システムアクセスとセキュリティの管理

ここでは、次の内容について説明します。

証明書の管理

証明書とは

証明書は、個人、サーバー、会社、または別のエンティティを識別し、そのエンティティを公開キーに関連付ける電子文書です。公開キーを使用して証明書を作成すると、一致する秘密キーも生成されます。TLS では、公開キーはエンティティに送信されるデータの暗号化に使用され、秘密キーは復号に使用されます。証明書は、発行者または「親」証明書(認証局)によって、つまり、親の秘密キーによって署名されます。証明書は自己署名することもできます。TLS の交換では、証明書の発行者の有効性を確認するために証明書の階層が使用されます。この階層は信頼チェーンと呼ばれ、ルート CA 証明書(自己署名)、場合によっては複数レベルの中間 CA 証明書、およびサーバー(またはクライアント)証明書(エンドエンティティ)の 3 つのタイプで構成されます。中間証明書は、サーバー証明書を CA のルート証明書にリンクし、追加のセキュリティ層を提供する「信頼のリンク」として機能します。ルート証明書の秘密キーから開始し、信頼チェーン内の各証明書の秘密キーは、最終エンティティ証明書に最終的に署名するまで、チェーン内の次の証明書に署名して発行します。エンドエンティティ証明書は、チェーン内の最後の証明書であり、クライアント証明書またはサーバー証明書として使用されます。これらのプロトコルの詳細については、「X.509 証明書」と「HTTPS」を参照してください。

Crosswork での証明書の使用方法

Crosswork アプリケーションとデバイス間の通信やさまざまな Crosswork コンポーネント間の通信は、TLS プロトコルを使用して保護されます。TLS は X.509 証明書を使用して安全にデバイスを認証し、データを暗号化して送信元から接続先までその整合性を確保します。Crosswork は、生成された証明書とクライアントがアップロードした証明書を組み合わせて使用します。アップロードされた証明書は、認証局(CA)から購入するか、自己署名することができます。たとえば、Cisco Crosswork VM がホストする Web サーバーとクライアントブラウザベースのユーザーインターフェイスは、TLS 経由で交換される Crosswork によって生成された X.509 証明書を使用して相互に通信します。

Crosswork Cert Manager は、分散フレームワーク内の複数のマイクロサービスおよびサービスのプロキシであり、すべての Crosswork 証明書を管理します。証明書管理 の UI([管理(Administration)] > [証明書管理(Certificate Management)])を使用すると、証明書を表示、アップロード、および変更できます。次の図に、Cisco Crosswork が提供するデフォルトの証明書を示します。

図 1. 証明書管理の UI

証明書のタイプと使用方法

次の図に、Crosswork がさまざまな通信チャネルで証明書を使用する方法を示します。

図 2. Cisco Crosswork の証明書
証明書のタイプと使用方法

これらの証明書は、次の表に示すように、使用例に応じて異なるプロパティを持つさまざまなロールに分類されます。

ロール

UI 名

説明

サーバー

クライアント

許可される操作

デフォルトの有効期限

許可される有効期限

Crosswork(CW)内部 TLS

CW 内部

コミュニケーション(Communication)

  • Crosswork によって生成および提供されます。

  • この信頼チェーンは、UI(サーバーとクライアントリーフ証明書を含む)で使用でき、初期化時に Crosswork によって作成されます。これらは、Crosswork と Crosswork Data Gateway 間のプロセス間通信と、内部 Crosswork コンポーネント間の通信に使用されます。

  • 相互認証とサーバー認証を許可します。

Crosswork

Crosswork Data Gateway

Crosswork

ダウンロード

5 年

CW Web サーバー

CW Web 証明書(CW-Web-Certificate)

サーバー認証

  • Crosswork によって生成および提供されます。

  • ユーザーブラウザと Crosswork 間の通信を提供します。

  • サーバー認証を許可します。

Crosswork Web サーバー

ユーザーブラウザまたは API クライアント

  • アップロード

  • ダウンロード

5 年

30 日 ~ 5 年

ZTP SUDI

 CW ZTP デバイスの SUDI(CW-ZTP-Device-SUDI)

  • Crosswork の一部として提供される公開シスコ証明書。

  • ZTP アプリケーションとデバイス間の ZTP プロトコル通信チャネルを提供します。

  • サーバー認証を許可します。

Crosswork ZTP

Device

  • アップロード

  • ダウンロード

100 日

30 日間までの日付範囲を選択します。この値はユーザーが定義します

セキュア ZTP プロビジョニング

CW ZTP 所有者(CW-ZTP-Owner)

  • Crosswork によって生成および提供されます。

  • ZTP によってデバイスに転送され、暗号化の第 2 層に使用されます。

Crosswork ZTP

Device

  • アップロード

  • ダウンロード

5 年

30 日間までの日付範囲を選択します。この値はユーザーが定義します

デバイスの Syslog

 CW デバイスの Syslog(CW-Device-Syslog)

  • Crosswork によって生成および提供されます。

  • デバイスと Crosswork Data Gateway 間の Syslog テレメトリ通信を提供します。

  • サーバー認証を許可します。

Crosswork Data Gateway

Device

ダウンロード

5 年

デバイス gNMI 通信

デバイスと Crosswork Data Gateway 間の GNMI テレメトリ通信を提供します。

Crosswork Data Gateway

Device

  • アップロード

  • ダウンロード

N/A

30 日間までの日付範囲を選択します。この値はユーザーが定義します

サーバー Syslog 通信

  • Crosswork から外部 Syslog サーバーへの syslog イベントとログを許可します。

  • サーバー認証を許可します。

外部 Syslog サーバー

Crosswork

  • アップロード

    異なるサーバーに関連付けられた複数の証明書をアップロードできます。

  • ダウンロード

30 日間までの日付範囲を選択します。この値はユーザーが定義します

外部接続先

相互認証を実行した後、Crosswork Data Gateway から外部接続先(Kafka または gRPC)にテレメトリデータをエクスポートします。

外部接続先(Kafka または gRPC)

Crosswork Data Gateway
  • アップロード1

  • ダウンロード

30 日間までの日付範囲を選択します。この値はユーザーが定義します

外部接続先サーバー認証

サーバーベースの認証を実行した後、Crosswork Data Gateway から外部接続先(Kafka または gRPC)にテレメトリデータをエクスポートします。

外部 Crosswork Data Gateway 接続先(Kafka または gRPC)

セキュア LDAP 通信

Crosswork は、セキュア LDAP サーバーを認証するために、この証明書の信頼チェーンを使用します。

セキュア LDAP サーバー

Crosswork

  • アップロード

  • ダウンロード

30 日間までの日付範囲を選択します。この値はユーザーが定義します

アプリケーション外部接続先

Crosswork から Kafka 接続先にテレメトリデータをエクスポートします。

外部 Kafka 接続先

Crosswork

アップロード

30 日間までの日付範囲を選択します。この値はユーザーが定義します
1

異なる接続先に関連付けられた複数の証明書をアップロードできます。

Crosswork には 2 つのカテゴリロールがあります。

  • 信頼チェーンのみをアップロードまたはダウンロードできるロール。

  • 信頼チェーンと中間証明書およびキーの両方のアップロードまたはダウンロードを許可するロール。

新しい証明書の追加

このトピックでは、新しい証明書を追加する手順について説明します。

次のロールの証明書を追加できます。

  • [外部接続先(External Destination)]:このロール用にアップロードした証明書は、Crosswork Data Gateway と外部接続先(Kafka サーバーなど)間の通信を保護するために使用されます。相互認証を有効にするには、Crosswork Data Gateway と外部サーバーの両方に共通する CA 証明書信頼チェーンをアップロードします。この信頼チェーンには、ルート CA 証明書と任意の数のオプションの中間 CA 証明書が含まれています。チェーンの最後の中間証明書とそれに対応する秘密キーは、中間キー中間証明書、およびオプションでパスフレーズ(中間キーの生成に使用した場合)を使用して UI に個別にアップロードされます。Crosswork は、外部接続先に接続する Crosswork Data Gateway のこの中間キーを使用して、クライアント証明書を内部的に作成します。接続先(Kafka など)のサーバー証明書の信頼は、同じルート CA 証明書から取得する必要があります。

    証明書を [外部接続先(External Destination)] ロールにアップロードできます。認証タイプは、[接続先の追加(Add Destination)] ページで [相互認証(Mutual-Auth)] として選択する必要があります。認証タイプの詳細については、データ宛先の追加または編集を参照してください。

  • [サーバーSyslog通信(Server Syslog Communication)]:ユーザーは、Syslog サーバー証明書の信頼チェーンをアップロードします。この信頼チェーンは、Syslog サーバーを認証するために Crosswork で使用されます。この信頼チェーンがアップロードされ、Crosswork 内に伝達されると、ユーザーは syslog サーバーを追加して([管理(Administration)] > [設定(Settings)] > [Syslog サーバー設定(Syslog Server Configuration)])、証明書を関連付けて TLS を有効にできます。詳細については、Syslog サーバーの設定を参照してください。

  • [デバイスgNMI通信(Devices gNMI communication)]:ユーザーは、接続しているデバイスを認証するために Crosswork Data Gateway で使用される信頼チェーンのバンドルをアップロードします。この信頼チェーンとデバイス gNMI 証明書もデバイスで設定する必要があります。アップロードする信頼チェーンファイルには、ネットワーク内のすべてのデバイスが接続できるように、必要に応じて信頼証明書の階層を複数含めることができます。詳細については、「gNMI 証明書の設定」を参照してください。

  • [セキュアLDAP通信(Secure LDAP Communication)]:ユーザーは、セキュア LDAP 証明書の信頼チェーンをアップロードします。この信頼チェーンは、LDAP サーバーを認証するために Crosswork で使用されます。この信頼チェーンがアップロードされて Crosswork 内に伝播されると、ユーザーは LDAP サーバーを追加し(LDAP サーバーの管理 を参照)、証明書を関連付けることができます。

  • [外部接続先サーバー認証(External Destination Server Auth)]:ユーザーは、ルート CA 証明書をアップロードします。この証明書は、Crosswork Data Gateway と外部接続先(Kafka サーバーなど)間のセキュア通信を確立するために使用されます。

    認証タイプが [サーバー認証(Server-Auth)] に設定されている場合にのみ、証明書を [外部接続先サーバー認証(External Destination Server Auth)] ロールにアップロードできます。認証タイプの詳細については、データ宛先の追加または編集を参照してください。

  • [アプリケーション外部接続先(Application External Destination)]:ユーザーはアプリケーション証明書をアップロードして、テレメトリデータを外部の Kafka 接続先に安全に転送できます。Kafka チャネルは相互 TLS によって保護され、TLS Manager は外部 Kafka で使用される証明書の管理を担います。

証明書のタイプと使用方法については、「証明書のタイプと使用方法」を参照してください。


(注)  

Cisco Crosswork は、Web 証明書を直接受信しません。中間 CA と中間キーを受け入れて新しい Web 証明書を作成し、Web ゲートウェイに適用します。

(Cisco Crosswork 内で提供されるデフォルトの証明書を使用する代わりに)独自の ZTP と Web 証明書をアップロードする場合は、[編集(Edit)] 機能を使用します(証明書の編集を参照)。

始める前に

  • アップロードするすべての証明書がプライバシー強化メール(PEM)形式である必要があります。簡単に移動できるように、これらの証明書がシステム内のどこにあるかに注意してください。

  • アップロードする信頼チェーンファイルには同じファイル内の階層全体(ルート CA と中間証明書)が含まれている場合があります。場合によっては、同じファイルで複数のチェーンを使用することもできます。

  • 中間キーは、PKCS1 形式または PKCS8 形式である必要があります。

  • 外部接続先の新しい証明書を追加する前に、データ送信先を設定する必要があります。詳細については、「データ宛先の追加または編集」を参照してください。

  • 複数の送信先を持つ証明書を追加または更新する場合は、送信先に対して収集ジョブが設定されていないことを確認します。

  • tyk サービスが正常な状態であることを確認します。

手順

ステップ 1

メインメニューから [管理(Administration)] > [証明書管理(Certificate Management)] を選択し、[追加(Add)] アイコン をクリックします。

ステップ 2

署名書の一意の名前を入力します。

ステップ 3

[証明書のロール(Certificate Role)] ドロップダウンメニューから、証明書を使用する目的を選択します。詳細については、「証明書のタイプと使用方法」を参照してください。

(注)  

 

[外部接続先(External Destination)] 証明書を追加または更新するときに、使用可能な接続先(Kafka/gRPC)を選択できます。

ステップ 4

[参照(Browse)] をクリックして証明書の信頼チェーンに移動します。

ステップ 5

[外部接続先(External Destination)] 証明書の場合は、1 つ以上の接続先を選択し、CA 証明書の信頼チェーン、中間証明書、および中間キーを指定する必要があります。パスフレーズフィールドはオプションで、中間キーの作成に使用されます(該当する場合)。

ステップ 6

[保存(Save)] をクリックします。

(注)  

 

アップロードされると、Crosswork 証明書マネージャはサーバー証明書を受け入れ、検証し、生成します。検証が成功すると、アラーム(「Crosswork Web サーバーの再起動(Crosswork Web Server Restart)」)によって証明書が適用されようとしていることが示されます。証明書管理 UI は自動的にログアウトし、証明書を Web ゲートウェイに適用します。新しい証明書を確認するには、https://<crosswork_ip>:30603 の横にあるロック <Not Secure>/<secure> アイコンをクリックします。

証明書の編集

Crosswork Network Controller では、中間認証局(CA)証明書をインポートすることで Web 証明書を更新できます。証明書を編集して、接続先を追加または削除したり、期限切れまたは誤って設定された証明書をアップロードまたは置換できます。これは、ユーザー指定の証明書、ZTP 証明書および Web 証明書に適用されます。一方、Cisco Crosswork が提供するシステム証明書は変更できず、選択できません。

Crosswork Network Controller では、Web 証明書のクライアント認証を設定することもできます。クライアント認証は、Crosswork でユーザー認証を設定するための代替方法を提供し、クライアントとサーバーの両方がアイデンティティを検証するためのデジタル証明書を提示する必要があります。この機能を有効にすると、よりシームレスなログインエクスペリエンスをユーザーに提供できます。

また、この手順に従って証明書を「削除」して証明書を置き換えるか、または割り当てられた接続先のセキュリティを無効にする([セキュアな通信を有効にする(Enable Secure Communication)] オプションを無効にする)こともできます(「データ宛先の追加または編集」を参照)。Cisco Crosswork システムからの証明書の永続的な削除はサポートされていません。

始める前に

  • 証明書を更新すると、クライアント認証に使用される既存の証明書信頼チェーンが破壊される可能性があるため、慎重に操作を進めてください。

  • このプロセスでは Crossworkサーバーを再起動する必要があるため、完了するまで数分かかります。

  • クライアント認証を有効にするには、AAA モードをローカルに設定します。

手順

ステップ 1

メインメニューから、[管理(Administration)] > [証明書の管理(Certificate Management)] を選択し、[証明書の管理(Certificate Management)] ウィンドウを表示します。

ステップ 2

証明書を更新するには、次の手順を実行します。

  1. 変更する証明書で をクリックし、[証明書の更新(Update certificate)] を選択します。

  2. 更新する証明書に基づいて、フィールドに適切な値を入力します。詳細については、フィールドの横にある [フィールドヘルプ(Field Help)] アイコン アイコンをクリックします。

    表 1. 証明書を更新する(Update Certificate)

    証明書タイプ

    必須フィールド

    CrossworkZTPデバイスSUDI(Crosswork-ZTP-Device-SUDI)

    • [Cisco M2 CA 証明書(Cisco M2 CA Certificate)]:セキュアな通信のために、信頼できる CA 証明書を PEM 形式でアップロードできます。ファイルの拡張子は .PEM または .CRT である必要があります。

    Crosswork ZTP所有者(Crosswork-ZTP-Owner)

    • [ドメインCA証明書のピン留め(Pin Domain CA Certificate)] :セキュアな通信のために、信頼できる CA 証明書を PEM 形式でアップロードできます。ファイルの拡張子は .PEM または .CRT である必要があります。

    • [所有者証明書(Owner certificate)]:エンドエンティティ サーバーまたはリーフの証明書用に、信頼できる CA によって発行された証明書をアップロードできます。ファイルの拡張子が .PEM または .CRT であることを確認してください。

    • [所有者キー(Owner key)]:Crosswork リーフ 証明書を生成するために中間証明書によって使用されるキー。ファイルの拡張子は .KEY、.PEM、または .CRT である必要があります。

    Crosswork Web証明書(Crosswork-Web-Cert)

    • [Crosswork web CA]:ルート CA 証明書と中間証明書を 1 つ以上含むか、まったく含んでいない信頼チェーンファイル(PEM 形式)。

    • [Crosswork Web 中間(Crosswork web intermediate)]:ルート CA 証明書で署名された中間 CA 証明書。

    • [Crosswork Web 中間キー(Crosswork web intermediate Key)]:中間 CA 証明書に関連付けられているキー。

    検証が成功すると、証明書管理 UI が自動的にログアウトし、Web ゲートウェイに証明書を適用します。

  3. [保存(Save)] をクリックして、変更内容を保存します。

ステップ 3

Web 証明書のクライアント証明書認証を有効にするには、次の手順を実行します。

  1. 変更する Crosswork Web 証明書で をクリックし、[クライアント証明書による認証の設定(Configure client certificate authentication)] を選択します。

    [クライアントの認証の設定(Configure Client Authentication)] ウィンドウが表示されます。

  2. [有効(Enable)] チェックボックスをクリックします。

    [証明書のスキーマ(Certificate schema)] と [OCSP] の設定が表示されます。

    [OCSP] の設定はデフォルトで有効になっていますが、必要に応じて無効にすることができます。有効にした場合、オンライン証明書ステータスプロトコル(OCSP)を使用して、証明書の失効ステータスを確認できます。

  3. [証明書のスキーマ(Certificate schema)] の値を選択します。

    • [自動(Automatic)]: サブジェクト代替名領域でユーザープリンシパル名(UPN)を検索します。UPN が見つからない場合、システムは共通名の値を使用します。これはデフォルトの選択肢です。

    • [手動(Manual)]: ユーザー アイデンティティ ソースと指定された正規表現に基づいて、サブジェクト領域でユーザー名を検索します。

  4. (オプション) [OCSP] の値を選択します。

    • [自動(Automatic)]: 証明書からレスポンダのURLを抽出し、それを使用してOCSP検証を実行します。

    • [手動(Manual)]:OCSP レスポンダの URL を指定する必要があります。

  5. [保存(Save)] をクリックして、変更内容を保存します。

ステップ 4

1 ステップで証明書を更新してクライアント認証を設定するには、次の手順を実行します。

  1. 変更する Crosswork Web 証明書で をクリックし、[証明書の更新とクライアント認証の設定(Update Certificate and Configure Client Authentication)] を選択します。

    [証明書の更新とクライアント認証の設定(Update Certificate and Configure Client Authentication)] ウィンドウが表示されます。

    (注)  

     

    証明書を更新してクライアント認証を設定する複合オプションを選択すると、Crosswork サーバーの再起動中のダウンタイムが最小限に抑えられます。これは、これらのアクションを個別に実行した場合は再起動が 2 回発生するのに対し、この複合オプションでは再起動が 1 回しか発生しないためです。

  2. ステップ 2 とステップ 3 の指示に従ってデータを入力します。

  3. [保存(Save)] をクリックして、変更内容を保存します。

証明書のダウンロード

証明書をエクスポートするには、次の手順を実行します。

手順

ステップ 1

メインメニューから [管理(Administration)] > [証明書管理(Certificate Management)] を選択します。

ステップ 2

ダウンロードする証明書の Details icon をクリックします。

図 3. 証明書のエクスポート
証明書のエクスポート

ステップ 3

ルート証明書、中間証明書、および秘密キーを個別にダウンロードするには、[Export] アイコン をクリックします。証明書と秘密キーすべてを一度にダウンロードするには、[すべてエクスポート(Export All)] をクリックします。

証明書の更新

Kubernetes 証明書の更新

証明書は、有効期限が切れるまで 1 年間有効です。証明書を更新した後、他の操作を再開する前に、ポッドが正常であることを確認します。


(注)  

