Cisco BTS 10200 Softswitch コマンドライン インタフェース リファレンス ガイド: オペレーション/メンテナンス コマンド
セキュリティ
セキュリティ
発行日;2012/02/02 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

セキュリティ

Command Level

Command Table

パスワード

セキュリティ サマリー

ユーザ

セキュリティ

June 29, 2007 OL-12434-01-J

ユーザ アクティビティの報告およびユーザ アカウントの管理には、セキュリティ テーブルが使用されます。


) この章では、トークン名の前にアスタリスクがある場合、トークンが必須であることを意味します。トークンにアスタリスクがない場合は省略可能です。


Command Level

Command Level(command-level)テーブルは、10 個のコマンド レベルとその説明を示します。

テーブル名:COMMAND-LEVEL

テーブルの包含領域:OAMP

コマンド タイプ

show および change

show command-level id=10;
change command-level id=10; description=This is the highest level administration access;

 
使用上のガイドライン

主キー トークン:id

変更のルール:なし

 
シンタックスの説明

* ID

主キー。コマンド レベル番号。

NUMERIC:1 ~ 10。

AUTO-REFRESH

キャッシュ データを画面に表示するかどうかを指定します。show コマンドに限り有効です。

CHAR(1):Y/N(デフォルトは Y)。

Y:データベースに最新のデータを問い合せます。

N:キャッシュ データが使用不能な場合にだけ、データベースに最新のデータを問い合せます。

DESCRIPTION(EMS 専用フィールド)

change コマンドには必須で、show コマンドではオプションです。サービス プロバイダーによる説明。

VARCHAR(64):1 ~ 64 の ASCII 文字。

DISPLAY

画面に表示するトークン情報を指定します。show コマンドに限り有効です。

VARCHAR(1024):1 ~ 1024(デフォルトでは、すべてのトークンが表示されます)。許可される値は、このコマンドで表示できる有効なトークンです。カンマで区切ると、複数のトークンを入力できます。

LIMIT

画面に表示する行の数を指定します。show コマンドに限り有効です。

INTEGER:1 ~ 100000000(デフォルトは 100000000)。


) 実際に表示される行の最大数は、ソフトウェア制限のため、100000000 より少ないのが現状です。


ORDER

データを画面にソート順で表示するかどうかを指定します。show コマンドに限り有効です。

VARCHAR(1024):1 ~ 1024(デフォルトでは、すべての行が表示されます)。許可される値は、このコマンドで表示できる有効なトークンです。カンマで区切ると、複数のトークンを入力できます。

START-ROW

画面の特定の行からデータの表示を開始するように指定します。show コマンドに限り有効です。

INTEGER:1 ~ 100000000(デフォルトは 1)。

Command Table

Command Table(command-table)テーブルでは、システム管理者が、特定の noun-verb ペアの Command Privilege Level(CPL; コマンド特権レベル)を表示、変更、およびリセットできます。コマンド特権レベルには、そのレベル以下のすべての特権が付与されます。

テーブル名:COMMAND-TABLE

テーブルの包含領域:OAMP

コマンド タイプ

show、change、および reset

show command-table noun=mgw; verb=add;
change command-table noun=mgw; verb=add; sec-level=9;
reset command-table noun=mgw; verb=add;

 
使用上のガイドライン

主キー トークン:noun

変更のルール:noun と verb が存在する必要があります。

 
シンタックスの説明

* NOUN

主キー。テーブル名またはコマンド名。User、MGW、CA、TGN-ID など。

VARCHAR(65):1 ~ 65 の ASCII 文字。

* VERB

報告されるコマンドに使用されている verb。有効な verb は、add、audit、change、clear、control、delete、report、reset、show、および status です。

VARCHAR(8):1 ~ 8 の ASCII 文字。

AUTO-REFRESH

キャッシュ データを画面に表示するかどうかを指定します。show コマンドに限り有効です。

CHAR(1):Y/N(デフォルトは Y)。

Y:データベースに最新のデータを問い合せます。

N:キャッシュ データが使用不能な場合にだけ、データベースに最新のデータを問い合せます。

DISPLAY

画面に表示するトークン情報を指定します。show コマンドに限り有効です。

VARCHAR(1024):1 ~ 1024(デフォルトでは、すべてのトークンが表示されます)。許可される値は、このコマンドで表示できる有効なトークンです。カンマで区切ると、複数のトークンを入力できます。

LIMIT

画面に表示する行の数を指定します。show コマンドに限り有効です。

INTEGER:1 ~ 100000000(デフォルトは 100000000)。


) 実際に表示される行の最大数は、ソフトウェア制限のため、100000000 より少ないのが現状です。


ORDER

データを画面にソート順で表示するかどうかを指定します。show コマンドに限り有効です。

VARCHAR(1024):1 ~ 1024(デフォルトでは、すべての行が表示されます)。許可される値は、このコマンドで表示できる有効なトークンです。カンマで区切ると、複数のトークンを入力できます。

