セキュリティ ドメインとノード ルールを使用してアクセスを制限する

ドメイン別にアクセスを制限する

セキュリティ ドメインを使用すると、ファブリック管理者はリソースを選択的に一群のユーザーに公開し、それらのユーザーにそれらのリソースの読み取りと変更に必要なレベルの権限を提供できます。セキュリティドメインを使用することで、複数グループのユーザーに基盤となるインフラストラクチャを共有させながら、リソースへの管理アクセスを分離することができます。

  [Cisco Application Policy Infrastructure Controller][APIC])リリース5.0(1) 以降では、「制限付き」のセキュリティ ドメインを構成できます。制限付きセキュリティ ドメインを使用すると、管理者は、ユーザーが、別のセキュリティ ドメインのユーザー グループによって作成されたオブジェクトを表示または変更できないようにすることができます(両方のグループのユーザーに同じ権限が割り当てられている場合であっても)。

例:制限付きのセキュリティドメイン domainA に関連付けられているユーザーは、セキュリティ ドメイン domainBに関連付けられているユーザーによって設定されたポリシー、プロファイル、またはユーザーを表示できません。セキュリティドメイン domainB に関連付けられているユーザーは、 domainAに関連付けられているユーザーによって設定されたポリシー、プロファイル、またはユーザーを表示できます。ただし、 domainB も制限付きとして設定されている場合は、表示できなくなります。ユーザーは、ユーザーが適切な権限を持っているシステムで作成された設定であれば、常に読み取り専用として表示できます。制限付きセキュリティドメインのユーザーには、そのドメイン内で幅広いレベルの特権を与えることができます。ユーザーが別のテナントの物理環境に不注意で影響を与える心配はありません。

次の図は、制限付きセキュリティドメインの概念を示しています。

図 1. 制限付きセキュリティドメイン

制限付きセキュリティドメインは、アクセス ポリシーなど、テナントレベル外のポリシーおよびプロファイルでマルチテナント機能を提供する上で重要な役割を果たします。アクセス ポリシーがどのテナントにも属していない場合でも、テナントごとに分離された制限付きセキュリティドメインを使用すれば、各テナントのユーザーは、他のテナントのユーザーには表示されないアクセス ポリシーを作成できます。

ノードをドメインに割り当てる

ファブリック管理者は、RBAC ノード ルールを使用して、リーフ スイッチなどの物理ノードをセキュリティ ドメインに割り当てることができます。このノード割り当てにより、そのセキュリティ ドメイン内のユーザーは、ノード ルールの一部として割り当てられたノードにアクセスして操作を実行できます。セキュリティドメイン内のノード管理権限を持つユーザーのみが、そのドメインに割り当てられたノードを設定できます。ユーザーは、セキュリティ ドメインの外部のノードにアクセスできず、他のセキュリティ ドメインのユーザーは、セキュリティ ドメインに割り当てられたノードにアクセスできません。セキュリティ ドメインに割り当てられたノードで設定を作成または変更するには、そのドメインのユーザーも、ドメイン all に割り当てられている必要があります。このドメインは port-mgmt ロールを持ちます。これはデフォルトで custom-port-privilege 権限を含むものです。または custom-port-privilege 権限を含むカスタム ロールを持ちます。


(注)  
割り当てられたノードのポートを管理するローカル ユーザーを構成するときは、ドメイン allのユーザーにロールを付与し、ノードが割り当てられているセキュリティ ドメインには admin ロールを付与する必要があります。どちらのロールも [役割の特権タイプ(Role Privilege Type)]書き込み(Write)として設定されている必要があります。

セキュリティ ドメインおよびノード ルールのガイドラインと制限事項

セキュリティドメインとノードルールを構成する際は、次の注意事項と制限事項に従ってください。このセクションで、「制限付きノードユーザー」とは、ノードが割り当てられている制限付きセキュリティ ドメイン内のユーザーのことです。

  •   [Cisco Application Policy Infrastructure Controller][APIC])より前のリリースから 5.0 リリースにアップグレードする場合は、より詳細な以前の権限を使用するルール、ポリシー、ロールを再構成する必要があります。

  •   [Cisco APIC] 5.0 リリースからそれより前のリリースにダウングレードする場合は、デフォルトのロールを手動で編集して保持する必要があります。  [Cisco APIC] 5.0 リリースで変更されたロールは、保持されます。

  • RBAC ノード ルールを使用してスパイン スイッチを割り当てることはできません。

  • RBAC ノード ルールを作成するときは、ノードを複数のセキュリティドメインに割り当てないでください。

  • 制限付きノード ユーザーは、ポリシーのみを構成できます。管理者ユーザーは、ノードの構成とトラブルシューティングを実行します。

  • 制限付きノード ユーザは、デフォルトのシステム作成の管理対象オブジェクトにアクセスできます。

  • 制限付きノード ユーザーは、障害ダッシュボードでファブリックレベルの障害数を表示できます。

  • 制限付きノード ユーザーは、AAA サーバー、NTP サーバー、DNS サーバーなどからのノードレベルの障害を表示できます。

  • 管理者または非制限ドメインユーザーが関係ポリシーを制限ノード ユーザーによって作成されたアクセス ポリシーに関連付ける場合、そのポリシーは制限ノード ユーザーに表示されます。