有効期限が切れる前に証明書を更新する場合は、クラスタが動作状態にあるため、メンテナンスウィンドウ中にこのアクティビティを実行することをお勧めします。

証明書を更新するには、次の手順を実行します。

始める前に

  • サーバーの SSH ログインパスワードを含むプレーンテキストファイルをローカルマシンに作成します(password.txt など)。

  • クラスタ内のハイブリッドノードとワーカーノードの管理 IP アドレスをすぐに使用できるようにしておきます。

手順

ステップ 1

Crosswork Network Controller のバックアップを作成します。

ステップ 2

いずれかのハイブリッドノードにログインします。

ステップ 3

次のコマンドを実行します。

注目

 

次のコマンドには、表示するために改行が挿入されています。実行する前に、これらの改行を削除してください。

 
renew_k8s_cert --hybrid=hybridNodeMgmtIP1,hybridNodeMgmtIP2,hybridNodeMgmtIP3 
--worker=workerNodeMgmtIP1,workerNodeMgmtIP2,workerNodeMgmtIP3 --user=<ssh-username> --passwdfile=<passfile-path>

パラメータをクラスタ内のノードの管理 IP アドレスに置き換えます。

  • HybridNodeMgmtIP:ハイブリッドノードの管理 IP。

  • workerNodeMgmtIP:ワーカーノードの管理 IP。クラスタ内のワーカーノードの数に応じて、このパラメータを追加できます。ワーカーノードが存在しない場合は、このパラメータをスキップできます。

  • ssh-username:SSH ユーザー名

  • passfile-path:SSH ログインパスワードを含んでいるプレーンテキストファイルのパス。

次に例を示します。

  • 6 ノードクラスタの例: 

    renew_k8s_cert --hybrid=10.10.10.101,10.10.10.102,10.10.10.103 
--worker=10.10.10.104,10.10.10.105,10.10.10.106 --user=cw-admin --passwdfile=/home/cw-admin/password.txt

  • 3 ノードクラスタの例: 

    renew_k8s_cert --hybrid=10.10.10.101,10.10.10.102,10.10.10.103  --user=cw-admin --passwdfile=/home/cw-admin/password.txt

  • 単一 VM 展開の例: 

    renew_k8s_cert --hybrid=10.10.10.101  --user=cw-admin --passwdfile=/home/cw-admin/password.txt

内部証明書の自動更新

Crosswork CA は、Day 0 展開(Geo HA および非 Geo HA)用に、ルート証明書、中間 CA 証明書、リーフ証明書を含む TLS 証明書チェーンを生成します。リーフ証明書は 2 年間有効です。一方、ルートおよび中間 CA 証明書は 5 年間有効です。2 年を超えて Crosswork を導入しているお客様は、証明書の有効期限が切れ、TLS 通信が中断され、クラスタの運用が影響を受けます。自動更新は、NATS、Kafka、およびアプリケーション固有の内部証明書を含む、内部で生成されたすべての Crosswork 証明書に適用されます。

更新アラートは、有効期限が 60 日未満の場合にのみ生成されます。1 つの内部証明書の有効期限が切れて更新されると、そのタイプのすべての内部証明書が更新されます。たとえば、リーフ証明書が更新されると、プロセスにより他のすべてのリーフ証明書も更新されます。


重要

Geo HA 展開の場合:

  • Geo HA 展開の場合、証明書の更新はアクティブな AZ クラスタでトリガーされます。内部的に、TLS マネージャが、クラスタで Geo 冗長性が有効になっているか無効になっているかを判断し、証明書の更新を一方のクラスタで実行するか、または両方の Geo HA クラスタで実行するかを決定します。アクティブクラスタで更新ジョブが完了すると、ジョブは数分の遅延の後にスタンバイクラスタで自動的に実行されます。ジョブの進行状況は、スタンバイクラスタにアラームイベントとともに表示されます。

証明書の更新プロセスにより、約 30 分から 1 時間のダウンタイムが発生する可能性があります。クラスタ運用の中断を避けるために、このアクティビティはメンテナンス期間中に実行することをお勧めします。

内部証明書を更新するには、次の手順を実行します。

手順

ステップ 1

メインメニューから [管理(Administration)] > [証明書管理(Certificate Management)] を選択します。[証明書の管理(Certificate Management)] ウィンドウが表示されます。内部証明書の有効期限が近づいている場合は、証明書の更新を求めるメッセージが表示されます。

(注)  

 

証明書の有効期限に関するアラートは、ログイン時に Crosswork ダッシュボードに表示されます。これらのアラートは、証明書の有効期間のさまざまな段階で生成され、有効期限が近づくにつれて重要度が高くなります。
図 4. 内部証明書の更新メッセージ

ステップ 2

[内部証明書の更新(Renew Internal Certificate)] をクリックします。確認ポップアップが表示されます。[更新(Renew)] をクリックして確定します。

図 5. 更新確認メッセージ

このアクションにより、REST API(/v2/cert/renew)が呼び出され、証明書の有効期限チェックが開始されます。新しい更新ジョブに関する通知が [証明書の管理(Certificate Management)] ウィンドウに表示されます。

図 6. 更新ジョブの通知

更新ジョブの進行状況は、[ジョブ(Jobs)] タブで確認できます。ジョブが完了すると、正常に完了したことを示す情報アラームイベントが発生します。このアラームを手動でクリアすると、イベントを確認したことになります。プロセス中にエラーが発生すると、ジョブは失敗します。ただし、この API にはべき等性があるため、ジョブを再度トリガーできます。

ステップ 3

Geo HA 展開の場合:証明書の更新が正常に完了したら、アクティブクラスタとスタンバイクラスタの間でオンデマンドまたは定期的な同期を実行し、非同期レプリケーションがセキュアなチャネルを介して再確立されるようにします。

ステップ 4

更新ジョブが完了したら、次の手順を実行して、Crosswork と他の外部コンポーネント間で TLS 通信が維持されるようにします。

  1. Crosswork と Crosswork Data Gateway:新しく再作成した controller.pem 署名証明書を dg-admin ユーザーとして Crosswork Data Gateway に再インポートします。詳細については、証明書のインポートを参照してください。このアクションにより、データ ゲートウェイ インスタンスの削除が防止され、デバイスの切断と再接続が回避され、収集およびその他のオフロード操作の継続が保証されます。

    (注)  

     

    このアクションは、Crosswork Data Gateway day-N の有効化の一部としても実行されます。

  2. Crosswork Data Gateway - デバイスの syslog:デバイスの syslog ルート証明書と中間証明書が更新された場合、ユーザーはこれらの証明書を手動でエクスポートしてすべてのデバイスで再設定する必要があります。内部で生成された Crosswork CA 証明書の場合は、新しいデバイス syslog ルート証明書および中間 CA 証明書をエクスポートし、それらを IOS XR/XE デバイスの CA トラストポイントとして設定します。詳細については、 Syslog 収集ジョブの IOS XE および IOS XR の手順を参照してください。

    デバイスの syslog ルート証明書と中間証明書の更新がある場合、ユーザーはこれらの証明書をデバイスに手動でエクスポートする必要があります。

  3. 外部接続先/サーバー認証 CA:外部接続先およびサーバー認証 CA 証明書を Crosswork に再アップロードします。

  4. Cisco NSO:再生成された Crosswork Web サーバー証明書を Crosswork UI ブラウザからエクスポートして設定し、NSO サーバーに保存します。詳細については、 スタンドアロン NSO の設定の項の手順 1b を参照してください。

ライセンスの管理

シスコ スマート ライセンシングは、シスコ ポートフォリオ全体および組織全体でソフトウェアをより簡単かつ迅速に一貫して購入および管理できる柔軟なライセンス モデルです。また、これは安全です。ユーザーがアクセスできるものを制御できます。スマート ライセンスを使用すると、次のことが可能になります。

  • 簡単なアクティベーション:スマートライセンスは、組織全体で使用できるソフトウェアライセンスのプールを確立します。PAK(製品アクティベーションキー)は不要です。

  • 管理の統合:My Cisco Entitlements(MCE)は、使いやすいポータルですべてのシスコ製品とサービスの完全なビューを提供するので、取得したもの、使用しているものを常に把握できます。

  • ライセンスの柔軟性:ソフトウェアはハードウェアにノードロックされていないため、必要に応じてライセンスを簡単に使用および転送できます。

スマートライセンスを使用するには、まず Cisco Software Central でスマートアカウントを設定する必要があります(software.cisco.com)。Cisco スマートアカウントは、スマート対応製品のリポジトリを提供し、シスコライセンスの有効化、ライセンスの使用状況の監視、およびシスコ製品購入の追跡を可能にします。Cisco Smart Software Manage(CSSM)を使用すると、一元化された 1 つの Web サイトから Cisco スマートソフトウェアのすべてのライセンスを管理できます。Cisco Smart Software Manager では、ライセンスを管理するためにスマートアカウント内で複数のバーチャルアカウントを作成および管理できます。シスコライセンスの詳細については、cisco.com/go/licensingguide を参照してください。

メインメニューから [管理(Administration)] > [スマートライセンス(Smart Licenses)] を選択し、[アプリケーション管理(Application Management)] ウィンドウの下に [スマートライセンス(Smart License)] タブを表示します。 [スマートライセンス(Smart License)] タブで、Crosswork ネットワークコントローラ アプリケーションの登録、トランスポート設定の編集、ライセンスの更新、アプリケーションの登録解除を行うことができます。


重要

管理対象外デバイスはすべて、Crosswork ライセンスに関連付けられたデバイス制限に対してカウントされます。これを防ぐには、Crosswork UI で管理対象外デバイスを削除します。

(注)  

ラボシステムのライセンスは、実稼働環境のライセンスと同じプロセスで取得されます。90 日間のトライアル期間以降にラボのライセンスが必要な場合は、アカウントチームまたはシスコパートナーと調整して、適切なライセンスの発行を依頼してください。

Crosswork Optimization Engine の追跡ノード数

Crosswork Optimization Engine では、ノード数は次の場合に報告されます。

  • 次のポッドの初期インストールとスタートアップ後:Crosswork UI、RESTCONF、またはいずれかの機能パック(ローカル輻輳緩和、オンデマンド帯域幅、または回線型マネージャ)。

  • ポッドの手動再起動

  • 毎日の固定時刻(1:00 AM)

転送設定

トランスポート設定を構成して、Crosswork ネットワークコントローラ とシスコのサーバーとの通信方法を決定します。


(注)  

トランスポート設定は、Crosswork 製品が登録モードになっている間は変更できません。変更するには登録を解除する必要があります。

手順

ステップ 1

[スマートライセンス(Smart License)] タブの [トランスポート設定(Transport Settings)] に、現在選択されているトランスポートモードが表示されます。変更するには、[表示/編集(View/Edit)] をクリックします。

[トランスポート設定(Transport Settings)] ダイアログボックスが表示されます。

図 7. [トランスポート設定(Transport Settings)] ダイアログボックス

ステップ 2

関連するトランスポートモードを選択し、表示されたフィールドに関連するエントリを入力します。

  • [直接(Direct)]:アプリケーションは Cisco Smart Software Manager(CSSM)に直接接続します。

  • [オンプレミスSmart Software Manager(On-prem Smart Software Manager)]:アプリケーションは CSSM オンプレミスを介して通信し、すべてのユーザー通信がオンプレミスで行われるようにします。CSSM オンプレミスオプションの詳細については、『Smart Software Manager guide』を参照してください。

  • [HTTP/HTTPS ゲートウェイ(HTTP/HTTPS Gateway)]:アプリケーションは中間プロキシサーバーを介して接続します。これは、直接モードにのみ適用されます。

ステップ 3

[保存(Save)] をクリックします。

Crosswork ネットワークコントローラ アプリケーションの登録

ライセンス機能を有効にするには、登録 ID トークンまたは予約済みライセンスを使用して Crosswork ネットワークコントローラ アプリケーションを CSSM に登録する必要があります。登録されると、ID 証明書はスマートアカウントに安全に保存され、進行中のすべての通信に使用されます。証明書は 1 年間有効で、6 ヵ月後に自動的に更新されて継続的な運用が保証されます。


(注)  

登録トークンの生成については、Smart Software Manager の Web ページで提供されているサポートリソースを参照してください。

Crosswork は、Crosswork のソリューションベースの利用資格の登録もサポートしています。

手順

ステップ 1

メインメニューから [管理(Administration)] > [スマートライセンス(Smart Licenses)] を選択し、[スマートライセンス(Smart Licenses)] タブを表示します。

登録ステータスとライセンス認証ステータスは、それぞれ [未登録(Unregistered)] と [評価(Evaluation)] モードになります。

図 8. スマート ソフトウェア ライセンスの未登録の例

ステップ 2

[Crosswork製品を選択(Select Crosswork Product)] ドロップダウンリストをクリックし、製品を選択します。特定のアプリケーションを登録する場合は、リストからアプリケーションを選択します。

  • ソリューションベースのライセンスを使用して登録する場合は、[Crosswork Network Controller] を選択します。
  • 特定のアプリケーションを登録する場合は、リストからアプリケーション名を選択します。

重要

 

ソリューションベースのライセンスまたはアプリケーション固有のライセンスのいずれかを使用してアプリケーションを登録できますが、両方を使用することはできません。すでにライセンスが付与されている製品を登録しようとすると、エラーが表示され、以前のライセンスの登録を解除するように求められます。選択したライセンスのタイプ(ソリューションベースまたはアプリケーションベース)に応じて、それぞれの利用資格が表示されます。

ステップ 3

[スマートソフトウェアライセンス(Smart Software Licensing)] ダイアログボックスで、[登録(Register)] をクリックします。

[スマート ソフトウェア ライセンス製品の登録(Smart Software Licensing Product Registration)] ダイアログボックスが表示されます。[トークン経由で登録(Register via token)] オプションボタンがデフォルトで選択されています。

図 9. [スマートソフトウェアライセンシング製品登録(Smart Software Licensing Product Registration)] ダイアログボックス

ステップ 4

[製品インスタンス登録トークン(Product Instance Registration Token)] フィールドに、スマートアカウントから生成された登録トークンを入力します。トークン ID が正確で、有効期間内であることを確認します。詳細については、「https://www.cisco.com/c/en_in/products/software/smart-accounts/software-licensing.html」を参照してください。

ステップ 5

(オプション)アプリケーションを再登録する場合は、[すでに登録されている場合はこの製品を再登録します(Re-register this product registration if is already registered)] チェックボックスをオンにします。

(注)  

 

バックアップ復元、災害後の復元、またはデータ移行操作の後、Cisco Crosswork VM を CSSM に手動で再登録する必要があります。これは、Cisco Crosswork VM がバックアップの作成時にすでに登録されていて、復元操作で使用されている場合に適用されます。

ステップ 6

[登録(Register)] をクリックします。登録の処理には数分かかる場合があります。成功すると、「製品登録が正常に完了しました(Product Registration completed successfully)」というメッセージが表示されます。

登録ステータスとライセンス認証ステータスは、それぞれ [登録済み(Registered)] と [承認済み(Authorized)] に更新されます。

(注)  

 

  • 登録エラー (「通信送信エラー」や「ライセンスクラウドからの無効な応答」など)が発生した場合は、しばらく待ってから登録を再試行してください。複数回試行してもエラーが続く場合は、シスコ カスタマー エクスペリエンス チームにお問い合わせください。

  • 登録中に通信タイムアウトエラーが発生した場合は、エラーダイアログボックスで [OK] をクリックすると、アプリケーションが登録を再試行します。

  • 場合によっては、登録が成功した後に更新されたステータスを表示するには、ページを手動で更新する必要があります。

ライセンスアクションの手動での実行

Crosswork ネットワークコントローラ の場合、登録および認証の更新はデフォルトで自動的に有効になっています。ただし、アプリケーションとシスコサーバー間の通信障害が発生した場合は、これらのアクションを手動で開始できます。[アクション(Actions)] ドロップダウンボタンを使用して、アプリケーションを手動で更新、再登録、および登録解除できます。

手順

ステップ 1

[スマートライセンス(Smart License)] タブで、[アクション(Actions)] ドロップダウンボタンをクリックし、次のクイックアクションに関連するオプションを選択します。

図 10. [アクション(Actions)] ドロップダウンメニュー

  1. [アクション(Actions)] > [認証の更新(Renew Authorization)]:30 日の終わりに自動更新サービスが失敗した場合に手動で認証を更新します。

  2. [アクション(Actions)] > [登録の更新(Renew Registration)]:6 か月の終わりに自動更新サービスが失敗した場合に手動で登録を更新します。

  3. [アクション(Actions)] > [再登録(Re-register)]:登録トークンの期限切れなどの理由で、アプリケーションを再登録します。

  4. [アクション(Actions)] > [登録解除(De-register)]:トランスポート設定を変更する必要があるなどの場合に、アプリケーションの登録を解除します。

    (注)  

     

    登録が解除されると、アプリケーションは [評価(Evaluation)] モード(評価期間がある場合)または [評価期限切れ(Evaluation Expired)] モードに移行します。詳細については、ライセンス認証ステータスを参照してください。

ステップ 2

選択したアクションが正常に実行されます。

オフライン予約での Cisco Crosswork アプリケーションの登録

スマートライセンスを使用する Cisco Crosswork アプリケーションは、使用情報を定期的に CSSM と共有します。CSSM に定期的に接続したくない場合は、Cisco Smart Licensing にオフライン予約のオプションが用意されています。

Crosswork Network Controller は、特定ライセンス予約(SLR)を使用します。このモードでは、予約する必要のある各資格のライセンス数を選択できます。

始める前に

スマートアカウントがあることを確認します。ない場合、「Smart Account Request」に移動し、Web サイトの指示に従います。

手順

ステップ 1

メインメニューから [管理(Administration)] > [スマートライセンス(Smart Licenses)] を選択し、[スマートライセンス(Smart License)] タブを表示します。

ステップ 2

[登録(Register)] をクリックします。

[スマート ソフトウェア ライセンス製品の登録(Smart Software Licensing Product Registration)] ダイアログボックスが表示されます。

ステップ 3

[予約済みライセンスで登録(Register via Reserved License)] オプションを選択します。

ステップ 4

[予約コード(Reservation Code)] セクションの下にある [生成(Generate)] ボタンをクリックします。予約要求コードが生成され、テキストフィールドに入力されます。[コピー(Copy)] ボタンを使用してこのコードをコピーします。

ステップ 5

Cisco Software Central の Web サイトに移動し、適切な仮想アカウントを選択します。

ステップ 6

[ライセンス(Licenses)] タブをクリックし、[ライセンス予約(License Reservation)] をクリックします。手順 4 で生成した予約要求コードを貼り付けて、[次へ(Next)] をクリックします。

ステップ 7

[ライセンスの選択(Select Licenses)] ページで、[特定のライセンス予約(Reserve a specific license)] ラジオボタンを選択し、リストから必要なライセンスを予約して、[次へ(Next)] をクリックします。

ステップ 8

[レビューと確認(Review and Confirm)] ページで [認証コードの生成(Generate Authorization Code)] をクリックします。[クリップボードにコピー(Copy to Clipboard)] ボタンを使用してコードをコピーします。

ステップ 9

Cisco Crosswork UI の [スマートソフトウェアライセンス製品の登録(Smart Software Licensing Product Registration)] ページに戻ります。表示されたテキストフィールドに認証コードを貼り付けます。

ステップ 10

[登録(Register)] をクリックします。登録の処理には数分かかる場合があります。

登録ステータスとライセンス認証ステータスは、それぞれ [登録済み(Registered)] と [承認済み(Authorized)] に更新されます。

オフライン予約の更新

[予約の更新(Update Reservation)] オプションを使用して、オフライン予約で予約されたライセンス数を更新します。

手順

ステップ 1

メインメニューから [管理(Administration)] > [スマートライセンス(Smart Licenses)] を選択し、[スマートライセンス(Smart License)] タブを表示します。製品インスタンス名を書き留めます([スマートソフトウェアライセンシングのステータス(Smart Software Licensing Status)] セクションにあります)。

