この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Cisco APIC-EMでは、ロールとロールベース アクセス コントロール(RBAC)スコープによってユーザ プロファイルを定義できます。ロールではユーザが実行できるアクションを定義し、RBAC スコープではユーザがアクセスできるリソースを定義します。現在、RBAC スコープに割り当てることができるリソースはデバイスのみです。
ロール(たとえば ROLE_ADMIN)およびスコープの [ALL] 権限を割り当てられたユーザは、スコープ全体に対してロールのすべてのアクションを実行できます。ただし、このユーザがデバイスのサブセットのみに制限されると、アプリケーション(Discovery、EasyQoS、パス トレースなど)に応じてアクションの範囲が変わります。制限された RBAC スコープに基づく詳細なアプリケーションの動作については、『Cisco Application Policy Infrastructure Controller Enterprise Module Configuration Guide』を参照してください。
ユーザ プロファイルは、ユーザのログイン、パスワード、ロール(権限)、および RBAC スコープ(リソース アクセス)を定義します。
ユーザ プロファイルは、Cisco APIC-EMコントローラまたは外部 AAA サーバ上に保持されます。ユーザに対して、次の両方の種類のプロファイルを同時に指定することができます。
Cisco APIC-EMの導入時に作成されるデフォルトのユーザ プロファイルには、管理者ロール(ROLE_ADMIN)権限、およびすべてのリソースへのアクセス権(RBAC スコープは [ALL])が含まれています。そしてこのユーザは、ROLE_ADMIN および RBAC スコープの [ALL] 権限を含むユーザ プロファイル(グローバル RBAC スコープを持つユーザ)や、ROLE_ADMIN および特定のグループに設定した RBAC スコープを含むユーザ プロファイル(部分 RBAC スコープを持つユーザ)など、さまざまなロールと RBAC スコープを指定して他のユーザ プロファイルを作成できます。
ユーザ名とコントローラでの承認を含む外部ユーザ プロファイルを確認できます。外部ユーザ プロファイルとそのロールは、[External Users]ウィンドウに表示されます。ユーザの承認は、RBAC スコープとその RBAC スコープ内のロールで構成されます。
内部ユーザの設定については、内部ユーザの作成を参照してください。外部コントローラ認証の設定については、外部認証の設定外部ユーザ プロファイルの設定を参照してください。
実行できる機能を指定する次のユーザ ロールがユーザに割り当てられます。
最初にCisco APIC-EMを展開するときに、設定ウィザードでユーザ名とパスワードの入力が求められます。この最初のユーザには、コントローラの完全な管理(読み書き)権限とすべてのリソースへのアクセス権が付与されます。このユーザは他のユーザのユーザ プロファイルを作成できます。
(注) | 管理ロール(ROLE_ADMIN)を持つユーザのみが、ユーザ プロファイルを作成できます。これらのユーザの RBAC スコープは、[ALL](グローバル RBAC スコープを持つユーザ)または特定のグループ(部分 RBAC スコープを持つユーザ)に設定されています。 |
(注) | 管理者(ROLE_ADMIN)権限および SCOPE: ALL を持つユーザを少なくとも 2 人設定することを強くお勧めします。万一、1 人のユーザがロックされるか、またはパスワードを忘れた場合、この状況から回復できる管理者権限を持つ別のユーザがいます。 |
Cisco APIC-EM の機能に対するユーザのアクセス権は、ユーザに割り当てられたロールと RBAC スコープの両方によって決まります。一般に、管理者ロールには Cisco APIC-EM の次の全機能への完全な読み取り/書き込みアクセス権があります。
ユーザとグループの設定
(注) | セキュリティ上の理由から、パスワードは、どのユーザに対しても(管理者権限を持つユーザに対してさえも)、表示されません。 |
(注) | 管理者は直接 GUI の別のユーザ パスワードを変更することはできませんが、管理者は削除してから GUI を使用して新しいパスワードでユーザを再作成できます。 |
ディスカバリ クレデンシャルおよびディスカバリ
(注) | すべてのリソースへのアクセス権(RBAC スコープを [ALL] に設定)を持つユーザのみが、ディスカバリ クレデンシャルを定義し、検出を実行できます。 |
インベントリ
トポロジ
パス トレース
EasyQoS(デバイスに対する QoS ポリシーの作成、変更、展開)
ネットワーク設定(trustpool、コントローラ証明書、プロキシ証明書)やコントローラ設定(更新、バックアップと復元、ログ レベル、認証タイムアウト、パスワード ポリシー、プライム クレデンシャル、テレメトリ コレクション、コントローラ プロキシ)など、システム全体のコントローラ管理機能
