ユーザ アカウントの作成と管理
ここでは、次の内容について説明します。
アカウントの作成の概要
表 8-2 に、ロールに基づく新しい管理者アカウントを作成するために完了する必要がある手順の概要を示します。
表 8-2 ロールに基づく管理者アカウントを作成するためのチェックリスト
|
|
新しいアカウントを作成する。 |
特定のユーザ名、パスワード、および特権レベルで、システムにアカウントを作成します。詳細については、新しいアカウントの作成を参照してください。 |
新しいアカウントのロールを作成する。 |
アカウントが WAAS ネットワークで設定できるサービスを指定するロールを作成します。詳細については、新しいロールの作成を参照してください。外部認証サーバを使用している場合は、ユーザにロールを自動的に割り当てる照合ユーザ グループを定義できます。 |
新しいアカウントにロールを割り当てる。 |
新しいアカウントに新しいロールを割り当てます。詳細については、ユーザ アカウントへのロールの割り当てを参照してください。外部認証サーバを使用している場合は、ユーザにロールを自動的に割り当てる照合ユーザ グループを定義できます。 |
ドメインを作成する。 |
新しいアカウントが管理できる WAE、デバイス グループ、または AppNav クラスタを指定するドメインを作成します。詳細については、新しいドメインの作成を参照してください。 |
ドメインにエンティティを追加する。 |
ドメインに 1 つまたは複数の WAE、デバイス グループ、または AppNav クラスタ を追加します。詳細については、エンティティのドメインへの追加を参照してください。 |
ユーザ アカウントにドメインを割り当てる。 |
新しいユーザ アカウントにドメインを割り当てます。詳細については、ユーザ アカウントへのドメインの割り当てを参照してください。外部認証サーバを使用している場合は、ユーザにドメインを自動的に割り当てる照合ユーザ グループを定義できます。 |
アカウントの操作
ユーザ アカウントを作成するときは、ユーザ名、アカウントを所有する個人の氏名、連絡先情報、職位、部門のような、ユーザに関する情報を入力します。すべてのユーザ アカウント情報は、WAAS Central Manager の内部のデータベースに保存されます。
次に、各ユーザ アカウントにロールを割り当てることができます。 ロール は、ユーザがアクセスできる WAAS Central Manager GUI の設定ページとユーザが設定または変更する権限を持つサービスを定義します。WAAS Central Manager には、admin ロールと呼ばれる定義済みのロールが用意されています。admin ロールには、すべてのサービスに対するアクセス権があります。 ドメイン は、ユーザがアクセスし、設定または変更できるネットワーク内のエンティティを定義します。ユーザ アカウントには、ロールおよびドメインを割り当てることも、割り当てないこともできます。
(RADIUS サーバではなく)TACACS+ または Windows ドメイン サーバで、ユーザの外部認証を使用している場合は、ユーザ アカウントに加えて、ユーザ グループを作成できます。外部認証サーバで定義されたユーザ グループと一致するユーザ グループ名を作成することにより、WAAS は外部認証サーバで定義されているとおりに、グループのメンバーシップに基づいて、ユーザにロールおよびドメインをダイナミックに割り当てることができます。各ユーザに個別にロールまたはドメインを定義する必要はありません。
WAAS Central Manager には、あらかじめ 2 つのデフォルトのユーザ アカウントが設定されています。 admin と呼ばれる 最初のアカウント には、すべてのサービスへのアクセスと、システム内のすべてのエンティティへのアクセスが許可される管理者ロールが割り当てられます。 このアカウントはシステムから削除できませんが、変更することはできます。このアカウントのユーザ名とロールだけは変更できません。admin ロールを割り当てられたアカウントだけが、他の admin レベルのアカウントを作成できます。
設定済みの 2 番めのユーザ アカウント は、 default アカウントです。 認証されているが、WAAS Central Manager で登録されていないすべてのユーザ アカウントは、デフォルト アカウントに割り当てられているアクセス権(ロール)を取得します。このアカウントは管理者が設定できますが、削除したり、ユーザ名を変更したりすることはできません。最初は、デフォルト アカウント にロールがまったく定義されていないため、このアカウントを使用して WAAS Central Manager GUI にはログインできますが、GUI 機能へのアクセス権がありません。
ここでは、次の内容について説明します。
新しいアカウントの作成
アカウントをセットアップする最初の手順では、ユーザ名を指定し、ローカル CLI アカウントを同時に作成するかどうかを選択して、アカウントを作成します。アカウントの作成後に、そのアカウントが管理し、設定することができる WAAS サービスおよびデバイスを決定するロールをそのアカウントに割り当てることができます。
表 8-3 に、アカウントをセットアップするときにローカル CLI ユーザを作成することの結果について説明します。
表 8-3 ローカル ユーザを作成することによる結果
|
|
ローカル ユーザの作成 |
- このアカウントは、WAAS CLI と(デフォルト ロールで)WAAS Central Manager GUI にアクセスするために使用できます。
- ユーザは、自分のパスワードを変更できます。パスワードの変更は、スタンバイ WAAS Central Manager に伝達されます。
- アカウントは、WAAS Central Manager データベースに格納され、スタンバイ WAAS Central Manager にも伝達されます。
|
ローカル ユーザの非作成 |
- プライマリおよびスタンバイ WAAS Central Manager 管理データベースに、ユーザ アカウントが作成されます。
- CLI にはユーザ アカウントが作成されません。ユーザは、CLI にアクセスするために別のアカウントを使用する必要があります。
- 外部認証サーバが設定されている場合、新しいアカウントを使用して、WAAS Central Manager GUI にログインできます。ユーザには、デフォルト ユーザ用に定義されているロールが割り当てられます(当初はロールなし)。
- ローカル ユーザは、[Admin] > [AAA] セクションへのアクセスを許可するロールがある場合にだけ、WAAS Central Manager GUI を使用して自分のパスワードを変更できます。
|
(注
) ユーザ アカウントが CLI だけで作成された場合、最初に WAAS Central Manager GUI にログインしたときに、Centralized Management System(CMS)によって、デフォルトの許可およびアクセス コントロールで、(CLI で設定した同じユーザ名の)ユーザ アカウントが自動的に作成されます。CLI から作成されたカウントは、最初は WAAS Central Manager GUI の設定ページにアクセスできません。CLI から作成されたアカウントに WAAS Central Manager GUI から設定作業を実行する必要があるロールを割り当てるには、admin アカウントを使用する必要があります。
新しいアカウントを作成するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューから、[Admin] > [AAA] > [Users] を選択します。
[User Accounts] ウィンドウに、システム上のすべてのユーザ アカウントが表示されます。
ステップ 2 [Create New User Accounts] アイコンをクリックします。
[Creating New User Account] ウィンドウが表示されます。
(注
) このウィンドウには、管理者レベルの特権を持つユーザだけがアクセスできます。
ステップ 3 [Username] フィールドに、ユーザ アカウント名を入力します。
ステップ 4 ユーザ名は大文字と小文字が区別され、英字、数字、ピリオド、ハイフン、およびアンダースコア以外の文字は使用できません。次の手順を実行して、ローカル CLI ユーザ アカウントを作成します。
a.
