

      (注)     

      暗号化パスワード オプションを使用してユーザ アカウントを作成する場合、対応する SNMP ユーザは作成されません。

      expire date オプションの形式は、YYYY-MM-DD です。 デフォルトでは、失効日はありません。

      ユーザ アカウントは、最大 64 個のユーザ ロールを持つことができます。

       
      ステップ 4 exit


      例:
      switch(config)# exit
      switch#
       

      グローバル コンフィギュレーション モードを終了します。

       
      ステップ 5 show user-account


      例:
      switch# show user-account
       
      (任意)

      ロール設定を表示します。

       
      ステップ 6 copy running-config startup-config


      例:
      switch# copy running-config startup-config
       
      (任意)

      実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

       
      関連コンセプト

      ロールの設定

      ここでは、ユーザ ロールの設定方法について説明します。

      ユーザ ロール設定の配布のイネーブル化

      ユーザ ロールの設定をネットワーク上の他の Cisco NX-OS デバイスに配布するには、最初にユーザ ロールについての CFS の配布をイネーブルにする必要があります。

      手順の概要

        1.    configure terminal

        2.    role distribute

        3.    exit

        4.    (任意) show role session status

        5.    (任意) copy running-config startup-config


      手順の詳細
         コマンドまたはアクション目的
        ステップ 1 configure terminal


        例:
        switch# configure terminal
        switch(config)#
         

        グローバル コンフィギュレーション モードを開始します。

         
        ステップ 2 role distribute


        例:
        switch(config)# role distribute
         

        ユーザ ロール設定の配布をイネーブルにします。 デフォルトはディセーブルです。

         
        ステップ 3 exit


        例:
        switch(config)# exit
        switch#
         

        コンフィギュレーション モードを終了します。

         
        ステップ 4 show role session status


        例:
        switch# show role session status
         
        (任意)

        ユーザ ロールの配布のステータス情報を表示します。

         
        ステップ 5 copy running-config startup-config


        例:
        switch# copy running-config startup-config
         
        (任意)

        実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

         

        ユーザ ロールおよびルールの作成

        VDC には最大 64 のユーザ ロールを設定できます。 各ユーザ ロールが、最大 256 個のルールを持つことができます。 ユーザ ロールを複数のユーザ アカウントに割り当てることができます。

        指定するルール番号は、適用するルールの順序を決めます。 ルールは降順で適用されます。 たとえば、1 つのロールが 3 つのルールを持っている場合、ルール 3 がルール 2 よりも前に適用され、ルール 2 はルール 1 よりも前に適用されます。


        (注)  


        ユーザ ロールに設定された読み取り/書き込みルールに関係なく、一部のコマンドは、あらかじめ定義された network-admin および vdc-admin のロールだけを通じて実行できます。 ユーザ ロールの詳細については、『Cisco Nexus 7000 Series NX-OS Virtual Device Context Configuration Guide』を参照してください。
        はじめる前に

        ユーザ ロール設定を配布する場合は、設定を配布する対象のすべての Cisco NX-OS デバイスでユーザ ロール設定の配布をイネーブルにします。

        手順の概要

          1.    configure terminal

          2.    role name role-name

          3.    rule number {deny | permit} command command-string

          4.    rule number {deny | permit} {read | read-write}

          5.    rule number {deny | permit} {read | read-write} feature feature-name

          6.    rule number {deny | permit} {read | read-write} feature-group group-name

          7.    rule number {deny | permit} {read | read-write} oid snmp_oid_name

          8.    (任意) description text

          9.    exit

          10.    (任意) show role

          11.    (任意) show role {pending | pending-diff}

          12.    (任意) role commit

          13.    (任意) copy running-config startup-config


        手順の詳細
           コマンドまたはアクション目的
          ステップ 1 configure terminal


          例:
          switch# configure terminal
          switch(config)#
           

          グローバル コンフィギュレーション モードを開始します。

           
          ステップ 2 role name role-name


          例:
          switch(config)# role name UserA
          switch(config-role)# 
           

          ユーザ ロールを指定し、ロール コンフィギュレーション モードを開始します。 role-name 引数は、最大 16 文字の長さの英数字のストリングで、大文字小文字が区別されます。

