ユーザ アカウントについて
Cisco Nexus 1000V にアクセスするには、ユーザ アカウントをセットアップする必要があります。このユーザ アカウントによって、各ユーザに許可される具体的なアクションが定義されます。ユーザ アカウントは最大 256 個作成できます。各ユーザ アカウントには、次の情報が含まれています。
• 「ロール」
• 「ユーザ名」
• 「パスワード」
• 「有効期限」
ロール
ロールとは、同じグループのユーザによって共有可能なアクションを具体的に定義する規則の集合です。たとえば、次のような幅広い権限を持つロールをユーザ アカウントに割り当てることができます。これらのロールは Cisco Nexus 1000V 内であらかじめ定義されたものであり、変更はできません。
description: Predefined network admin role has access to all commands
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
description: Predefined network operator role has access to all read
-------------------------------------------------------------------
Rule Perm Type Scope Entity
-------------------------------------------------------------------
管理者は、ユーザのアクセス権を定義するロールをこの他に 64 個作成できます。
各ユーザ アカウントには少なくとも 1 つのロールを割り当てる必要があり、最大 64 個を割り当てることができます。
管理者が作成できるロールでは、アクセスを許可できるコマンドがデフォルトでは次のものに限られています。機能の設定をユーザに許可するには、規則を追加する必要があります。
• show
• exit
• end
• configure terminal
表 2-1 に、ロールを構成するコンポーネントの説明を示します。
表 2-1 ロールのコンポーネント
|
|
ルール |
定義済みロール基準の 1 つ(たとえば、許可または拒否するコマンド)。各ロールには最大 256 個の規則を追加できます。 事前定義されているロールの規則は次のとおりです。 • role: network-admin
---------------------------------------------------------
Rule Perm Type Scope Entity
---------------------------------------------------------
• role: network-operator
---------------------------------------------------------
Rule Perm Type Scope Entity
---------------------------------------------------------
|
機能 |
個々の機能(syslog や TACACS+ など)。この機能に対するアクセス権を規則の中で定義することができます。使用可能な機能の一覧を表示するには、 show role feature コマンドを使用します。 |
機能グループ |
機能をグループ化したもの。このグループに対するアクセス権を規則の中で定義することができます。このグループは、最大 64 個作成できます。使用可能な機能グループの一覧を表示するには、 show role feature-group コマンドを使用します。 |
コマンド |
単一のコマンド、または 1 つの正規表現で表現されるコマンドの集合。このコマンドに対するアクセス権を規則の中で定義することができます。 コマンドへのアクセスを許可するロールは、そのコマンドへのアクセスを拒否するロールよりも優先されます。たとえば、あるユーザに割り当てられているロールの 1 つではコンフィギュレーション コマンドへのアクセスが拒否されているけれども、このユーザに割り当てられた別のロールでそのコマンドへのアクセスが許可されている場合は、アクセスは許可されます。 |
ユーザ名
ユーザ名とは、個々のユーザを特定するための一意の文字列です(たとえば「daveGreen」)。ユーザ名は、最大 28 文字で、英数字を使用でき、大文字と小文字が区別されます。数字だけで構成されたユーザ名は許可されません。AAA サーバに数字だけのユーザ名が存在する場合、ログイン時に入力しても、そのユーザはログインできません。
パスワード
パスワードは、大文字と小文字が区別される文字列です。パスワードによって特定のユーザによるアクセスが可能になり、不正なアクセスの防止に役立ちます。パスワードを指定せずにユーザを追加することもできますが、そのユーザはデバイスにアクセスできなくなる可能性があります。パスワードは、強力なものでなければなりません。容易に推測できるパスワードは、不正アクセスの原因となります。
次の文字は、クリア テキスト パスワードには使用できません。
• ドル記号($)
• スペース
次の特殊文字は、パスワードの先頭には使用できません。
• 引用符(" および ')
• 縦線(|)
• 右山カッコ(>)
表 2-2 に、強力なパスワードの特性を示します。
表 2-2 強力なパスワードの特性
|
|
• 最低 8 文字 • 大文字の英字 • 小文字の英字 • 数字 • 特殊文字 |
• 連続する文字(例:abcd) • 文字の繰り返し(例:aaabbb) • 辞書に載っている単語 • 固有名詞 |
強固なパスワードの例を次に示します。
• If2CoM18
• 2004AsdfLkj30
• Cb1955S21
パスワード強度のチェック
デバイスによるパスワード強度のチェックは、デフォルトでは自動的に行われます。管理者がユーザ名とパスワードを追加するときに、パスワードの強度が評価されます。パスワードの強度が低い場合は、次に示すエラー メッセージが表示されます。
n1000v(config)# username daveGreen password davey
Password should contain characters from at least three of the classes:
lower case letters,upper case letters, digits, and special characters
パスワード強度チェックはディセーブルにすることができます。