[Local User] チェックボックスを選択します。ローカル CLI ユーザを作成する利点については、 表 8-3 を参照してください。すべての WAE デバイスにローカル ユーザが作成されます。
(注
) 外部認証サーバに定義済みで、WAAS デバイスへのアクセスが許可されているユーザ名と同じユーザ名のローカル ユーザは作成しないでください。
b.
[Password] フィールドにローカル ユーザ アカウントのパスワードを入力し、[Confirm password] フィールドに同じパスワードを再入力します。パスワードは大文字と小文字の区別をし、長さは 1 ~ 31 字である必要があります。 ‘ “ |
(一重引用符、二重引用符、パイプ)の文字、または制御文字を含めることはできません。
c.
[CLI Privilege Level] ドロップダウン リストから、ローカル ユーザ アカウント用のオプションを選択します。
–
[0](通常のユーザ):このユーザが使用できる CLI コマンドをユーザ レベルの EXEC コマンドだけに制限します。これはデフォルト値です。
–
[15](スーパー ユーザ):このユーザに特権 EXEC レベルの CLI コマンドの使用を許可します。このレベルのコマンドは、admin ロールの Central Manager GUI ユーザが実行できる機能と似ています。
(注
) システム動作の設定、表示、テストには、WAAS CLI EXEC モードを使用します。これは、ユーザと特権の 2 つのアクセス レベルに分かれます。「通常」の特権を持つローカル ユーザは、ユーザ レベルの EXEC CLI モードだけにアクセスできます。「superuser」特権があるローカル ユーザは、特権 EXEC モードおよびその他のモードすべて(設定モードおよびインターフェイス モードなど)にアクセスして、任意の管理タスクを実行できます。ユーザレベルと特権 EXEC モード、および CLI コマンドについての詳細は、『Area Application Services Command Reference』を参照してください。
ステップ 5 (任意)[User Information] フィールドの該当するフィールドにユーザに関する情報(氏名、電話番号、E メール アドレス、職位、および部門)を入力します。
ステップ 6 (任意)[Comments] フィールドに、このアカウントに関する追加情報を入力します。
ステップ 7 [Submit] をクリックします。
[Changes Submitted] メッセージが、ウィンドウの一番下に表示されます。
ステップ 8 この新しいアカウントにロール(ロールの操作を参照)、およびドメイン(ドメインの操作を参照)を割り当てます。
ユーザ アカウントの変更と削除
(注
) CLI からユーザ アカウントを変更しても、Centralized Management System(CMS)データベースはアップデートされず、変更は Central Manager GUI に反映されません。
既存のユーザ アカウントを変更するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューから、[Admin] > [AAA] > [Users] を選択します。
[User Accounts] ウィンドウが表示されます。
ステップ 2 変更するユーザ アカウントの横にある [Edit] アイコンをクリックします。
(注
) このウィンドウには、管理者レベルの特権を持つユーザだけがアクセスできます。
[Modifying User Account] が表示されます。次のように、ユーザ アカウントを削除または編集できます。
- ユーザ アカウントを削除するには、タスクバーの [Delete] アイコンをクリックし、[OK] をクリックして削除を確認します。
ローカル ユーザ アカウントが WAAS Central Manager GUI を使用して作成された場合、対応するユーザ アカウントが CLI から削除され、すべてのスタンバイ WAAS Central Manager からも削除されます。
(注
) CLI からユーザ アカウントを削除しても、CMS データベース内の対応するユーザ アカウントは無効になりません。そのため、ユーザ アカウントは、CMS データベースにアクティブ状態で残ります。WAAS Central Manager GUI で作成したユーザ アカウントは、常に WAAS Central Manager GUI から削除する必要があります。
- ユーザ アカウントを編集するには、ユーザ名とアカウント情報に必要な変更を行い、[Submit] をクリックします。
自身のアカウントのパスワードの変更
WAAS Central Manager GUI にログインした場合、次の要件を満たすと、自分のアカウントのパスワードを変更できます。
- アカウントとパスワードが、CLI でなく、WAAS Central Manager GUI で作成された。
- パスワード ウィンドウにアクセスできる。
(注
) ローカル CLI ユーザ パスワードは、CLI から変更しないでください。CLI からローカル CLI ユーザ パスワードを変更しても、管理データベースはアップデートされず、スタンバイ WAAS Central Manager に伝達されません。したがって、管理データベース内のパスワードは、CLI で設定した新パスワードと一致しません。
(注
) WAAS Central Manager GUI からパスワードを初期設定することには、プライマリとスタンバイの両方の WAAS Central Manager が同期し、GUI ユーザがパスワードを変更するために CLI にアクセスする必要がないという利点があります。
自身のアカウント用のパスワードを変更するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューから、[Admin] > [Security] > [Password] を選択します。
[Changing Password for User Account] ウィンドウが表示されます。
ステップ 2 [New Password] フィールドに、変更したパスワードを入力します。パスワードは大文字と小文字の区別をし、長さは 1 ~ 31 字である必要があります。 ‘ “ |
(一重引用符、二重引用符、パイプ)の文字、または制御文字を含めることはできません。
ステップ 3 [Confirm New Password] フィールドに、確認のためにパスワードを再入力します。
ステップ 4 [Submit] をクリックします。
パスワードが変更されたことを確認する「 Changes Submitted 」メッセージが、ウィンドウの一番下に表示されます。