  • CLI を使用して制限付きノード ユーザを構成することはできません。

  • デフォルトでは、 port-mgmt ロールには custom-port-privilege 権限があります。これは、事前定義されたアクセスポリシー管理対象オブジェクトを含む権限です。  カスタム権限を設定するの手順を使用して、さらに管理対象オブジェクトを追加できます。

セキュリティ ドメインの作成

この手順を使用して、セキュリティ ドメインを作成します。

手順

ステップ 1

メニュー バーで、 [管理(Admin)] > [AAA]を選択します。

ステップ 2

  [ナビゲーション(Navigation)] ペインで、 [セキュリティ(Security)]をクリックします。

ステップ 3

  [作業(Work)] ペインで、 [セキュリティ ドメイン(Security Domains)] タブ > [アクション(Actions)]> [セキュリティ ドメインの作成(Create Security Domain)]を選択します。

ステップ 4

  [セキュリティ ドメインの作成(Create Security Domain)] ダイアログ ボックスで、次の操作を実行します:

  1.   [名前(Name)] フィールドで、セキュリティ ドメインの名前を入力します。

  2.   [説明(Description)]を入力します。

  3. セキュリティドメインを [制限付き RBAC ドメイン(Restricted RBAC Domain)]として設定するには、 [有効(Enabled)] チェックボックスをオンにします。

    セキュリティドメインを制限付きドメインとして構成した場合、このドメインに割り当てられたユーザーは、他のセキュリティドメインと関連付けられているユーザーが構成したポリシー、プロファイル、ユーザーを表示できません。

  4.   [保存(Save)]をクリックします。

ノードにアクセス権を割り当てるノード ルールを作成する

この手順に従って、リーフ スイッチなどの物理ノードをセキュリティ ドメインに割り当てる RBAC ノード ルールを設定します。

始める前に

ノードが割り当てられるセキュリティ ドメインを作成します。

手順

ステップ 1

メニュー バーで、 [管理(Admin)] > [AAA]を選択します。

ステップ 2

  [ナビゲーション(Navigation)] ペインで、 [セキュリティ(Security)]をクリックします。

ステップ 3

  [作業(Work)] ペインで、 [RBAC ルール(RBAC Rules)] タブ > [ノード ルール(Node Rules)] サブタブ > [アクション(Actions)] > [RBAC ノードルールの作成(Create RBAC Node Rule)]を選択します。

画面が表示されます。

ステップ 4

表示される [RBAC ノードルールの作成(Create RBAC for Node)] 画面で、次の詳細を入力します:

  1.   [ノード ID(Node ID)] を選択します。 をクリックして、ドロップダウン リストからノードを選択します。

  2.   [ポートの RBAC ルール(RBAC Rule for Port)]を割り当てるには、 [ポートの RBAC ルールの追加(Add RBAC Rule for Port)]をクリックし、名前を入力し、 [ドメインの選択(Select Domain)]をクリックしてドメインをルールに関連付けます。ドメインを選択したら、チェックマークをクリックします。

      [ポートの RBAC ルールの追加(Add RBAC Rule for Port)] を再びクリックして、選択したポートに複数の RBAC ルールを割り当てることができます。

  3.   [保存(Save)]をクリックします。

次のタスク

セキュリティドメインに割り当てられたノードを管理するユーザーを割り当てます。

カスタムの役割と権限

カスタム権限を持つカスタム ロールの作成

この手順を使用して、ロールを作成し、一連の権限を選択します。

始める前に

カスタム ロールで使用可能な権限を決定するには、 AAA RBAC のロールと権限 にリストされている定義済みのロールと権限のセットを参照してください。事前定義された特権で公開されていない管理対象オブジェクト(MO)への読み取りまたは書き込みアクセスが必要な場合は、 カスタム権限を設定するで説明されているように、カスタム権限を設定できます。

手順

ステップ 1

メニュー バーで、 [管理(Admin)] > [AAA]を選択します。

ステップ 2

  [ナビゲーション(Navigation)] ペインで、 [セキュリティ(Security)]をクリックします。

ステップ 3

  [作業(Work)] ペインで、 [ロール(Roles)] タブを選択します。

ステップ 4

  [作業(Work)] ペインで、[アクション(Actions)] アイコンのドロップダウン リストをクリックし、 [ロールを作成する(Create Role)]を選択します。