有効期限
デフォルトでは、ユーザ アカウントは無期限に有効です。ただし、管理者はアカウントがディセーブルになる有効期限を明示的に設定することができます。
ユーザ アクセスの設定
ここでは、次の内容について説明します。
• 「パスワード強度チェックのイネーブル化」
• 「パスワード強度チェックのディセーブル化」
• 「ユーザ アカウントの作成」
• 「ロールの作成」
• 「機能グループの作成」
• 「インターフェイス アクセスの設定」
• 「VLAN アクセスの設定」
パスワード強度チェックのイネーブル化
ここでは、強度の低いパスワードの作成を防ぐための Cisco Nexus 1000V によるパスワード強度チェックをイネーブルにする手順を説明します。
はじめる前に
この手順を開始する前に、次のことを確認または実行しておく必要があります。
• EXEC モードで CLI にログインしていること。
• パスワード強度のチェックは、デフォルトではイネーブルになっています。ディセーブルにされていても、ここで説明する手順を実行すれば再度イネーブルにすることができます。
手順の概要
1. config t
2. password strength-check
3. show password strength-check
4. copy running-config startup-config
手順の詳細
|
|
|
ステップ 1 |
config t Example: n1000v# config t n1000v(config)# |
CLI グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
password strength-check Example: n1000v(config)# password strength-check |
パスワードの強度確認をイネーブルにします。デフォルトはイネーブルです。 パスワード強度のチェックをディセーブルにするには、このコマンドの no 形式を使用します。 |
ステップ 3 |
show password strength-check Example: n1000v# show password strength-check Password strength check enabled n1000v(config)# |
(任意)パスワード強度チェックの設定を表示します。 |
ステップ 4 |
copy running-config startup-config Example: n1000v# copy running-config startup-config |
(任意)リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。 |
パスワード強度チェックのディセーブル化
ここでは、パスワード強度のチェックをディセーブルにする手順を説明します。
はじめる前に
この手順を開始する前に、次のことを確認または実行しておく必要があります。
• EXEC モードで CLI にログインしていること。
• パスワード強度のチェックは、デフォルトではイネーブルになっています。この手順を使用すると、ディセーブルにすることができます。
手順の概要
1. config t
2. no password strength-check
3. show password strength-check
4. copy running-config startup-config
手順の詳細
|
|
|
ステップ 1 |
config t Example: n1000v# config t n1000v(config)# |
CLI グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
no password strength-check Example: n1000v(config)# no password strength-check n1000v(config)# |
パスワード強度のチェックをディセーブルにします。 デフォルトはイネーブルです。 |
ステップ 3 |
show password strength-check Example: n1000v# show password strength-check Password strength check not enabled n1000v(config)# |
(任意)パスワード強度チェックの設定を表示します。 |
ステップ 4 |
copy running-config startup-config Example: n1000v# copy running-config startup-config |
(任意)リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。 |
ユーザ アカウントの作成
ここでは、ユーザ アカウントを作成して設定する手順を説明します。このアカウントによって、Cisco Nexus 1000V に対するアクセス権が定義されます。
はじめる前に
この手順を開始する前に、次のことを確認または実行しておく必要があります。
• EXEC モードで CLI にログインしていること。
• ユーザ アカウントは最大 256 個追加できます。
• ユーザ アカウントに対する変更が有効になるのは、そのユーザがログインして新しいセッションを作成したときです。
• 次に示す語をユーザ アカウントで使用しないでください。これらは、他の目的のために予約されています。
|
adm bin daemon ftp ftpuser games |
gdm gopher haltlp mail mailnull man |
mtsuser news nobody nscd operator rpc |
rpcuser shutdown sync sys uucp xfs |
• 追加するユーザ パスワードは、クリア テキストと暗号化テキストのどちらでも指定できます。
– クリア テキストのパスワードは、実行コンフィギュレーションに保存される前に暗号化されます。
– 暗号化されたパスワードは、それ以上の暗号化を行わずに実行コンフィギュレーションに保存されます。
• 1 つのユーザ アカウントが最大 64 個のロールを持つことができますが、少なくとも 1 つのロールを持つ必要があります。ロールの詳細については、「ロール」を参照してください。
• 管理者がパスワードを指定しない場合は、そのユーザがログインできなくなる可能性があります。
• パスワードでなく SSH 公開キーを使用する手順については、を参照してください。
手順の概要
1. config t