WAAS Central Manager GUI を使用してアカウントのパスワードを変更すると、Central Manager が管理するすべての WAE デバイスのパスワードが変更されます。
別のアカウントのパスワードの変更
admin 特権を持つアカウントを使用して WAAS Central Manager GUI にログインすると、他のアカウントのパスワードを変更できます。
(注
) CLI からユーザ パスワードを変更すると、パスワードの変更はローカル デバイスだけに適用され、Central Manager GUI には反映されません。また、他のデバイスにも伝達されません。
別のアカウント用のパスワードを変更するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューから、[Admin] > [AAA] > [Users] を選択します。
ロールに基づくユーザ アカウントのリストが表示されます。
ステップ 2 新しいパスワードが必要なアカウントの横にある [Edit] アイコンをクリックします。
[Modifying User Account] が表示されます。
ステップ 3 [Password] フィールドに、変更したパスワードを入力します。パスワードは大文字と小文字の区別をし、長さは 1 ~ 31 字である必要があります。 ‘ “ |
(一重引用符、二重引用符、パイプ)の文字、または制御文字を含めることはできません。
ステップ 4 [Confirm Password] フィールドに、確認のためにパスワードを再入力します。
ステップ 5 [Submit] をクリックします。
パスワードが変更されたことを確認する「 Changes Submitted 」メッセージが、ウィンドウの一番下に表示されます。
ユーザ アカウントの表示
すべてのユーザ アカウントを表示するには、WAAS Central Manager GUI から [Admin] > [AAA] > [Users] を選択します。[User Accounts] ウィンドウに、管理データベース内のすべてのユーザ アカウントが表示されます。新しいアカウントの作成の説明に従って、このウィンドウから新しいアカウントを作成することもできます。
特定のデバイスのユーザ アカウントを表示するには、[Devices] > [ device-name ] を選択し、デバイス モードに応じて [ device-name ] > [Device Users] または [CM Users] を選択します。[Users for device] ウィンドウに、そのデバイスに定義されているすべてのユーザ アカウントが表示されます。
アカウントの詳細を表示するには、そのアカウントの横にある [View] アイコンをクリックします。
ユーザ アカウントのロック解除
ユーザ アカウントがロックされると、そのユーザは、管理者がアカウントのロックを解除するまで、WAAS サービスにログインできません。ユーザが 3 回連続してログイン試行に失敗すると、ユーザ アカウントがロックされます。
アカウントのロックを解除するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager GUI から、[Admin] > [AAA] > [Users] を選択します。
[User Accounts listing] ウィンドウが表示され、各ユーザ アカウントのステータスが示されます。
(注
) このウィンドウには、管理者レベルの特権を持つユーザだけがアクセスできます。
ステップ 2 変更するユーザ アカウントの横にある [Edit] アイコンをクリックします。
[Modifying User Account] ウィンドウが表示され、このアカウントがロックされたデバイスのリストが示されます。
ステップ 3 アカウントのロックを解除するデバイスを選択します。
デバイス ユーザのリストが表示されます。
ステップ 4 ロック解除するユーザを選択し、[unlock] をクリックします。
パスワードの操作
WAAS システムには、 標準 と 強力 の 2 つのレベルのパスワード ポリシーがあります。デフォルトでは、標準パスワード ポリシーが有効になっています。
パスワード ポリシーを変更するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューから、[Devices] > [ device-name ](または [Device Groups] > [ device-group-name ])を選択します。
ステップ 2 [Configure] > [Security] > [AAA] > [Password Policy Settings] を選択します。
ステップ 3 [Enforce stringent password] チェックボックスを選択して、強力パスワード ポリシーを有効化します。
ステップ 4 [Maximum login retries] フィールドに、ユーザがロックされずに行うことができるログイン試行の最大回数を入力します。ロックされたユーザは、管理者がクリアするまでロックされたままとなります。ロックされたアカウントをクリアする方法については、ユーザ アカウントのロック解除を参照してください。
ステップ 5 [Submit] をクリックして変更を保存します。
CLI からパスワード ポリシーを設定するには、 authentication strict-password-policy グローバル コンフィギュレーション コマンドを使用します。
標準のパスワード ポリシーが有効な場合、ユーザ パスワードは次の要件を満たしている必要があります。
- パスワードの長さは、1 ~ 31 文字までです。
- パスワードには、大文字と小文字(A ~ Z および a ~ z)および数字(0 ~ 9)を使用できます。
- パスワードには、
‘ “ |
(一重引用符、二重引用符、パイプ)の文字、または制御文字は使用できません。
強力なパスワード ポリシーが有効な場合、ユーザ パスワードは次の要件を満たしている必要があります。
- パスワードの長さは、8 ~ 31 文字までです。
- パスワードには、大文字と小文字の両方(A ~ Z および a ~ z)、数字(0 ~ 9)、および ~`!@#$%^&*()_+-=[]\{};:</> を含む特殊文字を使用できます。
- パスワードには、
‘ “ |
(一重引用符、二重引用符、パイプ)の文字、または制御文字は使用できません。
- パスワードをすべて同じ文字にすることはできません(たとえば、 99999 )。
- パスワードを連続した文字にすることはできません(たとえば、 12345 )。
- パスワードをユーザ名と同じにすることはできません。
