この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
(注) |
システム管理 LXC から外部 AAA サーバおよびサービスを設定することはできません。その設定は XR LXC からのみ実行できます。 |
ユーザの認証にはユーザ名とパスワードが使用されます。認証されたユーザは、ユーザ グループに対して作成および適用されているコマンド ルールとデータ ルールに基づいて、コマンドを実行しデータ要素にアクセスする権利が与えられます。ユーザ グループに属するすべてのユーザには、そのユーザ グループのコマンド ルールおよびデータ ルールで定義されているシステムへのアクセス権があります。
ユーザ プロファイルを作成するためのワークフローを次のフローチャートに示します。
(注) |
ルータの初回起動時に作成された XR LXC の root-lr ユーザは、システム管理 LXC の root-system ユーザにマッピングされます。root-system ユーザにはシステム管理 LXC のスーパーユーザ権限があるため、アクセスは制限されません。 |
既存の AAA 設定を表示するには、システム管理コンフィギュレーション モードで show run aaa コマンドを使用します。
この章で説明する内容は次のとおりです。
システム管理 LXC の新しいユーザを作成します。ユーザはユーザ グループに含まれ、特定の権限が割り当てられます。ユーザは割り当てられた権限に基づいて、システム管理 LXC コンソールのコマンドと設定への制限付きアクセス権を持ちます。
ルータでは、最大で 1024 個のユーザ プロファイルがサポートされます。
(注) |
システム管理 LXC で作成したユーザは、XR LXC で作成したユーザとは異なります。したがって、システム管理 LXC ユーザのユーザ名とパスワードを使用して XR LXC にアクセスすることはできません。逆も同様です。 |
XR LXC の root-lr ユーザがシステム管理 LXC にアクセスするには、XR EXEC モードで Admin コマンドを入力します。ルータではユーザ名とパスワードの入力を求めるプロンプトは表示されません。XR LXC の root-lr ユーザには、システム管理 LXC へのフル アクセス権が提供されます。
1. admin
2. config
3. aaaauthenticationusersuseruser_name
4. passwordpassword
5. uiduser_id_value
6. gidgroup_id_value
7. ssh_keydirssh_keydir
8. homedirhomedir
9. commit
このタスクで作成したユーザを含めるユーザ グループを作成します。ユーザ グループの作成を参照してください。
ユーザ グループに適用するコマンド ルールを作成します。コマンド ルールの作成を参照してください。
ユーザ グループに適用するデータ ルールを作成します。データ ルールの作成を参照してください。
新しいユーザ グループを作成してコマンド ルールとデータ ルールを関連付けます。コマンド ルールおよびデータ ルールは、ユーザ グループに属するすべてのユーザに適用されます。
ルータでは、最大 32 のユーザ グループがサポートされます。
ユーザ プロファイルを作成します。ユーザ プロファイルの作成を参照してください。
1. admin
2. config
3. aaaauthenticationgroupsgroupgroup_name
4. usersuser_name
5. gidgroup_id_value
6. commit
コマンド ルールを作成します。コマンド ルールの作成を参照してください。
データ ルールを作成します。データ ルールの作成を参照してください。
コマンド ルールとは、ユーザ グループ内のどのユーザが特定のコマンドの使用を許可または拒否されるかに基づいたルールです。コマンド ルールはユーザ グループに関連付けられ、そのユーザ グループに属するすべてのユーザに適用されます。
動作 | 承認権限 | 拒否権限 |
読み取り(R) | 「?」を使用した場合に CLI にコマンドが表示されます。 | 「?」を使用した場合に CLI にコマンドが表示されません。 |
実行(X) | CLI からコマンドを実行できます。 | CLI からコマンドを実行できません。 |
読み取りおよび実行(RX) | コマンドが CLI に表示され、実行可能です。 | コマンドは CLI に表示されず、実行することもできません。 |
デフォルトでは、すべての権限が拒否に設定されています。