ステップ 5

  [ロールを作成する(Create Role)] 画面で、次の操作を実行します:

  1.   [名前(Name)] フィールドに、ロールの名前を入力します。

  2.   [説明(Description)] フィールドに、説明を入力します。

  3.   [権限の追加(Add Privileges)]をクリックします。表示されている [権限の選択(Select Privileges)] ウィンドウで、必要なチェックボックスを選択して、ロールに対する 1 つまたは複数の権限を選択します。

  4.   [選択(Select)] ([権限の選択(Select Privileges)] ウィンドウ)をクリックします。

ステップ 6

  [保存(Save)]をクリックします。

次のタスク

  custom-privilege-1などのカスタム権限を選択した場合、以下の手順に従って、 カスタム権限を設定する このカスタム権限で公開される管理対象オブジェクト(MO)を選択します。

カスタム権限を設定する

この手順を使用してカスタム権限を設定し、事前定義された権限で公開されていない 1 つ以上の管理対象オブジェクト(MO)への読み取りまたは読み取り/書き込みアクセス権を提供します。

管理対象オブジェクト クラスについては、 Cisco APIC Management Information Model Referenceを参照してください。MO クラスごとに、そのクラスの読み取りまたは読み取り/書き込み権限を持つ事前定義されたロールがリファレンスに記載されています。

事前定義された権限ごとに、 Cisco APIC のロールと権限のマトリックスで、MO クラスのリストと読み取り/書き込み権限を表示できます。

MO クラスへの読み取りまたは書き込みアクセス権限を持つカスタム権限を設定するには、APIC REST API を使用する必要があります。API を使用する方法については、 Cisco APIC REST API 設定ガイドを参照してください。

手順

以下の形式で APIC REST API POST を作成して送信し、クラス aaa:RbacClassPrivのオブジェクトを作成します。

例:


POST https://<APIC-IP>/api/node/mo/uni/rbacdb/rbacclpriv-<moClassName>.json

{
    "aaaRbacClassPriv":
    {
        "attributes":
        {
            "name": "<moClasssName>",
            "wPriv": "<privilege>",
            "rPriv": "<privilege>"
        }
    }
}

URI の moClassName 値に、アクセスを設定するオブジェクト クラスの名前を含めます。

ペイロードで、次の属性を指定します。

  • name:アクセスを設定するオブジェクト クラスの名前。

  • wPriv:クラスのオブジェクトへの書き込みアクセスを含むカスタム権限の名前。

  • rPriv:クラスのオブジェクトへの読み取りアクセスを含むカスタム権限の名前。

カスタム権限に読み取りおよび書き込みアクセスを割り当てるには、 wPrivrPrivの両方にカスタム権限の名前を入力します。

次の例は、カスタム権限の custom-privilege-1 に、クラス fabric:Podのオブジェクトへの読み取りアクセスと書き込みアクセスの両方を設定する方法を示しています。 


POST https://apic-aci.cisco.com/api/node/mo/uni/rbacdb/rbacclpriv-fabricPod.json

{
    "aaaRbacClassPriv":
    {
        "attributes":
        {
            "name": "fabricPod",
            "wPriv": "custom-privilege-1",
            "rPriv": "custom-privilege-1"
        }
    }
}

次のタスク

  カスタム権限を持つカスタム ロールの作成で説明されている手順に従って、カスタム権限をカスタム ロールに追加します。

RBAC ノード ルールの設定の使用例

このセクションでは、このドキュメントで説明されている構成オプションが混在するユースケースについて説明します。各オプションの詳細については、このドキュメントの他の部分を参照してください。ユースケースは、次のシナリオに基づいています。

  [Cisco アプリケーション セントリック インフラストラクチャ(Cisco Application Centric Infrastructure)][ACI])ファブリックに複数のテナントと複数のリーフノードがあるとします。マルチテナンシーの場合、ユーザーが特定のテナントと特定のリーフノードのセットのみを管理できるようにする必要があります。次に例を示します。

  • User1 は Tenant1、リーフノード 101 と 102 のみを管理できます。

  • User2 は Tenant2、リーフノード 201 および 202 のみを管理できます。

次の図では要件を説明しています。

これは、セキュリティドメインと RBAC ノード ルールを使用して実現できます。高レベルでは、構成手順は次の通りです。

  1. セキュリティドメインの作成

  2. RBAC ノード ルールの作成

  3. ユーザーの作成

次の図は、この例の User1 の構成間の関係を示しています。

User1 には 3 つのセキュリティ ドメインがあります。

  • ドメイン allport-mgmt ロールを持ちます:User1 が割り当てられたリーフノードでポート関連の構成を管理できるようにします。

  • ドメイン Tenant1admin ロールを持ちます:User1 が Tenant1 を管理できるようにします。

  • ドメイン Leaf100admin ロールを持ちます:User1 が Leaf101 と 102 を管理できるようにします。

次の図は、この例の User2 の構成間の関係を示しています。

User2 にも同様に 3 つのセキュリティドメインがあります。

  • ドメイン allport-mgmt ロールを持ちます:User2 が割り当てられたリーフノードでポート関連の構成を管理できるようにします。

  • ドメイン Tenant2admin ロールを持ちます:User2 が Tenant2 を管理できるようにします。

  • ドメイン Leaf200admin ロールを持ちます:User2 が Leaf201 と 202 を管理できるようにします。

続くサブセクションでは、より詳細に構成手順について説明します。このセクションでは、User1 と Tenant1 の構成についてのみ説明します。User2 と Tenant2 の構成は、同じプロセスに従います。