アプリケーション管理
システム管理
監査ログ
API
ユーザの RBAC スコープによっては、管理者のロールに次のような影響があります。
すべてのリソースへのアクセス権がある場合(RBAC スコープを [ALL] に設定)、ユーザはすべてのリソースに対して上記の管理者機能をすべて実行できます。
リソースのサブセットへのアクセス権がある場合(RBAC スコープをリソース グループが割り当てられた [Custom]に設定)、ユーザは RBAC スコープに割り当てられたリソースに対してのみ、上記の管理者機能をすべて実行できます。ただし次の例外があります。
ユーザはディスカバリ クレデンシャルを定義することも、検出を実行することもできません。
ユーザは新しいユーザを作成して RBAC スコープを割り当てることができますが、自身が管理ロールを持つ RBAC スコープ以外は割り当てられません。自身が作成したユーザのみを削除できます。
(注) | 管理者(ROLE_ADMIN)権限および SCOPE: ALL を持つユーザを少なくとも 2 人設定することを強くお勧めします。万一、1 人のユーザがロックされるか、またはパスワードを忘れた場合、この状況から回復できる管理者権限を持つ別のユーザがいます。 |
Cisco APIC-EM の機能に対するユーザのアクセス権は、ユーザに割り当てられたロールと RBAC スコープの両方によって決まります。一般に、ポリシー管理者ロールには次の機能への完全な読み取り/書き込みアクセス権があります。
パスワードの変更
ディスカバリ クレデンシャルおよびディスカバリ
(注) | すべてのリソースへのアクセス権(RBAC スコープを [ALL] に設定)を持つユーザのみが、ディスカバリ クレデンシャルを定義し、検出を実行できます。 |
インベントリ
トポロジ
パス トレース
EasyQoS(デバイスに対する QoS ポリシーの作成、変更、展開)
プライム クレデンシャル
ポリシー管理 API
ユーザの RBAC スコープに応じて、ポリシー管理者のロールに次のような影響があります。
すべてのリソースへのアクセス権がある場合(RBAC スコープを [ALL] に設定)、ユーザはすべてのリソースに対して上記のポリシー管理者機能をすべて実行できます。
リソースのサブセットへのアクセス権がある場合(RBAC スコープをリソース グループが割り当てられた [Custom]に設定)、ユーザは RBAC スコープに割り当てられたリソースに対してのみ、上記のすべての機能を実行できます(ディスカバリ クレデンシャルの定義と検出の実行を除く)。
このロールは、ユーザとグループ(自身のパスワードの変更を除く)、ネットワーク設定(trustpool、コントローラ証明書、プロキシ証明書)、コントローラ設定(更新、バックアップと復元、ログ レベル、認証タイムアウト、パスワード ポリシー、テレメトリ コレクション、コントローラ プロキシ)など、システム全体のコントローラ管理機能にはアクセスできません。
Cisco APIC-EM の機能に対するユーザのアクセス権は、ユーザに割り当てられたロールと RBAC スコープの両方によって決まります。自身のパスワードを変更できることを別として、オブザーバ ロールを持つユーザには次の機能への読み取り専用アクセス権(表示はできるが変更はできない)があります。
検出結果
インベントリ
トポロジ
パス トレース
EasyQoS
ネットワーク設定(trustpool、コントローラ証明書、プロキシ証明書)やコントローラ設定(更新、バックアップと復元、ログ レベル、認証タイムアウト、パスワード ポリシー、プライム クレデンシャル、テレメトリ コレクション、コントローラ プロキシ)など、システム全体のコントローラ管理機能
アプリケーション管理
システム管理
監査ログ
API
ユーザの RBAC スコープに応じて、オブザーバのロールに次のような影響があります。
すべてのリソースへのアクセス権がある場合(RBAC スコープを [ALL] に設定)、ユーザはすべてのリソースに対して上記の機能をすべて表示できます。
リソースのサブセットへのアクセス権がある場合(RBAC スコープをリソース グループが割り当てられた [Custom]に設定)、ユーザは RBAC スコープに割り当てられたリソースに対してのみ、上記のすべての機能(ディスカバリ クレデンシャルおよびディスカバリを除く)を表示できます。
インストーラ ロール(ROLE_INSTALLER)が割り当てられているユーザは、シスコ プラグ アンド プレイ モバイル アプリケーションを使用して、Cisco APIC-EMにリモートでアクセスし、次の機能を実行することができます。
インストーラは、Cisco APIC-EMGUI にアクセスできません。したがって、RBAC スコープによる制限は受けません。
(注) | セキュリティ上の理由から、パスワードは、どのユーザに対しても(管理者権限を持つユーザに対してさえも)、表示されません。 |
