この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Guard モジュールへのアクセスを制御するには、ユーザ プロファイルを作成します。ユーザが WBM へのログインを試みると、Guard モジュールはユーザ プロファイル データベースに対してログイン ユーザ名とパスワードを認証します。この章では、WBM を使用してユーザ プロファイルを作成および削除する方法について説明します。
• ユーザ認証方式
CLI を使用して Guard モジュールをどのように設定するかに応じて、Guard モジュールは、次の方式の一方または両方を使用してユーザ認証を実行します。
• ローカル認証:Guard モジュールは、Guard モジュールのデータベースにあるユーザ プロファイル情報に対してユーザを認証します。ユーザ名ごとに、定義済みの一連のコマンド機能の実行をユーザに許可するためのユーザ特権レベルを、システム管理者が設定します。ローカル ユーザ認証は、WBM を使用して設定します。
• AAA サービス(認証、認可、アカウンティング):Guard モジュールは、1 つまたは複数の TACACS+ サーバのデータベースにあるユーザ プロファイル情報に対してユーザを認証します。ユーザ認証とコマンド認可を設定する機能のほか、AAA サービスにはアカウンティング機能があります。この機能を使用すると、Guard モジュールの設定変更など、ユーザが開始したイベントを追跡できます。CLI を使用して AAA サービスをイネーブルにし、Guard モジュールに TACACS+ サーバを定義する必要があります。また、各 TACACS+ サーバもユーザ プロファイル情報を使用して設定する必要があります。
Guard モジュールでは、ローカル データベース上に次の 2 つのユーザ プロファイル(システム ユーザ)があらかじめ設定されています。
• admin:このデフォルトのユーザ名は、Guard モジュール上で CLI に最初にアクセスするときに使用します。このシステム ユーザ プロファイルには、コンソール接続を使用した最初のログイン プロセスでパスワードを割り当てます。管理者としてログインすると、CLI コマンドに完全にアクセスできます。入力した admin パスワードは、admin ユーザ プロファイルに保存されます。Guard モジュールの動作を設定するときや、他のユーザ プロファイルを作成するときは、このシステム ユーザ プロファイルを使用します。
• riverhead:Cisco Traffic Anomaly Detector Module は、Guard に最初にアクセスして、Cisco Traffic Anomaly Detector Module と Guard の間に通信チャネルを確立するときに、このユーザ名を使用します。このシステム ユーザ プロファイルには、コンソール接続を使用した最初のログイン プロセスでパスワードを割り当てます。Cisco Traffic Anomaly Detector Module と Guard の間に初期の通信リンクが確立されると、その 2 つのデバイスは、ユーザの介入なしに、SSL を使用して以後の通信リンクを確立します。riverhead システム ユーザ プロファイルには、Dynamic ユーザ特権レベルが設定されています。
システム ユーザのパスワードは変更できますが、Guard モジュールのデータベースからシステム ユーザを削除することはできません。
初期設定が完了した後は、ユーザのアクションを監視できるように新しいアカウントを作成し、システム ユーザ アカウントは使用しないことをお勧めします。
WBM を使用すると、Guard モジュールへのアクセスが現在認可されているユーザのリストを表示できます。ユーザ リストでは、ユーザ プロファイルを追加または削除できます。ユーザ リストは、次の 2 つのカテゴリに分かれています。
• System users :シスコによってあらかじめ定義されているユーザ プロファイル。削除することはできません(「定義済みのシステム ユーザ プロファイル」の項を参照)。
• Users :システム管理者が定義するユーザ プロファイル。
Guard モジュールへのアクセスが認可されているユーザのリストを表示するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインで Guard Summary を選択します。Guard モジュールの要約メニューが表示されます。
ステップ 2 Guard モジュールの要約メニューの Users > Users list を選択します。 Users List が表示されます。
ローカル データベースにユーザ プロファイルを作成するには、管理者アクセス権が必要です。
(注) Guard モジュールが認証用のローカル サービスおよび AAA サービス(または AAA サービスだけ)を使用してユーザを認証するように設定されている場合は、認証用の各 TACACS+ サーバにもユーザ プロファイル情報を設定する必要があります(「TACACS+ サーバ上でのユーザ プロファイルの設定」の項を参照)。
新しいユーザ プロファイルを作成するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインで Guard Summary を選択します。Guard モジュールの要約メニューが表示されます。
ステップ 2 次のいずれかの方法で、Create User 画面を表示します。
