この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Detector へのアクセスは、ユーザ プロファイルの作成によって制御できます。ユーザが WBM にログインしようとすると、Detector がログイン ユーザ名とパスワードをユーザ プロファイル データベースと照合して、認証します。
• パスワードの変更
CLI を使用して Detector をどのように設定したかに応じて、Detector は次のいずれかまたは両方の方式を使用してユーザを認証および認可します。
• ローカル:Detector は、ユーザ名とパスワードをそれ自体の内部データベースと照合して認証します。ユーザ名ごとに、定義済みの一連のコマンドの実行をユーザに許可するためのユーザ特権レベルを、システム管理者が設定できます。
ローカルでの認証および認可の方式がデフォルトです。ローカルでのユーザの認証および認可は、WBM を使用して設定します。
• AAA(認証、認可、アカウンティング):Detector は、1 台以上の TACACS+ サーバに常駐している外部データベースと照合してユーザ名とパスワードを認証します。ローカル認証とは異なり、AAA 認証では、コマンドごとにアクセス権を指定できます。AAA サービスは、ユーザ認証とコマンド認可を設定する機能のほかに、アカウンティングを設定する機能も備えています。この機能を使用すると、ユーザが開始したイベント(Detector の設定変更など)を追跡できます。
Detector で AAA サービスをイネーブルにし、TACACS+ サーバを定義するには、CLI を使用する必要があります。
Detector では、次の 2 つのシステム ユーザ プロファイルがローカル データベース上に事前設定されています。
• admin:Detector で初めて CLI にアクセスする場合は、このデフォルトのユーザ名を使用します。初めて Detector にログインしたときは、admin ユーザ プロファイルにパスワードを割り当てます。管理者としてログインすると、すべての CLI コマンドおよび WBM のウィンドウにアクセスできます。Detector を設定し、他のユーザ プロファイルを作成する場合は、admin ユーザ プロファイルを使用します。
• riverhead:Cisco Guard は、Detector に最初にアクセスして Cisco Guard と Detector の間に通信チャネルを確立するときに、ユーザ名 riverhead を使用します。初めて Detector にログインしたときは、riverhead ユーザ プロファイルにパスワードを割り当てます。Cisco Guard と Detector の間に最初の通信リンクが確立されると、2 つのデバイスは、以後の通信リンクを確立するときに秘密鍵と公開鍵のペアを使用します。このため、ユーザの操作は必要なくなります。riverhead システム ユーザ プロファイルには、Dynamic ユーザ特権レベルが設定されています。
システム ユーザのパスワードは変更可能ですが、Detector のデータベースからシステム ユーザを削除することはできません。
初期設定が完了した後は、ユーザのアクションを監視できるように新しいアカウントを作成し、システム ユーザ アカウントは使用しないことをお勧めします。
WBM では、ローカル ユーザ データベースに定義されているユーザのリストを表示できます。ユーザ リストでは、ユーザ プロファイルを追加または削除できます。ユーザ リストは、次の 2 つのカテゴリに分かれています。
• System users :シスコによってあらかじめ定義されているユーザ プロファイル。削除することはできません(「定義済みのシステム ユーザ プロファイルの使用」の項を参照)。
• Users :システム管理者が定義するユーザ プロファイル。
ローカル ユーザ データベースに定義されているユーザのリストを表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインの Detector Summary をクリックします。Detector の要約メニューが表示されます。
ステップ 2 Detector の要約メニューから Users > Users list を選択します。Users List が表示されます。
ローカル データベースにユーザ プロファイルを作成するには、管理者アクセス権が必要です。
(注) Detector が、ユーザの認証に認証用のローカル サービスと AAA サービス(または AAA サービスのみ)を使用するように設定されている場合は、認証に使用されるユーザ プロファイル情報も各 TACACS+ サーバ上で設定する必要があります(「TACACS+ サーバ上でのユーザ プロファイルの設定」の項を参照)。
新しいユーザ プロファイルを作成するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインの Detector Summary をクリックします。Detector の要約メニューが表示されます。
ステップ 2 次のいずれかの方法で、Create User 画面を表示します。
• Detector の要約メニューから Users > Create user を選択します。
• Detector の要約メニューから Users > Users list を選択し( Users List が表示されます)、 Add をクリックします。
ステップ 3 表3-1 の説明に従って、ユーザ プロファイルのパラメータを定義します。
• OK :ユーザ プロファイル情報をローカル データベースに保存します。ユーザの詳細画面が表示され、新しいユーザ プロファイルのパラメータが示されます。