           
          ステップ 3 rule number {deny | permit} command command-string


          例:
          switch(config-role)# rule 1 deny command clear users
           

          コマンド ルールを設定します。

          command-string には、スペースおよび正規表現を含めることができます。 たとえば、interface ethernet にはすべてのイーサネット インターフェイスが含まれます。

          必要なルールの数だけこのコマンドを繰り返します。

           
          ステップ 4 rule number {deny | permit} {read | read-write}


          例:
          switch(config-role)# rule 2 deny read-write
           

          すべての操作の読み取り専用ルールまたは読み取り/書き込みルールを設定します。

           
          ステップ 5 rule number {deny | permit} {read | read-write} feature feature-name


          例:
          switch(config-role)# rule 3 permit read feature router-bgp
           

          機能に対して、読み取り専用ルールか読み取りと書き込みのルールかを設定します。

          show role feature コマンドを使用すれば、機能のリストが表示されます。

          必要なルールの数だけこのコマンドを繰り返します。

           
          ステップ 6 rule number {deny | permit} {read | read-write} feature-group group-name


          例:
          switch(config-role)# rule 4 deny read-write feature-group L3
           

          機能グループに対して、読み取り専用ルールか読み取りと書き込みのルールかを設定します。

          show role feature-group コマンドを使用すれば、機能グループのリストが表示されます。

          必要なルールの数だけこのコマンドを繰り返します。

           
          ステップ 7 rule number {deny | permit} {read | read-write} oid snmp_oid_name


          例:
          switch(config-role)# rule 5 deny read-write oid 1.3.6.1.2.1.1.9
           
          SNMP オブジェクト ID(OID)の読み取り専用または読み書きルールを設定します。 OID には最大 32 の要素を入力することができます。 このコマンドは、SNMP ベースのパフォーマンス モニタリング ツールがデバイスをポーリングするために使用できますが、IP ルーティング テーブル、ARP キャッシュ、MAC アドレス テーブル、特定の MIB などのシステムの集中的な拠点へのアクセスは制限されます。
          (注)     

          一番深層の OID はスカラ レベルまたはテーブル ルート レベルにすることができます。

          必要な規則の数だけこのコマンドを繰り返します。

           
          ステップ 8 description text


          例:
          switch(config-role)# description This role does not allow users to use clear commands
           
          (任意)

          ロールの説明を設定します。 説明にはスペースも含めることができます。

           
          ステップ 9 exit


          例:
          switch(config-role)# exit
          switch(config)#
           

          ロール コンフィギュレーション モードを終了します。

           
          ステップ 10 show role


          例:
          switch(config)# show role
           
          (任意)

          ユーザ ロールの設定を表示します。

           
          ステップ 11 show role {pending | pending-diff}


          例:
          switch(config)# show role pending
           
          (任意)

          配布するために保留状態になっているユーザ ロール設定を表示します。

           
          ステップ 12 role commit


          例:
          switch(config)# role commit
           
          (任意)

          CFS によるユーザ ロール設定の配布機能をイネーブルにしている場合は、一時データベース内にあるユーザ ロールの設定変更を実行コンフィギュレーションに適用して、ユーザ ロール設定を他の Cisco NX-OS デバイスに配布します。

           
          ステップ 13 copy running-config startup-config


          例:
          switch(config)# copy running-config startup-config
           
          (任意)

          実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

           

          機能グループの作成

          カスタム機能グループを作成して、Cisco NX-OS ソフトウェアが提供するデフォルトの機能リストに追加できます。 これらの機能グループは 1 つまたは複数の機能を含んでいます。 VDC には最大 64 の機能グループを設定できます。


          (注)  


          デフォルト機能グループ L3 を変更することはできません。


          はじめる前に

          ユーザ ロール設定を配布する場合は、設定を配布する対象のすべての Cisco NX-OS デバイスでユーザ ロール設定の配布をイネーブルにします。

          手順の概要

            1.    configure terminal

            2.    role feature-group name group-name

            3.    feature feature-name

            4.    exit

            5.    (任意) show role feature-group

            6.    (任意) show role {pending | pending-diff}

            7.    (任意) role commit

            8.    (任意) copy running-config startup-config


          手順の詳細
             コマンドまたはアクション目的
            ステップ 1 configure terminal


            例:
            switch# configure terminal
            switch(config)#
             

            グローバル コンフィギュレーション モードを開始します。

             
            ステップ 2 role feature-group name group-name


            例:
            switch(config)# role feature-group name GroupA
            switch(config-role-featuregrp)# 
             