ステップ 2

Cisco Software Central の Web サイトに移動し、適切な仮想アカウントを選択します。

ステップ 3

[製品インスタンス名(Product Instance Name)] に一致する製品インスタンスの名前をクリックします。

ステップ 4

[アクション(Actions)] ドロップダウンボタンをクリックし、[予約の更新(Update Reservation)] を選択します。

ステップ 5

[ライセンスの選択(Select Licenses)] ページで、[特定のライセンス予約(Reserve a specific license)] ラジオボタンを選択し、リストから必要なライセンスの数を更新して、[次へ(Next)] をクリックします。

ステップ 6

[レビューと確認(Review and Confirm)] ページで [認証コードの生成(Generate Authorization Code)] をクリックします。[クリップボードにコピー(Copy to Clipboard)] ボタンを使用してコードをコピーします。

ステップ 7

Cisco Crosswork UI の [スマートライセンス(Smart License)] ページに戻ります。[アクション(Actions)] ドロップダウンボタンをクリックし、[予約の更新(Update Reservation)] を選択します。手順 6 で生成した認証コードを貼り付け、[更新(Update)] をクリックします。

確認コードが生成されます。[スマートソフトウェアライセンシングのステータス(Smart Software Licensing Status)] セクションで確認できます。このコードをコピーします。

ステップ 8

Cisco Software Central の Web ページに戻ります。必要な製品インスタンス名をクリックします。

ステップ 9

[アクション(Actions)] ドロップダウンボタンをクリックし、[確認コードの入力(Enter Confirmation Code)] を選択します。

ステップ 10

手順 7 で生成された予約確認コードを入力/貼り付けて、[OK] をクリックします。

ライセンス数は、Cisco Crosswork UI の [スマートライセンス(Smart License)] ページで更新されます。

オフライン予約の無効化

[予約の無効化(Disable Reservation)] オプションを使用して、予約済みのライセンスをリリースします。ライセンスがリリースされると、アプリケーションは [評価(Evaluation)] モード(評価期間がある場合)または [評価期限切れ(Evaluation Expired)] モードに移行します。詳細については、ライセンス認証ステータスを参照してください。

手順

ステップ 1

メインメニューから [管理(Administration)] > [スマートライセンス(Smart Licenses)] を選択し、[スマートライセンス(Smart License)] タブを表示します。製品インスタンス名を書き留めます([スマートソフトウェアライセンシングのステータス(Smart Software Licensing Status)] セクションにあります)。

ステップ 2

[アクション(Actions)] ドロップダウンボタンをクリックし、[予約の無効化(Disable Reservation)] を選択します。

ステップ 3

[予約の無効化の確認(Confirm Disable Reservation)] ウィンドウで、[確認(Confirm)] をクリックします。

リリースコード(予約リターンコード)が生成されます。[コピー(Copy)] ボタンを使用してこのコードをコピーします。

ステップ 4

Cisco Software Central Web サイトに移動し、適切な仮想アカウントを選択します。

ステップ 5

[製品インスタンス名(Product Instance Name)] に一致する製品インスタンスの名前をクリックします。

ステップ 6

[アクション(Actions)] ドロップダウンボタンをクリックし、[削除(Remove)] を選択します。

ステップ 7

[予約の削除(Remove Reservation)] ポップアップで、手順 3 で生成した予約リターンコードを貼り付け、[予約の削除(Remove Reservation)] をクリックします。

Cisco Crosswork UI の [スマートライセンス(Smart License)] ページで、登録ステータスが [未登録(Unregistered)] 状態に更新されます。

ライセンス認証ステータス

Crosswork ネットワークコントローラ アプリケーションの登録ステータスに基づいて、次のライセンス認証ステータスが表示されます。

表 2. ライセンス認証ステータス

登録ステータス

ライセンス認証ステータス

説明

未登録

評価モード(Evaluation mode)

アプリケーションのライセンス機能を自由に使用できる 90 日の評価期間。この状態は、アプリケーションを初めて使用するときに開始されます。

評価期限切れ(Evaluation Expired)

評価期間の終了時にアプリケーションが正常に登録されませんでした。この状態の間、アプリケーション機能は無効になります。アプリケーションを使用し続けるには、登録する必要があります。

登録期限切れ(Registered Expires)

アプリケーションは、アイデンティティ証明書の有効期限が切れる前に CSSM に接続できず、未登録状態に戻りました。残りの評価期間がある場合、アプリケーションは再開します。この段階では、アプリケーションを再登録するために新しい登録 ID トークンが必要です。

登録済み

承認済み(準拠 )(Authorized (In Compliance))

アプリケーションは、予約済みのライセンス機能の使用を完全に許可されています。認証は 30 日ごとに自動的に更新されます。

コンプライアンス違反(Out of Compliance)

アプリケーションの現在の機能を使用するために予約できる十分なライセンスが関連付けられたバーチャルアカウントにありません。アプリケーションを引き続き使用するには、トークンに登録されている権限/使用制限を更新する必要があります。

認証が期限切れ(Authorization Expired)

アプリケーションが 90 日以上 CSSM と通信できず、認証の有効期限が切れています。

許可ステータス応答

このセクションでは、ステータスが「コンプライアンス違反」(Out of Compliance)または「評価期限切れ」(Evaluation Expired)の場合に Crosswork によって適用されるアクションまたはメッセージについて説明します。

この動作は、使用権(RTU)ライセンスおよび管理用(RTM)ライセンスが対象です。

表 3. 登録済みシステムのコンプライアンス違反ステータスのアクション

登録ステータス

ライセンス認証ステータス

ソリューションまたは製品

適用されるアクションまたはメッセージ

登録済み(Registered)

コンプライアンス違反(Out of Compliance)

Crosswork Network Controller(ソリューション)

アクションは実行されません。

Crosswork 最適化エンジン

アクションは実行されません。「License usage has exceeded the limit」(ライセンス使用量が制限を超えました)というライセンス状態を示すメッセージがログに記録されます。

Crosswork アクティブトポロジ

アクションは実行されません。「License usage has exceeded the limit」(ライセンス使用量が制限を超えました)というライセンス状態を示すメッセージがログに記録されます。

Crosswork Service Health

アクションは実行されません。「License usage has exceeded the limit」(ライセンス使用量が制限を超えました)というライセンス状態を示すメッセージがログに記録されます。

Crosswork Change Automation

RTU:アクションは実行されません。「License usage has exceeded the limit」(ライセンス使用量が制限を超えました)というライセンス状態を示すメッセージがログに記録されます。

Crosswork Health Insights

RTU:アクションは実行されません。「License usage has exceeded the limit」(ライセンス使用量が制限を超えました)というライセンス状態を示すメッセージがログに記録されます。

Crosswork External Collection

アクションは実行されません。

要素管理機能

RTM:アクションは実行されません(通常のトークンベース登録の場合)。
表 4. 未登録システムの評価期限切れステータスのアクション

登録ステータス

ライセンス認証ステータス

ソリューションまたは製品

適用されるアクションまたはメッセージ

未登録(Unregistered)

評価期限切れ

Crosswork Network Controller(ソリューション)

すべての UI 画面が無効になり、[スマートライセンス(Smart Licensing)] ウィンドウのみが表示されます。ユーザーは、登録が完了した後にのみ、Crosswork Network Controller を引き続き使用できます。

Crosswork 最適化エンジン

読み取り操作のみが許可されます。作成、更新、および削除操作は制限されます。

Crosswork アクティブトポロジ

アクションは実行されません。プロビジョニング UI(NSO)ワークフローへの影響はありません。

Crosswork Service Health

モニタリングを有効化または再開できません。「License evaluation expired or reservation exceeded, Service Health functionality disabled」(ライセンスの評価期限が切れたか、予約数を超過し、Service Health 機能が無効になりました」)というエラーメッセージが表示されます。

Crosswork Change Automation

RTU:プレイブックの実行は許可されません。メジャーアラームが発生します。

Crosswork Health Insights

RTU:Health Insights の使用は許可されません。「License is expired」(ライセンスの期限が切れています)というライセンス状態を示すメッセージがログに記録されます。

RTM:クリティカルアラームが発生します。

Crosswork External Collection

RTM:収集ジョブ作成操作、テンプレート収集ジョブ作成操作、および一括テンプレート収集操作の要求は拒否されます。

要素管理機能

RTM:ZTP API操作は許可されません。「Your License Evaluation Period has expired or there are no Reserved Licenses」(ライセンスの評価期限が切れたか、予約済みライセンスがありません)というエラーメッセージが表示されます。

ユーザーの管理

ベストプラクティスとして、管理者はすべてのユーザーに対して個別のアカウントを作成する必要があります。Cisco Crosswork を使用するユーザーのリストを準備します。ユーザー名と予備パスワードを決定し、それらのユーザープロファイルを作成します。ユーザーアカウントの作成時に、ユーザーがアクセスできる機能を決定するためのユーザーロールを割り当てます。「admin」以外のユーザーロールを使用する場合は、ユーザーを追加する前にユーザーロールを作成します(「ユーザーロールの作成」を参照)。

必要に応じて、NETCONF アクセスコントロールモデル(NACM)ルールを表示できます。このルールにより管理者メンバーは、選択されたグループ内のデバイスへのアクセスを許可し、他のデバイスへのアクセスを拒否することができます。

手順

ステップ 1

メインメニューから、[管理(Administration)] > [ユーザーとロール(Users and Roles)] > [ユーザー(Users)] タブを選択します。このウィンドウから、新しいユーザーの追加、既存のユーザーの設定の編集、およびユーザーの削除を行うことができます。

ステップ 2

新しいユーザーを追加するには、次の手順を実行します

  1. [追加(Add)] アイコン をクリックして必要なユーザーの詳細を入力します。

    ユーザーのデバイスアクセスグループを設定するときに、右側のペインにリストされているデバイスアクセスグループを選択して、作成する新しいユーザーに割り当てます。

    (注)  

     

    1. デフォルトでは、ALL-ACCESS デバイスアクセスグループに関連付けられているユーザーには、すべてのデバイスへのアクセス権が付与されます。

    2. 少なくとも 1 つのデバイスアクセスグループをユーザーに関連付ける必要があります。

  2. [保存(Save)] をクリックします。

ステップ 3

ユーザーを編集するには、次の手順を実行します。

  1. ユーザーの横にあるチェックボックスをクリックし、[Edit] アイコン をクリックします。

  2. 変更を加えたら、[保存(Save)] をクリックします。

ステップ 4

ユーザーを削除するには、次の手順を実行します。

  1. ユーザーの横にあるチェックボックスをクリックし、[Delete] アイコン をクリックします。

  2. [削除の確認(Confirm Deletion)] ウィンドウで、[削除(Delete)] をクリックします。

ステップ 5

ユーザーの監査ログを表示するには、次の手順を実行します。

  1. [アクション(Actions)] 列の下の アイコンをクリックし、[監査ログ(Audit Log)] を選択します。

    選択したユーザー名の [監査ログ(Audit Log)] 画面が表示されます。監査ログの詳細については、監査ログの表示 を参照してください。

ステップ 6

(オプション)ユーザーの NACM ルールを表示するには、次の手順を実行します。

  1. [アクション(Actions)] 列の下の アイコンをクリックし、[NACMルールの生成(Generate NACM Rules)] ウィンドウ [NACMルールの生成(Generate NACM Rules)] を選択します。

    選択したユーザー名の [NACMルール(NACM Rules)] 画面が表示されます。

    Crosswork Network Controller で NSO サービスが設定されている場合は、ユーザーの [アクション(Actions)] 列の下にある アイコンをクリックし、[NACMルールの生成(Generate NACM Rules)] を選択することで、NACM ルールを生成できます。これにより、デバイスレベルの NACM 制御が NSO ワークフローと統合されます。デバイスアクセスグループと、関連付けられたユーザーの一意の組み合わせごとに、次のものがあります。

    • ユーザーに関連付けられている NACM グループ。

    • ユーザーに関連付けられた、対応する NACM ルールリスト。

    ルールは、選択されたデバイスアクセスグループ内のデバイスへのアクセスを許可し、他のデバイスへのアクセスを拒否します。XML ルールファイルをコピーし、NSO NACM ルールの構成セットアップに追加できます。[デバイス管理(Device Management)] > [ネットワークデバイス(Network Devices)] にある [NSOアクション(NSO Actions)] タブで使用可能なオプションも、ユーザーの デバイスアクセスグループ権限に基づいて制限されます。

    また、Crosswork 監査ログと NSO コミットログを表示して、NACM ルールを使用してユーザーのアクティビティを追跡および検証し、トレーサビリティを確保します。

インストール時に作成された管理ユーザー

インストール時に、Crosswork は 2 つの特別な管理 ID を作成します。

  1. ユーザー名が cw-admin で、デフォルトのパスワードが admin仮想マシン管理者。データセンター管理者はこの ID を使用してログインし、 Crosswork サーバーをホストしている VM をトラブルシューティングします。

  2. ユーザー名が admin でデフォルトのパスワードが adminCisco Crosswork 管理者。製品管理者は、この ID を使用してログインし、ユーザーインターフェイスを設定し、新しいユーザー ID の作成などの特別な操作を実行します。

両方の管理ユーザー ID のデフォルトパスワードは、最初に使用するときに変更する必要があります。

ユーザーロール、機能カテゴリ、および権限

[ロール(Roles)] ウィンドウでは、適切な権限を持つユーザーがカスタムユーザーロールを定義できます。デフォルトの admin ロールと同様に、カスタムユーザーロールは次の要素で構成されます。

  • 「Operator」や「admin」などの一意の名前。

  • 選択した、名前付きの 1 つ以上の機能カテゴリ。そのロールを持つユーザーが、API によって制御されている特定の Cisco Crosswork 機能を実行するために必要なその API にアクセスできるかどうかを制御します。

  • 選択した 1 つ以上の権限。そのロールを持つユーザーが機能カテゴリ内で実行できる操作の範囲を制御します。

ユーザーロールが機能カテゴリにアクセスできるようにするには、そのカテゴリとその基盤となる API が選択済みであることがそのロールの [ロール(Roles)] ページに表示されている必要があります。機能カテゴリが未選択としてユーザーロールに表示されている場合、このロールが割り当てられているユーザーは、その機能領域にアクセスすることはできません。

一部の機能カテゴリは、1 つのカテゴリ名で複数の API をグループ化します。たとえば、「AAA」カテゴリは、パスワードの変更、リモート認証サーバーの統合、およびユーザーとロールの管理の API へのアクセスを制御します。このタイプのカテゴリでは、一部の API を選択しないままにして、それら API へのアクセスを拒否する一方で、他の API を選択してカテゴリ内のそれらの API へのアクセスを提供することができます。たとえば、自身のパスワードを変更できても、リモート AAA サーバーのインストールを統合するための設定を表示または変更できない、または新しいユーザーとロールを作成できない「オペレータ」ロールを作成する場合は、「AAA」というカテゴリ名を設定し、[リモート認証サーバー統合 API(Remote Authentication Server Integration API)] チェックボックスと [ユーザーおよびロール管理 API(Users and Role Management API)] チェックボックスをオフにします。

選択したカテゴリの各ロールについて、[ロール(Roles)] ページでは、基盤となる各機能 API に対する権限を定義することもできます。

  • [読み取り(Read)] 権限では、ユーザーはその API によって制御されているオブジェクトを表示および操作できますが、オブジェクトの変更や削除はできません。

  • [書き込み(Write)] 権限では、ユーザーはその API によって制御されているオブジェクトを表示および変更できますが、削除はできません。

  • [削除(Delete)] 権限では、その API によって制御されているオブジェクトに対する削除権限がユーザーロールに付与されます。削除権限は、Crosswork プラットフォームとそのアプリケーションによって設定された基本的な制限を上書きしないことに注意してください。

必要に応じて権限を混在させることもできます。

  • ユーザーアクセス用の API を選択する場合は、その API に少なくとも「読み取り」権限を付与する必要があります。

  • ユーザーアクセス用の API を選択すると、Cisco Crosswork はそのユーザーがその API に対するすべての権限を持つことを想定し、自動的に 3 つの権限すべてを選択します。

  • [読み取り(Read)] を含むすべての権限をオフにすると、Cisco Crosswork は API へのアクセスを拒否すると想定し、選択が解除されます。

ベスト プラクティス:

カスタムユーザーロールを作成する場合は、次のベストプラクティスに従うことをお勧めします。

  • Crosswork の展開全体のメンテナンスと管理のための管理を明示的に担当する管理者ユーザーのロールでの [削除(Delete)] 権限を制限します。

  • すべての Cisco Crosswork API を使用する開発者のロールには、管理者ユーザーと同じ権限が必要です。

  • Cisco Crosswork を使用してネットワークの管理に積極的に関与しているユーザーには、少なくとも [読み取り(Read)] 権限と [書き込み(Write)] 権限をロールに適用します。

  • システムアーキテクトまたはプランナーとしての業務に役立つデータのみを表示する必要があるユーザーのロールには、読み取り専用アクセス権を付与します。

次の表に、作成を検討する必要があるカスタムユーザーロールの例を示します。

表 5. カスタムユーザーロールの例

ロール

説明

カテゴリ/API

権限

オペレータ

アクティブ ネットワーク マネージャ。KPIアラートに応じてプレイブックをトリガーします。

すべて

読み取り、書き込み

モニター

アラートのみをモニターします

Health Insights、インベントリ、トポロジ

読み取り専用

API インテグレータ

すべて

すべて

すべて

(注)  

管理者ロールには読み取り、書き込み、および削除の権限を含める必要があり、読み取り/書き込みロールには読み取りと書き込みの両方の権限を含める必要があります。ゼロタッチプロビジョニング機能を使用するには、すべての ZTP API にアクセスする必要があります。

ユーザーロールの作成

手順

ステップ 1

メインメニューから、[管理(Administration)] > [ユーザーとロール(Users and Roles)] > [ロール(Roles)] タブを選択します。

[ロール(Roles)] ウィンドウの左側には [ロール(Roles)] テーブル、右側には対応する [グローバルAPI権限(Global API Permissions)] テーブルがあり、選択したロールのユーザー権限のグループ化が表示されます。

ステップ 2

[ロール(Roles)] テーブルで、[追加(Add)] アイコン をクリックしてテーブルに新しいロールエントリを表示します。

ステップ 3

新しいロールに一意の名前を入力します。

ステップ 4

ユーザロールの権限設定を定義するには、[グローバルAPI権限(Global API Permissions)] タブを選択し、次の手順を実行します。

  1. このロールを持つユーザーがアクセスできるすべての API のチェックボックスをオンにします。API は、対応するアプリケーションに基づいて論理的にグループ化されます。

  2. API ごとに、適切なチェックボックスをオンにして、ユーザーロールに [読み取り(Read)]、[書き込み(Write)]、および [削除(Delete)] の権限があるかどうかを定義します。API グループ全体(AAA など)を選択することもできます。グループ内のすべての API が選択され、これらの API には [読み取り(Read)]、[書き込み(Write)]、および [削除(Delete)] の権限が事前に選択されています。

ステップ 5

[保存 (Save)] をクリックして、新しいロールを作成します。

新しいユーザーロールを 1 つ以上のユーザー ID に割り当てるには、ユーザー ID の [ロール(Role)] の設定を編集します(「ユーザーロールの編集」を参照)。

ユーザーロールの複製

既存のユーザーロールの複製は、新しいユーザーロールの作成と同じですが、権限を設定する必要はありません。必要に応じて、複製されたユーザーロールに元のユーザーロールのすべての権限を継承させることができます。

ユーザーロールの複製は、多数の新しいユーザーロールをすばやく作成して割り当てるための便利な方法です。次の手順に従って、既存のロールを複数回複製できます。複製されたユーザーロールの権限の定義はオプションの手順です。複製されたロールに新しい名前を付ける必要があるだけです。必要に応じて、ユーザーグループに実行するロールを示す名前を割り当てることができます。次に、そのユーザーグループのユーザー ID を編集して、新しいロールを割り当てます(「ユーザーの管理」を参照)。後で、ロール自体を編集してユーザーに必要な権限を付与できます(「ユーザーロールの編集」を参照)。

手順

ステップ 1

メインメニューから、[管理(Administration)] > [ユーザーとロール(Users and Roles)] > [ロール(Roles)] タブを選択します。