• Guard モジュールの要約メニューの Users > Create user を選択します。
• Guard モジュールの要約メニューの Users > Users list を選択します( Users List が表示されます)。次に、 Add をクリックします。
ステップ 3 表 3-1 の説明に従って、ユーザ プロファイルのパラメータを定義します。
• OK :ユーザ プロファイル情報をローカル データベースに保存します。ユーザの詳細画面が表示され、新しいユーザ プロファイルのパラメータが示されます。
• Clear :User Form に追加した情報をすべて消去します。
• Cancel:情報を保存せずに Create User 画面を終了します。Users List が表示されます。
ユーザ プロファイルを削除すると、ローカル ユーザ データベースだけを使用して認証を実行する場合に、関連付けられたユーザが Guard モジュールにアクセスできなくなる場合があります。
ステップ 1 ナビゲーション ペインで Guard Summary を選択します。Guard モジュールの要約メニューが表示されます。
ステップ 2 Guard モジュールの要約メニューの Users > Users list を選択します。 Users List が表示されます。
ステップ 3 削除するユーザ名の隣にあるチェックボックスをオンにし、 Delete をクリックします。表示されているユーザ名をすべて選択して削除するには、 User チェックボックスをオンにし、 Delete をクリックします。削除の確認メッセージが表示されます。
• OK :ユーザ プロファイルをローカル データベースから削除します。User List が表示されます。
• Cancel :ユーザ削除要求を無視します。User List が表示されます。
WBM を使用すると、すべてのユーザが各自のログイン パスワードを変更できます。現在ログインしているユーザのパスワードを変更するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインで Guard Summary を選択します。Guard モジュールの要約メニューが表示されます。
ステップ 2 Guard モジュールの要約メニューの Users > Change Password を選択します。 Change Password 画面が表示されます。
ステップ 3 既存のパスワードを Old Password フィールドに入力します。
ステップ 4 新しいパスワードを New Password フィールドに入力します。パスワードは、スペースを含まず、6 ~ 24 文字の英数字文字列にする必要があります。
ステップ 5 Confirm New Password フィールドで、新しいパスワードを再度入力します。
• OK :新しいパスワードを Guard モジュールのデータベースのユーザ プロファイルに保存します。Guard モジュールの要約画面が表示されます。
• Cancel : 情報を保存せずに Change Password 画面を終了します。 Guard モジュールの要約画面が表示されます。
現在無効になっているパスワードが入力された場合や、Guard モジュールが新しいパスワードを確認できない場合、Guard モジュールはエラー メッセージを表示します。 Go Back をクリックして手順を繰り返してください。
WBM を使用すると、admin ユーザ特権レベルを持つユーザは他のユーザに割り当てられているパスワードを変更できます。
別のユーザのパスワードを変更するには、次の手順を実行します。
ステップ 1 ナビゲーション ペインで Guard Summary を選択します。Guard モジュールの要約メニューが表示されます。
ステップ 2 Guard モジュールの要約メニューの Users > Users list を選択します。 Users List が表示されます。
ステップ 3 ユーザ名をクリックします。ユーザの詳細画面が表示されます。
ステップ 4 Config をクリックします。Config User 画面が表示されます。
ステップ 5 新しいパスワードを入力します。パスワードは、スペースを含まず、6 ~ 24 文字である必要があります。
• OK :新しいパスワードをローカル データベースのユーザ プロファイルに保存します。User List 画面が表示されます。
• Clear :User Form に追加した情報をすべて消去します。
• Cancel:情報を保存せずに Config User 画面を終了します。User List 画面が表示されます。
この項の情報は、TACACS+ サーバ上で WBM ユーザ プロファイル情報を設定する必要のある管理者を対象としています。
定義済みのコマンド グループへのアクセス権を、ユーザ特権レベルによって指定することができます。 表 3-2 に、TACACS+ サーバ上で設定できる WBM のコマンドおよびコマンド グループを示します。
|
グループ |
|
---|---|---|
(注) 特権レベルを指定すると、その特権レベルに含まれているコマンドに関してのみアクセス権が付与されます。このため、設定機能へのアクセスをイネーブルにするには、WBM-Dynamic および WBM-Config にアクセスできるユーザ特権レベルを付与する必要があります。
次の例は、WBM の画面に対するユーザ Robin のアクセスを、TACACS+ サーバ上で Dynamic 特権レベルを指定して定義する方法を示しています。