2. show role
3. username user-name [password [0 | 5] password ] [expire date ] [role role-name ]
4. show user-account user-name
5. copy running-config startup-config
手順の詳細
|
|
|
ステップ 1 |
config t Example: n1000v# config t n1000v(config)# |
CLI グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
show role Example: n1000v(config)# show role |
(任意)ユーザに割り当てることのできるロールを表示します。 新しいユーザ ロールを作成する場合は、「ロールの作成」を使用してください。 |
ステップ 3 |
username
name [
password [
0 |
5 ]
password ] [expire date] [role
role-name ]
Example: n1000v(config)# username NewUser password 4Ty18Rnt |
ユーザ アカウントを作成します。 • name:最大 28 文字の英数字ストリングです。大文字と小文字が区別されます。 • password:デフォルト パスワードは未定義です。 – 0 =(デフォルト)入力するパスワードがクリア テキストであることを指定します。Cisco Nexus 1000V は、クリア テキストのパスワードを実行コンフィギュレーションに保存する前に暗号化します。 例では、実行コンフィギュレーションのパスワード 4Ty18Rnt は password 5 形式で暗号化されています。 – 5 = 入力するパスワードがすでに暗号化形式であることを指定します。Cisco Nexus 1000V は、パスワードを実行コンフィギュレーションに保存する前に暗号化しません。 ユーザのパスワードは、設定ファイルでは表示されません。 • expire date:YYYY-MM-DD。 デフォルトは無期限です。 • role:少なくとも 1 つのロールを割り当てる必要があります。最大 64 個のロールを割り当てることができます。デフォルトのロールは、 network-operator です。 |
ステップ 4 |
show user-account
username
n1000v(config)# show user-account NewUser
this user account has no expiry date
roles:network-operator network-admin
|
新しいユーザ アカウントの設定を表示します。 |
ステップ 5 |
copy running-config startup-config
Example: n1000v# copy running-config startup-config |
(任意)リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。 |
ロールの作成
ここでは、許可または拒否する具体的なアクションのセットを定義するロールを作成します。このロールは、定義されているアクションに一致するアクセス権を必要とするユーザに割り当てます。
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• EXEC モードで CLI にログインしていること。
• 最大 64 個のユーザ ロールを設定できます。
• 1 つのロールに最大 256 個の規則を設定できます。
• 1 つのロールを複数のユーザに割り当てることができます。
• 規則番号は、その規則が適用される順序を表します。規則は番号の降順で適用されます。たとえば、あるロールに 3 つの規則がある場合は、最初に規則 3 が適用され、次に規則 2、最後に規則 1 が適用されます。
• デフォルトでは、管理者が作成するユーザ ロールでアクセスを許可できるコマンドは、 show 、 exit 、 end 、および configure terminal コマンドだけです。機能の設定をユーザに許可するには、規則を追加する必要があります。
手順の概要
1. config t
2. role name role-name
3. (任意) description string
4. rule number { deny | permit } command command-string
rule number { deny | permit } { read | read-write }
rule number { deny | permit } { read | read-write } feature feature-name
rule number { deny | permit } { read | read-write } feature-group group-name
5. 手順 4. を繰り返して、このロールに必要なルールをすべて作成します。
6. show role
7. copy running-config startup-config
手順の詳細
|
|
|
ステップ 1 |
Example: n1000v# config t n1000v(config)# |
CLI グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
Example: n1000v(config)# role name UserA n1000v(config-role)# |
ユーザ ロールの名前を指定して、そのロールのロール コンフィギュレーション モードを開始します。 名前は最大 16 文字の英数字ストリングです。大文字と小文字が区別されます。 |
ステップ 3 |
description
description-string
Example: n1000v(config-role)# description Prohibits use of clear commands |
(任意)ロールの説明を設定します。説明にはスペースを含めることができます。 |
ステップ 4 |
rule
number
{
deny |
permit }
command
command-string
Example: n1000v(config-role)# rule 1 deny command clear users |