ステップ 2

既存のロールをクリックします。

ステップ 3

[ユーザーロールの複製(User Role Clone)] をクリックして、元のロールのすべての権限を持つ新しい重複エントリを [ロール(Roles)] テーブルに作成します。

ステップ 4

複製したロールに一意の名前を入力します。

ステップ 5

(オプション)ロールの設定を定義します。

  1. 複製したロールがアクセスできるすべての API のチェックボックスをオンにします。

  2. 各 API について、適切なチェックボックスをオンにして、クローンロールに [読み取り(Read)]、[書き込み(Write)]、および [削除(Delete)] の権限があるかどうかを定義します。API グループ全体(AAA など)を選択することもできます。グループ内のすべての API が選択され、これらの API には [読み取り(Read)]、[書き込み(Write)]、および [削除(Delete)] の権限が事前に選択されています。

ステップ 6

[保存 (Save)] をクリックして、新たに複製したロールを作成します。

ユーザーロールの編集

管理者権限を持つユーザーは、デフォルトの admin ロール以外のユーザーロールの権限をすばやく変更できます。

手順

ステップ 1

メインメニューから、[管理(Administration)] > [ユーザーとロール(Users and Roles)] > [ロール(Roles)] タブを選択します。

ステップ 2

左側のテーブルで既存のロールをクリックして選択します。右側の [グローバルAPI権限(Global API Permissions)] タブに、選択したロールの権限設定が表示されます。

ステップ 3

ロールの設定を定義します。

  1. ロールがアクセスできるすべての API のチェックボックスをオンにします。

  2. API ごとに、適切なチェックボックスをオンにして、ロールに [読み取り(Read)]、[書き込み(Write)]、および [削除(Delete)] の権限があるかどうかを定義します。API グループ全体(AAA など)を選択することもできます。グループ内のすべての API が選択され、これらの API には [読み取り(Read)]、[書き込み(Write)]、および [削除(Delete)] の権限が事前に選択されています。

ステップ 4

完了したら、[保存(Save)] をクリックします。

ユーザーロールの削除

管理者権限を持つユーザーは、デフォルトの admin ユーザーロールではないユーザーロール、または現在ユーザー ID に割り当てられていないユーザーロールを削除できます。1 つ以上のユーザー ID に現在割り当てられているロールを削除する場合は、それらのユーザー ID を編集して別のユーザーロールに割り当てる必要があります。

手順

ステップ 1

メインメニューから、[管理(Administration)] > [ユーザーとロール(Users and Roles)] > [ロール(Roles)] タブを選択します。

ステップ 2

削除するロールをクリックします。

ステップ 3

[Delete] アイコン をクリックします。

ステップ 4

[削除(Delete)] をクリックして、ユーザーロールの削除を確定します。

グローバル API 権限

[ロール(Roles)] ウィンドウでは、適切な権限を持つユーザーがカスタムユーザーロールを定義できます。

次の表は、Cisco Crosswork のさまざまなグローバル API 権限の概要です。

表 6. グローバル API 権限のカテゴリ

カテゴリ

グローバル API 権限

説明

AAA

パスワード変更 API

パスワードを管理する権限を提供します。読み取りおよび書き込みアクセス許可は、デフォルトで自動的に有効になります。削除アクセス許可は、パスワード変更操作には適用されません(パスワードは削除できません。変更のみが可能です)。

リモート認証サーバー統合 API

Crosswork でリモート認証サーバー構成を管理する権限を提供します。構成を表示/読み取るには読み取りアクセス許可が必要です。また、外部認証サーバー(LDAP、TACACS など)の構成を Crosswork に追加/更新するには、書き込みアクセス許可が必要です。削除アクセス許可は、これらの API には適用されません。

ユーザーとロールの管理 API

ユーザー、ロール、セッション、およびパスワードポリシーを管理する権限を提供します。サポートされている操作には、「新しいユーザー/ロールの作成」、「ユーザー/ロールの更新」、「ユーザー/ロールの削除」、「ユーザー/ロールのタスク詳細の更新」、「セッション管理(アイドル タイムアウト、最大セッション..)」が含まれます。 "、"パスワード ポリシーの更新"、"パスワード ツールチップのヘルプ テキストの取得"、"アクティブなセッションの取得" など。

読み取りアクセス許可ではコンテンツを表示でき、書き込みアクセス許可では作成と更新ができ、削除アクセス許可ではユーザーまたはロールを削除できます。

アラーム

アラーム API

注目

 

アラーム API は、Crosswork 6.0 リリースで廃止されました。

アラームを管理できます。

読み取りアクセス許可により、要求基準に従ってイベント/アラームを取得し、Syslog 宛先のリストを取得し、トラップ宛先のリストを取得できます。

書き込みアクセス許可により、アラームが発生または確認されたときの応答の設定、イベントの作成/発生、イベント情報マニフェストの更新、およびアラームへのメモの追加を行うことができます。

削除アクセス許可により、REST 宛先、Syslog 宛先、およびトラップ宛先を削除できます。

自動保証 DSS インスタンス

データストアサービスの管理者設定

管理者は、データストアストレージ情報(読み取りアクセス許可)を表示し、外部ストレージ(書き込みアクセス許可)の診断テストを実行できます。

データストアサービス API

長期保存のために外部ストレージを使用したり、サービスメトリクスデータをアーカイブするために Service Assurance が使用する外部データストアを管理したりできます。

読み取りアクセス許可により、ストレージプロバイダー情報の取得、ストレージ統計の確認などを行うことができます。

書き込みアクセス許可により、ローカル CW データストアを外部ストレージと同期し、診断を実行できます。

削除アクセス許可により、外部ストレージプロバイダーを削除できます。

Crosswork Network Controller

CAT FP 展開マネージャ API

関数パックのアップロードと展開を管理できます。

読み取りアクセス許可により、パッケージ、ファイル、および展開情報のリストを取得できます。

書き込みアクセス許可により、パッケージ/関数パック/ファイルをアップロード/展開/展開解除できます。

削除アクセス許可は、これらの API には適用されません。

CAT インベントリ RESTCONF API

North Bound Interface(NBI)CAT サービスインベントリデータ用の RESTCONF インターフェイス(CAT から外部コンシューマーへ)。

読み取りアクセス許可では CAT からサービス情報を取得でき、書き込みアクセス許可ではオペレーション API を呼び出して CAT からサービス情報を取得できます。削除アクセス許可は、これらの API には適用されません。

CAT ISTP REST API

システム使用のみ。

CAT UI/ISTP が機能するには、読み取り/書き込みアクセス許可が必須です。削除アクセス許可は、これらの API には適用されません。

CAT サービスオーバーレイ API

主にオーバーレイの問題を調査するために使用されます。読み取りアクセス許可のみが適用されます。

CAT UI API

CAT UI がすべての NSO サービスとリソースを取得できるようにする必須の API。

読み取りアクセス許可を使用すると、すべてのサービス情報を取得して表示できます。書き込みアクセス許可を使用すると、サービス保証情報をコミットできます。削除アクセス許可は、これらの API には適用されません。

NSO コネクタ API

サービスの再同期、完全な再同期、ログレベルの変更、およびサービスの HA ステータスを返すことができます。

読み取りアクセス許可ではサービスのステータスを確認できますが、他のすべての操作には書き込みアクセス許可が必要です。削除アクセス許可は、これらの API には適用されません。

OAM サービス API

N/A

変更自動化

管理 API

ジョブスケジューリングの管理、ログイン情報の上書きの管理、および Playbook 実行のためのユーザーロールの構成を行うための管理制御を提供します。

読み取りアクセス許可ではステータスを確認して情報を取得でき、書き込みアクセス許可では変更を行うことができます。削除アクセス許可は、これらの API には適用されません。

アプリケーション API

変更自動化タスクを管理できます(たとえば、Playbook 実行のスケジュール、Playbook の実行、Playbook ジョブの更新、Playbook 実行ステータスの確認、Playbook ジョブセットの詳細の確認、サポートされている YANG モジュールの一覧表示など)。

読み取りアクセス許可では、該当する情報を表示できます(たとえば、ジョブステータスの確認、ジョブの詳細の取得など)。一方、書き込みアクセス許可は、Playbook ジョブのスケジューリング/実行に必要です。削除アクセス許可は、これらの API には適用されません。

プレイブック API

プレイブックを管理できます。

読み取りアクセス許可により、プレイブック、パラメータ、およびポリシー仕様を取得できます。

書き込みアクセス許可により、プレイブックのインポート/エクスポート、および生成が可能になります。

削除アクセス許可により、プレイブックを削除できます。

Play API

プレイを管理できます。

読み取りアクセス許可ではプレイを取得または表示でき、書き込みアクセス許可ではプレイを作成、更新、またはインポートできます。削除アクセス許可により、プレイを削除できます。

コレクションインフラ

コレクション API

収集ジョブを管理するための API のアクセス許可。

読み取り/書き込み/削除アクセス許可に基づいて、収集ジョブの表示、新しい収集ジョブ(外部)の作成/更新、または既存の収集ジョブの削除を行うことができます。システム収集ジョブ(Crosswork 消費のために内部で設定されたデータ収集)は、これらのアクセス許可に関係なく変更できません(管理者のみに許可されます)。ただし、読み取りアクセス許可を持つユーザーは、システム収集ジョブを含むすべての収集ジョブの詳細を表示できます。

ほとんどのユーザーにとって、デバイス/センサーパスレベルごとの収集ジョブの詳細(要求とステータス)と実際のデータ収集ステータス/メトリックを表示できるため、読み取り専用のアクセス許可で十分です。

データ ゲートウェイ マネージャ API

宛先、データゲートウェイ、カスタムパッケージなどで CRUD 操作を実行するアクセス許可。

読み取りアクセス許可ではデータを表示でき、書き込みアクセス許可ではデータの追加/更新/削除ができます。

Crosswork 最適化エンジン

OPTIMA 分析 API

Crosswork Optimization Engine で分析を管理できます。

読み取りアクセス許可では履歴データを表示/エクスポートでき、書き込みアクセス許可では Traffic Engineering Dashboard の設定を変更できます。

最適化エンジン UI API

SR ポリシー、RSVP トンネル、LCM、BWoPT、BWoD、トラフィック エンジニアリング設定、およびプレビューポリシーを管理できます。

読み取りアクセス許可により、展開されたポリシー、設定、ルート、LCM ドメイン構成/データ、サービスオーバーレイデータ、パスクエリ、ダッシュボードメトリックなどを表示できます。

書き込みアクセス許可により、LCM、BWoD、BWopt の設定、ポリシーの展開、Crosswork Optimization Engine で管理するポリシーのプレビューなどを行うことができます。

削除アクセス許可により、SR ポリシー、RSVP トンネルの削除、アフィニティマッピングの削除、LCM ドメインの削除を行うことができます。

Crosswork Optimization Engine v2

最適化エンジン RESTCONF API v2

Crosswork Optimization Engine で RESTCONF インターフェイスのアクセス許可をカスタマイズできます。

読み取りアクセス許可により、L2 および L3 トポロジの詳細、およびセグメント ルーティング ポリシーの詳細を取得できます。

書き込みアクセス許可により、ポリシールートのフェッチ、SR ポリシーのプロビジョニング/変更/削除/プレビュー、および LCM 構成の管理を行うことができます。

削除アクセス許可は、これらの API には適用されません。

データゲートウェイのグローバル設定

データ ゲートウェイ グローバル パラメータ API

データゲートウェイには特定のパラメータがあり、展開内のすべてのゲートウェイに対してグローバルに変更できます。

読み取りアクセス許可ではデータを表示できますが、データをリセット/更新するには書き込みアクセス許可が必要です。

Data Gateway グローバルリソースリセット API

グローバルパラメータに対して行われた更新をリセットできます。

読み取りアクセス許可ではデータを表示できますが、書き込みアクセス許可はデータをリセット/更新します。

Data Gateway グローバルリソース更新 API

グローバルパラメータを更新できます。

読み取りアクセス許可ではデータを表示できますが、書き込みアクセス許可はデータを更新します。

データゲートウェイのトラブルシューティング

データ ゲートウェイ再起動 API

データゲートウェイを再起動します。

書き込みアクセス許可では、データゲートウェイを再起動できます。

データゲートウェイ Showtech API

データゲートウェイの showtech ログを生成してダウンロードします。

読み取りアクセス許可により showtech を表示でき、書き込みアクセス許可により showtech が生成されます。

書き込みアクセス許可により、showtech を生成できます

Health Insights

Health Insights API

Heath Insights の KPI を管理できます。

書き込みアクセス許可では、すべての KPI、KPI プロファイル、ジョブの詳細、アラートなどを表示できます。

書き込みアクセス許可により、KPI および KPI プロファイルの作成または更新、KPI プロファイルの有効化/無効化、KPI とプレイブックのリンクなどを行うことができます。

削除アクセス許可により、カスタム KPI および KPI プロファイルを削除できます。

アイコンサーバー

ICON サーバー API

トポロジおよび最適化のユースケースを対象としたインターフェイス/IP データ収集の収集設定を更新できます。

インベントリ

インベントリ API

インベントリ管理ができます。

読み取りアクセス許可により、次のことができます。

  • ノードのリスト、ノードのログイン情報、およびデータベース内のノードの数を取得します。

  • HA プール、データゲートウェイ登録、仮想データゲートウェイ、およびインベントリジョブ情報のリストを取得します。

  • ポリシー、プロバイダー、およびタグのリストを取得します。

書き込みアクセス許可では、次のことができます。

  • 仮想データゲートウェイプールへのデバイスマッピングを更新します。

  • 要求されたノードをロック/ロック解除します。

  • ノードからタグの関連付けを削除します。部分的な割り当て解除はサポートしていません。

  • 一連のデバイスへの入力データを更新します。

  • プロバイダーのオンボーディングの API エンドポイントを設定します。

  • 収集ジョブパターンの更新

削除アクセス許可により、次のことができます。

  • ログイン情報プロファイルとノードの一括削除を実行します。

  • 削除操作用の CSV をアップロードします。

  • HA プール、データゲートウェイの登録、および仮想データゲートウェイを削除します。

  • ポリシー、プロバイダー、およびタグを削除します。

プラットフォーム

プラットフォーム API

読み取りアクセス許可により、サーバーステータス、クラスタノード情報、アプリケーション ヘルス ステータス、収集ジョブステータス、証明書情報、バックアップおよび復元ジョブステータスなどを取得できます。

書き込みアクセス許可では、次のことができます。

  • xFTP サーバーのイネーブル化/ディセーブル化

  • クラスタの管理(ログインバナーの設定、マイクロサービスの再起動など)

  • クラスタリソースの再調整

  • ノードの管理(クラスタインベントリのエクスポート、VM の追加、VM 構成の適用、クラスタからの VM の削除など)

  • 証明書の管理(トラストストアと中間キーストアのエクスポート、証明書の作成または更新、Web サーバーの構成など)

  • 通常/データのみのバックアップおよび復元操作を実行します。

  • アプリケーションの管理(アクティブ化、非アクティブ化、アンインストール、パッケージの追加など)

削除アクセス許可により、VM(ID で識別される)を削除したり、ソフトウェアリポジトリからアプリケーションを削除したりできます。

分散キャッシュ API

読み取りアクセス許可により、トラブルシューティングのためにキャッシュ統計を取得できます。

API のグループ化

グループ化管理とトポロジグループの選択ツリー。

読み取りアクセス許可ではトポロジ UI を表示でき、書き込みアクセス許可ではグループの作成/更新ができます。グループ管理ページからグループを削除するには、削除アクセス許可が必要です。

(注)  

 

API のグループ化に対する読み取りアクセス許可が削除されると、グループ化ウィンドウからブロックされるだけでなく、ユーザーはトラフィック エンジニアリング、VPN サービス、およびトポロジサービスウィンドウにもアクセスできなくなります。  

API を見る

トポロジーでのビュー管理。

読み取りアクセス許可ではビューを表示でき、書き込みアクセス許可ではビューを作成/更新でき、削除アクセス許可では削除機能が有効になります。

トポロジ

地理 API

オフラインマップの地理サービスを提供します。

読み取りアクセス許可はオフラインモードで Geo Map を使用でき、書き込みアクセス許可では Geo Map ファイルをアップロードでき、削除アクセス許可は設定で地図ファイルを削除できます。

トポロジ API

トポロジページ、設定、またはトポロジ視覚化フレームワークを使用するその他のページを管理できます。

トポロジの視覚化には、読み取りアクセス許可が必須です。書き込みアクセス許可ではトポロジ設定を更新でき、削除アクセス許可ではトポロジリンクがダウンした場合に削除できます。

プロキシ

Crosswork プロキシ API

NSO Restconf NBI の Crosswork プロキシ API を管理するアクセス許可。

読み取りアクセス許可は NSO REST conf NBI のすべての GET 要求を許可し、書き込みアクセス許可は POST/PUT/PATCH 操作を許可し、削除アクセス許可はすべての削除 API を有効にします。

SWIM

SWIM NB API

SWIM リポジトリにイメージをアップロードし、デバイスに配布してインストールできます。

読み取りアクセス許可を使用すると、SWIM リポジトリからすべてのイメージを一覧表示したり、デバイスからのイメージ情報を表示したり、SWIM ジョブの詳細を確認したりできます。書き込みアクセス許可により、インストール関連のすべての操作をアップロード/配布し、実行することができます。削除アクセス許可により、コピーした画像をデバイスから削除できます。

変更自動化でソフトウェアのインストール/アンインストール Playbook を実行するには、書き込み/削除アクセス許可が必要です。

Service Health

アーカイバ API

読み取りアクセス許可により、次のことができます。

  • 特定のサービスに履歴データが存在するかどうかを確認します。

  • 特定のサービスの履歴タイムラインシリーズを取得します。

  • 選択したサービスのタイムスタンプのサービスグラフを取得します。

  • サービスメトリックデータを取得する

書き込み/削除アクセス許可は、これらの API には適用されません。

保証グラフマネージャ API

読み取りアクセス許可により、次のことができます。

  • サービスの詳細を取得します。

  • 影響を受けるサービスのリストを取得します。

  • 一致するサブサービス(トランスポートまたはデバイスのみ)のリストを取得します。

書き込み/削除アクセス許可は、これらの API には適用されません。

ヒューリスティック パッケージ マネージャ API

ヒューリスティック パッケージ管理のアクセス許可と、サービスアシュアランスのプラグインと構成プロファイルを管理するためのアクセス許可。

読み込みアクセス許可により、ヒューリスティック パッケージのエクスポート、ヒューリスティック パッケージの詳細(ルール、プロファイル、サブサービス、メトリクス、プラグイン)のクエリ、および保証オプションのクエリが可能になります。

書き込みアクセス許可により、ヒューリスティック パッケージをインポートし、すべての作成/更新操作を実行できます。

削減アクセス許可により、削除操作を実行できます(たとえば、RuleClass、MetricClass などを削除します)。

ゼロタッチ プロビジョニング

CW コンフィギュレーション サービス API

読み取りアクセス許可により、次のことができます。

  • ZTP 構成リポジトリに保存されているすべての day-0 構成ファイルを一覧表示します。

  • ZTP 構成リポジトリに保存されている 0 日目の構成ファイルの数を取得します。

  • ZTP 構成リポジトリから day-0 構成ファイルをダウンロードします。

  • CW ZTP リポジトリに保存されている Day-0 構成ファイルに関連付けられた情報に基づいて、すべてのデバイスファミリ/デバイスバージョンとデバイスプラットフォームを一覧表示します。

書き込みアクセス許可では、次のことができます。

  • 0 日目の構成ファイルまたはスクリプトを ZTP 構成リポジトリにアップロードします。

  • ZTP 設定リポジトリに保存されている特定の 0 日目の設定ファイルに関連するメタデータを一覧表示/更新します

削除アクセス許可により、ZTP 構成リポジトリにアップロードされた構成ファイルとスクリプトを削除できます。

CW イメージサービス API

読み取りアクセス許可により、次のことができます。

  • ZTP イメージリポジトリに保存されているすべてのデバイスイメージファイルを一覧表示します。

  • CW ZTP リポジトリに保存されているイメージファイルに関連付けられているすべてのデバイスプラットフォーム/ファミリ名を一覧表示します。

  • ID でデバイスイメージファイルをダウンロードします。

書き込みアクセス許可により、ZTP イメージリポジトリに保存されている特定のイメージファイルに関連付けられた関連メタデータを更新できます。

削除アクセス許可により、ZTP イメージリポジトリにアップロードされたイメージファイルを削除できます。

CW ZTP サービス API

ZTP デバイスとプロファイルを管理できます。Crosswork に追加/更新/削除します。

読み取りアクセス許可により、ZTP デバイス、シリアル番号/OV、プロファイル、サンプルデータ CSV を取得し、ZTP デバイス、プロファイルを一覧表示し、ZTP デバイスとメタデータをエクスポートできます。