- 新しいパスワードは、それ以前の 12 個のパスワードとは異なっている必要があります。ユーザ パスワードの有効期限は 90 日間です。
- パスワードにディクショナリ用語を使用することはできません。
ユーザ アカウントは、設定されている回数だけログイン試行に失敗するとロックされます(デフォルトは 3 回)。管理者がクリアしない限り、ユーザはロックされたままです。ロックされたアカウントをクリアする方法については、ユーザ アカウントのロック解除を参照してください。
ロールの操作
WAAS Central Manager GUI を使用すると、各管理者が特定の WAAS サービスの設定と管理に集中できるように、WAAS システム管理者のロールを作成できます。たとえば、管理者にアプリケーション ポリシーの作成と変更を許可し、他のシステム変更を許可しないロールを設定できます。
ロールとは、有効にされた 1 組のサービスと見なすことができます。ロールを作成するときにサービスを選択することになるため、ロールが担当するサービスについて明確に把握する必要があります。ロールを作成したら、この章で後述する説明に従って、既存のアカウントにロールを割り当てることができます。
ロールにより、有効化されている各サービスに読み取りと書き込み、または読み取り専用アクセス権が与えられます。
各ユーザ アカウントまたはグループには、0 を含む任意の数のロールを割り当てることができます。ロールは、継承されず、組み込まれません。WAAS Central Manager には、admin ロールと呼ばれる定義済みのロールが用意されています。CLI ユーザが持つ特権レベル 15 と同様に、admin ロールはすべてのサービスへのアクセス権を持ちます。admin ロールがないと、ユーザはすべての管理タスクを実行できません。
(注
) ユーザに admin ロールを割り当てても、ユーザ特権レベルは 15 に変更されません。管理タスクを実行するには、ユーザの特権レベルも 15 にする必要があります。
WAAS は外部 TACACS+ または Windows ドメイン認証サーバで定義されているとおりに、グループのメンバーシップに基づいて、ユーザにロールをダイナミックに割り当てることができます。この機能を使用するには、外部認証サーバで定義されたユーザ グループに一致する WAAS Central Manager 上のユーザ グループ名を定義し、これらのユーザ グループにロールを割り当てます。ユーザ グループの詳細については、ユーザ グループの操作を参照してください。
ここでは、次の内容について説明します。
新しいロールの作成
新しいロールを作成するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューから、[Admin] > [AAA] > [Roles] を選択します。
[Roles listing] ウィンドウが表示されます。
ステップ 2 タスクバーの [Create New Role] アイコンをクリックします。
[Creating New Role] ウィンドウが表示されます
ステップ 3 [Name] フィールドに、ロールの名前を入力します。
名前には、英字、数字、ピリオド、ハイフン、アンダースコア、およびスペース以外の文字は使用できません。
ステップ 4 このロールに管理させたいサービスの横にあるチェックボックスを選択します。
このウィンドウのチェックボックスには、3 つのステートがあります。チェック ボックスにチェックがある場合、ユーザはこのサービスに対する読み取りと書き込みアクセス権があるという意味です。チェックボックスを再度クリックすると、インジケータはチェックボックスを部分的に塗りつぶした四角に変わります。このインジケータは、ユーザがこのサービスに対して読み取り専用アクセス権を持つという意味です。空の四角は、そのサービスにアクセスできないことを示します。
カテゴリの下にサービスのリストを展開するには、フォルダ アイコンをクリックし、このロールのために有効にするサービスの横にあるチェックボックスを選択します。カテゴリのすべてのサービスを同時に選択するには、それらのサービスの最上位フォルダの横にあるチェックボックスを選択します。
表 8-4 に、ロールのために有効にできるサービスを示します。
表 8-4 Cisco WAAS サービスの説明
|
|
ホーム |
ロールにより、ホーム(グローバル)コンテキストにおける WAAS Central Manager GUI の [Configure]、[Monitor]、および [Admin] の各メニューのシステム ダッシュボードおよび設定を表示、設定、および管理できるようにします。各フォルダ内で、このロールにより管理するサブページを選択できます。 |
[Device Groups] |
ロールにより、デバイス グループ コンテキストにおける WAAS Central Manager GUI のさまざまなデバイス グループの設定およびサブページを表示、設定、および管理できるようにします。 |
デバイス |
ロールにより、デバイス コンテキストにおける WAAS Central Manager GUI のさまざまなデバイスの設定およびサブページを表示、設定、および管理できるようにします。 |
AppNav クラスタ |
ロールにより、AppNav クラスタ コンテキストにおける WAAS Central Manager GUI の設定およびサブページを表示、設定、および管理できるようにします。 |
Locations |
ロールにより、ロケーション コンテキストにおける WAAS Central Manager GUI の設定およびサブページを表示、設定、および管理できりようにします。 |
All Devices |
ロールにより、WAAS ネットワーク内のすべてのデバイスにアクセスできるようにします。このサービスを有効にしない場合、ユーザ アカウントは、アカウントに割り当てられたドメインに関連するデバイスだけにアクセスできます。 このサービスを選択すると、ロールに基づくアカウントを設定するときに次の作業を省略できます。
- ネットワーク内のすべてのデバイスを含むドメインの作成および保守
- すべてのデバイスを含むドメインのアカウントへの割り当て
|
All Device Groups |
ロールにより、WAAS ネットワーク内のすべてのデバイス グループにアクセスできるようにします。このサービスを有効にしない場合、ユーザ アカウントは、アカウントに割り当てられたドメインに関連するデバイス グループだけにアクセスできます。 このサービスを選択すると、ロールに基づくアカウントを設定するときに次の作業を省略できます。
- ネットワーク内のすべてのデバイス グループを含むドメインの作成および保守
- すべてのデバイス グループを含むドメインのアカウントへの割り当て