Cisco APIC-EMで、関連するリソースを含むグループを作成します。次に、ユーザにそのグループを割り当ててグループ内のリソースへのアクセス権を付与します。作成できるのは、自身がアクセス権を持つリソース(またはリソースのサブセット)を含むグループのみです。現在、グループに割り当てることができるリソースはデバイスのみです。
リソース グループを作成する際は、次の注意事項を考慮してください。
RBAC スコープは、ユーザがアクセスできるリソースを定義します。現在、RBAC スコープに割り当てることができるリソース タイプはデバイスのみです。
ユーザ プロファイルの作成時に、ユーザに対して 1 つ以上のユーザ ロールを設定できます。定義する各ユーザ ロールには、対応する RBAC スコープが割り当てられます。RBAC スコープは、すべてのリソース(RBAC スコープを [ALL] に設定)、または制限されたリソース セット(RBAC スコープを [Custom] に設定)のいずれかです。カスタム RBAC スコープを定義した場合は、リソース グループを割り当てる必要があります。
たとえば以下の図では、[Admin] ロールにカスタム RBAC スコープが割り当てられており、その RBAC スコープは Access_Group と Distribution_Group の 2 つのグループで構成されています。これは、ユーザが Access_Group と Distribution_Group のデバイスに対してすべての管理機能を実行できることを意味します。[Observer] ロールには [ALL] の RBAC スコープが割り当てられています。つまり、ユーザは Cisco APIC-EM のすべてのデバイスを表示できます。
ユーザの RBAC スコープを定義する際は、次の注意事項を考慮してください。
ユーザに対して特定の RBAC スコープで指定できるロールは 1 つのみです。
1 つの RBAC スコープのロールと別の RBAC スコープの別のロールがユーザに割り当てられている場合、これらの RBAC スコープに共通のリソース グループが含まれていると、ユーザには共通するデバイスへのより高い特権アクセス権が付与されます。たとえば、ユーザにグループ G1 の ROLE_ADMIN とグループ G2 の ROLE_OBSERVER が割り当てられているとします。グループ G1 および G2 にはデバイス D1 が共通して含まれています(このデバイスは両方のグループに属しています)。この場合、ユーザにはデバイス D1 の ROLE_ADMIN 権限が付与されることになります。
ユーザが シスコ インテリジェント WANおよび シスコ ネットワーク PnP アプリケーションを使用してデバイスとホストをモニタおよび管理する場合は、そのユーザの [RBAC Scopes] の値を [All]に設定する必要があります。シスコ インテリジェント WANおよび シスコ ネットワーク PnP アプリケーションは [Custom] RBAC スコープをサポートしません。
ロール(たとえば ROLE_ADMIN)、および [ALL] に設定された RBAC スコープを割り当てられたユーザは、すべてのリソースに対してロールの全機能を実行できます。ただし、制限された RBAC スコープがこのユーザに割り当てられると、アプリケーションに応じて機能の範囲が変わります。 アプリケーションの一覧、およびユーザが実行できる機能にユーザのロールと RBAC スコープが与える影響については、次の表を参照してください。
制限された RBAC スコープに基づく詳細なアプリケーションの動作については、『Cisco Application Policy Infrastructure Controller Enterprise Module Configuration Guide』を参照してください。
ユーザとロールは、認証および承認のプロセスに従います。
(注) | Cisco APIC-EMでは現在、認証と承認をサポートしています。アカウンティングは、まだサポートされていません。 |
Cisco APIC-EMを使用して、コントローラ用の各リソースが操作にマッピングされ、それぞれの操作はユーザに必要な権限にマッピングされます。その結果、すべての REST API がコントローラの認証プロセスによって保護されます。
Cisco APIC-EMへのユーザ アクセスに対して、次のタイプの認証を設定できます。
内部:コントローラ自身の GUI を使用して作成されたユーザ名とパスワードによるローカル コントローラ認証。内部ユーザの設定については、内部ユーザの作成を参照してください。
外部:他の AAA サーバに存在するユーザ名とパスワードによる外部コントローラ認証。外部コントローラ認証の設定については、外部認証の設定外部ユーザ プロファイルの設定を参照してください。
ユーザ認証を実行すると、コントローラは、次の順序でユーザ認証を試みます。