            ユーザ ロール機能グループを指定して、ロール機能グループ コンフィギュレーション モードを開始します。

            group-name 引数は、最大 32 文字の長さの英数字のストリングで、大文字小文字が区別されます。

             
            ステップ 3 feature feature-name


            例:
            switch(config-role-featuregrp)# feature vdc
             

            機能グループの機能を指定します。

            必要な機能の数だけこのコマンドを繰り返します。

            (注)     

            機能の一覧を表示する場合は、show role component コマンドを使用します。

             
            ステップ 4 exit


            例:
            switch(config-role-featuregrp)# exit
            switch(config)#
             

            ロール機能グループ コンフィギュレーション モードを終了します。

             
            ステップ 5 show role feature-group


            例:
            switch(config)# show role feature-group
             
            (任意)

            ロール機能グループ設定を表示します。

             
            ステップ 6 show role {pending | pending-diff}


            例:
            switch(config)# show role pending
             
            (任意)

            配布するために保留状態になっているユーザ ロール設定を表示します。

             
            ステップ 7 role commit


            例:
            switch(config)# role commit
             
            (任意)

            CFS によるユーザ ロール設定の配布機能をイネーブルにしている場合は、一時データベース内にあるユーザ ロールの設定変更を実行コンフィギュレーションに適用して、ユーザ ロール設定を他の Cisco NX-OS デバイスに配布します。

             
            ステップ 8 copy running-config startup-config


            例:
            switch(config)# copy running-config startup-config
             
            (任意)

            実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

             

            ユーザ ロール インターフェイス ポリシーの変更

            ユーザ ロール インターフェイス ポリシーを変更することで、ユーザがアクセスできるインターフェイスを制限できます。 デフォルトでは、ユーザ ロールは VDC のすべてのインターフェイスにアクセスできます。

            はじめる前に

            1 つまたは複数のユーザ ロールを作成します。

            ユーザ ロール設定を配布する場合は、設定を配布する対象のすべての Cisco NX-OS デバイスでユーザ ロール設定の配布をイネーブルにします。

            手順の概要

              1.    configure terminal

              2.    role name role-name

              3.    interface policy deny

              4.    permit interface interface-list

              5.    exit

              6.    (任意) show role

              7.    (任意) show role {pending | pending-diff}

              8.    (任意) role commit

              9.    (任意) copy running-config startup-config


            手順の詳細
               コマンドまたはアクション目的
              ステップ 1 configure terminal


              例:
              switch# configure terminal
              switch(config)#
               

              グローバル コンフィギュレーション モードを開始します。

               
              ステップ 2 role name role-name


              例:
              switch(config)# role name UserA
              switch(config-role)# 
               

              ユーザ ロールを指定し、ロール コンフィギュレーション モードを開始します。

               
              ステップ 3 interface policy deny


              例:
              switch(config-role)# interface policy deny
              switch(config-role-interface)#
               

              ロール インターフェイス ポリシー コンフィギュレーション モードを開始します。

               
              ステップ 4 permit interface interface-list


              例:
              switch(config-role-interface)# permit interface ethernet 2/1-4
               

              ロールがアクセスできるインターフェイスのリストを指定します。

              必要なインターフェイスの数だけこのコマンドを繰り返します。

               
              ステップ 5 exit


              例:
              switch(config-role-interface)# exit
              switch(config-role)#
               

              ロール インターフェイス ポリシー コンフィギュレーション モードを終了します。

               
              ステップ 6 show role


              例:
              switch(config-role)# show role
               
              (任意)

              ロール設定を表示します。

               
              ステップ 7 show role {pending | pending-diff}


              例:
              switch(config-role)# show role pending
               
              (任意)

              配布するために保留状態になっているユーザ ロール設定を表示します。

               
              ステップ 8 role commit


              例:
              switch(config-role)# role commit
               
              (任意)

              CFS によるユーザ ロール設定の配布機能をイネーブルにしている場合は、一時データベース内にあるユーザ ロールの設定変更を実行コンフィギュレーションに適用して、ユーザ ロール設定を他の Cisco NX-OS デバイスに配布します。