削除アクセス許可により、ZTP デバイス、シリアル番号/OV、プロファイルを追加し、ZTP デバイスの属性を追加/更新できます。

削除アクセス許可により、ZTP デバイス、プロファイル、シリアル番号/所有権証明書を削除できます。

CW-CLMS

共通ライセンス管理サービス(CLMS)API

Crosswork でライセンス登録を管理するための API のアクセス許可。

読み取りアクセス許可により、スマートライセンス設定、登録ステータス、およびライセンス使用状況を表示できますが、書き込みアクセス許可は、ライセンスの登録、再登録、登録解除、更新などのスマートライセンス設定を変更するために必要です。

アクティブセッションの管理

管理者は、Cisco Crosswork UI でアクティブなセッションを監視および管理し、次のアクションを実行できます。

  • ユーザーセッションの終了

  • 監査ログの表示


注目

  • 終了するアクセス許可を持つ管理者以外のユーザーは、自分のセッションを終了できます。

  • 読み取りアクセス許可を持つ管理者以外のユーザーは、セッションの監査ログのみを収集できます。

  • 読み取りアクセス許可がない管理者以外のユーザーは、[アクティブセッション(Active Sessions)] ウィンドウを表示できません。

手順

ステップ 1

メインメニューから、[管理(Administration)] > [ユーザーとロール(Users and Roles)] > [ユーザー(Users)] を選択します。

[アクティブセッション(Active Sessions)] タブには、Cisco Crosswork のすべてのアクティブセッションが、ユーザー名、送信元 IP、ログイン時間、ログイン方法などの詳細とともに表示されます。

(注)  

 

[送信元IP(Source IP)] 列は、[監査のために送信元IPを有効にします(Enable source IP for auditing)] チェックボックスをオンにして、Cisco Crosswork に再ログインした場合にのみ表示されます。このオプションは、[管理(Administration)] > [AAA] > [設定(Settings)] ページの [送信元IP(Source IP)] セクションにあります。

ステップ 2

ユーザーセッションを終了するには、[アクション(Actions)] 列の下の アイコンをクリックし、[セッションの終了(Terminate Session)] を選択します。アクションを確認するためのダイアログボックスが表示されます。[終了(Terminate)] を選択し、セッションを終了します。

注目

 

  • セッションを終了するときは注意することをお勧めします。セッションが終了したユーザーは、事前に警告を受け取ることはなく、保存されていない作業は失われます。

  • セッションが終了したユーザーには、次のエラーメッセージが表示されます。「セッションが終了しました。もう一度ログインし直してください(Your session has ended. Log into the system again to continue)」

ステップ 3

ユーザーの監査ログを表示するには、[アクション(Actions)] 列の下にある アイコンをクリックし、[監査ログ(Audit Log)] を選択します。

選択したユーザー名の [監査ログ(Audit Log)] 画面が表示されます。監査ログの詳細については、監査ログの表示 を参照してください。

WebSocket サブスクリプションの管理

基本認証または JWT ベースの認証を使用して WebSocket サブスクリプションに登録し、接続の認証と確立を行っている場合は、Crosswork UI でこれらのサブスクリプションを表示できます。サポートされているサブスクリプションのタイプは次のとおりです。

  • インベントリ

  • Alarm

  • サービス通知

手順

ステップ 1

メニューから [管理(Administration)] > [ユーザーの管理(Manage Users)] を選択します。

ステップ 2

[WebSocketサブスクリプション(WebSocket subscriptions)] タブをクリックします。

[サブスクリプションID(Subscription ID)]、 [トピック(Topic)]、 [サブスクライブ元(Subscribed By)] 、 [サブスクリプション時間(Subscription Time)] 、 [送信元IP(Source IP)] などの詳細が表示されます。

(注)  

 

  • [送信元IP(Source IP)] 列は、[監査のために送信元IPを有効にします(Enable source IP for auditing)] チェックボックスをオンにした場合に表示されます。このオプションは、[管理(Administration)] > [AAA] > [設定(Settings)] ページの [送信元IP(Source IP)] セクションにあります。

このページの [削除(Delete)] アイコンを使用して、サブスクリプションを削除することもできます。

デバイスアクセスグループの管理

Crosswork では、機能領域別にグループ化された特定の API の読み取り/書き込み/削除権限を使用して、ユーザーロールに基づいてアクセス制御を行います。

これによりアクセス制御が一元化されますが、デバイスレベルのアクセスには拡張されません。ユーザーのデバイスアクセスを管理するために、デバイスアクセスグループを使用してデバイスを論理的にグループ化できます。デバイスアクセスグループ管理のシステムレベルタスクに割り当てられた管理者以外のユーザーは、これらのグループを作成および管理できます。

API、タスク、デバイスアクセスグループ - 違いを知る

デバイスアクセスグループは、APIアクセス制御またはタスクベースのアクセス制御に直接関連していません。次に、それぞれの違いと役割を説明します。

  • API:API への読み取り/書き込み/削除のアクセスレベルを制御しますが、ユーザーの UI アクセスは制御しません。API に対する権限は API レベルで定義および適用されるため、管理者はユーザーが実行できるアクションを指定できます。

  • タスク:一連の API を組み合わせて、特定の機能へのアクセスを制御します。特定のタスクを有効にすると、そのタスクに必要な対応する API も有効になります。

  • デバイスアクセスグループ:API およびタスクベースのアクセス制御を超えて、Crosswork 内の特定のデバイスまたはリソースへのアクセスを制御する追加のセキュリティレイヤとして機能します。これらは、デバイスを論理的にグループ化して、ユーザーを管理するために使用されます。

管理者は、デバイスアクセスグループの定義を含め、ユーザーロールと権限の作成を完全に制御できます。デバイスアクセスグループは、ユーザーが管理者によって設定され、初めに適用される API ベースまたはタスクベース(またはその両方)のアクセス制御を通過した後にのみ関連します。これらの初期アクセスレベルが付与された上で、デバイスアクセスグループは、ユーザーがプロビジョニング用の書き込み権限を持つことができるデバイスをさらに制御できます。

管理者は、特定の要件に従ってデバイスアクセスグループを設定し、Crosswork 内のアクセス管理の制御とカスタマイズを行う追加のレイヤを追加できます。

デバイスアクセスグループの仕組み

ユーザーが 1 つ以上のデバイスアクセスグループに関連付けられている場合、ユーザーはそれらのグループ内のデバイスで設定を変更し、サービスをプロビジョニングできます。管理者ロールを持つ、またはデバイスアクセスグループの管理タスクがマッピングされた Crosswork ユーザーは、次の操作を実行できます。

  • デバイスアクセスグループを作成および管理する。

  • 特定のデバイスアクセスグループにユーザーを割り当てる。

  • ユーザーがアクセスおよび変更できるデバイスを定義および制御する。

  • ユーザーに適切な権限を付与して、指定されたデバイスでユーザーが自身のタスクを実行できるようにする。


重要

デバイスアクセスグループは、デバイスレベルの書き込みまたはプロビジョニング、および このような操作をトリガーする Crosswork フローを制御します。Crosswork 自体の内部での書き込みまたは編集操作には影響しません。

ユーザーロールの権限に基づいてユーザーを特定のタスクに制限し、許可された個人のみがアクセスできるようにして、システム内のアクションを制御できます。Crosswork のロールベースのアクセス制御は、RESTCONF および JSON-RPC API ワークフローでの認証と許可に JWT トークンを使用して、NSO およびデバイスアクセスグループと同期してデバイス設定を合理化します。ただし、リバース同期はできません。 NSO での変更は、Crosswork のデバイスアクセスグループには反映されません(NSO をセットアップするための前提条件の詳細については、 NSO サーバーの設定を参照してください)。外部 LDAP、TACACS、および RADIUS サーバーは、デバイスアクセスグループの統合をサポートします。サーバー構成の詳細については、 ユーザー認証の設定(TACACS+、LDAP および RADIUS)に記載されている各サーバー固有のフィールドの説明の表を参照してください。

デバイスアクセスグループの作成

Crosswork アプリケーションと統合 NSO 全体でデバイスレベルのシームレスできめ細かいロールベースのアクセス制御を可能にするには、デバイスアクセス権限の一元管理を可能にするデバイスアクセスグループを作成し、システム全体で一貫したロールベースのアクセスの実装を確保します。[デバイスアクセスグループの管理(Device Access Group Management)] タスクが有効になっているロールに属するユーザーのみが、デバイスアクセスグループの作成、読み取り、更新、および削除の操作を実行できます。

手順

ステップ 1

メインメニューから、[管理(Administration)] > [デバイスアクセスグループ(Device Access Groups)] を選択します。

ステップ 2

ALL-ACCESS の横にある アイコンをクリックし、[サブグループの追加(Add Sub-Group)] をクリックします。

ステップ 3

[グループの詳細(Group Details)] に、サブグループの名前と説明を追加します。

ステップ 4

[作成(Create)] をクリックします。

デバイスアクセスグループにデバイスを追加すると、[グループの詳細(Group Details)] の横に [デバイス(Devices)] タブが表示されます。

ステップ 5

[デバイスの追加(Add Devices)] をクリックします。

ステップ 6

追加するデバイスを選択し、[保存(Save)] をクリックします。

[フィルタ条件( Filter By)] オプションの [ホスト名(Host Name)]、[製品タイプ(Product Type)]、および [ノード IP(Node IP)] を使用して、追加するデバイスを絞り込むこともできます。デバイスが [デバイスアクセスグループ(Device Access Groups)] の下に追加され、NSO サイトで更新されます。

ステップ 7

[保存(Save)] をクリックします。

デバイスアクセスグループの編集

既存のデバイスアクセスグループに対してデバイスを追加または削除できます。


注目

グループ削除の確認は、Crosswork で定義されたローカルユーザーにのみ関連し、外部 AAA サーバーによって管理されるユーザーには適用されません。

手順

ステップ 1

メインメニューから、[管理(Administration)] > [デバイスアクセスグループ(Device Access Groups)] を選択します。

ステップ 2

編集する [デバイスアクセスグループ(Device Access Group)] をクリックし、[グループの編集(Edit Group)] をクリックします。

[デバイスの追加(Add Devices)] をクリックしてデバイスを追加するか、[デバイスの削除(Remove Devices)] をクリックしてデバイスを削除できます。

ステップ 3

[保存(Save)] をクリックします。

(注)  

 

ユーザーが排他的に関連付けられているデバイスアクセスグループは削除できません。ただし、デバイスアクセスグループに関連付けられているすべてのユーザーが他のデバイスアクセスグループにも属している場合は、そのグループを削除できます。

タスク権限の割り当て

作成したタスクを特定のロールに割り当てることができます。ロールに付与する権限に基づいて、これらのタスクを有効または無効にできます。タスクの権限はグローバル API によって定義され、その特定のタスクに読み取り/書き込み/削除の権限を割り当てることができます。

手順

ステップ 1

メインメニューから、[管理(Administration)] > [ユーザーとロール(Users and Roles)] > [ロール(Roles)] を選択します。

ステップ 2

[タスク権限(Task Permissions)] をクリックして、アプリケーションで使用可能なすべてのタスクのリストを表示します。

図 11. [ユーザーとロール(Users and Roles)] ウィンドウ
[ユーザーとロール(Users and Roles)] ウィンドウ

ステップ 3

権限を割り当てるタスクを選択します。[グローバルAPI権限(Global API Permissions)] タブでは、選択したタスクに対して自動的に有効になる特定の読み取り/書き込み/削除権限を表示することもできます。

ステップ 4

[保存(Save)] をクリックします。

ユーザーをデバイスアクセスグループに関連付ける

ユーザーを作成したら、そのユーザーを特定のデバイスアクセスグループに関連付けることができます。その後、このユーザーにタスク権限を割り当てることができます。これにより、特定のタスクを制限または許可できます。

手順

ステップ 1

読み取り/書き込み/削除 API 権限を持つロールを作成し、各ロール内で有効にする必要がある特定のタスクセットを割り当てます。詳細については、ユーザーロール、機能カテゴリ、および権限の項を参照してください。

ステップ 2

このロールと 1 つ以上のデバイスアクセスグループをユーザーに割り当てます。詳細については、ユーザーの管理の項を参照してください。

ユーザーがログインすると、ユーザーは、関連付けられたデバイスアクセスグループに属するデバイスのタスクで許可された操作のみを実行できます。タスク権限とデバイスアクセスグループ権限に基づいて、制限付きの読み取り専用デバイス アクセス グループ ユーザーは、BWoD、LCM、CSM、DLM、DGM、および CAT でポリシーをプロビジョニングする際に、次の機能を使用できます。ユーザーが実行可能な操作は次のとおりです。

  • ポリシーのプレビューおよびリハーサル。ただし、ポリシーの変更をプロビジョニングまたはコミットすることはできません。

  • [サービスとトラフィックエンジニアリング(Services and Traffic Engineering)] 設定ページの表示。ただし、ファイルを編集またはインポートすることはできません。

  • パスクエリ操作の実行。

  • [サービスとトラフィックエンジニアリング(Services and Traffic Engineering)] 設定ページの表示。ただし、ファイルを編集またはインポートすることはできません。

  • VPN サービスの作成。

  • 失敗したサービスに関連付けられているデバイスを、詳細なエラーメッセージとともに表示する。ただし、エラーに対してアクションを実行できません。

それに対し、読み取り/書き込み/削除権限をすべて持つデバイス アクセス グループ ユーザーには、次の機能を使用できます。ユーザーが実行可能な操作は次のとおりです。

  • 制限付き読み取り専用デバイス アクセス グループ ユーザーに対してリストされているタスクをすべて実行する。

  • アクセスが許可されているポリシーをプロビジョニングする。たとえば、ユーザーがトンネルで RSVP-TE ポリシーを作成する場合、そのユーザーにヘッドエンドノードへのアクセスが許可されている場合のみ、この操作が可能です。ただし、エンドポイントおよびホップへのアクセスは、デバイスアクセスグループの制御でチェックされないことに注意してください。

  • 失敗したサービスに関連付けられているデバイス、および詳細なエラー メッセージの表示。また、すべての権限を持つユーザーは、エラーに対してノードレベルで Check-Sync、Sync-To、Compare-Config などのアクションを実行できます。

  • プレイブックの実行。

(注)  

 

Crosswork で読み取り専用ユーザーに対してデバイスアクセスを制限するには、管理者は、デバイスを含まない空のデバイスアクセスグループ(たとえば、NO_DEVICE_ACCESS)を作成し、読み取り専用ユーザープロファイル(または読み取り専用ロールに関連付けられたユーザープロファイル)の作成時にこれを割り当てる必要があります。

NSO サーバーの設定

RESTCONF および JSON-RPC API ワークフローの Crosswork と NSO 間の認証と認可の統合は、JWT を使用することで容易になります。Crosswork と NSO 間のロールベースのアクセス制御とシームレスな同期を有効にするには、以下の各セクションに記載されている前提条件の手順を参照してください。


(注)  

  • 管理者のみがタスクを変更できます。

  • NACM 設定に変更を加えた場合、ユーザーはログアウトしてから再度ログインする必要があります。この操作は、JWT を再生成するために必要です。

  • デバイスへのアクセスが制限されているユーザーが、プロビジョニング UI でサービスを編集しようとしたり、XML ファイルをアップロードしようとすると、[コミット(commit)] ボタンが有効になります。ただし、ユーザーが [コミット(commit)] ボタンをクリックするとエラーがスローされます。

スタンドアロン NSO の設定

ロールベースのアクセス制御機能を Crosswork と同期するようにスタンドアロン NSO サーバーを設定するには、次の手順に従います。

手順

ステップ 1

cisco-cfp-jwt-auth を有効にします。

  1. ncs.conf ファイルを更新します。NSO ディレクトリの ncs.conf ファイルを開きます。<aaa> セクションの下に次の構成を追加します。 

    
 <aaa>
    <package-authentication>
     <enabled>true</enabled>
     <packages>
       <package>cisco-cfp-jwt-auth</package>
     </packages>
    </package-authentication>
</aaa>
- Make sure to restart ncs for the configuration in ncs.conf to take effect:
   /etc/init.d/ncs restart

    (注)  

     
    ncs.conf ファイルの構成を有効にするには、NCS を再起動してください。この機能を使用しない場合は、NCS 構成ファイルの ncs.conf の AAA セクションで、 「package-authentication」を「false」に変更し、NCS を再起動します。これにより、 「cisco-cfp-jwt-auth」のパッケージ認証が無効になります。

  2. Crosswork から NSO VM に証明書ファイルをコピーします。Crosswork から NSO VM 用に証明書を取得するには、次の手順を実行します。

    1. Chrome ブラウザを開き、証明書をインポートする Crosswork Web サイトに移動します。

    2. アドレスバーの鍵マークのアイコンをクリックしてサイト情報を表示し、[証明書が無効です( Certificati s not Valid)] > [証明書を表示(View Certificate)] をクリックします。

      図 12. [証明書の表示(View Certificate)] ウィンドウ
      [証明書の表示(View Certificate)] ウィンドウ

    3. [証明書ビューアー(Certificate Viewer)] ウィンドウで、[詳細(Details)] タブに移動します。

      図 13. 証明書ビューアーの詳細証明書ビューアーの詳細

    4. [証明書の階層(Certificate Hierarchy)] の下の Crosswork をクリックします。

    5. [エクスポート(Export)] ボタンをクリックして証明書のファイル名と保存する場所を選択します。[Base64エンコードASCII形式の単一の証明書(Base64-encoded ASCII, single certificate)] オプションを選択し、拡張子 .pem を付けて証明書を保存します。例:crosswork.pem。

      (注)  

       

      .pem 形式でファイルを保存する際に問題が発生した場合は、.cer ファイルとして保存することも可能です。保存したら、ブートストラップ設定プロセスでこの .cer ファイルを使用します。.cer ファイルを必要とする後続のすべての手順で、この .cer ファイルのファイルパスを参照するようにしてください。

      図 14. 証明書の保存ウィンドウ
      証明書の保存ウィンドウ

    6. .pem ファイルを NSO VM にコピーします。

      (注)  

       

      pem-key-path パラメータの値とファイル名がプライマリホストとセカンダリホストで同じであることを確認します。

  3. ブートストラップの設定: ブートストラップ認証パッケージを設定するには、次の手順を実行します。

    NSO VM にログインし、 マージ操作を使用して cw-jwt-auth.xml ファイルをロードします。 

    <config xmlns="http://tail-f.com/ns/config/1.0">
  <jwt-auth xmlns="http://cisco.com/ns/nso/cfp/cisco-cfp-jwt-auth">
    <ip-address>172.20.100.42</ip-address>
    <port>30603</port>
    <pem-key-path>/home/nso/crosswork.pem</pem-key-path>
  </jwt-auth>
</config>

    OR

    ncs_cli にログインし、設定モードを開始します。
    set jwt-auth cnc-host <Crosswork IP>
set jwt-auth port 30603
set jwt-auth pem-key-path /home/nso/crosswork.pem
commit

ステップ 2

サービスレベル NACM を有効にします。

ルールリストを作成する前に、NACM グループを手動で作成し、同じグループが複数のユーザーに適用される場合は、必要に応じてユーザーを更新します。

ncs_cli -u admin
configure
set nacm enforce-nacm-on-service true
commit dry-run
commit