RADIUS プロトコルを使用した AAA サーバ ディレクトリ クレデンシャルによる認証(GUI または API を使用してユーザ設定ごとに何度も試行される)
コントローラでローカルに設定されたユーザ クレデンシャルによる認証(コントローラ GUI を使用してユーザ設定ごとに何度も試行される)
ユーザ クレデンシャルが上記のいずれかの手順で認証されると、コントローラ アクセスが直ちに許可されます。
内部ユーザ プロファイルの設定
Cisco APIC-EMはグループの設定をサポートしています。
グループとは、アクセス制御を目的とした特定のリソース セットを表す名前付きエンティティのことです。RBAC スコープを使用してグループにユーザを割り当てます。RBAC スコープを使用してグループに割り当てられたユーザは、そのグループのリソースにアクセスできます。ユーザが特定のグループに割り当てられていない場合、そのグループのリソースにはアクセスできません。現在のリリースでは、グループにネットワーク デバイスのみを含めることができます。ホストなどの他のリソースがグループに属することはできません。
(注) | GUI を使用して、ホストとワイヤレス アクセスポイント(シスコ ユニファイド アクセス ポイントのみ)を特定のグループに追加することはできません。これらは、GUI を使用してグループに追加したワイヤレス LAN コントローラ(WLC)またはスイッチに接続したときに、自動的にグループに追加されます。 |
Cisco APIC-EMGUI の [Groups] ウィンドウを使用して、グループを設定できます。
(注) | ホストおよびワイヤレス アクセスポイント(ユニファイド アクセス ポイントのみ)はグループに追加できません。その代わり、ホストまたはワイヤレス アクセスポイントが接続しているスイッチまたはワイヤレス LAN コントローラがグループに追加されると、これらも自動的にグループに追加されます。 |
RBAC スコープを使用して、内部および外部ユーザの両方をグループ アクセス用に設定できます。コントローラの GUI で [Internal Users]ページを使用して、内部ユーザの RBAC スコープを設定します。外部ユーザの RBAC スコープは AAA サーバ自体で設定します。
Cisco APIC-EMが正常に導入され、動作している必要があります。
管理者(ROLE_ADMIN)権限、およびすべてのリソースへのアクセス権(RBAC スコープを [ALL] に設定)またはグループ化するすべてのリソースを含む RBAC スコープが必要です。たとえば、特定のリソース セットを含むグループを作成するには、これらのリソースへのアクセス権が必要です(グループ化するすべてのリソースをカスタム RBAC スコープとして設定)。
Cisco APIC-EM を使用してタスクを実行するために必要なユーザ権限と RBAC スコープについては、「Cisco APIC-EM の設定」の章の「ユーザ設定」を参照してください。
正常に検出が実行され、その結果としてコントローラの [Inventory]ウィンドウに検出済みデバイスが表示されている必要があります。
ステップ 1 | [Home]ウィンドウで、画面右上の [admin] または [Settings] アイコン(歯車)をクリックします。 | ||||||||
ステップ 2 | ドロップダウン メニューの [Settings]リンクをクリックします。 | ||||||||
ステップ 3 | [Settings]ナビゲーション ウィンドウで、[Groups] をクリックして [Groups] ウィンドウを表示します。
[Groups]ウィンドウは 3 つのフィールドに分かれています。
| ||||||||
ステップ 4 | [Groups]フィールドにある追加アイコンをクリックします。 | ||||||||
ステップ 5 | 表示された [Group Name]フィールドに新しいグループの名前を入力します。 | ||||||||
ステップ 6 | 緑色のチェックマークをクリックして、新しいグループを作成および保存します。 | ||||||||
ステップ 7 | [Network Devices]フィールドから [Groups] フィールドの新しいグループのアイコンに、ネットワーク デバイスのアイコンをドラッグ アンド ドロップします。
新しいグループのアイコンにネットワーク デバイスのアイコンをドラッグ アンド ドロップすると、そのデバイスが新しいグループに追加されます。 [Network Devices]フィールドで複数のネットワーク デバイスのアイコンをクリックしてデバイスの選択範囲を決定してから、その範囲全体をグループのアイコンにドラッグ アンド ドロップして、新しいグループを形成することもできます。
| ||||||||
ステップ 8 | グループの作成とネットワークのデバイスの追加を続行します。 |
ネットワークの適切なデバイスを含むグループを設定したら、[Internal Users]ウィンドウにアクセスします。このウィンドウで、[RBAC Scope]フィールドを使用してグループ アクセス権限を割り当てます。