|
すべての AppNav クラスタ |
ロールにより、WAAS ネットワーク内のすべての AppNav クラスタ にアクセスできるようにします。このサービスを有効にしない場合、ユーザ アカウントは、アカウントに割り当てられたドメインに関連する AppNav クラスタ だけにアクセスできます。 このサービスを選択すると、ロールに基づくアカウントを設定するときに次の作業を省略できます。
- ネットワーク内のすべての AppNav クラスタを含むドメインの作成および保守。
- すべての AppNav クラスタを含むドメインのアカウントへの割り当て。
|
Monitoring API |
ロールにより、HTTPS 要求による API のモニタリングにアクセスできるようにします。詳細については、『 Cisco Wide Area Application Services API Reference 』を参照してください。 |
システム ステータス |
ロールにより、デバイスの [Alarms] パネルにアクセスできるようにします。デバイス アラームの詳細については、Chapter15, “WAAS ネットワークのモニタリングおよびトラブルシューティング”を参照してください。 |
ステップ 5 (任意)[Comments] フィールドに、このロールに関するコメントを入力します。
ステップ 6 [Submit] をクリックして設定値を保存します。
ユーザ アカウントへのロールの割り当て
ロールを作成した後、それをアカウント(ユーザ グループ)に割り当てる必要があります。アカウントを作成しても、アカウントにロールを割り当てない場合、このアカウントのユーザは、WAAS Central Manager GUI にログインできますが、データは表示されず、設定ページを使用できません。
(注
) デフォルトで、admin ユーザ アカウントには、システム内のすべてのエンティティにアクセスできるロールが割り当てられます。このユーザ アカウント用のロールは変更できません。
1 つまたは複数のロールをユーザ アカウント グループに割り当てるには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューで、[Admin] > [AAA] > [Users](または [Admin] > [AAA] > [User Groups])を選択します。
[User Accounts](または [User Groups])ウィンドウが表示され、設定されているすべてのユーザ アカウントが表示されます。
ステップ 2 ロールを割り当てるユーザ アカウントまたはグループの横にある [Edit] アイコンをクリックします。
[Modifying User Account](または [Modifying User Group])ウィンドウが表示されます。
ステップ 3 [Role Management] タブをクリックします。
[Role Management] ウィンドウが表示され、設定されているすべてのロール名が表示されます。
ステップ 4 選択したユーザ アカウントまたはグループに割り当てたいロール名の横に表示される [Assign] アイコン(青色の十字)をクリックします。
ステップ 5 すでに割り当てられているロールの割り当てを解除するロール名の横にある [Unassign] アイコン(緑色のチェック マーク)をクリックします。
(注
) タスクバーの [Assign all Roles] アイコンをクリックして、現在のウィンドウ内のすべてのロールをユーザ アカウントまたはグループに割り当てます。あるいは、[Remove all Roles] アイコンをクリックして、ユーザ アカウントまたはグループに関連付けられたすべてのロールの割り当てを解除します。
ステップ 6 [Submit] をクリックします。
このユーザ アカウントまたはグループに割り当てられたロールは、[Modifying User Account](または [Modifying User Group])ウィンドウの [Roles] セクションに表示されます。
ロールの修正と削除
(注
) デフォルトで、admin ユーザ アカウントは、すべてのサービスにアクセスでき、変更できません。
ロールを変更または削除するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューから、[Admin] > [AAA] > [Roles] を選択します。
[Roles] ウィンドウが表示されます。
ステップ 2 変更または削除するロールの名前の横にある [Edit] アイコンをクリックします。
[Modifying Role] ウィンドウが表示されます。次のように、ロールを変更できます。
- このロールを削除するには、タスクバーの [Delete] アイコンをクリックします。
- このロールを編集するには、フィールドで必要な変更を行い、[Submit] をクリックします。
- このロール用のサービスを有効にするには、対応するサービスの横にあるチェック ボックスを選択します。すでに選択されているサービスを無効にするには、無効にするサービスの横にあるチェックボックスの選択を解除します。あるカテゴリのすべてのサービスを同時に選択するには、最上位サービスの横にあるチェックボックスを選択します。
ロールの設定の表示
特定のユーザ アカウントまたはグループにロールを割り当てる前に、ロール設定を表示したい場合があります。
ロール設定を表示するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューで、[Admin] > [AAA] > [Users](または [Admin] > [AAA] > [User Groups])を選択します。
[User Accounts](または [User Groups])ウィンドウが表示され、設定されているすべてのユーザ アカウントまたはグループが表示されます。
ステップ 2 表示するユーザ アカウントまたはグループの横にある [Edit] アイコンをクリックします。
[Modifying User Account](または [Modifying User Group])ウィンドウが表示されます。
ステップ 3 [Role Management] タブをクリックします。
[Role Management] ウィンドウが表示されます。
ステップ 4 表示するロールの横にある [View] アイコンをクリックします。
[Viewing Role] ウィンドウが表示され、ロール名、このロールに関するコメント、およびこのロール用に有効になっているサービスが表示されます。
ステップ 5 設定の表示が完了したら、[Close] をクリックします。
ドメインの操作