               
              ステップ 9 copy running-config startup-config


              例:
              switch(config-role)# copy running-config startup-config
               
              (任意)

              実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

               

              ユーザ ロール VLAN ポリシーの変更

              ユーザ ロール VLAN ポリシーを変更することで、ユーザがアクセスできる VLAN を制限できます。 デフォルトでは、ユーザ ロールは VDC のすべての VLAN にアクセスできます。

              はじめる前に

              1 つまたは複数のユーザ ロールを作成します。

              ユーザ ロール設定を配布する場合は、設定を配布する対象のすべての Cisco NX-OS デバイスでユーザ ロール設定の配布をイネーブルにします。

              手順の概要

                1.    configure terminal

                2.    role name role-name

                3.    vlan policy deny

                4.    permit vlan vlan-list

                5.    exit

                6.    (任意) show role

                7.    (任意) show role {pending | pending-diff}

                8.    (任意) role commit

                9.    (任意) copy running-config startup-config


              手順の詳細
                 コマンドまたはアクション目的
                ステップ 1 configure terminal


                例:
                switch# configure terminal
                switch(config)#
                 

                グローバル コンフィギュレーション モードを開始します。

                 
                ステップ 2 role name role-name


                例:
                switch(config)# role name UserA
                switch(config-role)# 
                 

                ユーザ ロールを指定し、ロール コンフィギュレーション モードを開始します。

                 
                ステップ 3 vlan policy deny


                例:
                switch(config-role)# vlan policy deny
                switch(config-role-vlan)#
                 

                ロール VLAN ポリシー コンフィギュレーション モードを開始します。

                 
                ステップ 4 permit vlan vlan-list


                例:
                switch(config-role-vlan)# permit vlan 1-4
                 

                ロールがアクセスできる VLAN の範囲を指定します。

                必要な VLAN の数だけこのコマンドを繰り返します。

                 
                ステップ 5 exit


                例:
                switch(config-role-vlan)# exit
                switch(config-role)#
                 

                ロール VLAN ポリシー コンフィギュレーション モードを終了します。

                 
                ステップ 6 show role


                例:
                switch(config)# show role
                 
                (任意)

                ロール設定を表示します。

                 
                ステップ 7 show role {pending | pending-diff}


                例:
                switch(config-role)# show role pending
                 
                (任意)

                配布するために保留状態になっているユーザ ロール設定を表示します。

                 
                ステップ 8 role commit


                例:
                switch(config-role)# role commit
                 
                (任意)

                CFS によるユーザ ロール設定の配布機能をイネーブルにしている場合は、一時データベース内にあるユーザ ロールの設定変更を実行コンフィギュレーションに適用して、ユーザ ロール設定を他の Cisco NX-OS デバイスに配布します。

                 
                ステップ 9 copy running-config startup-config


                例:
                switch(config-role)# copy running-config startup-config
                 
                (任意)

                実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                 

                ユーザ ロールの VRF ポリシーの変更

                ユーザ ロールの VRF ポリシーを変更して、ユーザがアクセスできる VRF を制限できます。 デフォルトでは、ユーザ ロールは VDC のすべての VRF にアクセスできます。

                はじめる前に

                1 つまたは複数のユーザ ロールを作成します。

                ユーザ ロール設定を配布する場合は、設定を配布する対象のすべての Cisco NX-OS デバイスでユーザ ロール設定の配布をイネーブルにします。

                手順の概要

                  1.    configure terminal

                  2.    role name role-name

                  3.    vrf policy deny

                  4.    permit vrf vrf-name

                  5.    exit

                  6.    (任意) show role

                  7.    (任意) show role {pending | pending-diff}

                  8.    (任意) role commit

                  9.    (任意) copy running-config startup-config


                手順の詳細
                   コマンドまたはアクション目的
                  ステップ 1 configure terminal


                  例:
                  switch# configure terminal
                  switch(config)#
                   

                  グローバル コンフィギュレーション モードを開始します。

                   
                  ステップ 2 role name role-name


                  例:
                  switch(config)# role name UserA
                  switch(config-role)# 
                   

                  ユーザ ロールを指定し、ロール コンフィギュレーション モードを開始します。

                   
                  ステップ 3 vrf policy deny


                  例:
                  switch(config-role)# vrf policy deny
                  switch(config-role-vrf)#
                   