SEC-LEVEL

change コマンドには必須です。セキュリティ レベル。change コマンドおよび show コマンドに限り有効です。

NUMERIC:1 ~ 10。

START-ROW

画面の特定の行からデータの表示を開始するように指定します。show コマンドに限り有効です。

INTEGER:1 ~ 100000000(デフォルトは 1)。

WORK-GROUPS

コマンドを所定のワークグループに割り当てます。ワークグループは、サービス プロバイダーによって作成された、コマンドの論理的な集合です。 change コマンドおよび show コマンドに限り有効です。

コマンドをワークグループに初めて追加する場合、またはそのコマンドの既存のワークグループすべてを 1 つまたは複数の新しいワークグループに置き換える場合は、等号(=)を使用します。

コマンドに 1 つまたは複数のワークグループを追加する場合は、ワークグループ名の前にプラス記号(+)を付けます。

コマンドから 1 つまたは複数のワークグループを削除する場合は、ワークグループ名の前にマイナス記号(-)を付けます。

次の例を参考にしてください。

change command-table noun=somenoun; verb=someverb; work-groups=newworkgroup;

VARCHAR(128):1 ~ 128 の ASCII 文字。

パスワード

パスワード(password)コマンドでは、システム管理者が、ユーザのパスワードのリセット、パスワードの有効日数の設定、ユーザへの警告が開始してからパスワードが期限切れになるまでの日数の設定ができます。システム管理者は、新しいパスワードを入力する必要があります。ユーザは、初めてログインするときに、パスワードを変更するように自動的に要求されます。

ユーザは、自分のパスワードだけをリセットできます。ユーザは、パスワードの有効日数、およびパスワードが期限切れになるまでに警告を受ける日数をリセットすることを許可されています。このコマンドを実行する場合、ユーザは新しいパスワードを入力する必要があります。

このコマンドは、どのテーブルとも直接関連付けられていません。このコマンドは、ユーザが存在するかどうかをチェックし、システム パスワード アトリビュートを管理します。

コマンド タイプ

reset

reset password name=wilburwabash; days-valid=15; warn=2; new-password=table1R;

 
使用上のガイドライン

主キー トークン:name

リセットのルール:ユーザが存在する必要があります。

次の UNIX 標準に準拠するパスワードを作成する必要があります。

パスワードは 6 文字以上でなければならない。パスワードが 6 文字より長い場合、最初の 8 文字だけが意味を持ちます。

パスワードには、2 つ以上の英字と、1 つ以上の数字または特殊文字を使用する必要がある。この場合、「英字」とは、すべての大文字と小文字を示します。

パスワードは、ユーザのログイン名とも、ログイン名を反転させたりずらしたりしたものとも異なっている必要がある。比較できるように、大文字とそれに対応する小文字は同等のものとします。

新しいパスワードは、最初の 3 文字が古いパスワードと異なっている必要がある。比較できるように、大文字とそれに対応する小文字は同等のものとします。

 
シンタックスの説明

* NAME

主キー。システム管理者によって入力されたユーザ名。

VARCHAR(16):1 ~ 16 の ASCII 文字。

* NEW-PASSWORD

ユーザのパスワードを指定します。

VARCHAR(12):6 ~ 12 の ASCII 文字。

DAYS-VALID

パスワードが有効な日数。

NUMERIC:0 ~ 364(デフォルトは 30)。

WARN

ユーザに警告が開始されてからパスワードが期限切れになるまでの日数。

NUMERIC:0 ~ 10(デフォルトは 4)。

セキュリティ サマリー

セキュリティ サマリー(security-summary)コマンドは、ソース、開始時刻、および停止時刻によって、Security Log(securitylog)テーブルからセキュリティ違反のサマリー レポートを提供します。このテーブルは、少なくとも 30 日間の違反をロギングします。違反が発生した場合にだけ、このテーブルで書き込みと削除が行われます。たとえば、セキュリティ違反が 10 日前に発生し、それ以降発生していない場合、今日 show を実行すると、データベース内のその違反が表示されます。次の違反が発生すると、現在の違反より 7 日前までのセキュリティ違反はすべて失われます。

テーブル名:SECURITYLOG

テーブルの包含領域:OAMP

コマンド タイプ

report

report security-summary start-time=2002-03-27 00:00:00; end-time=2002-03-27 00:00:00; source=all;

