この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
ここでは、次の内容について説明します。
ロールベース アクセス コントロール(RBAC)は、ユーザのロールとロケールに基づいてユーザのシステム アクセスを制限または許可する方法です。 ロールによってシステム内でのユーザの権限が定義され、ロケールによってユーザがアクセス可能な組織(ドメイン)が定義されます。 権限がユーザに直接割り当てられることはないため、個々のユーザ権限の管理では、適切なロールとロケールを割り当てることが主な作業になります。
必要なシステム リソースへの書き込みアクセス権限がユーザに与えられるのは、割り当てられたロールによりアクセス権限が与えられ、割り当てられたロケールによりアクセスが許可されている場合に限ります。 たとえば、エンジニアリング組織内のサーバ管理者ロールを持つユーザは、エンジニアリング組織内のサーバ設定を更新できますが、そのユーザに割り当てられたロケールに財務組織が含まれていなければ、財務組織内のサーバ設定を更新できません。
ユーザ アカウントは、システムにアクセスするために使用されます。 各 VNMC インスタンスで、最大 128 個のローカル ユーザ アカウントを設定できます。 各ユーザ アカウントには、一意のユーザ名が必要です。
ローカル ユーザは、パスワードまたは SSH 公開キーを使用して認証できます。 公開キーは、OpenSSH と SECSH のいずれかの形式で設定できます。
各 VNMC インスタンスには、変更も削除もできないデフォルトのユーザ アカウント admin が存在します。 このアカウントは、システム管理者またはスーパーユーザ アカウントであり、すべての権限が与えられています。 admin アカウントには、デフォルトのパスワードは割り当てられません。初期システム セットアップ時にパスワードを選択する必要があります。
ユーザ アカウントは、事前に定義した時間に有効期限が切れるように設定できます。 有効期限の時間になると、ユーザ アカウントはディセーブルになります。
デフォルトでは、ユーザ アカウントの有効期限はありません。
ユーザ名は、VNMC のログイン ID としても使用されます。 VNMC ユーザ アカウントにユーザ名を割り当てるときは、次のガイドラインおよび制約事項を考慮してください。
ユーザ アカウントの作成後は、ユーザ名を変更できません。 ユーザ アカウントを削除し、新しいユーザ アカウントを作成する必要があります。
(注) |
1 つの VNMC インスタンスには、最大 128 個のユーザ アカウントを作成できます。 |
認証上の理由により、各ユーザ アカウントにはパスワードが必要です。 ユーザが安全性の低いパスワードを選択しないように、強力なパスワードを要求する必要があります。 [Password Strength Check] オプションがイネーブルになっている場合、VNMC は次の要件を満たさないパスワードを拒否します。
(注) |
[Password Strength Check] オプションはデフォルトでイネーブルになっています。 [Locally Authenticated Users] ペイン([Administration] > [Access Control] > [Locally Authenticated Users])からディセーブルにできます。 |
(注) |
VNMC が、LDAP でリモート認証を使用するように設定されている場合、これらのリモート アカウントのパスワードは空白にできます。 この設定では、リモート クレデンシャル ストアは認証だけに使用され、許可には使用されません。 ローカル ユーザ ロールの定義は、リモート認証されたユーザに適用されます。 |
ユーザ ロールには、そのロールを割り当てられたユーザに対して許可される操作を定義した 1 つ以上の権限が含まれます。 ユーザには、ロールを 1 つ以上割り当てることができます。 複数のロールを割り当てられたユーザは、すべての割り当てロールを組み合わせた権限を持ちます。 たとえば、Role1 にポリシー関連の権限が含まれ、Role2 にテナント関連の権限が含まれている場合、Role1 と Role2 の両方を割り当てられたユーザは、ポリシー関連の権限とテナント関連の権限を持つことになります。
すべてのロールには、VNMC インスタンス内のすべての設定に対する読み取りアクセス権限が含まれています。 読み取り専用ロールと他のロールとの違いは、読み取り専用ロールのみを割り当てられたユーザは、システム状態を変更できないことです。 別のロールを割り当てられたユーザは、そのユーザの割り当て領域においてシステム状態を変更できます。
システムには、次のデフォルトのユーザ ロールが用意されています。
ユーザには、ユーザ、ロール、および AAA 設定への読み取りおよび書き込みアクセス権があり、残りのシステムに読み取りアクセス権があります。
ユーザには、システム全体への読み取りおよび書き込みアクセス権があり、ほとんどの権限があります。 ただし、ユーザはファイルを作成または削除したり、システムをアップグレードしたりすることはできません。 これらの機能は、デフォルトの admin アカウントでのみ行うことができます。 デフォルトの admin アカウントには、デフォルトでこのロールが割り当てられ、変更できません。
ユーザは、組織、セキュリティ ポリシー、およびデバイス プロファイルを作成します。
ユーザは障害を確認し、ロギング設定などの基本的な操作を実行します。
ユーザにはシステム設定および動作ステータスへの読み取り専用アクセス権はありますが、操作を実行する権限はありません。