                  ロール VRF ポリシー コンフィギュレーション モードを開始します。

                   
                  ステップ 4 permit vrf vrf-name


                  例:
                  switch(config-role-vrf)# permit vrf vrf1
                   

                  ロールがアクセスできる VRF を指定します。

                  必要な VRF の数だけこのコマンドを繰り返します。

                   
                  ステップ 5 exit


                  例:
                  switch(config-role-vrf)# exit
                  switch(config-role)#
                   

                  ロール VRF ポリシー コンフィギュレーション モードを終了します。

                   
                  ステップ 6 show role


                  例:
                  switch(config-role)# show role
                   
                  (任意)

                  ロール設定を表示します。

                   
                  ステップ 7 show role {pending | pending-diff}


                  例:
                  switch(config-role)# show role pending
                   
                  (任意)

                  配布するために保留状態になっているユーザ ロール設定を表示します。

                   
                  ステップ 8 role commit


                  例:
                  switch(config-role)# role commit
                   
                  (任意)

                  CFS によるユーザ ロール設定の配布機能をイネーブルにしている場合は、一時データベース内にあるユーザ ロールの設定変更を実行コンフィギュレーションに適用して、ユーザ ロール設定を他の Cisco NX-OS デバイスに配布します。

                   
                  ステップ 9 copy running-config startup-config


                  例:
                  switch(config-role)# copy running-config startup-config
                   
                  (任意)

                  実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。

                   

                  ユーザ ロール設定の配布へのコミット

                  一時バッファに保存されているユーザ ロールのグローバル設定やサーバ設定を、ファブリック内のすべてのスイッチ(元のスイッチを含む)の実行コンフィギュレーションに適用できます。

                  はじめる前に

                  Cisco NX-OS デバイス上でユーザ ロール設定の配布をイネーブルにします。

                  手順の概要

                    1.    configure terminal

                    2.    (任意) show role {pending | pending-diff}

                    3.    (任意) role commit

                    4.    exit

                    5.    (任意) show role session status

                    6.    (任意) copy running-config startup-config


                  手順の詳細
                     コマンドまたはアクション目的
                    ステップ 1 configure terminal


                    例:
                    switch# configure terminal
                    switch(config)#
                     

                    グローバル コンフィギュレーション モードを開始します。

                     
                    ステップ 2 show role {pending | pending-diff}


                    例:
                    switch(config)# show role pending
                     
                    (任意)

                    配布するために保留状態になっているユーザ ロール設定を表示します。

                     
                    ステップ 3 role commit


                    例:
                    switch(config)# role commit
                     
                    (任意)

                    CFS によるユーザ ロール設定の配布機能をイネーブルにしている場合は、一時データベース内にあるユーザ ロールの設定変更を実行コンフィギュレーションに適用して、ユーザ ロール設定を他の Cisco NX-OS デバイスに配布します。

                     
                    ステップ 4 exit


                    例:
                    switch(config)# exit
                    switch#
                     

                    コンフィギュレーション モードを終了します。

                     
                    ステップ 5 show role session status


                    例:
                    switch# show role session status
                     
                    (任意)

                    ユーザ ロールについての CSF セッションのステータスを表示します。

                     
                    ステップ 6 copy running-config startup-config


                    例:
                    switch# copy running-config startup-config
                     
                    (任意)

                    CFS がイネーブルになっているネットワーク内のすべての Cisco NX-OS デバイスのスタートアップ コンフィギュレーションに実行コンフィギュレーションを適用します。

                     

                    ユーザ ロールの配布セッションの廃棄

                    ユーザ ロールの変更の一時データベースを廃棄して、CFS 配布セッションを終了します。

                    はじめる前に

                    Cisco NX-OS デバイス上でユーザ ロール設定の配布をイネーブルにします。

                    手順の概要

                      1.    configure terminal

                      2.    (任意) show role {pending | pending-diff}

                      3.    role abort

                      4.    exit

                      5.    (任意) show role session status


                    手順の詳細
                       コマンドまたはアクション目的
                      ステップ 1 configure terminal


                      例:
                      switch# configure terminal
                      switch(config)#
                       

                      グローバル コンフィギュレーション モードを開始します。

                       
                      ステップ 2 show role {pending | pending-diff}


                      例:
                      switch(config)# show role pending
                       
                      (任意)