) 何もトークンを指定せずにこのコマンドを入力すると、レポートにすべてのセキュリティ違反が表示されます。


 
使用上のガイドライン

主キー トークン:なし

 
シンタックスの説明

START-TIME

セキュリティ サマリーの開始時刻。例に示すように、19 の ASCII 文字を入力します。start-time を入力して end-time を入力しない場合、レポートには start-time から現在までのセキュリティ違反が表示されます。

start-time は end-time より前に発生する必要があります。セキュリティ項目は、当日および前日に限り有効です(最大 48 時間のイベント)。

何もトークンを指定せずにこのコマンドを入力すると、レポートですべてのセキュリティ違反が返されます。

DATE および TIME:yyyy-mm-dd hh:mm:ss。

END-TIME

セキュリティ サマリーの終了時刻。例に示すように、19 の ASCII 文字を入力します。end-time を入力して start-time を入力しない場合、レポートで end-time までのすべてのセキュリティ違反が返されます。

DATE および TIME:yyyy-mm-dd hh:mm:ss。

SOURCE

違反のソース。Users テーブル内の名前。実際には、ソースはユーザ名です。start-time も end-time も指定せずに source を入力すると、すべての違反が表示されます。

VARCHAR(16):1 ~ 16 の ASCII 文字。

AUTO-REFRESH

キャッシュ データを画面に表示するかどうかを指定します。

CHAR(1):Y/N(デフォルトは Y)。

Y:データベースに最新のデータを問い合せます。

N:キャッシュ データが使用不能な場合にだけ、データベースに最新のデータを問い合せます。

DISPLAY

画面に表示するトークン情報を指定します。

VARCHAR(1024):1 ~ 1024(デフォルトでは、すべてのトークンが表示されます)。許可される値は、このコマンドで表示できる有効なトークンです。カンマで区切ると、複数のトークンを入力できます。

LIMIT

画面に表示する行の数を指定します。

INTEGER:1 ~ 100000000(デフォルトは 100000000)。


) 実際に表示される行の最大数は、ソフトウェア制限のため、100000000 より少ないのが現状です。


ORDER

データを画面にソート順で表示するかどうかを指定します。

VARCHAR(1024):1 ~ 1024(デフォルトでは、すべての行が表示されます)。許可される値は、このコマンドで表示できる有効なトークンです。カンマで区切ると、複数のトークンを入力できます。

START-ROW

画面の特定の行からデータの表示を開始するように指定します。

INTEGER:1 ~ 100000000(デフォルトは 1)。

ユーザ

ユーザ(user)コマンドは、Security Level(securitylevels)テーブル内で指定のコマンド レベルを持つ各ユーザを示します。各ユーザのコマンド レベルは、システム管理者によって入力されます。

テーブル名:SECURITYLEVELS

テーブルの包含領域:OAMP

コマンド タイプ

show、add、change、および delete

show user name=john;
add user name=john; command-level=1;work-groups=thisworkgroup, thatworkgroup;

) ユーザ パスワードの設定は、add user コマンドで必須の password トークンを使用して 1 つの手順で行われます。次の例を参考にしてください。
add user name=UserABC;command_level=9;warn=5;days-valid=50;shell=CLI;password=secret01;


change user name=john; command-level=5;

) ユーザのシェルを変更するには、ユーザを削除し、shell=<maint | cli> を指定して再び追加します。
パスワードを変更するには、reset password コマンドを使用します。詳細については、パスワードの項を参照してください。

ユーザ アトリビュート days-valid および warn を変更するには、change user コマンドを使用します。次の例を参考にしてください。
change user name=john; command-level=5;warn=1;
change user name=jobh; command-level=5;warn=2;days-valid=45;
change user name=john; command-level=1;days-valid=4;


delete user name=john;

 
使用上のガイドライン

主キー トークン:name

追加のルール:

ユーザが User テーブルに存在することは許可されません。

add コマンドには name と command-level の両方を入力する必要があります。

password を入力する必要があります。

ユーザ名でブランク スペースは許可されません。

変更のルール:ユーザが User テーブルに存在する必要があります。change コマンドには name と command-level の両方を入力する必要があります。

削除のルール:ユーザが User テーブルに存在する必要があります。


) ユーザの実際のパスワードは、Cisco BTS 10200 ソフトスイッチの EMS に格納されます。そのパスワードは、ここには含まれていません。新しいユーザは、最初のログイン時に、新しいパスワードを変更するように要求されます。ユーザは、最初のログイン時に、自分でパスワードを変更する必要があります。その後は、EMS へのログイン時に、そのパスワードを入力します。


 
シンタックスの説明

* COMMAND-LEVEL

システム管理者によって入力された、ユーザのコマンド レベル。このトークンは、show コマンドではオプションですが、add コマンドと change コマンドには必須です。