WAAS ドメイン は、WAAS ネットワークを構成するデバイス グループまたは WAE の集合です。ロールは、ユーザが WAAS ネットワークで管理できるサービスを定義します。これに対し、ドメインは、ユーザがアクセスおよび設定できるデバイス グループ、WAE、またはファイル サーバのダイナミック共有を定義します。
(注
) WAAS ドメインは、DNS ドメインまたは Windows ドメインと同じではありません。
ドメインを作成するとき、ドメインに関連付けられるエンティティ タイプを選択します。エンティティ タイプには、デバイス、デバイス グループ、またはなし(サーバ ダイナミック共有用)があります。ファイル サーバのダイナミック共有の場合、ダイナミック共有はダイナミック共有設定で割り当てられます。
WAAS は外部 TACACS+ または Windows ドメイン認証サーバで定義されているとおりに、グループのメンバーシップに基づいて、ユーザにドメインをダイナミックに割り当てることができます。この機能を使用するには、外部認証サーバで定義されたユーザ グループに一致する WAAS Central Manager 上のユーザ グループ名を定義し、これらのユーザ グループにドメインを割り当てる必要があります。ユーザ グループの詳細については、ユーザ グループの操作を参照してください。
ここでは、次の内容について説明します。
新しいドメインの作成
新しいドメインを作成するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューから、[Admin] > [AAA] > [Domains] を選択します。
[Domains listing] ウィンドウが表示されます。
ステップ 2 タスクバーの [Create New Domain] アイコンをクリックします。
[Creating New Domain] ウィンドウが表示されます
ステップ 3 [Name] フィールドに、ドメインの名前を入力します。
ステップ 4 [Entity Type] ドロップダウン リストから、ドメインに割り当てたいエンティティ タイプ(デバイス、デバイス グループ、None)を選択します。
(注
) このドメインが、ファイル サーバのダイナミック共有に使用されている場合、[None] を選択します。
ステップ 5 (任意)[Comments] フィールドに、このドメインに関するコメントを入力します。
ステップ 6 [Submit] をクリックします。
選択したエンティティ タイプがまだドメインに割り当てられていない場合、エンティティ タイプが割り当てられていないことを示すメッセージが表示されます。
ステップ 7 エンティティのドメインへの追加 の説明に従い、このドメインにエンティティを割り当てます。[Entity Type] に [None] を選択した場合は、ドメインにエンティティを割り当てないでください。エンティティはダイナミック共有設定で使用されます。
ダイナミック共有の設定で使用されるドメインでは、ユーザ アカウントへのドメインの割り当ての説明に従って、ダイナミック共有の設定を編集する必要がある各ユーザに対して、このドメインを割り当てる必要があります。このドメインに割り当てられたユーザだけが、ダイナミック共有設定を編集できます。
エンティティのドメインへの追加
ドメインを作成したら、ドメインにエンティティを割り当てる必要があります。エンティティは、デバイスの集合またはデバイス グループの集合です。ファイル サーバのダイナミック共有で使用されるドメインには、エンティティを割り当てる必要はありません。この場合のエンティティ タイプは [None] です。
ドメインにエンティティを追加するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューから、[Admin] > [AAA] > [Domains] を選択します。
ステップ 2 変更するドメインの横にある [Edit] アイコンをクリックします。
ステップ 3 [Entity Management] タブをクリックします。
現在のドメインの [ Entity_name Assignments for Domain] ウィンドウが表示されます。
リスト内の項目の表示はフィルタできます。フィルタリングにより、リストで、設定した条件に一致する項目を見つけることができます。
次のように、ドメインにエンティティを追加し、ドメインからエンティティを削除できます。
- エンティティを現在のドメインに追加するには、追加したいエンティティの隣りにある [Assign] アイコン(青い十字マーク)をクリックします。設定を確定すると、選択したエンティティの隣りに緑のチェック マークが表示されます。
あるいは、選択したドメインにすべてのエンティティを追加するには、タスクバーの [Assign all] アイコンをクリックします。
- 現在のドメインからエンティティを削除するには、ドメインから削除するエンティティの名前の横にある [Unassign] アイコン(緑色のチェック マーク)をクリックします。設定を確定すると、割り当てを解除したエンティティの横に青色の十字マークが表示されます。
あるいは、ドメインからすべてのエンティティを削除するには、タスクバーの [Remove all] アイコンをクリックします。
ステップ 4 [Submit] をクリックします。
ドメインに割り当てたエンティティの横に緑色のチェック マークが表示されます。
ステップ 5 ユーザ アカウントへのドメインの割り当て の説明に従い、アカウントにドメインを割り当てます。
ユーザ アカウントへのドメインの割り当て
ドメインをアカウントまたはユーザ グループに割り当てると、アカウントまたはユーザ グループがアクセスできるエンティティ(デバイスまたはデバイス グループ)、またはファイル サーバ ダイナミック共有を指定することになります。
ダイナミック ファイル共有に使用されるタイプ None のドメインを扱う場合、ダイナミック共有の設定を編集する必要があるすべてのユーザに対してユーザ アカウントが必要です。TACACS+ または Windows ドメイン サーバでユーザの外部認証を使用している場合は、ユーザ グループを使用して、ユーザに WAAS ドメインをより簡単に割り当てることができます。詳細については、ユーザ グループの操作を参照してください。
(注
) アカウントまたはグループに割り当てたロールで、[All Devices]、または [All Device Groups] のサービスが有効になっている場合は、ドメインをアカウントまたはグループに割り当てる必要がありません。アカウントまたはグループは、自動的に WAAS システム内のすべてのデバイス、デバイス グループ、またはその両方にアクセスできます。詳細については、表 8-4を参照してください。