Cisco APIC-EMの内部ユーザを作成できます。
(注) | ユーザ情報(クレデンシャル)は、コントローラ上のローカル データベースに保存されます。 |
(注) | 管理者(ROLE_ADMIN)権限および SCOPE: ALL を持つユーザを少なくとも 2 人設定することを強くお勧めします。万一、1 人のユーザがロックされるか、またはパスワードを忘れた場合、この状況から回復できる管理者権限を持つ別のユーザがいます。 |
管理者(ROLE_ADMIN)権限、およびすべてのグループ(グローバル RBAC スコープ)またはグループの特定のサブセット(非グローバル RBAC スコープ)に設定された RBAC スコープが必要です。
コントローラの GUI で [Groups]ウィンドウを使用して、適切なネットワーク デバイス グループが設定済みである必要があります。
ステップ 1 | [Home]ウィンドウで、画面右上の [admin] または [Settings] アイコン(歯車)をクリックします。 |
ステップ 2 | ドロップダウン メニューの [Settings]リンクをクリックします。 |
ステップ 3 | [Settings]ナビゲーション ウィンドウで、[Internal Users] をクリックして [Internal Users] ウィンドウを表示します。 |
ステップ 4 | [Create User]をクリックします。 |
ステップ 5 | 表示された [Create User]フィールドに、新規ユーザのユーザ名、パスワード(2 回)、およびロールとグループを入力する必要があります。 |
ステップ 6 | ユーザ名を入力します。 |
ステップ 7 | パスワードを 2 回入力します。 |
ステップ 8 | ユーザの適切なロールをクリックします。 |
ステップ 9 | ユーザの適切な [RBAC Scope]をクリックします([All] をクリックするか、[Custom] をクリックしてカスタム RBAC スコープを選択します)。
[RBAC Scopes]フィールドの [All] オプションを選択した場合は、コントローラによって検出されたすべてのデバイスが含まれます。 内部ユーザを設定する前に、コントローラの GUI で [Groups]を使用して RBAC スコープを設定してください。 |
ステップ 10 | [Save]をクリックしてユーザ設定を保存します。
ユーザに関する以下の情報が表示された [Users]ウィンドウに表示されます。 |
ネットワーク デバイスの他の内部ユーザの設定を続行します。必要に応じて、コントローラの GUI で [External Authentication]ウィンドウを使用して、ネットワーク デバイスの外部ユーザ用に外部認証を設定します。
管理者ロール(ROLE_ADMIN)を持つユーザは、Cisco APIC-EMからユーザを削除できます。
この手順を実行するには、管理者(ROLE_ADMIN)権限、およびすべてのデバイスへのアクセス権([RBAC Scope] を [ALL] に設定)が必要です。
ステップ 1 | [Global]ツールバーから、[Administrative Functions] (ギア)アイコン > [Settings] をクリックします。 | ||
ステップ 2 | [Settings]ウィンドウの [Navigation] ペインで、[Users] をクリックします。
ユーザに関する以下の情報が表示された [Users]ウィンドウが表示されます。 | ||
ステップ 3 | 削除するユーザを見つけ、[Actions]列で [Delete]アイコン をクリックします。
ユーザは、Cisco APIC-EMデータベースから削除され、コントローラにはアクセスできません。
|
ユーザ情報を表示および変更できます。
(注) | ユーザ情報(クレデンシャル)は、コントローラ上のローカル データベースに保存されます。 |
この手順を実行するには、管理者(ROLE_ADMIN)権限、およびすべてのデバイスへのアクセス権([RBAC Scope] を [ALL] に設定)が必要です。
ステップ 1 | [Global]ツールバーから、[Administrative Functions] (ギア)アイコン > [Settings] をクリックします。 |
ステップ 2 | [Settings]ウィンドウの [Navigation] ペインで、[Users] をクリックします。
ユーザに関する以下の情報が表示された [Users] ウィンドウが表示されます。 |
ステップ 3 | ユーザの情報を編集する場合は、[Actions]カラムで [Edit] アイコンをクリックします。
ユーザ名と範囲はデフォルトで設定されているため、それらの設定を変更することはできません。ただし、ロール設定は変更できます。有効なロールは、ROLE_ADMIN、ROLE_POLICY_ADMIN、ROLE_OBSERVER、または ROLE_INSTALLER です。 |