                      配布するために保留状態になっているユーザ ロール設定を表示します。

                       
                      ステップ 3 role abort


                      例:
                      switch(config)# role abort
                       

                      一時ストレージにあるユーザ ロール設定を廃棄して、セッションを終了します。

                       
                      ステップ 4 exit


                      例:
                      switch(config)# exit
                      switch#
                       

                      コンフィギュレーション モードを終了します。

                       
                      ステップ 5 show role session status


                      例:
                      switch# show role session status
                       
                      (任意)

                      ユーザ ロールについての CSF セッションのステータスを表示します。

                       

                      ユーザ ロールの配布セッションのクリア

                      実行中の Cisco Fabric Services の配布セッション(存在する場合)をクリアして、ユーザ ロール機能のためのファブリックのロックを解除します。

                      Cisco NX-OS デバイス上でユーザ ロール設定の配布をイネーブルにします。

                      手順の概要

                        1.    clear role session

                        2.    (任意) show role session status


                      手順の詳細
                         コマンドまたはアクション目的
                        ステップ 1 clear role session


                        例:
                        switch# clear role session
                         

                        セッションをクリアして、ファブリックのロックを解除します。

                         
                        ステップ 2 show role session status


                        例:
                        switch# show role session status
                         
                        (任意)

                        ユーザ ロールについての CSF セッションのステータスを表示します。

                         

                        ユーザ アカウントと RBAC の設定の確認

                        ユーザ アカウントおよび RBAC 設定情報を表示するには、次のいずれかの作業を行います。

                        コマンド

                        目的

                        show cli syntax roles network-admin

                        network-admin ロールで使用できるが、vdc-admin ロールでは使用できないコマンドの構文を表示します。

                        show cli syntax roles network-operator

                        network-operator ロールで使用できるが、vdc-operator ロールでは使用できないコマンドの構文を表示します。

                        show role

                        ユーザ ロールの設定を表示します。

                        show role feature

                        機能リストを表示します。

                        show role feature-group

                        機能グループの設定を表示します。

                        show startup-config security

                        スタートアップ コンフィギュレーションのユーザ アカウント設定を表示します。

                        show running-config security [all]

                        実行コンフィギュレーションのユーザ アカウント設定を表示します。 all キーワードを指定すると、ユーザ アカウントのデフォルト値が表示されます。

                        show user-account

                        ユーザ アカウント情報を表示します。

                        これらのコマンド出力のフィールドの詳細については、『Cisco Nexus 7000 Series NX-OS Security Command Reference』を参照してください。

                        ユーザ アカウントおよび RBAC の設定例

                        次に、ユーザ ロールを設定する例を示します。

                        role name User-role-A
                          rule 3 permit read-write feature l2nac
                          rule 2 permit read-write feature dot1x
                          rule 1 deny command clear *
                        
                        
                        

                        次に、ホットスタンバイ ルータ プロトコル(HSRP)をイネーブルにして表示し、ゲートウェイ ロード バランシング プロトコル(GLBP)を表示するようにインターフェイスを設定できるユーザ ロールを作成する例を示します。

                        role name iftest
                        	  rule 1 permit command config t; interface *; hsrp *
                        	  rule 2 permit read-write feature hsrp
                        	  rule 3 permit read feature glbp
                        
                        

                        上の例では、ルール 1 はインターフェイス上の HSRP の設定を許可し、ルール 2 は config hsrp コマンドの設定と HSRP に対する EXEC レベルの show および debug コマンドのイネーブル化を許可し、さらにルール 3 は EXEC レベルの show および debug glbp コマンドのイネーブル化を許可します。

                        次に、特定のインターフェイスだけを設定できるユーザ ロールを設定する例を示します。

                        role name Int_Eth2-3_only
                          rule 1 permit command configure terminal; interface *
                          interface policy deny
                            permit interface Ethernet2/3
                        
                        
                        

                        次に、ユーザ ロール機能グループを設定する例を示します。

                        role feature-group name Security-features
                          feature radius
                          feature tacacs
                          feature dot1x
                          feature aaa
                          feature l2nac
                          feature acl
                          feature access-list
                        
                        
                        

                        次に、ユーザ アカウントを設定する例を示します。

                        username user1 password A1s2D4f5 role User-role-A
                        
                        
                        