ユーザ アカウントまたはグループにドメインを割り当てるには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューで、[Admin] > [AAA] > [Users](または [Admin] > [AAA] > [User Groups])を選択します。
[User Accounts](または [User Groups])ウィンドウが表示され、設定されているすべてのユーザ アカウントまたはグループが表示されます。
ステップ 2 ドメインを割り当てるユーザ アカウントまたはグループの横にある [Edit] アイコンをクリックします。
[Modifying User Account](または [Modifying User Group])ウィンドウが表示されます。
ステップ 3 [Domain Management] タブをクリックします。
[Domain Management] ウィンドウが表示され、設定されたすべてのドメインおよびそのエンティティ タイプが表示されます。
ステップ 4 選択したユーザ アカウントまたはグループに割り当てたいドメイン名の横に表示される [Assign] アイコン(青色の十字マーク)をクリックします。
ユーザ アカウントまたはグループからドメインの割り当てを解除するには、ドメイン名の横にある [Unassign](緑色のチェック マーク)をクリックします。
(注
) 現在のウィンドウ内のすべてのドメインをユーザ アカウントまたはグループに割り当てるには、タスクバーの [Assign all Domains] アイコンをクリックします。あるいは、ユーザ アカウントまたはグループに関連付けられたすべてのドメインの割り当てを解除するには、[Remove all Domains] アイコンをクリックします。
ステップ 5 [Submit] をクリックします。
このユーザ アカウントまたはグループに割り当てられたドメインは、[Modifying User Account](または [Modifying User Group])ウィンドウの [Domains] セクションに表示されます。
ドメインの修正と削除
既存のドメインを変更または削除するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューから、[Admin] > [AAA] > [Domains] を選択します。
[Domains] ウィンドウが表示されます。
ステップ 2 変更するドメインの横にある [Edit] アイコンをクリックします。
[Modifying Domain] ウィンドウが表示されます。次のように、ドメインを変更できます。
- ドメインを削除するには、タスクバーの [Delete] アイコンをクリックし、[OK] をクリックして削除を確認します。
- ドメインを変更するには、フィールドで必要な変更を行い、[Submit] をクリックします。
ドメインの表示
特定のユーザ アカウントまたはグループのドメイン設定を表示するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューで、[Admin] > [AAA] > [Users](または [Admin] > [AAA] > [User Groups])を選択します。
[User Accounts](または [User Groups])ウィンドウが表示され、設定されているすべてのユーザ アカウントまたはグループが表示されます。
ステップ 2 ドメイン設定を表示するユーザ アカウントまたはグループの横にある [Edit] アイコンをクリックします。
[Modifying User Account](または [Modifying User Group])ウィンドウが表示されます。
ステップ 3 [Domain Management] タブをクリックします。
[Domain Management] ウィンドウが表示されます。
ステップ 4 ドメイン名の横にある [View] アイコン(虫眼鏡)をクリックして、ドメインに関する詳細を表示します。
[Viewing Domain] ウィンドウが表示され、ドメイン名、エンティティ タイプ、このドメインに関するコメント、およびこのドメインに割り当てられたエンティティが表示されます。
ステップ 5 設定の表示が完了したら、[Close] をクリックします。
ユーザ グループの操作
TACACS+ または Windows ドメイン サーバ(RADIUS サーバではなく)でユーザの外部認証を使用している場合は、ユーザ グループを作成する必要があります。外部認証サーバで定義されたユーザ グループと一致するユーザ グループ名を作成することにより、WAAS は外部認証サーバで定義されているとおりに、グループのメンバーシップに基づいて、ユーザにロールおよび WAAS ドメインをダイナミックに割り当てることができます。ロールまたは WAAS ドメインを各ユーザ別に定義する必要はなく、ユーザ グループにロールまたは WAAS ドメインを定義すると、ユーザが属するグループに定義されたロールおよび WAAS ドメインがユーザに割り当てられます。
(注
) 外部ユーザ グループに基づいてロールおよび WAAS ドメインをダイナミックに割り当てるには、シェルのカスタム属性をサポートする TACACS+ サーバが必要です。たとえば、これらの属性は Cisco ACS(Access Control Server)4.x および 5.1 以降でサポートされています。
WAAS は、外部認証サーバから各ユーザのグループ メンバーシップ情報を読み取ります。
ここでは、次の内容について説明します。
新しいユーザ グループの作成
新しいユーザ グループを作成するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューから、[Admin] > [AAA] > [User Groups] を選択します。
[User Groups] リスト ウィンドウが表示されます
ステップ 2 タスクバーの [Create New User Groups] アイコンをクリックします。
[Creating New User Group] ウィンドウが表示されます。
ステップ 3 [Name] フィールドに、ユーザ グループの名前を入力します。
この名前が、使用している外部認証サーバで定義されたユーザ グループの名前に一致していることを確認します。
名前の一致は、大文字と小文字を区別します。ユーザ グループ名に # + " < >,(カンマ)を含めることはできません。ユーザ グループ名を数字、ピリオド(.)、またはスペースだけで構成することはできません。ピリオド、アスタリスク(*)、またはスペースが先頭にある場合は削除されます。