ステップ 4 | ユーザ情報の編集が終了したら、[Update]をクリックします。 |
管理者権限(ROLE_ADMIN)を持たないユーザが変更できるのは、自身のCisco APIC-EMパスワードのみです。管理者権限がある場合は、ユーザ プロファイルを削除して新しいパスワードを使って再作成することで、別のユーザのパスワードを変更できます。
[Change Password]ウィンドウで提供されるパスワード ジェネレータ、または以下のガイドラインを使用して、安全なパスワードを作成できます。
以下の 4 つのクラスのうち少なくとも 3 つのクラスの文字を含む 8 文字以上のパスワードを作成します。
大文字のアルファベット
小文字のアルファベット
数字
特殊文字:スペース、または以下のいずれかの文字(または文字の組み合わせ)
! @ # $ % ^ & * ( ) - = + _ { } [ ] \\ | ; : " ' , < .> ? / :: #! ./;; >> << () **
複雑なパスワードに加えて、ユーザ名からセキュリティ上の脆弱性が生じないようにする必要があります。セキュリティ上の脆弱性が生じる可能性があるユーザ名を回避するには、以下の規則に従います。
セキュリティ上の脆弱性が生じないようにするために、パスワードを作成するときにCisco APIC-EMパスワード ポリシーに従うことをお勧めします。詳細については、『Cisco Application Policy Infrastructure Controller Enterprise Module Deployment Guide』を参照してください。
ステップ 1 | [Global]ツールバーから、[Administrative Functions] (ギア)アイコン > [Settings] をクリックします。 | ||
ステップ 2 | [Settings]ウィンドウの [Navigation] ペインで、[Change Password] をクリックします。 | ||
ステップ 3 | [Change Password]ウィンドウで、以下のフィールドに適切な値を入力します。
| ||
ステップ 4 | 終了したら、[Update]をクリックして、新しいパスワードを更新して保存します。
パスワード変更をキャンセルする場合は、[Cancel]をクリックします。 |
管理者は、Cisco APIC-EMユーザのアクセス ステータスを表示することができます。
この手順を実行するには、管理者(ROLE_ADMIN)権限、およびすべてのデバイスへのアクセス権([RBAC Scope] を [ALL] に設定)が必要です。
ステップ 1 | [Global]ツールバー から、[Administrative Functions](ギア)アイコン > [Settings] をクリックします。 | ||
ステップ 2 | [Settings]ウィンドウの [Navigation] ペインで、[Users] をクリックします。
ユーザに関する以下の情報が表示された [Users]ウィンドウに表示されます。 | ||
ステップ 3 | ユーザの現在のアクセス ステータスを表示するには、個々のユーザ名(リンク)をクリックします。
[User Status]ダイアログボックスが開き、以下の情報が表示されます。 管理者である場合、[Unlock]をクリックしてユーザ アカウントをロック解除できます。
| ||
ステップ 4 | ユーザ情報の表示または編集が終了したら、[Close]をクリックします。 |
外部ユーザの設定
Cisco APIC-EMは、AAA サーバからのユーザの外部認証および承認をサポートしています。外部認証と承認は、事前設定された AAA サーバにすでに存在するユーザ名、パスワード、および属性に基づいています。外部認証および承認を使用すると、AAA サーバにすでに存在するクレデンシャルでコントローラにログインできます。RADIUS プロトコルは、AAA サーバにコントローラを接続するために使用されます。
コントローラは、次の順序でユーザの認証と承認を試行します。
プライマリ AAA サーバでユーザのクレデンシャルを使用して認証/承認します。
冗長またはセカンダリ AAA サーバでユーザのクレデンシャルを使用して認証/承認します。
Cisco APIC-EMによって管理されているユーザのクレデンシャルを使用して認証/承認します。
ユーザには、認証と承認の両方が成功した場合にのみコントローラへのアクセス権が付与されます。認証/承認が AAA サーバを使用して試行されると、その AAA サーバからの応答がタイムアウトまたは拒否になる場合があります。
タイムアウトは、一定の時間内に AAA サーバから応答がないときに発生します。最初に設定された AAA サーバで認証/承認要求に対して AAA サーバがタイムアウトした場合は、セカンダリ AAA サーバへのフェールオーバーが行われます。セカンダリ AAA サーバも認証/承認要求に対してタイムアウトすると、ローカル認証/承認へのフォールバックが行われます。