ステップ 3

NACM グループとルールリストを作成します。

  1. admin ユーザーの場合:次の手順に従って、admin ユーザーの NACM グループとルールリストを作成します。

    1. ユーザーの関連付け:NSO ユーザーが admin ユーザーの場合、自動的に「ncsadmin」グループに属し、デフォルトですべてのアクセス権が付与されます。ただし、admin ユーザーがこのユーザーを「CNC#ALL-ACCESS」グループに追加しない場合でも、機能は正常に動作します。NSO ユーザーに別の名前(「cisco」など)がある場合は、このユーザーを「CNC#ALL-ACCESS」グループに追加する必要があります。

      この時点では、ユーザーの作成は不要であることに注意してください。

    2. デバイスグループの作成: デバイスアクセスグループが Crosswork で作成されると、同等の device-group が NSO で作成されます。

      ALL-ACCESS デバイスアクセスグループはデフォルトでは作成されず、admin ユーザーには必要ないことに注意してください。必要に応じて、次のコマンドを使用してデバイスグループを手動で作成できます。ここで、group-name は作成するグループの名前です。
      ncs_cli -u admin
configure
set devices device-group "group-name" device-name [ device-host-name1, device-host-name2]
commit dry-run
commit
      [ 管理(Administration)] > [ユーザーとロール(Users and Roles)] > [ユーザー(User)] > [NACMルールの生成(Generate NACM Rules)] に移動して、Crosswork からグループ名をコピーすることもできます。
      図 15. [NACMルールの生成(Generate NACM Rules)] ウィンドウ[NACMルールの生成(Generate NACM Rules)] ウィンドウ

    3. NACM グループを手動で作成し、同じグループが複数のユーザーに適用される場合は、必要に応じてユーザーを更新します。これは、ルールリストを作成する前に実行するようにしてください。

      ncs_cli -u admin
configure
set nacm groups group "CNC#ALL-ACCESS" user-name admin
commit dry-run
commit

    4. NACM ルールリストの作成: ロールとデバイスアクセスグループを持つユーザーが Crosswork で設定されている場合、UI には各ユーザーの下に NACM ルールを生成するオプションが表示されます。これらのルールをコピーし、 コミットマネージャを使用して NSO に適用するか、xml を ファイル <sample-nacm.xml> にコピーしてマージ操作を使用してロードします。admin ユーザーの場合、タスクレベルのアクセスと cmd-rule のみが必要であることに注意してください。 

      <nacm xmlns="urn:ietf:params:xml:ns:yang:ietf-netconf-acm">
    <rule-list>
        <name>CNC#ALL-ACCESS#rule-list</name>
        <group>CNC#ALL-ACCESS</group>
        <rule>
            <name>CNC#ALL-ACCESS#rule-list#task-level-access</name>
            <action>permit</action>
            <log-if-permit xmlns="http://tail-f.com/yang/acm"/>
        </rule>
        <cmdrule xmlns="http://tail-f.com/yang/acm">
            <name>any-access</name>
            <action>permit</action>
        </cmdrule>
    </rule-list>
</nacm>

  2. admin 以外のユーザーの場合:以下の手順に従って、admin 以外のユーザーの NACM グループとルールリストを作成します。

    次のコードサンプルでは、admin 以外のユーザーの例として RW-CW を使用し、デバイスアクセスグループ名として DAG-2 を使用しています。

    1. NACM グループの作成: 次のコードサンプルを参照してください。
      ncs_cli -u admin
configure
set nacm groups group "CNC#DAG-2" user-name RW-CW
commit dry-run
commit

      [NACMルールの生成(Generate NACM Rules)] オプションを使用して、Crosswork からグループ名をコピーできます。

    2. NACM ルールリストの作成:[NACMルールの生成(Generate NACM Rules)] オプションを使用して、Crosswork からルールリストをコピーできます。次に例を示します。
      <nacm xmlns="urn:ietf:params:xml:ns:yang:ietf-netconf-acm">
    <rule-list>
        <name>CNC#DAG-2#rule-list</name>
        <group>CNC#DAG-2</group>
        <rule>
            <name>CNC#DAG-2#rule-list#allow-DAG-2</name>
            <device-group xmlns="http://tail-f.com/yang/ncs-acm/device-group-authorization">DAG-2</device-group>
            <access-operations>create read update delete exec</access-operations>
            <action>permit</action>
            <log-if-permit xmlns="http://tail-f.com/yang/acm"/>
        </rule>
        <rule>
            <name>CNC#DAG-2#rule-list#deny-others</name>
            <path>/devices</path>
            <access-operations>create update delete exec</access-operations>
            <action>deny</action>
        </rule>
        <rule>
            <name>CNC#DAG-2#rule-list#task-level-access</name>
            <action>permit</action>
            <log-if-permit xmlns="http://tail-f.com/yang/acm"/>
        </rule>
        <cmdrule xmlns="http://tail-f.com/yang/acm">
            <name>any-access</name>
            <action>permit</action>
        </cmdrule>
    </rule-list>
</nacm>

      これらのルールは、コミットマネージャを介して NSO にプッシュするか、xml ファイル(例:sample-nacm.xml)にコピーして、次のコマンドを使用してそのファイルを NSO に追加できます。

      sample-nacm.xml のロード
      
ncs_cli -u admin
configure
load merge /home/nso/sample-nacm.xml
commit

LSA NSO の設定

ロールベースのアクセス制御機能を Crosswork と同期するように LSA NSO サーバーを設定するには、次の手順に従います。

手順

ステップ 1

すべての NSO RFS ノードで、ncs.conf ファイルの AAA セクションでローカル認証を有効にします。(CFS ノードを使用している場合は、この手順をスキップできます) 

<local-authentication>
      <enabled>true</enabled>
</local-authentication>

各 RFS ノードで sudo /etc/init.d/ncs restart コマンドを実行して、NSO を再起動します。

ステップ 2

cisco-cfp-jwt-auth を有効化します。スタンドアロン NSO の設定セクションの説明と同じ手順を参照して、cisco-cfp-jwt-auth を有効にします。

pem-key-path パラメータの値とファイル名がプライマリホストとセカンダリホストで同じであることを確認します。

ステップ 3

サービスレベル NACM を有効にします。 

ncs_cli -u admin
configure
set nacm enforce-nacm-on-service true
commit dry-run
commit

CFS ノードと RFS ノードの両方でこれを有効にする必要があります。

ステップ 4

NACM グループとルールリストを作成します。(これは、管理者ユーザーと非管理者ユーザーの両方に適用されます)

  1. ユーザーを関連付けします。 NSO で LSA ロールベース認証のセキュリティを強化するために、NSO が Crosswork で排他的に使用されている場合は、「auth-group default」マップを削除することをお勧めします。ただし、Crosswork 以外の NSO ユーザーがいる場合は、デフォルトマップを使用する必要があります。この場合、ロールベースのアクセス制御フローが正しく機能するように、すべての Crosswork ユーザーは「auth-group umap」にエントリが必要です。

  2. すべての RFS ノードで、「aaa:aaa」の下で Crosswork ユーザーを認証ユーザーとして定義します。この設定により、このユーザーの CFS と RFS 間の通信が可能になります。ユーザー名は Crosswork で使用されるユーザー名と一致する必要がありますが、パスワードは異なっていてもかまいません。

  3. すべての Crosswork ユーザーを、CFS のデバイス認証グループの下に「umap」エントリとして追加します。これにより、適切な機能が確保され、Crosswork のユーザーにロールベースのアクセス制御が適用されます。また、これにより、CFS は対応するユーザーとしてユーザー要求を RFS ノードに渡すこともできます。ユーザーにロールベースのアクセスが必要な場合は、CFS auth-group に umap エントリを作成する必要があります。それ以外の場合は、デフォルトのマップが適用され、ロールベースのアクセスワークフローが中断されます。

  4. すべてのユーザーが RFS ノードにアクセスできるように、CFS に対するすべての権限を持つ汎用 NACM グループと NACM ルールを定義します。これにより、すべてのユーザーに RFS へのアクセスが許可されます。さらに、Crosswork でユーザーを作成する場合は、そのユーザーを CFS の「CNC#ALL-ACCESS」NACM グループに追加します。これにより、Crosswork 内でアクションを実行するために必要なアクセス権限と権限がユーザーに付与されます。 

    group "CNC#ALL-ACCESS" {
        user-name [ RW-CW admin rw-user ];
    }

    NACM ルールを Crossworkからコピーできます。

    <nacm xmlns="urn:ietf:params:xml:ns:yang:ietf-netconf-acm">
    <!--NACM rules for NSO - CFS-->
    <rule-list>
        <name>CNC#ALL-ACCESS#rule-list</name>
        <group>CNC#ALL-ACCESS</group>
        <rule>
            <name>CNC#ALL-ACCESS#rule-list#task-level-access</name>
            <action>permit</action>
            <log-if-permit xmlns="http://tail-f.com/yang/acm"/>
        </rule>
        <cmdrule xmlns="http://tail-f.com/yang/acm">
            <name>any-access</name>
            <action>permit</action>
        </cmdrule>
    </rule-list>
</nacm>
<nacm xmlns="urn:ietf:params:xml:ns:yang:ietf-netconf-acm">
    <!--NACM rules for NSO - RFS-->
    <rule-list>
        <name>CNC#ALL-ACCESS#rule-list</name>
        <group>CNC#ALL-ACCESS</group>
        <rule>
            <name>CNC#ALL-ACCESS#rule-list#task-level-access</name>
            <action>permit</action>
            <log-if-permit xmlns="http://tail-f.com/yang/acm"/>
        </rule>
        <cmdrule xmlns="http://tail-f.com/yang/acm">
            <name>any-access</name>
            <action>permit</action>
        </cmdrule>
    </rule-list>
</nacm>

ステップ 5

デバイスグループを作成します。 RFS ノードにデバイスアクセスグループと NACM ルールを追加します。ユーザーの NACM ルールを定義することで、そのユーザーに設定した特定のルールに基づいてデバイスへのアクセス権が付与されます。デバイスアクセスグループの作成は Crosswork によって自動的に処理されるため、NSO でのデバイスアクセスグループの作成に追加の手順は必要ありません。

(注)  

 
Geo-HA がセットアップされていて、503 エラーが発生する場合は、次の手順に従って解決してください。

CFS ノード内の /etc/environment ファイルに排他的に次の設定を追加します。

  1. ファイルを開きます:sudo vi /etc/environment

  2. 次の行を追加します。

    https_proxy="http://proxy.esl.cisco.com:80"
http_proxy="http://proxy.esl.cisco.com:80"

  3. 次の行で例外を定義します。

    no_proxy="localhost,127.0.0.1,10.0.0.0/8,192.168.0.0/16,172.16.0.0/12,cisco.com,<az1 mgmt vip>,<az2 mgmt vip>,<fqdn of CW geo-mgmt VIP>"
    次に例を示します。
    no_proxy="localhost,127.0.0.1,10.0.0.0/8,192.168.0.0/16,172.16.0.0/12,cisco.com, 192.168.6.50,192.168.5.50,geomanagement.cw.cisco,cw.cisco"

  4. ファイルを有効にします:source /etc/environment

  5. プロキシ設定を有効にするには、CFS ノードを再起動します。

ユーザー認証の設定(TACACS+、LDAP および RADIUS)

Crosswork ネットワークコントローラ は、ローカルユーザーのサポートに加えて、TACACS+、LDAP、および RADIUS サーバーとの統合により、TACACS+、LDAP、および RADIUS ユーザーをサポートします。統合プロセスには次の手順があります。

  • TACACS+、LDAP、および RADIUS サーバーを設定します。

  • TACACS+、LDAP、および RADIUS ユーザーが参照するロールを作成します。

  • AAA 設定を設定します。

  • TACACS+、LDAP、および RADIUS ユーザーの認証にシングルサインオン(SSO)を有効にすることもできます。詳細については、シングルサインオン(SSO)の有効化を参照してください。

  • これらのサーバー上のユーザーのデバイスアクセスグループを作成および管理できます。詳細については、デバイスアクセスグループの管理を参照してください。


(注)  

  • AAA サーバーページは、すべてのサーバーが 1 回の要求で更新される一括更新モードで動作します。サーバーの削除に関連するアクセス許可を持つユーザーのみに「リモート認証サーバーの統合 API」の書き込みアクセス許可を付与することをお勧めします。

  • 読み取りと書き込みのアクセス許可のみを持つ(「削除」アクセス許可のない)ユーザーは、削除操作が「書き込み」アクセス許可の一部であるため、Cisco Crosswork から AAA サーバーの詳細を削除できます。詳細については、ユーザーロールの作成を参照してください。

  • AAA サーバーに変更を加えるとき(作成/編集/削除)、変更するたびに数分間待つことをお勧めします。十分な間隔を空けて頻繁に AAA を変更すると、外部ログインが失敗する可能性があります。

  • Cisco Crosswork は、最大 5 台の外部サーバーの構成をサポートします。

注意    

この項の手順に従って操作を行うと、Crosswork のユーザーインターフェイスへのすべての新しいログインに影響することに注意してください。セッションの中断を最小限に抑えるために、すべての外部サーバーの認証の変更を 1 回のセッションで実行し、送信することをお勧めします。

TACACS+ サーバーの管理

Crosswork は、TACACS+ サーバーを使用してユーザーを認証することをサポートしています。

Crosswork をスタンドアロンサーバー((open TACACS+)、または Cisco ISE(Identity Service Engine)などのアプリケーションと統合して、TACACS+ プロトコルを使用して認証することができます。

始める前に

  • AAA 操作へのアクセスを管理するためのデバイスアクセスグループを作成します。詳細については、デバイスアクセスグループの作成を参照してください。

  • Crosswork ネットワークコントローラで AAA サーバーを設定する前に、TACACS+ サーバー(スタンドアロンまたは Cisco ISE)で関連パラメータ(ユーザーロール、デバイスアクセスグループ属性、共有秘密形式、共有秘密値)を設定します。Cisco ISE での手順の詳細については、最新バージョンの『Cisco Identity Services Engine Administrator Guide』を参照してください。

手順

ステップ 1

メインメニューから、[管理(Administration)] > [AAA] > [サーバー(Servers)] > [TACACS+] タブを選択します。このウィンドウからは、新しい TACACS+ サーバーの追加、編集、および削除を行うことができます。

ステップ 2

新しい TACACS+ サーバーを追加するには、次の手順を実行します

  1. [追加(Add)] アイコンアイコンをクリックします。

  2. 必要な TACACS+ サーバー情報を入力します。

    表 7. TACACS+ フィールドの説明

    フィールド

    説明

    認証順位(Authentication Order)

    一意の優先順位値を指定して認証要求に優先順位を割り当てます。順序は 10 ~ 99 の間の任意の数値です。10 未満はシステムで予約済みです。

    デフォルトでは 10 が選択されます。

    IP アドレス(IP Address)

    TACACS+ サーバーの IP アドレスを入力します(IP アドレスが選択されている場合)。

    DNS 名(DNS Name)

    DNS 名を入力します(DNS 名を選択した場合)。IPv4 DNS 名のみがサポートされています。

    ポート(Port)

    デフォルトの TACACS+ ポート番号は 49 です。

    共有秘密形式(Shared Secret Format)

    アクティブな TACACS+ サーバーの共有秘密。ASCII または 16 進数を選択します。

    共有秘密(Shared Secret)/共有秘密の確認(Confirm Shared Secret)

    アクティブな TACACS+ サーバーのプレーンテキストの共有秘密。入力したテキストの形式は、選択した形式(ASCII または 16 進数)と一致する必要があります。

    Crosswork が外部認証サーバーと通信するには、この画面で入力する [共有秘密(Shared Secret)] パラメータが、TACACS+ サーバーで設定されている共有秘密の値と一致する必要があります。

    サービス(Service)

    アクセスしようとしているサービスの値を入力します。たとえば、「raccess」です。

    このフィールドは、スタンドアロン TACACS+ の場合にのみ検証されます。Cisco ISE の場合は、ジャンク値を入力できます。フィールドを空白のままにしないでください。

    ポリシー ID(Policy Id)

    TACACS+ サーバーで作成したユーザーロールを入力します。

    (注)  

     

    必要なユーザーロールを作成する前に TACACS+ ユーザーとして Crosswork ネットワークコントローラ にログインしようとすると、「キーが認証されていません。一致するポリシーがありません(Key not authorized: no matching policy)」というエラーメッセージが表示されます。この場合は、ブラウザを閉じます。ローカル管理者ユーザーとしてログインし、TACACS+ サーバーで不足しているユーザーロールを作成し、TACACS+ ユーザーログイン情報を使用して Crosswork にログインし直します。

    デバイスアクセスグループ属性(Device Access Group Attribute)

    デバイスアクセスグループ属性値は、(ISE/スタンドアロン)TACACS+ サーバー属性でデバイスアクセスグループに使用されるキーに基づいています。これらの値には、1 つまたは複数のカンマ区切り値を指定できます。

    再送信タイムアウト(Retransmit Timeout)

    タイムアウトの値を入力します。最大タイムアウトは 30 秒です。

    再試行(Retries)

    許可される認証の再試行回数を指定します。

    認証タイプ(Authentication Type)

    TACACS+ の認証タイプを選択します。

    • PAP:パスワードベースの認証は、2 つのエンティティが 1 つのパスワードを事前に共有し、そのパスワードを認証の基準に使用するプロトコルです。

    • CHAP:チャレンジハンドシェイク認証プロトコルでは、クライアントとサーバーの両方がプレーンテキストの秘密キーを認識しており、その秘密キーは絶対にネットワーク上に送信されないことが必要になります。CHAP は、パスワード認証プロトコル(PAP)より優れたセキュリティを提供します。

    詳細については、このトピックの最後にある例を参照してください。

  3. 関連するすべての詳細を入力したら、[追加(Add)] をクリックします。

  4. [すべての変更を保存(Save All Changes)] をクリックします。変更を更新するためのサーバーの再起動に関する警告メッセージが表示されます。[変更の保存(Save Changes)] をクリックして確認します。

ステップ 3

TACACS+ サーバーを編集するには、次の手順を実行します

  1. TACACS+ サーバーの横にあるチェックボックスをクリックし、[Edit] アイコン をクリックします。

  2. 変更を加えた後、[更新(Update)] をクリックします。

ステップ 4

TACACS+ サーバーを削除するには、次の手順を実行します

  1. TACACS+ サーバーの横にあるチェックボックスをクリックし、[Delete] アイコン をクリックします。[サーバー IP アドレスの削除(Delete server-IP-address)] ダイアログボックスが開きます。

  2. [削除(Delete)] をクリックして確認します。

この例では、TACACS+ パラメータは Cisco ISE で設定されます。前提条件として、AAA 操作アクセスを管理するために、デバイスアクセスグループが Crosswork で作成されています。

関連する TACACS+ パラメータは、Cisco ISE で設定されます。

  • ユーザープロファイル:role0([ポリシーID(Policy Id)] フィールドで使用)

  • [デバイスアクセスグループ属性(Device Access Group Attribute)]:DAG-CONFIGURE

  • [共有秘密の形式(Shared secret format)]: ASCII

図 16. Cisco ISE での TACACS+ プロファイル属性の構成
図 17. Cisco ISE での TACACS+ 認証設定の構成

これで、TACACS+ サーバーが Crosswork UI に追加されました。

図 18. TACACS+サーバーの追加

上記の例のサンプル API ペイロードを次に示します。 

{
    "tacacs":{
        "tacacs_servers":[
            {
                "priority":10,
                "host":"cw-qa-ise-1-ipv4",
                "dnsName":"",
                "port":49,
                "secretFormat":"ascii",
                "secret":"sample",
                "service":"raccess",
                "policy-id": "role0",
                "virtualDomain":"deviceAccessGroups"
                "timeout":30,
                "retries":10,
                "authType":"pap",
            }
        ]
    }
}


------------------------------------------------------------------------------------------------------------
CROSSWORK                                           CISCO ISE                            VALUE
------------------------------------------------------------------------------------------------------------
Device Access Group Attribute=deviceAccessGroups    deviceAccessGroups=DAG-CONFIGURE    DAG-CONFIGURE
PolicyId=role0                                      role0=ReadWrite                     ReadWrite

LDAP サーバーの管理

Lightweight Directory Access Protocol(LDAP)は、ディレクトリ情報にアクセスして管理するために使用されるサーバープロトコルです。Crosswork は、LDAP サーバー(OpenLDAP、Active Directory、およびセキュア LDAP)を使用してユーザーを認証することをサポートしています。IP ネットワーク経由でディレクトリを管理し、データ転送用の単純な文字列形式を使用して TCP/IP 上で直接実行します。