NUMERIC:1 ~ 10。

* NAME

主キー。システム管理者によって入力されたユーザ名。

VARCHAR(16):1 ~ 16 の ASCII 文字。

* PASSWORD

ユーザ パスワード。ユーザ パスワードの作成要件については、 パスワード の項を参照してください。

VARCHAR(12):6 ~ 12 の ASCII 文字。

AUTO-REFRESH

キャッシュ データを画面に表示するかどうかを指定します。show コマンドに限り有効です。

CHAR(1):Y/N(デフォルトは Y)。

Y:データベースに最新のデータを問い合せます。

N:キャッシュ データが使用不能な場合にだけ、データベースに最新のデータを問い合せます。

DAYS-VALID

パスワードが有効な日数。

NUMERIC:0 ~ 364(デフォルトは 30)。

DISPLAY

画面に表示するトークン情報を指定します。show コマンドに限り有効です。

VARCHAR(1024):1 ~ 1024(デフォルトでは、すべてのトークンが表示されます)。許可される値は、このコマンドで表示できる有効なトークンです。カンマで区切ると、複数のトークンを入力できます。

FIRST

プロビジョニングできません。アカウントが複数回使用されたかどうかを示します。2 回目のログイン時に、新しいアカウントの「true」インジケータが「false」に変更されます。

CHAR(1):T/F(デフォルトは T)。

LIMIT

画面に表示する行の数を指定します。show コマンドに限り有効です。

INTEGER:1 ~ 100000000(デフォルトは 100000000)。


) 実際に表示される行の最大数は、ソフトウェア制限のため、100000000 より少ないのが現状です。


ORDER

データを画面にソート順で表示するかどうかを指定します。show コマンドに限り有効です。

VARCHAR(1024):1 ~ 1024(デフォルトでは、すべての行が表示されます)。許可される値は、このコマンドで表示できる有効なトークンです。カンマで区切ると、複数のトークンを入力できます。

SHELL

ユーザ インターフェイスのタイプを指定します。 add コマンドに限り有効です。シェル タイプを変更するには、ユーザを削除してから再び追加します。

VARCHAR(5):CLI または MAINT(デフォルトは CLI)。

CLI:コマンドライン形式でコマンドおよびそのパラメータを入力するためのユーザ インターフェイス。ユーザは、アクティブな EMS にログインする必要があります。ある一定のプロビジョニング可能な時間(分単位、Session テーブルの idle-time パラメータを参照、デフォルトは 30 分)セッションがアイドル状態である場合、またはアクティブからスタンバイへの EMS スイッチオーバーがあった場合、セッションは終了します。このシェルでは、CLI> プロンプトが表示されます。

MAINT:タイムアウトせず、スイッチオーバーでも切断されない、CLI コマンドのメンテナンス インターフェイス。このシェルは、メンテナンスやリカバリの目的で、必要な場合に使用できます。MAINT ユーザは、アクティブまたはスタンバイの EMS にログインできます。このインターフェイスでは、CLI> プロンプトではなく、ユーザ名に基づくプロンプトが表示されます。


注意 MAINT シェルは、通常のプロビジョニング アクティビティを対象としていません。メンテナンスまたはリカバリのシナリオで CLI シェルを使用できない場合に限り、MAINT シェルを使用してください。無人の MAINT セッションは、自動的に切断されません。

START-DATE

プロビジョニングできません。アカウントが最初に使用された日を指定します。アイドル アカウントの追跡およびエージングに使用されます。

DATE:YYYY-MM-DD。

START-ROW

画面の特定の行からデータの表示を開始するように指定します。show コマンドに限り有効です。

INTEGER:1 ~ 100000000(デフォルトは 1)。

WARN

ユーザに警告が開始されてからパスワードが期限切れになるまでの日数。

NUMERIC:0 ~ 10(デフォルトは 4)。

WORK-GROUPS

サービス プロバイダーによって作成された、コマンドの論理的な集合。 change コマンドに限り有効です。

ユーザをワークグループに初めて追加する場合、またはそのユーザの既存のワークグループすべてを 1 つまたは複数の新しいワークグループに置き換える場合は、等号(=)を使用します。

change コマンドで既存のユーザに 1 つまたは複数のワークグループを追加する場合は、ワークグループ名の前にプラス記号(+)を付けます。これによって、既存のワークグループは置き換えられません。

change コマンドで既存のユーザから 1 つまたは複数のワークグループを削除する場合は、ワークグループ名の前にマイナス記号(-)を付けます。

次の例は、work-group トークンの値を指定する方法を示しています。

work-groups = +somewkgrp と指定すると、ワークグループ somewkgrp がユーザに追加されます。

work-groups = -someoldwkgrp と指定すると、ワークグループ someoldwkgrp がユーザから削除されます。

work-groups = somenewworkgroup と指定すると、somenewworkgroup が初めて追加されるか、または既存のすべてのワークグループが somenewworkgroup に置き換えられます。


) 新しいユーザを追加する場合には、プラス記号もマイナス記号も使用できません。プラス記号とマイナス記号は、change コマンドに限り使用してください。


VARCHAR(128):1 ~ 128 の ASCII 文字。