ロールは、作成、変更(新しい権限の追加や既存の権限の削除)、および削除できます。 ロールを変更すると、そのロールに割り当てられているすべてのユーザに新しい権限が適用されます。 権限の割り当ては、デフォルト ロールに定義されている権限に限定されません。 つまり、カスタムの権限の組み合わせを使用して、独自のロールを作成できます。 たとえば、デフォルトの Network および Operations ロールには異なる権限のセットがありますが、両方のロールの権限を組み合わせた新しい Network および Operations ロールを作成できます。
ロールがユーザへの割り当て後に削除されると、それらのユーザ アカウントからも削除されます。
ユーザ ロールを割り当てられたユーザは、権限により、特定のシステム リソースへアクセスしたり、特定のタスクを実行したりできるようになります。 次の表に各権限とその説明を一覧表示します。
権限の名前 | 説明 |
---|---|
AAA |
システム セキュリティおよび AAA。 |
Admin |
システム管理。 |
read-only |
読み取り専用アクセス権。 読み取り専用は、権限として選択できません。この権限は、すべてのユーザ ロールに割り当てられます。 |
Resource Configuration |
エッジ ファイアウォールおよびコンピュート ファイアウォールの設定。 |
Policy Management |
エッジ ファイアウォールおよびコンピュート ファイアウォールのポリシー。 |
Fault Management |
アラームおよびアラーム ポリシー。 |
Operations |
ログ、コア ファイル管理、および show tech-support コマンド。 |
Tenant Management |
テナントおよび組織コンテナの作成、削除、変更。 |
次の表に各権限のデフォルトのロール名(そのまま使用可)を一覧表示します。
デフォルトのロール名 | 権限の名前 |
---|---|
aaa |
aaa |
admin |
admin |
network |
policy, res-config, tenant |
operations |
fault, operations |
read-only |
read-only |
ユーザには、ロケールを 1 つ以上割り当てることができます。 各ロケールでは、ユーザにアクセスを許可する 1 つ以上の組織またはドメイン(総称してリソースと呼ばれる)を定義します。 さらに、ユーザには割り当てられたロケール外や組織ツリーの上部での読み取り専用のアクセス権限があります。 これにより、ユーザはポリシーの作成時にこれらのリソースを使用できます。 このルールの 1 つの例外として、組織が指定されていないロケールがあります。この場合、すべての組織内のシステム リソースに対して無制限のアクセスが可能になります。 組織の下にあるオブジェクトだけがロケールによって制御されます。 組織ツリーに存在しないユーザ、ロール、およびリソースなどの他のオブジェクトへのアクセスは、ロケールの影響を受けません。
(注) |
AAA 権限を持つユーザは、他のユーザの権限とロールの割り当てを管理できるので、この権限は慎重に割り当てる必要があります。 |
組織は階層的に管理できます。 トップ レベルの組織に割り当てられたユーザは、自動的にその下にあるすべての組織にアクセスできます。 たとえば、エンジニアリング組織が、ソフトウェア エンジニアリング組織とハードウェア エンジニアリング組織で構成されているとします。 ソフトウェア エンジニアリング組織のみを含むロケールでは、その組織内のシステム リソースにしかアクセスできません。一方、エンジニアリング組織が含まれるロケールでは、ソフトウェア エンジニアリング組織とハードウェア エンジニアリング組織の両方のリソースにアクセスできます。
ステップ 1 | [Administration] > [Access Control] > [Roles] を選択します。 |
ステップ 2 | 編集するロールを選択し、[Edit] をクリックします。 |
ステップ 3 | [Edit] ダイアログボックスで、ロールを追加する権限の各チェックボックスをオンまたはオフにし、[OK] をクリックします。 |
admin および読み取り専用ロールを除き、環境に適切でないユーザ ロールを削除できます。
ステップ 1 | [Administration] > [Access Control] > [Roles] を選択します。 | ||
ステップ 2 |
削除するユーザ ロールを選択し、[Delete] をクリックします。
|
||
ステップ 3 | [Confirm] ダイアログボックスで、[Yes] をクリックします。 |
ロケールを作成するには、1 つ以上の組織が存在する必要があります。
ステップ 1 | [Administration] > [Access Control] > [Locales] を選択します。 | ||||||||||||
ステップ 2 | [Create Locale] をクリックします。 | ||||||||||||
ステップ 3 |
[Create Locale] ダイアログボックスで、次のフィールドに値を入力し、[OK] をクリックします。
|
ロケールを 1 つまたは複数のユーザ アカウントに追加します。 詳細については、ローカル認証されたユーザ アカウントに割り当てられたロケールの変更を参照してください。
ステップ 1 | [Administration] > [Access Control] > [Locales] を選択します。 |
ステップ 2 | ロケールのリストで、編集するロケールをクリックし、[Edit] をクリックします。 |
ステップ 3 | [Description] フィールドで、必要に応じて説明を変更します。 |