セキュア LDAP プロトコルを使用するには、LDAP サーバーを追加する前にセキュア LDAP 通信証明書を追加する必要があります。証明書の追加の詳細については、新しい証明書の追加「」を参照してください。

始める前に

  • AAA 操作へのアクセスを管理するためのデバイスアクセスグループを作成します。詳細については、デバイスアクセスグループの作成を参照してください。

  • Crosswork ネットワークコントローラで AAA サーバーを設定する前に、LDAP サーバーで関連パラメータ(バインド DN、ポリシーベース DN、ポリシー ID、デバイスアクセスグループ属性など)を設定します。

手順

ステップ 1

メインメニューから、[管理(Administration)] > [AAA] > [サーバー(Servers)] > [LDAP] タブを選択します。このウィンドウを使用して、新しい LDAP サーバーの追加、編集、および削除を行うことができます。

ステップ 2

新しい LDAP サーバーを追加するには、次の手順を実行します

  1. [追加(Add)] アイコンアイコンをクリックします。

  2. 必要な LDAP サーバーの詳細を入力します。

    表 8. LDAP フィールドの説明

    フィールド

    説明

    認証順位(Authentication Order)

    一意の優先順位値を指定して認証要求に優先順位を割り当てます。順序は 10 ~ 99 の間の任意の数値です。10 未満はシステムで予約済みです。

    デフォルトでは 10 が選択されます。

    名前

    LDAP ハンドラの名前。

    IP アドレス/ホスト名(IP Address/ Host Name)

    LDAP サーバーの IP アドレスまたはホスト名

    セキュア接続(Secure Connection)

    SSL 通信を介して LDAP サーバーに接続する場合は、[セキュア接続(Secure Connection)] トグルボタンをオンにします。オンにする場合は、[証明書(Certificate)] ドロップダウンリストからセキュア LDAP 証明書を選択します。

    (注)  

     

    セキュア LDAP サーバーを設定する前に、[証明書の管理(Certificate Management)] 画面にセキュア LDAP 証明書を追加する必要があります。

    このフィールドは、デフォルトでは無効です。

    ポート(Port)

    デフォルトの LDAP ポート番号は 389 です。セキュア接続 SSL が有効になっている場合は、デフォルトの LDAP ポート番号は 636 です。

    バインド DN(Bind DN)

    データベースへのログインアクセスの詳細を入力します。バインド DN により、ユーザーは LDAP サーバーにログインできます。

    バインドログイン情報(Bind Credential)/バインドログイン情報の確認(Confirm Bind Credential)

    LDAP サーバーにログインするためのユーザー名とパスワード。

    ベース DN(Base DN)

    ベース DN は、LDAP サーバーがディレクトリ内のユーザー認証を検索するために使用する開始点です。

    ユーザーフィルタ(User Filter)

    ユーザー検索のフィルタ。

    DNの形式(DN Format)

    ベース DN でユーザーを識別するために使用される形式。

    プリンシパル属性ID(Principal Attribute ID)

    この値は、特定のユーザー名が編成されている LDAP サーバー ユーザー プロファイル内の UID 属性を表します。

    ポリシーベース DN(Policy BaseDn)

    この値は、ディレクトリ内のユーザーロールのロールマッピングを表します。

    ポリシーマップ属性(Policy Map Attribute)

    これは、ポリシーベース DN でユーザーを識別するのに役立ちます。

    この値は、LDAP サーバー属性の userFilter パラメータにマッピングされます。

    ポリシー ID(Policy ID)

    [ポリシーID(Policy ID)] フィールドは、 LDAP サーバーで作成したユーザーロールに対応します。

    (注)  

     

    必要なユーザーロールを作成する前に LDAP ユーザーとして Crosswork ネットワークコントローラ にログインしようとすると、「ログインに失敗しました。ポリシーが見つかりません。ネットワーク管理者にお問い合わせください。」というエラーメッセージが表示されます。このエラーを回避するには、Crosswork で新しい LDAP サーバーを設定する前に、LDAP サーバーで関連するユーザーロールを作成してください。

    デバイスアクセスグループ属性(Device Access Group Attribute)

    デバイスアクセスグループ属性値は、LDAP サーバー属性のデバイスアクセスグループに使用されるキーに基づいています。これらの値には、1 つまたは複数のカンマ区切り値を指定できます。

    接続タイムアウト(Connection Timeout)

    タイムアウトの値を入力します。最大タイムアウトは 30 秒です。

    詳細については、このトピックの最後にある例を参照してください。

  3. [Add] をクリックします。

  4. [すべての変更を保存(Save All Changes)] をクリックします。変更を更新するためのサーバーの再起動に関する警告メッセージが表示されます。[変更の保存(Save Changes)] をクリックして確認します。

ステップ 3

LDAP サーバーを編集するには、次の手順を実行します

  1. LDAP サーバーを選択して、[Edit] アイコン をクリックします。

  2. 変更を加えた後、[更新(Update)] をクリックします。

ステップ 4

LDAP サーバーを削除するには、次の手順を実行します

  1. LDAP サーバーを選択して、[Delete] アイコン をクリックします。

  2. [削除(Delete)] をクリックして確認します。

次の例は、セキュア LDAP の設定用に入力されたパラメータを示しています。前提条件として、AAA 操作アクセスを管理するために、デバイスアクセスグループが Crosswork で作成され、設定されています。

関連するパラメータは LDAP サーバーで設定されています。次に、主なポイントを示します。

  • ユーザーロールは ldapa-user1 で、ユーザーグループ ldapAdminに属しています。

  • ユーザー名は、この例では DSEENIVAです。

  • ポリシー ID は sAMAccountNameです。

  • ldapUrl パラメータは、アドレスとポートの組み合わせです。

  • ldap_attr_server セクションのパラメータは、ロールマッピングに使用されます。 baseDN パラメータは、Crosswork UI の [ポリシーベース DN(Policy BaseDn)] フィールドにマッピングされ、 userFilter パラメータは [ポリシーマップ属性(Policy Map Attribute)] フィールドにマッピングされます。

  • デバイスアクセスグループは、LDAP サーバーで 'Description='ALL-ACCESS' として設定されています。

LDAP サーバーで設定されたユーザー グループとユーザーロールのマッピング:

図 19. LDAP サーバーの追加

この例の API ペイロードの例を次に示します。

{   "ldap": {
    "ldap_servers": {
      "ldap_server": [{
          "type": "DIRECT",
          "bindDn": "cn=ldapa-user1,OU=ouUsers1,dc=DSEENIVA,dc=COM",  
          "connectionStrategy": "",
          "useSsl": false,
          "useStartTls": false,
          "connectTimeout": 10,
          "baseDn": "OU=ouUsers1,dc=DSEENIVA,dc=COM",  
          "userFilter": "cn={user}",   
          "subtreeSearch": true,
          "usePasswordPolicy": false,
          "dnFormat": "cn=%s,OU=ouUsers1,dc=DSEENIVA,dc=COM",  
          "principalAttributeId": "cn",
          "policyId": "Description",
          "minPoolSize": 1,
          "maxPoolSize": 1,
          "validateOnCheckout": false,
          "validatePeriodically": true,
          "validatePeriod": 600,
          "idleTime": 5000,
          "prunePeriod": 5000,
          "blockWaitTime": 5000,
          "providerClass": "org.ldaptive.provider.unboundid.UnboundIDProvider",
          "allowMultipleDns": false,
          "order": 16,
          "trustStore": "ldaps",
          "name": "ldapsecure",
          "ldapUrl": "ldaps://cw-qa-ldap-2-ipv4:636",   
          "bindCredential": "<>"
        }
      ],
      "ldap_attr_servers": {
        "ldap_attr_server": [
          {
            "baseDn": "OU=ouGroup,dc=DSEENIVA,dc=COM",   
            "trustStore": "ldaps",
            "ldapUrl": "ldaps://cw-qa-ldap-2-ipv4:636",
            "bindDn": "cn=ldapa-user1,OU=ouUsers1,dc=DSEENIVA,dc=COM",
            "bindCredential": "<>",
            "userFilter": "member=cn={user},OU=ouUsers1,dc=DSEENIVA,dc=COM", 
            "failFast": false,
            "attributes": {
            "policy_id":"sAMAccountName"
            }}]}}}}

Crosswork UI で対応する LDAP 設定を次に示します。

図 20. LDAP サーバーの追加

RADIUS サーバーの管理

Crosswork は、RADIUS(Remote Authentication Dial-In User Service)サーバーを使用してユーザーを認証することをサポートしています。Crosswork を Cisco ISE(Identity Service Engine)などのアプリケーションと統合して、RADIUS プロトコルを使用して認証することもできます。

始める前に

  • AAA 操作へのアクセスを管理するためのデバイスアクセスグループを作成します。詳細については、デバイスアクセスグループの作成を参照してください。

  • TACACS+ サーバーと同様に、 Crosswork ネットワークコントローラで AAA サーバーを設定する前に、RADIUS サーバーで関連パラメータ(ユーザーロール、デバイスアクセスグループ属性、共有秘密形式、共有秘密値)を設定する必要があります。Cisco ISE での手順の詳細については、最新バージョンの『Cisco Identity Services Engine Administrator Guide』を参照してください。

手順

ステップ 1

メインメニューから、[管理(Administration)] > [AAA] > [サーバー(Servers)] > [RADIUS] タブを選択します。このウィンドウからは、新しい RADIUS サーバーの追加、編集、および削除を行うことができます。

ステップ 2

新しい RADIUS サーバーを追加するには

  1. [追加(Add)] アイコンアイコンをクリックします。

  2. 必要な RADIUS サーバー情報を入力します。

    表 9. RADIUS フィールドの説明

    フィールド

    説明

    認証順位(Authentication Order)

    一意の優先順位値を指定して認証要求に優先順位を割り当てます。順序は 10 ~ 99 の間の任意の数値です。10 未満はシステムで予約済みです。

    デフォルトでは 10 が選択されます。

    IP アドレス(IP Address)

    TACACS+ サーバーの IP アドレスを入力します(IP アドレスが選択されている場合)。

    DNS 名(DNS Name)

    IPv4 DNS 名のみがサポートされています(DNS 名が選択されている場合)。

    ポート(Port)

    デフォルトの RADIUS ポート番号は 1645 です。

    共有秘密形式(Shared Secret Format)

    アクティブな RADIUS サーバーの共有秘密。ASCII または 16 進数を選択します。

    共有秘密(Shared Secret)/共有秘密の確認(Confirm Shared Secret)

    アクティブな RADIUS サーバーのプレーンテキストの共有秘密。入力したテキストの形式は、選択した形式(ASCII または 16 進数)と一致する必要があります。

    Crosswork が外部認証サーバーと通信するには、この画面で入力する [共有秘密(Shared Secret)] パラメータが、RADIUS サーバーで設定されている共有秘密の値と一致する必要があります。

    サービス(Service)

    アクセスしようとしているサービスの値を入力します。たとえば、「raccess」です。

    ポリシー ID(Policy Id)

    [ポリシーID(Policy Id)] フィールドは、 RADIUS サーバーで作成したユーザーロールに対応します。

    (注)  

     

    必要なユーザーロールを作成する前に RADIUS ユーザーとして Crosswork ネットワークコントローラ にログインしようとすると、「キーが認証されていません。一致するポリシーがありません(Key not authorized: no matching policy)」というエラーメッセージが表示されます。この場合は、ブラウザを閉じます。ローカル管理者ユーザーとしてログインし、RADIUS サーバーで不足しているユーザーロールを作成し、RADIUS ユーザーログイン情報を使用して Crosswork にログインし直します。

    デバイスアクセスグループ属性(Device Access Group Attribute)

    デバイスアクセスグループ属性値は、RADIUS サーバー属性でデバイスアクセスグループに使用されるキーに基づいています。これらの値には、1 つまたは複数のカンマ区切り値を指定できます。

    再送信タイムアウト(Retransmit Timeout)

    タイムアウトの値を入力します。最大タイムアウトは 30 秒です。

    再試行(Retries)

    許可される認証の再試行回数を指定します。

    認証タイプ(Authentication Type)

    RADIUS の認証タイプを選択します。

    • PAP:パスワードベースの認証は、2 つのエンティティが 1 つのパスワードを事前に共有し、そのパスワードを認証の基準に使用するプロトコルです。

    • CHAP:チャレンジハンドシェイク認証プロトコルでは、クライアントとサーバーの両方がプレーンテキストの秘密キーを認識しており、その秘密キーは絶対にネットワーク上に送信されないことが必要になります。CHAP は、パスワード認証プロトコル(PAP)より優れたセキュリティを提供します。

    RADIUS の設定は TACACS+ と非常によく似ているため、詳細については、 TACACS+ サーバーの管理の詳細な例を参照してください。

  3. 関連するすべての詳細を入力したら、[追加(Add)] をクリックします。

  4. [すべての変更を保存(Save All Changes)] をクリックします。変更を更新するためのサーバーの再起動に関する警告メッセージが表示されます。[変更の保存(Save Changes)] をクリックして確認します。

ステップ 3

RADIUS サーバーを編集するには

  1. RADIUS サーバーの横にあるチェックボックスをクリックし、[Edit] アイコン をクリックします。

  2. 変更を加えた後、[更新(Update)] をクリックします。

ステップ 4

RADIUS サーバーを削除するには

  1. RADIUS サーバーの横にあるチェックボックスをクリックし、[Delete] アイコン をクリックします。[サーバー IP アドレスの削除(Delete server-IP-address)] ダイアログボックスが開きます。

  2. [削除(Delete)] をクリックして確認します。

AAA サーバー設定を設定

関連する AAA アクセス許可を持つユーザーは、AAA 設定を設定できます。

手順

ステップ 1

メインメニューから、[管理(Administration)] > [AAA] > [設定(Settings)] の順に選択します。

ステップ 2

[ローカルへのフォールバック(Fallback to Local)] に関連する設定を選択します。デフォルトでは、Crosswork はローカルデータベース認証よりも外部認証サーバーを優先します。

(注)  

 

管理者ユーザーは常にローカルで認証されます。

ステップ 3

[アイドル状態のユーザをすべてログアウトする間隔(Logout All Idle Users After)] フィールドの関連する値を選択します。 指定された制限を超えてアイドル状態のままになっているユーザーは、自動的にログアウトされます。

(注)  

 

デフォルトのタイムアウト値は 30 分です。タイムアウト値を調整すると、ページが更新されて変更が適用されます。

ステップ 4

[並列セッション数(Number of Parallel Sessions)] に関連する値を入力します。

(注)  

 

Crosswork は、同時使用ユーザーに対して 5 ~ 200 の並列セッションをサポートします。並列セッション数を超えると、Crosswork へのログイン時にエラーが表示されます。

(注)  

 

Crosswork は、50 ~ 400 件の同時 NBI セッションをサポートします。

ステップ 5

監査とアカウンティングのためにユーザーの IP アドレス(送信元 IP)をログに記録するには、[監査のために送信元IPを有効にします(Enable source IP for auditing)] チェックボックスをオンにします。デフォルトでは、このチェックボックスは無効になっています。このオプションを有効にして Cisco Crosswork に再ログインすると、[監査ログ(Audit Log)] ページと [アクティブセッション(Active Sessions)] ページに [送信元IP(Source IP)] 列が表示されます。

ステップ 6

[ローカルパスワードポリシー(Local Password Policy)] に関連する設定を選択します。特定のパスワード設定はデフォルトで有効になっており、無効にすることはできません(たとえば、最初のログイン時にパスワードを変更する)。

(注)  

 

パスワードポリシーの変更は、ユーザーが次にパスワードを変更したときにのみ適用されます。ログイン時に、既存のパスワードのコンプライアンスはチェックされません。

(注)  

 

[ローカルパスワードポリシー(Local Password Policy)] を使用すると、管理者は、ユーザーが Crosswork からロックアウトされるまでのログイン試行の失敗回数とロックアウト期間を設定できます。待機時間が経過すると、ユーザーは正しいログイン情報でログインを試行ることができます。

シングルサインオン(SSO)の有効化

シングルサインオン(SSO)は、単一の ID とパスワードを使用して、関連するが独立したソフトウェアシステムのいずれかにログインできる認証方法です。一度ログインすれば、認証要素を再入力せずにサービスにアクセスできます。Cisco Crosswork は ID プロバイダー(IDP)として機能し、信頼するサービスプロバイダーに認証サポートを提供します。TACACS+、LDAP、および RADIUS ユーザーの認証に SSO を有効にすることもできます。

Crosswork は SSO 相互起動をサポートしており、サービスプロバイダーとのナビゲーションを容易にします。設定が完了すると、ウィンドウの右上隅にある起動アイコン([パネルを閉じる(Close Panel)] アイコン)を使用して URL を起動できます。


注目

  • Crosswork を再インストールするときは、Crosswork からの最新の IDP メタデータがサービス プロバイダー アプリケーションに対して更新されていることを確認する必要があります。これを行わないと、メタデータ情報が一致しないため、認証が失敗します。

  • 初めてログインするユーザーは、パスワードを強制的に変更する前に別のユーザー名の使用に切り替えることはできません。唯一の回避策は、管理者がセッションを終了することです。


(注)  

Central Authentication Service(CAS)ポッドが再起動中または実行されていない場合、Cisco Crosswork ログインページは表示されません。

始める前に

[管理(Administration)] > [AAA] > [設定(Settings)] ページで [監査のために送信元IPを有効にします(Enable source IP for auditing)] チェックボックスがオンになっていることを確認します。

手順

ステップ 1

メインメニューから、[管理(Administration)] > [AAA] > [SSO] の順に選択します。[アイデンティティプロバイダー(Identity Provider)] ウィンドウが表示されます。このウィンドウを使用して、サービスプロバイダーの追加、設定の編集、および削除を行うことができます。

図 21. [アイデンティティプロバイダー(Identity Provider)] ウィンドウ

ステップ 2

新しいサービスプロバイダーを追加するには、次のことを行います。

  1. [追加(Add)] アイコンアイコンをクリックします。

  2. [サービスプロバイダー(Service Provider)] ウィンドウで、次のフィールドに値を入力します。

    • [名前(Name)]:サービス プロバイダー エンティティの名前を入力します。

      (注)  

       

      URL を指定すると、[アイデンティティプロバイダー(Identity Provider)] ウィンドウの [サービス名(Service name)] 列のエントリがハイパーリンクになります。

    • [評価順序(Evaluation Order)]:サービス定義が考慮される順序を示す一意の番号を入力します。

    • [メタデータ(Metadata)]:フィールドをクリックするか、[参照(Browse)] をクリックして、SAML クライアントの展開を説明するメタデータ XML ドキュメントに移動します。ここにサービスプロバイダーの URL を入力して、相互起動を行うことができます。

ステップ 3

[追加(Add)] をクリックして、サービスプロバイダーの追加を終了します。

ステップ 4

[すべての変更を保存(Save All Changes)] をクリックします。変更を更新するためのサーバーの再起動に関する警告メッセージが表示されます。[変更の保存(Save Changes)] をクリックして確認します。

設定を保存した後、統合サービス プロバイダー アプリケーションに初めてログインすると、アプリケーションは Cisco Crosswork サーバーにリダイレクトされます。Crosswork 認証情報を提供すると、サービス プロバイダー アプリケーションは自動的にログインします。以降のすべてのアプリケーションログインでは、認証の詳細を入力する必要はありません。

ステップ 5

サービスプロバイダーを編集するには、次のことを行います。

  1. サービスプロバイダーの横にあるチェックボックスをクリックし、[Edit] アイコン をクリックします。必要に応じて、[評価順序(Evaluation Order)] と [メタデータ(Metadata)] の値を更新できます。

  2. 変更を加えた後、[更新(Update)] をクリックします。

ステップ 6

サービスプロバイダーを削除するには、次のことを行います。

  1. サービスプロバイダーの横にあるチェックボックスをクリックし、[Delete] アイコン をクリックします。

  2. [削除(Delete)] をクリックして確認します。

セキュリティ強化の概要

セキュリティを強化するには、次のコンポーネントがセキュリティ メカニズムを最適化できるように調整する必要があります。

  • Cisco Crosswork インフラストラクチャ

  • Cisco Crosswork ストレージ システム(ローカルまたは外部)