特定のコマンドを許可または拒否する規則を作成します。 指定するコマンドには、スペースや正規表現を含めることができます。たとえば、「interface ethernet *」と指定すると、すべてのイーサネット インターフェイスへのアクセスが許可または拒否されます。 この例の規則では、 clear users コマンドへのアクセスが拒否されます。 |
rule
number
{
deny |
permit } {
read |
read-write }
Example: n1000v(config-role)# rule 2 deny read-write |
あらゆる操作を許可または拒否するための包括的規則を作成します。 この例の規則では、どの操作に対しても読み取りアクセスだけが許可されます。 |
rule
number
{
deny |
permit } {
read |
read-write }
feature
feature-name
Example: n1000v(config-role)# rule 3 permit read feature eth-port-sec |
機能アクセスの規則を作成します。 show role feature コマンドを実行すると、使用可能な機能の一覧が表示されます。 この例の規則では、イーサネット ポート セキュリティ機能に対する読み取り専用アクセスがユーザに許可されます。 |
rule
number
{
deny |
permit } {
read |
read-write }
feature-group
group-name
Example: n1000v(config-role)# rule 4 deny read-write feature-group eth-port-sec |
機能グループ アクセスの規則を作成します。 show role feature-group コマンドを使用すれば、機能グループのリストが表示されます。 この例の規則では、特定の機能グループへのアクセスが拒否されます。 |
ステップ 5 |
ステップ 4 を繰り返して、指定したロールに必要な規則をすべて作成します。 |
ステップ 6 |
Example: n1000v(config)# show role |
(任意)ユーザ ロールの設定を表示します。 |
ステップ 7 |
copy running-config startup-config
Example: n1000v(config)# copy running-config startup-config |
(任意)リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。 |
機能グループの作成
ここでは、機能グループを作成して設定する手順を説明します。
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• EXEC モードで CLI にログインしていること。
• 最大 64 個のカスタム機能グループを作成できます。
手順の概要
1. config t
2. role feature-group name group-name
3. show role feature
4. feature feature-name
5. 機能グループに追加するすべての機能について、4. を繰り返します。
6. show role feature-group
7. copy running-config startup-config
手順の詳細
|
|
|
ステップ 1 |
config t Example: n1000v# config t n1000v(config)# |
CLI グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
role feature-group name group-name Example: n1000v(config)# role feature-group name GroupA n1000v(config-role-featuregrp)# |
グループ名を指定して、そのグループのロール機能グループ コンフィギュレーション モードを開始します。 • group-name: 最大 32 文字の英数字ストリングです。大文字と小文字が区別されます。 |
ステップ 3 |
show role feature Example: n1000v(config-role-featuregrp)# show role feature feature: aaa feature: access-list feature: cdp feature: install . . . n1000v(config-role-featuregrp)# |
機能グループを定義するときに使用できる機能の一覧を表示します。 |
ステップ 4 |
feature feature-name Example: n1000v(config-role-featuregrp)# feature syslog n1000v(config-role-featuregrp)# |
機能を機能グループに追加します。 |
ステップ 5 |
機能グループに追加するすべての機能について、ステップ 6 を繰り返します。 |
ステップ 6 |
show role feature-group Example: n1000v(config-role-featuregrp)# show role feature-group feature group: GroupA feature: syslog feature: snmp feature: ping n1000v(config-role-featuregrp)# |
(任意)機能グループの設定を表示します。 |
ステップ 7 |
copy running-config startup-config Example: n1000v(config-role-featuregrp)# copy running-config startup-config |
(任意)リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。 |
インターフェイス アクセスの設定
ここでは、特定のロールのインターフェイス アクセスを設定する手順を説明します。
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• EXEC モードで CLI にログインしていること。
• 「ロールの作成」 を使用してユーザ ロールが 1 つ以上作成済みであるものとします。この手順では、作成済みのロールに変更を加えます。
• デフォルトでは、ロールによってすべてのインターフェイスへのアクセスが許可されます。この手順では、すべてのインターフェイスへのアクセスを拒否してから、特定のインターフェイスへのアクセスを許可します。
