Cisco ポリシー スイート ユーザ管理
内容
概要
このドキュメントでは Quantum Policy Suite(QPS)内でユーザを作成、変更、更新する方法(ユーザ管理)について説明します。 これは QPS リリース 5.5 以降に特に該当します。以下に示す QPS 内の 3 つのセクションに分けてユーザ管理を説明します。
- QPS VM(すべての VM、つまりPCRFClient0x、Lb0x、QNS0x など)でのユーザ管理
- Control Center でのユーザ管理
- Policy Builder(PB-Subversion [PB-SVN] リポジトリ)でのユーザ管理
QPS VM でのユーザ管理
この項では、QPS VM(LB、PCRFClient、QNS など)でのユーザ管理について説明します。
デフォルト グループで新しいローカル ユーザを作成する
デフォルトでは、ローカル ユーザの追加によりユーザ名と同じグループ名が作成されます。グループの追加は必須ではありません。
- ユーザIDを作成するには、useradd -m -d /home/<user id> -c "Local User" <user id>コマンドを入力します。この例では、「aravibal」です。
- 新しく作成したユーザのパスワード設定には、passwd <user id> コマンドを入力します。
- 新しく作成されたローカル ユーザにアクセス権を付与します。/etc/security/access.conf ファイルを編集して、次の行を追加します。
"+:<User ID>:ALL
- /etc/ssh/sshd_config ファイルを編集し、「AllowUsers」の行の最後に新しいユーザを追加します。
- セキュア シェル デーモン(SSHD)サービスを再起動するために service sshd restart コマンドを入力します。
- 新しいユーザとしてログインして ssh localhost -l <newly_created_user id> コマンドを入力し、ユーザ ID およびグループ名を表示します。
新しいグループと新しいローカル ユーザを作成する
- 新しいグループを作成するには、groupadd <groupname> コマンドを入力します。
- cat /etc/group コマンドを入力し、ファイル /etc/group に新しく作成したグループ ID があるかを確認します。
- useradd -m -d /home/<user id> -c "Local User" <user id> -g<new group name> コマンドを使い、新しく作成したグループに新たなローカル ユーザを追加します。
- 「デフォルト グループで新しいローカル ユーザを作成する」のステップ 3 ~ 6 を実行します。
ユーザ アカウントの変更
パスワード エイジング、ロック、ロック解除、アカウント期限切れの設定を変更するには、この項の説明に従います。
パスワード期限をチェックするには、chage -l <user id> コマンドを入力します。
システム管理者は必要に応じて以下の操作を実行できます。
- chage -M <number of days > <user id> コマンドでユーザのパスワード有効期限を設定します。
日数は現在のシステム日付から計算されます。たとえば、25 日後にパスワード有効期限を設定するには、chage -M 25 <user ID> と入力します。オプション -M はパスワード変更間隔の最大日数とパスワード有効期限の両方を更新します。
- chage -E "YYYY-MM-DD" <user id> コマンドでユーザ アカウントの有効期限を設定します。日付は YYYY-MM-DD 形式で指定します。
- chage -m 0 -M 99999 -I -1 -E -1 <user id> コマンドでパスワードエイジングを無効にします。
- -m 0 で、パスワード変更間隔の最小日数を 0 に設定します。
- -M 99999 でパスワード変更間隔の最大日数を 99999 に設定します。
- -I -1(マイナス 1)で、「パスワード非アクティブ」が起きないように設定します。
- -E -1(マイナス 1)で、「アカウント期限切れ」が起きないように設定します。
- ユーザをロックまたはロック解除するには、次のコマンドを入力します。
- ユーザのロック:passwd -l <user id>
- ユーザのロック解除:passwd -u <user id>
- passwd -S <user id> コマンドでアカウントがロックされているかどうかを確認します。
この出力には 7 つのフィールドがあり、2 番目のフィールドが、ユーザ アカウントに、ロックされたパスワードがある(L)、パスワードがなし(NP)、使用可能なパスワードがある(P)のどれであるかを示します。
- 管理者ユーザを含むすべてのユーザでパスワードをリセットするには、passwd <user ID> コマンドを入力します。例:passwd broadhop1
- すべてのユーザについて失敗したログイン試行をチェックするには、faillog -a コマンドを入力します。
- ユーザを削除するには、userdel <user id> コマンドを入力します。userdel -r <user ID> コマンドはユーザのホームディレクトリを削除します。例:userdel -r aravibal
Control Center でのユーザ管理
Control Center(CC)は、以前のバージョンのQPSでは使用できません。CCはQPSリリース2.5.7では使用できません。CC GUIは、QPSリリース5.3以降でのみ使用できます。
CC で新しいユーザ ID の追加またはパスワードの変更を行うには、pcrfclient01 の XML ファイル「/etc/broadhop/authentication-provider.xml」を編集します。CC には、読み取り専用と管理者という 2 種類の権限があります。
<user name="userid" password="password" authorities="ROLE_READONLY"/>
<user name="userid" password="password" authorities="ROLE_SUMADMIN"/>
ユーザを削除するには、この XML ファイルから該当する行を削除します。
Policy Builder でのユーザ管理
ここでは、PB でのユーザ管理について説明します。
ユーザの作成
- SVN ユーザを追加するには、pcrfclient01 で htpasswd -b /var/www/svn/password <username> <password> コマンドを入力します。
- ユーザに読み取り/書き込み権限を与えるには、/var/www/svn/users-access-file ファイルの admins = broadhop, <username> という行を編集します。
ユーザの変更
- 現在の PB(SVN リポジトリ)ユーザのパスワードをリセットするには htpasswd /var/www/svn/password <username> コマンドを入力します。 例:htpasswd /var/www/svn/password broadhop2
- PB(SVN リポジトリ)ユーザを削除するには htpasswd -D password <user id> コマンドを入力します。 例:htpasswd -D password broadhop1
- 最近 PB に変更をコミットしたユーザ、または変更をコミットしたユーザの一覧を確認するには、次のコマンドを入力します。
- #svn log http://pcrfclient01/repos/configuration/ | more
- #svn log http://pcrfclient01/repos/configuration/ | grep '^r[0-9]' | awk '{print $3}' |並べ替え | uniq
有用な情報
システム既定のユーザ「qns」にパスワードはありません。
/etc/passwd、/etc/shadow、/etc/group の整合性をチェックするには、pwck および grpck を使用します。
QPS リリース 6.0 以降では複数のユーザが PB で使用できます。以前のバージョンの PB でも複数のユーザがログインして変更を行えますが、変更は上書きされます。
アイドル セッション時間を維持するには、export TMOUT=120 コマンドを入力します(非アクティブなユーザは 120 秒つまり 2 分でログアウトされます)。
ユーザが PB(SVN リポジトリ)に接続された時間は /var/log/httpd/access_log で確認できます。
PB に関連するすべてのユーザ認証の障害は /etc/httpd/logs/error_log で確認できます。
認証および承認権限に関する情報は、/var/log/secureにあります。たとえば、SSHDはログインの失敗を含むすべてのメッセージをログに記録します。
フィードバック