Cisco Crosswork セキュリティを強化するには、次のタスクを実行する必要があります。

  • 非セキュア ポートと未使用ポートのシャットダウン

  • ネットワーク ファイアウォールの設定

  • 必要に応じた Cisco Crosswork インフラストラクチャの強化

主な情報源として、シスコの担当者が各展開環境に固有のサーバー強化ガイダンスをご提供しますが、この項に示す手順に従って Cisco Crosswork を保護することもできます。

認証スロットリング

Cisco Crosswork は、パスワードの推測やその他の関連する不正使用のシナリオを回避するために、ログイン試行の失敗後にログイン試行を抑制します。ユーザー名のログイン試行が失敗すると、そのユーザー名のすべての認証試行が 3 秒間ブロックされます。スロットリングは、TACACS、LDAP、デフォルトのローカル認証など、サポートされているすべての認証方式に適用できます。

主要なセキュリティ概念

Cisco Crosswork 製品のセキュリティの最適化を目指す管理者は、次のセキュリティ概念をよく理解しておく必要があります。

HTTPS

Hypertext Transfer Protocol Secure(HTTPS)では、チャネルを介して送信されるデータの暗号化に、セキュア ソケット レイヤ(SSL) またはその後続の標準規格である Transport Layer Security(TLS)が使用されます。SSL で複数の脆弱性が見つかったため、Cisco Crosswork では現在 TLS のみがサポートされています。


(注)  
TLS は大まかに SSL と呼ばれることが多いため、本ガイドでもこの表記に従います。

SSL は、プライバシー、認証、およびデータ整合性を組み合わせることで、クライアントとサーバーの間のデータ転送を保護します。これらのセキュリティ メカニズムを有効にするために、SSL は証明書、秘密キー/公開キー交換ペア、および Diffie-Hellman 鍵共有パラメータを使用します。

X.509 証明書

X.509 証明書と秘密キー/公開キーの ペアは、ユーザー認証と通信パートナーのアイデンティティ検証に使用されるデジタル識別の一種です。VeriSign や Thawte などの認証局(CA)は、エンティティ(サーバーまたはクライアント)を識別するための証明書を発行します。クライアントまたはサーバー証明書には、発行認証局の名前とデジタル署名、シリアル番号、証明書が発行されたクライアントまたはサーバーの名前、公開キー、および証明書の有効期限が含まれます。CA は、1 つ以上の署名証明書を使用して SSL 証明書を作成します。各署名証明書には、CA 署名の作成に使用される照合秘密キーがあります。CA は署名付き証明書(公開キーが埋め込まている)を簡単に入手できるようにしているため、誰でもその証明書を使用して、SSL 証明書が実際に特定の CA によって署名されたことを確認できます。

一般に、ハイ アベイラビリティ(HA)と非 HA の両方の環境で証明書を設定するには、次の手順が必要です。

  1. サーバーの ID 証明書を生成する。

  2. サーバーに ID 証明書をインストールする。

  3. 対応するルート証明書をクライアントまたはブラウザにインストールする。

実行する必要がある具体的なタスクは、ご利用の環境によって異なります。

次の点に注意してください。

  • サーバーの開始/停止シーケンシングは、HA 環境で慎重に行う必要があります。

  • 仮想 IP アドレスが設定されている非 HA 環境では、より複雑な証明書要求プロセスを完了する必要があります。

1 方向 SSL 認証

これは、クライアントが適切なサーバー(中間サーバーではなく)に接続していることを保証する必要がある場合に使用される認証方法で、オンライン バンキングの Web サイトなどのパブリック リソースに適しています。認証は、クライアントがサーバー上のリソースへのアクセスを要求したときに開始されます。リソースが存在するサーバーは、そのアイデンティティを証明するために、サーバー証明書(別名 SSL 証明書または x.509 証明書)をクライアントに送信します。クライアントは受信したサーバー証明書を、クライアントまたはブラウザにインストールする必要がある別の信頼できるオブジェクト(サーバー ルート証明書)と照合して検証します。サーバーの検証後、暗号化された(つまりセキュアな)通信チャネルが確立されます。ここで、Cisco Crosswork サーバーによって HTML 形式の有効なユーザー名とパスワードの入力が求められます。SSL 接続が確立された後にユーザー クレデンシャルを入力すると、未認証の第三者による傍受を防ぐことができます。最終的に、ユーザー名とパスワードが受け入れられた後、サーバー上に存在するリソースへのアクセスが許可されます。


(注)  
クライアントは複数のサーバーとやり取りするために、複数のサーバー証明書を格納する必要がある場合があります。

クライアントにルート証明書をインストールする必要があるかどうかを判断するには、ブラウザの URL フィールドでロック アイコンを探します。通常このアイコンが表示される場合は、必要なルート証明書がすでにインストール済みであることを示します。多くの場合、これはより大きいいずれかの認証局(CA)によって署名されたサーバー証明書に該当します。一般的なブラウザではこれらの CA からのルート証明書が含まれているからです。

クライアントがサーバー証明書に署名した CA を認識しない場合は、接続がセキュリティで保護されていないことを意味します。これは必ずしも大きな問題ではなく、接続するサーバーの ID が検証されていないことを示しているだけです。この時点で、次の 2 つの操作のいずれかを実行できます。1 つは、必要なルート証明書をクライアントまたはブラウザにインストールすることです。ブラウザの URL フィールドにロック アイコンが表示された場合は、証明書が正常にインストールされたことを意味します。もう 1 つは、クライアントに自己署名証明書をインストールできることです。信頼できる CA によって署名されたルート証明書とは異なり、自己署名証明書は作成者である個人またはエンティティによって署名されます。自己署名証明書を使用して暗号化チャネルを作成できますが、接続するサーバーの ID が検証されていないため、固有のリスクが伴うことを理解しておいてください。

非セキュアなポートおよびサービスの無効化

一般的なポリシーとして、不要なポートを無効にする必要があります。まず、どのポートが有効になっているかを確認した後、Cisco Crosswork の通常の機能を妨げることなく安全に無効化できるポートを判別する必要があります。これを行うには、開いているポートのリストを表示し、Cisco Crosswork で必要なポートのリストと比較します。

開いているすべてのリスニングポートのリストを表示するには、次の手順を実行します。

手順

ステップ 1

Linux CLI 管理者ユーザーとしてログインし、netstat -aln コマンドを入力します。

netstat -aln コマンドは、現在開いている(有効化されている)サーバーの TCP/UDP ポート、システムで使用している他のサービスのステータス、およびその他のセキュリティ関連の設定情報を表示します。このコマンドは、次のような出力を返します。

[root@vm ~]# netstat -aln
Active Internet connections (servers and established)
Proto  Recv-Q   Send-Q   Local Address            Foreign Address         State
tcp    0        0        0.0.0.0:111              0.0.0.0:*               LISTEN
tcp    0        0        127.0.0.1:8080           0.0.0.0:*               LISTEN
tcp    0        0        0.0.0.0:22               0.0.0.0:*               LISTEN
tcp    0        0        127.0.0.1:25             0.0.0.0:*               LISTEN
tcp    0        0        127.0.0.1:10248          0.0.0.0:*               LISTEN
tcp    0        0        127.0.0.1:10249          0.0.0.0:*               LISTEN
tcp    0        0        192.168.125.114:40764    192.168.125.114:2379    ESTABLISHED
tcp    0        0        192.168.125.114:48714    192.168.125.114:10250   CLOSE_WAIT
tcp    0        0        192.168.125.114:40798    192.168.125.114:2379    ESTABLISHED
tcp    0        0        127.0.0.1:33392          127.0.0.1:8080          TIME_WAIT
tcp    0        0        192.168.125.114:40814    192.168.125.114:2379    ESTABLISHED
tcp    0        0        192.168.125.114:40780    192.168.125.114:2379    ESTABLISHED
tcp    0        0        127.0.0.1:8080           127.0.0.1:44276         ESTABLISHED
tcp    0        0        192.168.125.114:40836    192.168.125.114:2379    ESTABLISHED
tcp    0        0        192.168.125.114:40768    192.168.125.114:2379    ESTABLISHED
tcp    0        0        127.0.0.1:59434          127.0.0.1:8080          ESTABLISHED
tcp    0        0        192.168.125.114:40818    192.168.125.114:2379    ESTABLISHED
tcp    0        0        192.168.125.114:22       192.168.125.1:45837     ESTABLISHED
tcp    0        0        127.0.0.1:8080           127.0.0.1:48174         ESTABLISHED
tcp    0        0        127.0.0.1:49150          127.0.0.1:8080          ESTABLISHED
tcp    0        0        192.168.125.114:40816    192.168.125.114:2379    ESTABLISHED
tcp    0        0        192.168.125.114:55444    192.168.125.114:2379    ESTABLISHED

ステップ 2

Cisco Crosswork で使用されるポートの表について『Crosswork Network Controller 7.0 Installation Guide』を確認し、使用しているポートがその表にリストされているかどうかを確認します。この表を参考にすると、どのサービスがポートを使用しているか、およびどのサービスが不要で、安全に無効化できるかを判別できます。この場合の「安全」とは、製品に悪影響を及ぼさずにポートを安全に無効化できることを意味します。

(注)  

 
ポートまたはサービスを無効化する必要があるかどうかが不明の場合は、Cisco の担当者にお問い合わせください。

ステップ 3

ネットワーク内にファイアウォールがある場合、Cisco Crosswork の動作に必要なトラフィックのみを許可するようにファイアウォールを設定します。

ストレージの強化

データベース、バックアップ サーバーなど、Cisco Crosswork のインストールに含めるすべてのストレージ要素を保護することをお勧めします。

  • 外部ストレージを使用している場合は、ストレージのベンダーとシスコの担当者にお問い合わせください。

  • 内部ストレージを使用している場合は、シスコの担当者にお問い合わせください。

  • Cisco Crosswork をアンインストールまたは削除する場合は、センシティブ データを含む可能性があるすべての VM 関連ファイルがデジタルで破棄(単に削除されるのではなく)されていることを確認してください。詳細については、シスコの担当者にお問い合わせください。

システム設定の構成

管理者ユーザーは、次のシステム設定を構成できます。

Syslog サーバーの設定

Crosswork では、外部 syslog コンシューマは次を行うことができます。

  • Crosswork で、 Syslog サーバーおよびトラップサーバーからのシステムイベント、監査イベント、および内部収集ジョブの受信を登録する。

  • syslog として転送するイベントの種類をコンシューマごとに定義およびフィルタ処理する。

  • syslog がコンシューマに転送されるレートを定義する。


(注)  

Syslog TLS サーバー証明書が追加されたら、5 分から 10 分待ってから、syslog サーバーを構成します。


注目

syslog サーバーを設定する API は、Crosswork 6.0 リリースで廃止されました。

始める前に

Syslog TLS サーバー証明書をアップロードしたことを確認してください。詳細については、新しい証明書の追加を参照してください。

手順

ステップ 1

メインメニューから、[管理(Administration)] > [設定(Settings)] > [システム設定(System settings)] タブを選択します。

ステップ 2

[アラームとイベントの設定(Alarms and events settings)] で、[通知先(Notification destination)] オプションをクリックします。

ステップ 3

[追加(Add)] アイコン をクリックします。

ステップ 4

[送信先の追加(Add Destination)] ペインで、[送信先(Destination)] ドロップダウンから [Syslogレシーバ(Syslog receiver)] を選択します。

ステップ 5

Syslog の送信先の詳細を入力します。詳細については、各オプションの横にある [フィールドヘルプ(Field Help)] アイコン を参照してください。

ステップ 6

[プロトコル(Protocol)] として [TLS] を選択した場合は、[Syslog証明書(Syslog certificate)] ドロップダウンから証明書を選択します。

ステップ 7

[保存(Save)] をクリックします。

Syslog イベント

Syslog の宛先が設定されると、Crosswork は Syslog の形式でイベントを生成し、Syslog の宛先に送信します。このイベントの形式は、次のとおりです。

<pri><v> <stamp> <vip> <app> <PID> <Message ID> <Structure Data> <Message>

次の表に、syslog で送信されるフィールドを示します。

表 10. Syslog イベントのフィールドと説明

フィールド

説明

Pri

生成されたイベントの優先順位:

Priority = (8*facility + severity)

ここで、facility は生成されたイベントのカテゴリです。

整数値で表される、生成されたイベントのカテゴリ

System = 3、Network = 7、Audit = 13、Security = 4、External = 1

アラームの重大度は、イベントの重大度を整数値で示します。

Critical=2、Major=3、Warning=4、Minor=5、Info=6、Clear=7

カテゴリが System で、重大度が Major のイベントの PID = 8 * 3 + 3 = 27。

v

Syslog サーバーのバージョン。

該当なし

Stamp

イベントが作成されたタイムスタンプ。

Mar 28 15:2:22 10.56.58.188

VIP

Crosswork VIP アドレス。

10.56.58.188

App

イベントの OriginServiceId および OriginAppId。

 orchestrator-capp-infra
PID

プロセス ID。

 該当なし
Message ID

イベント ID。

 8586f9cf-d05d-4d94-ab62-27d7e808b5f6
Structured Data

イベントの ObjectId とイベントタイプ。

robot-topo-svc-0

Message

イベントの説明。

Restart of robot-topo-svc successful.

トラップサーバーを設定

Cisco Crosswork では、外部トラップコンシューマは次を行うことができます。

  • Crosswork に登録し、システムイベントと監査ログをトラップとして受信する。

  • トラップとして転送するイベントの種類をコンシューマごとに定義およびフィルタ処理する。

  • トラップがコンシューマに転送されるレートを定義する。

トラップ処理の詳細については、トラップ処理の有効化を参照してください。


注目

トラップサーバーを設定する API は、Crosswork 6.0 リリースで廃止されました。

[設定(Settings)] ウィンドウからトラップサーバーを管理するには、以下の手順に従います。

手順

ステップ 1

メインメニューから、[管理(Administration)] > [設定(Settings)] > [システム設定(System settings)] タブを選択します。

ステップ 2

[アラームとイベントの設定(Alarms and events settings)] で、[通知先(Notification destination)] オプションをクリックします。

ステップ 3

[追加(Add)] アイコン をクリックします。

ステップ 4

[通知先の追加(Add Destination)] ペインで、[宛先(Destination)] ドロップダウンから [トラップ受信者(Trap receiver)] を選択します。

ステップ 5

トラップの宛先の詳細を入力します。詳細については、各オプションの横にある [フィールドヘルプ(Field Help)] アイコン をクリックしてください。

ステップ 6

関連するすべての情報を入力したら、[追加(Add)] をクリックします。

インターフェイスデータ収集の設定

Crosswork Data Gateway は、SNMP または gNMI プロトコルを介して、デバイスからインターフェイスの状態と、名前、タイプ、トラフィックカウンタなどの統計データを収集します。Crosswork Data Gateway は、デバイスがオンボーディングされてデータゲートウェイに接続されると、データ収集を開始します。

インターフェイスデータ収集設定を指定するには、次の手順を実行します。

始める前に

タグを作成し、Crosswork がインターフェイスデータを収集するデバイスに割り当てます。タグを作成してデバイスに割り当てる方法については、タグの作成およびデバイスタグの適用または削除を参照してください。

手順

ステップ 1

メインメニューから、[管理(Administration)] > [設定(Settings)] > [システム設定(System Settings)] タブを選択します。

ステップ 2

[データ収集(Data Collection)] で、[インターフェイス(Interfaces)] を選択します。

図 22. [インターフェイスデータ(Interface data)] ウィンドウ

ステップ 3

[インターフェイスデータ(Interface Data)] ペインで、適切な方法を選択します。

  • SNMP:Crosswork は、デバイスから IF-MIB および IP-MIB データを収集します。

  • gNMI:Crosswork は、デバイスから openconfig-interfaces データを収集します。

  • 両方:デバイスの機能に応じて、SNMP および gNMI プロトコルを選択してデバイスを検出します。

メソッドとして [両方(Both)] を選択する場合は、適切な SNMP および gNMI デバイスタグを選択する必要があります。[SNMP] メソッドまたは [gNMI] メソッドを選択する場合は、デバイスタグはオプションになります。

ステップ 4

[{SNMP または gNMI} デバイスタグの選択(Select {SNMP or gNMI} Device Tag)] ドロップダウンから、SNMP プロトコルおよび gNMI プロトコルの一意のタグを選択します。

デバイスに関連付けられている事前に作成されたタグが一覧表示されます。[タグが未選択(No Tag Selected)] オプションを選択すると、Crosswork はシステム SNMP または gNMI タグを持つデバイスのデータ収集を開始します。

ステップ 5

[インターフェイス収集間隔(Interface Collection Interval)] フィールドで、データ収集要求の間隔を指定します。デフォルトの時間は、5 分です。

ステップ 6

[保存(Save)] をクリックします。

ログイン前の免責事項の設定

多くの組織では、ユーザーがログインする前に、システムが免責事項メッセージをバナーに表示することを求めています。システムを使用する際に承認済みのユーザーには義務をバナーで通知したり、未承認のユーザーには警告をバナーに表示することがあります。Crosswork ユーザーに対してこのようなバナーを有効にし、必要に応じて免責事項メッセージをカスタマイズできます。

手順

ステップ 1

メインメニューから、[管理(Administration)] > [設定(Settings)] > [システム設定(System Settings)] タブを選択します。

ステップ 2

[通知(Notifications)] で、[ログイン前の免責事項(Pre-Login Disclaimer)] オプションをクリックします。

ステップ 3

免責事項を有効にし、バナーをカスタマイズするには、次の手順を実行します。

  1. [有効(Enabled)] チェックボックスをオンにします。

  2. 必要に応じて、バナーの [タイトル(Title)]、[アイコン(Icon)]、および [免責事項のテキスト(Disclaimer Text)] をカスタマイズします。

  3. オプション:免責事項の編集中に、次のことを実行できます。

    [プレビュー(Preview)] をクリックすると、Crosswork ログインプロンプトの前に表示される変更を確認できます。

    [変更の破棄(Discard Changes)] をクリックすると、最後に保存したバージョンのバナーに戻ります。

    [リセット(Reset)] をクリックすると、バナーが元のデフォルトのバージョンに戻ります。

  4. 変更が完了したら、[保存(Save)] をクリックして変更を保存し、すべてのユーザーにカスタム免責事項を表示できるようにします。

ステップ 4

免責事項の表示をオフにするには、[管理(Administration)] > [設定(Settings)] > [システム設定(System Settings)] > [ログイン前の免責事項(Pre-Login Disclaimer)] を選択し、[有効(Enabled)] チェックボックスをオフにします。

ファイルサーバー設定の管理

Cisco Crosswork は、セキュアなファイル転送サービスを必要とする Crosswork アプリケーションにそれらのサービス(FTP と SFTP)を提供します。デフォルトでは無効です。


(注)  

この機能は現在、EPNM アプリケーションでのみサポートされています。有効化のシナリオの詳細については、EPNM のユーザーマニュアルを参照してください。

手順

ステップ 1

FTP サーバーを有効化するには、次の手順を実行します。

  1. メインメニューから、[管理(Administration)] > [設定(Settings)] > [システム設定(System Settings)] > [ファイルサーバー(File Servers)] を選択します。

  2. [FTP] で、[有効化(Enable)] オプションボタンを選択します。

  3. [保存(Save)] をクリックして設定を保存します。

ステップ 2

SFTP サーバーを有効にするには、次の手順を実行します。

  1. メインメニューから、[管理(Administration)] > [設定(Settings)] > [システム設定(System Settings)] > [ファイルサーバー(File Servers)] を選択します。

  2. [サーバーアップロードの有効化(Enable Server Upload)] スライダを [オン(On)] の位置にドラッグします。

    注意    

     

    SFTP は、外部から Cisco Crosswork ストレージへの書き込みアクセスを許可するアップロードオプションをサポートしています。アップロードを有効にする際は注意が必要です。また、不要になったらすぐに無効にする必要があります。

  3. [保存(Save)] をクリックして設定を保存します。