手順の概要
1. config t
2. role name role-name
3. interface policy deny
4. permit interface interface-list
5. show role
6. copy running-config startup-config
手順の詳細
|
|
|
ステップ 1 |
config t Example: n1000v# config t n1000v(config)# |
CLI グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
role name role-name Example: n1000v(config)# role name network-observer n1000v(config-role)# |
ユーザ ロールを指定して、そのロールのロール コンフィギュレーション モードを開始します。 |
ステップ 3 |
interface policy deny Example: n1000v(config-role)# interface policy deny n1000v(config-role-interface)# |
インターフェイス コンフィギュレーション モードを開始し、このロールによるすべてのインターフェイス アクセスを拒否します。 これで、 permit interface コマンドを使用して明示的に定義しない限り、このロールはインターフェイスに一切アクセスできなくなりました。 |
ステップ 4 |
permit interface interface-list Example: n1000v(config-role-interface)# permit interface ethernet 2/1-4 |
このロールに割り当てられたユーザにアクセスを許可するインターフェイスを指定します。 このロールに割り当てられたユーザにアクセスを許可するインターフェイスがすべて指定されるまで、このコマンドを繰り返します。 |
ステップ 5 |
show role role-name Example: n1000v(config-role-interface)# show role name network-observer role: network-observer description: temp Vlan policy: permit (default) Interface policy: deny Permitted interfaces: Ethernet2/1-4 |
(任意)ロールの設定を表示します。 |
ステップ 6 |
copy running-config startup-config Example: n1000v(config-role-featuregrp)# copy running-config startup-config |
(任意)リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。 |
VLAN アクセスの設定
ここでは、特定のロールの VLAN アクセスを定義する手順を説明します。
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• EXEC モードで CLI にログインしていること。
• 「ロールの作成」 を使用してユーザ ロールが 1 つ以上作成済みであるものとします。この手順では、作成済みのロールに変更を加えます。
• デフォルトでは、すべての VLAN へのアクセスが許可されます。この手順では、すべての VLAN へのアクセスを拒否してから、特定の VLAN へのアクセスを許可します。
手順の概要
1. config t
2. role name role-name
3. vlan policy deny
4. permit vlan vlan-range
5. exit
6. show role
7. copy running-config startup-config
手順の詳細
|
|
|
ステップ 1 |
config t Example: n1000v# config t n1000v(config)# |
CLI グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 |
role name role-name Example: n1000v(config)# role name network-observer n1000v(config-role)# |
ユーザ ロールを指定し、ロール コンフィギュレーション モードを開始します。 |
ステップ 3 |
vlan policy deny Example: n1000v(config-role)# vlan policy deny n1000v(config-role-vlan)# |
VLAN コンフィギュレーション モードを開始し、このロールによるすべての VLAN アクセスを拒否します。 これで、 permit vlan コマンドを使用して明示的に定義しない限り、このロールは VLAN に一切アクセスできなくなりました。 |
ステップ 4 |
permit vlan vlan-list Example: n1000v(config-role-vlan)# permit vlan 1-4 |
このロールに割り当てられたユーザにアクセスを許可する VLAN を指定します。 このロールに割り当てられたユーザにアクセスを許可する VLAN がすべて指定されるまで、このコマンドを繰り返します。 |
ステップ 5 |
show role role-name Example: n1000v(config-role)# show role network-observer role: network-observer description: temp Vlan policy: deny Permitted vlans: vlan 1-4 Interface policy: deny Permitted interfaces: Ethernet2/1-4 |
(任意)ロールの設定を表示します。 |
ステップ 6 |
copy running-config startup-config Example: n1000v(config-role)# copy running-config startup-config |
(任意)リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。 |