ステップ 4 (任意)[Comments] フィールドに、このユーザ グループに関するコメントを入力します。
ステップ 5 [Submit] をクリックします。
ステップ 6 ユーザ グループへのロールの割り当て および ユーザ グループへのドメインの割り当て の説明に従って、このユーザ グループにロールまたは WAAS ドメインを割り当てます。
ユーザ グループへのロールの割り当て
作成されたユーザ グループには、ロールを割り当てる必要があります。ユーザ グループを作成しても、グループにロールを割り当てない場合、このグループは、WAAS Central Manager GUI にログインできますが、データは表示されず、設定ページを使用できません。
1 つまたは複数のロールをユーザ グループに割り当てるには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューから、[Admin] > [AAA] > [User Groups] を選択します。
[User Groups] ウィンドウが表示され、設定されているすべてのユーザ グループが表示されます。
ステップ 2 ロールを割り当てたいユーザ グループの横にある [Edit] アイコンをクリックします。
[Modifying User Group] ウィンドウが表示されます。
ステップ 3 [Role Management] タブをクリックします。
[Role Management for User Group] ウィンドウが表示され、設定されているすべてのロール名が表示されます。
ステップ 4 選択したユーザ グループに割り当てるロール名の横に表示される [Assign] アイコン(青色の十字マーク)をクリックします。
ステップ 5 すでに割り当てられているユーザ グループのロールの割り当てを解除するロール名の横にある [Unassign](緑色のチェック マーク)をクリックします。
(注
) タスクバーの [Assign all Roles] アイコンをクリックして、現在のウィンドウ内のすべてのロールをユーザ グループに割り当てます。あるいは、[Remove all Roles] アイコンをクリックして、ユーザ グループに関連付けられたすべてのロールの割り当てを解除します。
ステップ 6 [Submit] をクリックします。
このユーザ グループに割り当てられたロールは、[Modifying User Group] ウィンドウの [Roles] セクションに表示されます。
ユーザ グループへのドメインの割り当て
ユーザ グループに WAAS ドメインを割り当てると、ユーザ グループのメンバーであるユーザが管理できるエンティティ(デバイスまたはデバイス グループ)を指定することになります。
(注
) ユーザ グループに割り当てたロールで、[All Devices]、または [All Device Groups] のサービスが有効になっている場合は、ドメインをユーザ グループに割り当てる必要がありません。このグループのユーザは、自動的に WAAS システム内のすべてのデバイス、デバイス グループ、またはその両方にアクセスできます。詳細については、表 8-4を参照してください。
ユーザ グループにドメインを割り当てるには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューから、[Admin] > [AAA] > [User Groups] を選択します。
[User Groups] ウィンドウが表示され、設定されているすべてのユーザ グループが表示されます。
ステップ 2 ドメインを割り当てるユーザ グループの横にある [Edit] アイコンをクリックします。
[Modifying User Group] ウィンドウが表示されます。
ステップ 3 [Domain Management] タブを選択します。
[Domain Management for User Group] ウィンドウが表示され、設定されたすべてのドメインおよびそのエンティティ タイプが表示されます。
ステップ 4 選択したユーザ グループに割り当てるドメイン名の横に表示される [Assign] アイコン(青色の十字マーク)をクリックします。
ユーザ グループからドメインの割り当てを解除するには、ドメイン名の横にある [Unassign](緑色のチェック マーク)をクリックします。
(注
) 現在のウィンドウ内のすべてのドメインをユーザ グループに割り当てるには、タスクバーの [Assign all Domains] アイコンをクリックします。あるいは、ユーザ グループに関連付けられたすべてのドメインの割り当てを解除するには、[Remove all Domains] アイコンをクリックします。
ステップ 5 [Submit] をクリックします。
ユーザ グループに割り当てられたドメインは、[Modifying User Group] ウィンドウの [Domains] セクションに表示されます。
ユーザ グループの変更と削除
既存のユーザ グループを変更するには、次の手順に従ってください。
ステップ 1 WAAS Central Manager メニューから、[Admin] > [AAA] > [User Groups] を選択します。
[User Groups] ウィンドウが表示されます。
ステップ 2 変更するユーザ グループの横にある [Edit] アイコンをクリックします。
[Modifying User Group] ウィンドウが表示されます。次のように、ユーザ グループを削除または編集できます。
(注
) このウィンドウには、管理者レベルの特権を持つユーザだけがアクセスできます。
- ユーザ グループを削除するには、タスクバーの [Delete] アイコンをクリックし、[OK] をクリックして削除を確認します。
- ユーザ グループを編集するには、名前とコメント情報に必要な変更を行い、[Submit] をクリックします。
- ユーザ グループに割り当てられた [Roles] を変更するには、[Role Management] タブをクリックして、ロールに必要な変更を行い、[Submit] をクリックします。
- ユーザ グループに割り当てられた [Domains] を変更するには、[Domain Management] タブをクリックして、ドメインに必要な変更を行い、[Submit] をクリックします。
ユーザ グループの表示
すべてのユーザ グループを表示するには、WAAS Central Manager GUI から [Admin] > [AAA] > [User Groups] を選択します。[User Groups] ウィンドウに、管理データベース内のすべてのユーザ アカウントが表示されます。新しいユーザ グループの作成の説明に従って、このウィンドウからグループを作成することもできます。