                        次に、アクセスを OID サブツリーの一部に制限するための OID ルールを追加する例を示します。

                        role name User1
                        		rule 1 permit read feature snmp
                        		rule 2 deny read oid 1.3.6.1.2.1.1.9
                        show role name User1
                        
                        Role: User1
                          Description: new role
                          Vlan policy: permit (default)
                          Interface policy: permit (default)
                          Vrf policy: permit (default)
                          -------------------------------------------------------------------
                          Rule    Perm    Type        Scope               Entity
                          -------------------------------------------------------------------
                          2       deny    read        oid                 1.3.6.1.2.1.1.9
                          1       permit  read        feature             snmp
                        
                        

                        次に、指定された OID サブツリーへの書き込み権限を許可する例を示します。

                        role name User1
                        rule 3 permit read-write oid 1.3.6.1.2.1.1.5
                        show role name User1
                        
                        Role: User1
                          Description: new role
                          Vlan policy: permit (default)
                          Interface policy: permit (default)
                          Vrf policy: permit (default)
                          -------------------------------------------------------------------
                          Rule    Perm    Type        Scope               Entity
                          -------------------------------------------------------------------
                          3       permit  read-write  oid                 1.3.6.1.2.1.1.5
                          2       deny    read        oid                 1.3.6.1.2.1.1.9
                          1       permit  read        feature             snmp
                        
                        

                        ユーザ アカウントおよび RBAC に関する追加情報

                        ここでは、ユーザ アカウントおよび RBAC の実装に関する追加情報について説明します。

                        関連資料

                        関連項目

                        参照先

                        Cisco NX-OS ライセンス設定

                        『Cisco NX-OS Licensing Guide』

                        コマンド リファレンス

                        『Cisco Nexus 7000 Series NX-OS Security Command Reference』

                        VRF コンフィギュレーション

                        『Cisco Nexus 7000 Series NX-OS Unicast Routing Configuration Guide』

                        標準

                        標準

                        タイトル

                        この機能では、新規の標準がサポートされることも、一部変更された標準がサポートされることもありません。また、既存の標準に対するサポートが変更されることもありません。

                        MIB

                        MIB

                        MIB のリンク

                        • CISCO-COMMON-MGMT-MIB

                        MIB を検索およびダウンロードするには、次の URL にアクセスしてください。

                        http:/​/​www.cisco.com/​public/​sw-center/​netmgmt/​cmtk/​mibs.shtml

                        ユーザ アカウントおよび RBAC の関連資料

                        関連項目

                        マニュアル タイトル

                        Cisco NX-OS ライセンス設定

                        『Cisco NX-OS Licensing Guide』

                        コマンド リファレンス

                        『Cisco Nexus 7000 Series NX-OS Security Command Reference』

                        VRF コンフィギュレーション

                        『Cisco Nexus 7000 Series NX-OS Unicast Routing Configuration Guide』

                        ユーザ アカウントおよび RBAC の標準規格

                        Standards

                        Title

                        この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。

                        ユーザ アカウントと RBAC の MIB

                        MIB

                        MIB のリンク

                        • CISCO-COMMON-MGMT-MIB

                        MIB を検索およびダウンロードするには、次の URL にアクセスしてください。

                        http:/​/​www.cisco.com/​public/​sw-center/​netmgmt/​cmtk/​mibs.shtml

                        ユーザ アカウントおよび RBAC の機能の履歴

                        次の表に、この機能のリリースの履歴を示します。

                        表 2  ユーザ アカウントおよび RBAC の機能の履歴

                        機能名

                        リリース

                        機能情報

                        RBAC

                        6.0(1)

                        F2 シリーズ モジュールのサポートが追加されました。

                        ユーザ アカウントおよび RBAC

                        6.0(1)

                        SNMP OID に読み取り専用ルールまたは読み取り/書き込みルールを設定する機能が追加されました。

                        ユーザ アカウントおよび RBAC

                        5.2(1)

                        リリース 5.1 からの変更はありません。

                        ユーザ ロール

                        5.1(1)

                        network-admin ロールおよび network-operator ロールが使用できるコマンドの構文を表示する機能が追加されました。

                        ユーザ アカウントおよび RBAC

                        5.0(2)

                        リモート ユーザ名でアットマーク記号(@)をサポートする機能が追加されました。