手順 1:セキュリティドメインの作成

最初の手順は、セキュリティドメイン Tenant1 と Leaf100 を作成することです。これらのセキュリティドメインを組み合わせることができますが、この例では個別のセキュリティドメインを使用しています。

ドメインを作成するには、 GUIで、 [管理(Admin)] > [AAA] > [セキュリティ(Security)] > [セキュリティ ドメイン(Security Domains)] > [アクション(Actions)] > [セキュリティ ドメインの作成(Create Security Domain)]に移動します。

この例では、 [制限付き RBAC ドメイン(Restricted RBAC Domain)] がセキュリティドメイン Leaf100 で有効になっています。これにより、User1 は異なるセキュリティドメインの他のユーザーによって作成されたインターフェイス ポリシーグループ、VLAN プール、および他のアクセス ポリシーを表示できません。例外は、デフォルトのインターフェイス ポリシーです。  [制限付き RBAC ドメイン(Restricted RBAC Domain)] の構成に関係なく、デフォルトのインターフェイス ポリシーはリーフ RBAC ユーザーに表示されます。ただし、 [制限付き RBAC ドメイン(Restricted RBAC Domain)] が有効になっている場合、ユーザーはデフォルト ポリシーの構成を変更できません。

  [制限付き RBAC ドメイン(Restricted RBAC Domain)] は、セキュリティドメイン Tenant1に対しては有効になっていません。テナント ポリシーの場合、テナント自体が十分な管理の分離を提供するため、これは必須ではありません。テナント RBAC とノード RBAC の両方に同じセキュリティドメインを使用する場合は、 [制限付き RBAC ドメイン(Restricted RBAC Domain)] が必要になる場合があります。

テナント RBAC の場合、テナントはセキュリティ ドメインに関連付けられている必要があります。この例では、Tenant1 をセキュリティドメイン「Tenant1」に関連付けます。ドメインを関連付けるには、 GUIで、 [テナント(Tenant)] > [ポリシー(Policy)] > [セキュリティ ドメイン(Security Domains)]に移動します。

手順 2: RBAC ノード ルールの作成

次の手順では、RBAC ノード ルールを作成して、Leaf101 と Leaf102 をセキュリティドメイン Leaf100 に追加します。RBAC ノード ルールを作成するには、 GUIで、 に移動します [管理(Admin)] > [AAA] > > [セキュリティ(Security)] > [RBAC ルール(RBAC Rules)] > [ノード ルール(Node Rules)] > [アクション(Actions)] > [RBAC ノード ルールの作成(Create RBAC Node Rule)]に移動します。

次の図は、ノード 101 の RBAC ルールを示しています。

ノード 102 に対して同じ構成を繰り返します。

手順 3:ユーザーの作成

最後の手順は、ユーザー User1 を作成することです。ユーザーを作成するには、 GUIで、 [管理(Admin)] > [AAA] > [ユーザー(Users)] > [アクション(Actions)] > [ローカル ユーザーの作成(Create Local User)]に移動します。

  セキュリティ および ロール セキュリティとロールの構成手順で、次のセキュリティ ドメインとロールを選択します。

  • all:ロール port-mgmt書き込み 権限

  • Leaf100:ロール admin書き込み 権限

  • Tenant1:ロール admin書き込み 権限

「RADIUS、 TACACS+、LDAP、RSA、SAML、OAuth 2、および DUO」の章で説明されている手順を使用して、Cisco AVPairs または LDAP グループ マップを使用して、リモートユーザーに同じ設定を使用できます。

RBAC ノード ルールの確認

User1 は Tenant1、Leaf 101 および 102 のみを管理できます。次に例を示します。

  • User1 は、書き込み権限を持つ Tenant1 と読み出し権限を持つ共通テナント以外の他のテナントを参照することはできません。

  • User1 は、 リーフ セレクタで Leaf101 および 102 以外の他のリーフノードを表示できません。。

  • User1 は、同じセキュリティ ドメインに関連付けられたユーザーによって作成されたアクセス ポリシー、またはシステムが作成したポリシー(読み取り専用)以外のアクセス ポリシーを表示できません。