• Clear :User Form に追加した情報をすべて消去します。
• Cancel:情報を保存せずに Create User 画面を終了します。Users List が表示されます。
ローカル ユーザ データベースのみを使用して認証が実行されている場合、ユーザ プロファイルを削除すると、それに関連付けられたユーザは Detector にアクセスできなくなります。
ステップ 1 ナビゲーション ペインの Detector Summary をクリックします。Detector の要約メニューが表示されます。
ステップ 2 Detector の要約メニューから Users > Users list を選択します。 Users List が表示されます。
ステップ 3 削除するユーザ名の隣にあるチェックボックスをオンにし、 Delete をクリックします。表示されているユーザ名をすべて削除するには、 User チェックボックスをオンにし、 Delete をクリックします。削除の確認メッセージが表示されます。
• OK :ユーザ プロファイルをローカル データベースから削除します。User List が表示されます。
• Cancel :ユーザ削除要求を無視します。User List が表示されます。
WBM を使用して、ユーザは自分のパスワードを変更できます。管理者は、自分のパスワードと他のユーザのパスワードを変更できます(「別のユーザのパスワードの変更」を参照)。
ステップ 1 ナビゲーション ペインの Detector Summary をクリックします。Detector の要約メニューが表示されます。
ステップ 2 Detector の要約メニューから Users > Change Password を選択します。 Change Password 画面が表示されます。
ステップ 3 既存のパスワードを Old Password フィールドに入力します。
ステップ 4 新しいパスワードを New Password フィールドに入力します。パスワードは、スペースを含まない 6 ~ 24 文字の大文字と小文字が区別される文字列とします。
ステップ 5 Confirm New Password フィールドで、新しいパスワードを再度入力します。
• OK :新しいパスワードを Detector のデータベースのユーザ プロファイルに保存します。Detector の要約画面が表示されます。
• Cancel : 情報を保存せずに Change Password 画面を終了します。 Detector の要約画面が表示されます。
現在のパスワードとして無効なパスワードを入力するか、Detector が新しいパスワードを確認できない場合、Detector からエラー メッセージが表示されます。 Go Back をクリックして手順を繰り返してください。
WBM を使用すると、admin ユーザ特権レベルを持つユーザは、他のユーザのパスワードを変更できます。
他のユーザのパスワードを変更するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインの Detector Summary をクリックします。Detector の要約メニューが表示されます。
ステップ 2 Detector の要約メニューから Users > Change Password を選択します。 Change Password 画面が表示されます。
ステップ 3 ユーザ名をクリックします。ユーザの詳細画面が表示されます。
ステップ 4 Config をクリックします。Config User 画面が表示されます。
ステップ 5 新しいパスワードを入力します。パスワードは、スペースを含まない 6 ~ 24 文字の大文字と小文字が区別される文字列とします。
• OK :新しいパスワードをローカル データベースのユーザ プロファイルに保存します。User List 画面が表示されます。
• Clear :User Form に追加した情報をすべて消去します。
• Cancel:情報を保存せずに Config User 画面を終了します。User List 画面が表示されます。
Enable Authentication ウィンドウが表示されます。
ステップ 2 Level ドロップダウン リストからユーザ特権レベルを選択します。次のいずれかから選択できます。
• admin:すべての WBM 機能にフル アクセスできます。
• config:ユーザ プロファイルの管理を除くすべての WBM 機能にフル アクセスできます。
• dynamic:監視と診断、検出、およびラーニングに関する操作にアクセスできます。Dynamic 特権を持つユーザは、フレックスコンテンツ フィルタと動的フィルタを設定することもできます。
ステップ 3 Password フィールドに特権レベル パスワードを入力します。
この項の情報は、TACACS+ サーバ上で WBM ユーザ プロファイル情報を設定する必要のある管理者を対象としています。
定義済みのコマンド グループへのアクセス権を、ユーザ特権レベルによって指定することができます。 表3-2 に、TACACS+ サーバ上で設定できる WBM のコマンドおよびコマンド グループを示します。
|
|
|
---|---|---|
(注) 特権レベルを指定すると、その特権レベルに含まれているコマンドに関してのみアクセス権が付与されます。このため、設定機能へのアクセスをイネーブルにするには、WBM-Dynamic および WBM-Config にアクセスできるユーザ特権レベルを付与する必要があります。
次の例は、WBM の画面に対するユーザ Robin のアクセスを、TACACS+ サーバ上で Dynamic 特権レベルを指定して定義する方法を示しています。