拒否とは、クレデンシャルの明示的な拒否です。AAA サーバがコントローラから行われた認証/承認の試行を拒否した場合は、ローカル認証/承認へのフォールバックが行われます。
Cisco APIC-EMGUI の [External Authentication] ウィンドウを使用して、外部の AAA サーバに接続して通信するためのパラメータをコントローラに設定します。
Cisco APIC-EMが正常に導入され、動作している必要があります。
管理者(ROLE_ADMIN)権限、およびすべてのリソースへのアクセス権(RBAC スコープを [ALL] に設定)またはグループ化するすべてのリソースを含む RBAC スコープが必要です。たとえば、特定のリソース セットを含むグループを作成するには、これらのリソースへのアクセス権が必要です(グループ化するすべてのリソースをカスタム RBAC スコープとして設定)。
Cisco APIC-EM を使用してタスクを実行するために必要なユーザ権限と RBAC スコープについては、「Cisco APIC-EM の設定」の章の「ユーザ設定」を参照してください。
AAA サーバがすでに事前設定済みで、セットアップされ、動作している必要があります。また、Cisco APIC-EMと通信できるように AAA サーバを設定する必要があります。Cisco APIC- EM と通信できるように AAA サーバを設定する際には、次の追加の手順を実行します。
Cisco APIC-EMを AAA サーバに登録します。
(注) | ここでは、AAA サーバと Cisco APIC-EMコントローラの両方で共有秘密を設定することが必要になる場合があります。 |
AAA サーバで値を使用して属性名を設定します(属性名は、AAA サーバとコントローラの両方で一致している必要があります。次の手順のステップ 10 を参照)。
Cisco APIC-EMのマルチホスト構成の場合は、AAA サーバでマルチホスト クラスタ用にすべて個別のホスト IP アドレスと仮想 IP アドレスを設定します。
Cisco Identity Services Engine(ISE)GUI を使用して AAA サーバで値を設定する例としては、Cisco ISE GUI ナビゲーション ウィンドウで [Authorization Profiles]を選択し、認証プロファイルの設定に進みます。認証プロファイルを設定する際は、次の値を入力します。
[Name]:認証プロファイルの名前を入力します。プロファイルに使用するロールと同様の名前を入力することを推奨します。たとえば、管理者(ROLE_ADMIN)用のプロファイルには「admin」を含む名前(APIC_ADMIN など)を使用します。
[Description]:プロファイルの説明を入力します。
[AccessType]:ACCESS_ACCEPT
[Network DeviceProfile]:Cisco
[Advance AttributeSettings]:
[AttributeName]:cisco-av-pair(デフォルト値)
[Scope]:Scope=ALL:Role=ROLE_ADMIN
(注) | 上記の [Scope]値は、管理者権限(ROLE_ADMIN)、および [ALL] に設定された RBAC スコープを持つ外部ユーザを設定する際に使用します。ロールおよび RBAC スコープが異なるユーザを設定する場合は、[Scope]値に次の形式を使用します。 Scope=grp1,grp2,grp5:Role=ROLE_ADMIN&Scope=grp3,grp4:Role=ROLE_OBSERVER |
この [Scope]値の形式では、コロン(:)でスコープとロールを区切ります。スコープ内のそれぞれのグループはカンマで区切ります。アンパサンド(&)はそれぞれのロールを区切ります。
ステップ 1 | [Home]ウィンドウで、[admin] か、または画面の右上隅の [Settings] アイコン(歯車)をクリックします。 | ||
ステップ 2 | ドロップダウン メニューから [Settings]リンクをクリックします。 | ||
ステップ 3 | [Settings]ナビゲーション ウィンドウで、[External Authentication] をクリックして、[External Authentication] ウィンドウを表示します。 | ||
ステップ 4 | [AAA Server]タブをクリックし、AAA サーバ クレデンシャル認証値を使用してコントローラを設定します。 | ||
ステップ 5 | 次の必須情報を入力して、コントローラに AAA サーバへのアクセスを設定します。
[View Advanced Settings]をクリックして設定に関する追加情報を入力するか、または [Apply] をクリックして設定を保存して適用します。 | ||
ステップ 6 | (オプション)次の情報を入力して、コントローラに AAA サーバへのアクセスを設定します。
[Apply]をクリックし、設定を保存して適用します。 | ||