各コマンド ルールは、関連付けられている番号によって識別されます。ユーザ グループに複数のコマンド ルールを適用すると、より小さい番号のコマンド ルールが優先されます。たとえば cmdrule 5 は読み取りアクセスを許可しますが、cmdrule 10 は読み取りアクセスを拒否するとします。これら両方のコマンド ルールを同じユーザ グループに適用すると、cmdrule 5 が優先されるため、このグループのユーザは読み取りアクセス権を持ちます。
このタスクの例として、「show platform」コマンドの読み取りおよび実行権限を拒否するルールを作成します。
ユーザ グループを作成します。ユーザ グループの作成を参照してください。
1. admin
2. config
3. aaaauthorizationcmdrulescmdrulecommand_rule_number
4. commandcommand_name
5. ops{r|x|rx}
6. action {accept|accept_log|reject}
7. groupuser_group_name
8. contextconnection_type
9. commit
ステップ 1 |
admin 例:
RP/0/RP0/CPU0:router# admin モードを開始します。 |
||
ステップ 2 |
config 例: sysadmin-vm:0_RP0#config システム管理コンフィギュレーション モードを開始します。 |
||
ステップ 3 |
aaaauthorizationcmdrulescmdrulecommand_rule_number 例: sysadmin-vm:0_RP0(config)#aaa authorization cmdrules cmdrule 1100
コマンド ルール番号として数値を指定します。32 ビットの整数を入力できます。 このコマンドによって、新しいコマンド ルール(まだ存在していない場合)が作成され、コマンド ルール コンフィギュレーション モードが開始されます。例では、コマンド ルール「1100」が作成されます。
|
||
ステップ 4 |
commandcommand_name 例: sysadmin-vm:0_RP0(config-cmdrule-1100)#command "show platform"
権限を制御するコマンドを指定します。 コマンドにアスタリスク「*」を入力した場合、そのコマンド ルールがすべてのコマンドに適用されることを意味します。 |
||
ステップ 5 |
ops{r|x|rx} 例: sysadmin-vm:0_RP0(config-cmdrule-1100)#ops rx
権限を指定する必要がある動作を指定します。 |
||
ステップ 6 |
action {accept|accept_log|reject} 例: sysadmin-vm:0_RP0(config-cmdrule-1100)#action reject
ユーザがその動作の使用を許可されるか拒否されるかを指定します。 |
||
ステップ 7 |
groupuser_group_name 例: sysadmin-vm:0_RP0(config-cmdrule-1100)#group gr1
コマンド ルールを適用するユーザ グループを指定します。 |
||
ステップ 8 |
contextconnection_type 例: sysadmin-vm:0_RP0(config-cmdrule-1100)#context *
このルールを適用する接続タイプを指定します。接続タイプは netconf(ネットワーク設定プロトコル)、cli(コマンドライン インターフェイス)、または xml(Extensible Markup Language)です。アスタリスク「*」の入力が推奨されます。これは、そのコマンド ルールがすべての接続タイプに適用されることを示します。 |
||
ステップ 9 |
commit |
データ ルールを作成します。データ ルールの作成を参照してください。
データ ルールとは、ユーザ グループ内のどのユーザが設定データ要素へのアクセスとその変更を許可または拒否されるかに基づいたルールです。データ ルールはユーザ グループに関連付けられます。データ ルールは、ユーザ グループに属するすべてのユーザに適用されます。
各データ ルールは、関連付けられている番号によって識別されます。ユーザ グループに複数のデータ ルールを適用すると、より小さい番号のデータ ルールが優先されます。
ユーザ グループを作成します。ユーザ グループの作成を参照してください。
1. admin
2. config
3. aaaauthorizationdatarulesdataruledata_rule_number
4. keypathkeypath
5. opsoperation
6. action {accept|accept_log|reject}
7. groupuser_group_name
8. contextconnection type
9. namespacenamespace
10. commit
ステップ 1 |
admin 例:
RP/0/RP0/CPU0:router# admin モードを開始します。 |
||
ステップ 2 |
config 例: sysadmin-vm:0_RP0#config システム管理コンフィギュレーション モードを開始します。 |
||
ステップ 3 |
aaaauthorizationdatarulesdataruledata_rule_number 例: sysadmin-vm:0_RP0(config)#aaa authorization datarules datarule 1100
データ ルール番号として数値を指定します。32 ビットの整数を入力できます。 このコマンドによって、新しいデータ ルール(まだ存在していない場合)が作成され、データ ルール コンフィギュレーション モードが開始されます。例では、データ ルール「1100」が作成されます。
|
||
ステップ 4 |
keypathkeypath 例: sysadmin-vm:0_RP0(config-datarule-1100)#keypath /aaa/disaster-recovery
データ要素のキーパスを指定します。キーパスはデータ要素の場所を定義する式です。キーパスにアスタリスク「*」を入力した場合、そのコマンド ルールがすべての設定データに適用されることを意味します。 |
||
ステップ 5 |
opsoperation 例: sysadmin-vm:0_RP0(config-datarule-1100)#ops rw
|
||
ステップ 6 |
action {accept|accept_log|reject} 例: sysadmin-vm:0_RP0(config-datarule-1100)#action reject
ユーザがその動作を許可されるか拒否されるかを指定します。 |
||
ステップ 7 |
groupuser_group_name 例: sysadmin-vm:0_RP0(config-datarule-1100)#group gr1
データ ルールを適用するユーザ グループを指定します。複数のグループ名を指定することもできます。 |
||
ステップ 8 |
contextconnection type 例: sysadmin-vm:0_RP0(config-datarule-1100)#context *
このルールを適用する接続タイプを指定します。接続タイプは netconf(ネットワーク設定プロトコル)、cli(コマンドライン インターフェイス)、または xml(Extensible Markup Language)です。アスタリスク「*」の入力が推奨されます。これは、そのコマンドがすべての接続タイプに適用されることを示します。 |
||
ステップ 9 |
namespacenamespace 例: sysadmin-vm:0_RP0(config-datarule-1100)#namespace *
アスタリスク「*」を入力して、データ ルールが名前空間の値すべてに適用されることを示します。 |
||
ステップ 10 |
commit |
ルータの起動後、最初に root-system ユーザ名とパスワードを定義すると、同じユーザ名とパスワードがシステム管理 LXC のディザスタ リカバリ ユーザ名およびパスワードとしてマッピングされます。ただし、これらは変更可能です。
(注) |
ルータでは、ディザスタ リカバリ ユーザ名およびパスワードを一度に 1 つのみ設定できます。 |
ユーザを作成します。詳細については、ユーザ プロファイルの作成を参照してください。
1. admin
2. config
3. aaadisaster-recoveryusernameusernamepasswordpassword
4. commit
ステップ 1 |
admin 例:
RP/0/RP0/CPU0:router# admin モードを開始します。 |
ステップ 2 |
config 例: sysadmin-vm:0_RP0#config システム管理コンフィギュレーション モードを開始します。 |
ステップ 3 |
aaadisaster-recoveryusernameusernamepasswordpassword 例: sysadmin-vm:0_RP0(config)#aaa disaster-recovery username us1 password pwd1
ディザスタ リカバリ ユーザ名とパスワードを指定します。既存のユーザをディザスタ リカバリ ユーザとして選択する必要があります。この例では、ディザスタ リカバリ ユーザとして「us1」が選択され、パスワード「pwd1」が割り当てられます。パスワードは、プレーン テキストまたは MD5 ダイジェスト文字列として入力することができます。 ディザスタ リカバリ ユーザ名を使用する場合は、username@localhost の形式で入力してください。 |
ステップ 4 |
commit |