ステップ 4 | [Assign Organization] をクリックします。 |
ステップ 5 | [Assign Organization] ダイアログボックスで、次の手順を実行します。 |
ステップ 6 | 開いているダイアログボックスの [OK] ボタンをクリックして、変更内容を保存します。 |
注意 |
削除するロケールが任意のユーザに割り当てられている場合は、ロケールのユーザ リストからそのロケールを削除します。 |
ステップ 1 | [Navigation] ペインの [Administrationr] タブをクリックします。 |
ステップ 2 | [Navigation] ペインの [Access Control] サブタブをクリックします。 |
ステップ 3 | [Navigation] ペインで、[Locales] ノードをクリックします。 |
ステップ 4 | [Work] ペインで、削除するロケールをクリックします。 |
ステップ 5 | [Delete] をクリックします。 |
ステップ 6 | [Confirm] ダイアログボックスで、[Yes] をクリックします。 |
ステップ 1 | [Administration] > [Access Control] > [Locales] を選択します。 |
ステップ 2 | 必要なロケールを選択し、[Assign Organization] をクリックします。 |
ステップ 3 | [Assign Organization] ダイアログボックスで、次の手順を実行します。 |
ステップ 4 | 開いているダイアログボックスで [OK] をクリックし、[Save] をクリックしてロケールをクリックします。 |
ステップ 1 | [Navigation] ペインの [Administrationr] タブをクリックします。 |
ステップ 2 | [Navigation] ペインの [Access Control] サブタブをクリックします。 |
ステップ 3 | [Navigation] ペインで、[Locales] を展開します。 |
ステップ 4 | [Work] ペインで、[General] タブをクリックします。 |
ステップ 5 | [Assigned Organizations] 領域で、削除する組織をクリックします。 |
ステップ 6 | [Delete Organization] リンクをクリックします。 |
ステップ 7 | [Confirm] ダイアログボックスで、[Yes] をクリックします。 |
ステップ 1 | [Administration] > [Access Control] > [Locally Authenticated Users] を選択します。 | ||||||||||||||||||||||||
ステップ 2 | [Create Locally Authenticated Users] をクリックします。 | ||||||||||||||||||||||||
ステップ 3 |
[Properties] 領域で、次のフィールドに値を入力します。
|
||||||||||||||||||||||||
ステップ 4 |
[Roles/Locales] タブ領域で、次のフィールドに値を入力します。
|
||||||||||||||||||||||||
ステップ 5 |
[SSH] タブ領域で、次のフィールドに値を入力します。
|
||||||||||||||||||||||||
ステップ 6 | [OK] をクリックします。 |
ステップ 1 | [Navigation] ペインの [Administrationr] タブをクリックします。 |
ステップ 2 | [Navigation] ペインの [Access Control] サブタブをクリックします。 |
ステップ 3 | [Navigation] ペインで、[Locally Authenticated Users] ノードを展開します。 |
ステップ 4 | User_name(ロケールを修正するユーザ アカウントのユーザ名を選択)をクリックします。 |
ステップ 5 | [Work] ペインで、[General] タブをクリックします。 |
ステップ 6 | [Work] ペインで、[Roles/Locales] タブをクリックします。 |
ステップ 7 | [Assigned Locale(s)] 領域で、次の手順を実行します。 |
ステップ 8 | [Save] をクリックします。 |
ステップ 1 | [Navigation] ペインの [Administrationr] タブをクリックします。 |
ステップ 2 | [Navigation] ペインの [Access Control] サブタブをクリックします。 |
ステップ 3 | [Navigation] ペインで、[Locally Authenticated Users] ノードを展開します。 |
ステップ 4 | User_name(ロケールを修正するユーザ アカウントのユーザ名を選択)をクリックします。 |
ステップ 5 | [Work] ペインで、[General] タブをクリックします。 |
ステップ 6 | [Roles/Locales] タブをクリックします。 |
ステップ 7 | [Assigned Role(s)] 領域で、次の手順を実行します。 |
ステップ 8 | [Save] をクリックします。 |
ローカル認証されたユーザとリモート認証されたユーザの両方について、セッションをモニタできます。
ステップ 1 | [Administration] > [Access Control] を選択し、次のいずれかを選択します。 | ||||||||||
ステップ 2 |
[Sessions] タブをクリックしてユーザ セッションを表示します。
|