ステップ 7 | [Add AAA Server]タブをクリックして、コントローラにセカンダリ AAA サーバを設定します。
セカンダリ AAA サーバは、高可用性に使用されるバックアップ AAA サーバです。 | ||
ステップ 8 | 次の必須情報を入力して、コントローラにセカンダリ AAA サーバへのアクセスを設定します。
セカンダリ AAA サーバには、プライマリ AAA サーバと同じ設定を行うことを推奨します。そうしないと、結果は予測不可能なものになります。 [View Advanced Settings]をクリックして設定に関する追加情報を入力するか、または [Apply] をクリックして設定を保存して適用します。 | ||
ステップ 9 | (オプション)次の情報を入力して、コントローラにセカンダリ AAA サーバへのアクセスを設定します。
[Apply]をクリックし、設定を保存して適用します。 | ||
ステップ 10 | [AAA Attribute]を入力します。
事前の AAA サーバ設定の必須項目として、すでに AAA サーバで AAA 属性を設定している必要があります。AAA 属性は、キーと値の両方で構成されるキーと値のペアです。キーは AAA 属性名です。Cisco APIC-EMでは、この AAA 属性名をこのフィールドでコントローラの GUI に登録します。これにより、AAA クレデンシャルでログインした後に、AAA サーバ応答でこのキー(AAA 属性名)を探すようにコントローラに指示することになります。 コントローラでのデフォルトの AAA 属性名は、Cisco AVPair です。 AAA サーバで、キー(AAA 属性名)とその値の両方を設定します。キーは、Cisco APIC-EMで設定したものと同じにする必要があります。値(AAA サーバでのみ設定)は、Scope=scope_value:Role=role_value の形式がサポートされます。 例:Scope=ALL:Role=ROLE_ADMIN ロールおよびスコープが異なる複数のユーザが存在する場合は、次のような別の形式を使用してください。 例:Scope=grp1,grp2:Role=ROLE_ADMIN&Scope=grp3,grp4:Role=ROLE_OBSERVER 複数のユーザ、ロール、およびスコープにはこの形式を使用する必要があります。この形式では、コロン(:)でスコープとロールを区切ります。スコープ内のグループはカンマで区切ります。アンパサンド(&)はそれぞれのロール タイプを区切ります。 この形式を使用してロールを指定できるのは 1 回のみです。したがって、上記の例でグループ 5(grp5)の管理者を追加する必要がある場合は、次の形式を使用して書き換える必要があります。 Scope=grp1,grp2,grp5:Role=ROLE_ADMIN&Scope=grp3,grp4:Role=ROLE_OBSERVER 完了したら、[Update]をクリックして、[AAA Attribute] 名を保存します。 |
Cisco APIC-EMからログアウトする。
AAA サーバ クレデンシャルを使用して、Cisco APIC-EMに再度ログインします。
コントローラの GUI で [External Users]ウィンドウにアクセスして、AAA サーバのユーザ、ロール、および範囲を確認します。
(注) | 認証/承認が正常に実行され、アクセスが許可されると、ユーザの外部認証/承認はコントローラのデータベースに保存されます。正常にアクセス権が付与されたすべてのユーザを [External Users]ウィンドウで確認できます。 |
コントローラの GUI を使用して、Cisco APIC-EMへのアクセス権を持つ外部ユーザを確認できます。外部ユーザとは、コントローラへのログインおよびアクセスに、外部サーバで作成および提供されたクレデンシャルを使用するユーザのことです。
外部ユーザのロールと属するグループを確認するには、[External Users]ウィンドウのフィールドを使用します。外部コントローラ認証の設定については、外部認証の設定外部ユーザ プロファイルの設定を参照してください。
管理者(ROLE_ADMIN)権限、およびすべてのグループ(グローバル RBAC スコープ)またはグループの特定のサブセット(非グローバル RBAC スコープ)に設定された RBAC スコープが必要です。
AAA サーバですでにコントローラの外部認証が設定済みです。
ステップ 1 | [Home]ウィンドウで、画面右上の [admin] または [Settings] アイコン(歯車)をクリックします。 | ||
ステップ 2 | ドロップダウン メニューの [Settings]リンクをクリックします。 | ||
ステップ 3 | [Settings]ナビゲーション ウィンドウで、[External Users] をクリックして、[External Users] ウィンドウを表示します。 | ||
ステップ 4 | このウィンドウに表示された外部ユーザを確認します。
|