この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章の内容は、次のとおりです。
Cisco Nexus シリーズ スイッチは、ロールベース アクセス コントロール(RBAC)を使用して、ユーザがスイッチにログインするときに各ユーザが持つアクセス権の量を定義します。
RBAC では、1 つまたは複数のユーザ ロールを定義し、各ユーザ ロールがどの管理操作を実行できるかを指定します。 スイッチのユーザ アカウントを作成するとき、そのアカウントにユーザ ロールを関連付けます。これにより個々のユーザがスイッチで行うことができる操作が決まります。
ユーザ ロールには、そのロールを割り当てられたユーザが実行できる操作を定義するルールが含まれています。 各ユーザ ロールに複数のルールを含めることができ、各ユーザが複数のロールを持つことができます。 たとえば、role1 では設定操作へのアクセスだけが許可されており、role2 ではデバッグ操作へのアクセスだけが許可されている場合、role1 と role2 の両方に属するユーザは、設定操作とデバッグ操作にアクセスできます。 特定の VSAN、VLAN、およびインターフェイスへのアクセスを制限することもできます。
スイッチには、次のデフォルト ユーザ ロールが用意されています。
スイッチ全体に対する完全な読み取りと書き込みのアクセス権。
スイッチに対する完全な読み取りアクセス権。
SNMP または CLI を使用したファイバ チャネルおよび FCoE 管理タスクへの完全な読み取りと書き込みのアクセス権。
(注) |
複数のロールに属するユーザは、そのロールで許可されるすべてのコマンドの組み合わせを実行できます。 コマンドへのアクセス権は、コマンドへのアクセス拒否よりも優先されます。 たとえば、ユーザが、コンフィギュレーション コマンドへのアクセスが拒否されたロール A を持っていたとします。 しかし、同じユーザがロール B も持ち、このロールではコンフィギュレーション コマンドにアクセスできるとします。 この場合、このユーザはコンフィギュレーション コマンドにアクセスできます。 |
SAN 管理者ユーザ ロールは、LAN および SAN の管理タスクを分離するように設計された、編集不可能な事前定義されたユーザ ロールです。 SAN 管理者ユーザ ロールを割り当てられたユーザは、すべてのイーサネット コンフィギュレーション タスクへの読み取り専用アクセスがあります。 別のユーザ ロールによって割り当てられていない場合、SAN の管理者ユーザには、イーサネット機能に対する書き込みアクセスが許可されません。
SAN 管理者ユーザには、次の機能が許可されます。
(注) |
SAN 管理者ロールは、ファイバ チャネル インターフェイスだけでなく、すべてのインターフェイス タイプでの設定を許可します。 事前定義された SAN 管理者ユーザ ロールは、イーサネット インターフェイスを含むすべてのインターフェイスへのアクセスを許可するように設計されています。そのため、SNMP の動作は妨げられません。 |
ルールは、ロールの基本要素です。 ルールは、そのロールがユーザにどの操作の実行を許可するかを定義します。 ルールは次のパラメータで適用できます。
正規表現で定義されたコマンドまたはコマンド グループ。
Cisco Nexus 5000 シリーズ スイッチにより提供される機能に適用されるコマンド。 show role feature コマンドを入力すれば、このパラメータに指定できる機能名が表示されます。
機能のデフォルト グループまたはユーザ定義グループ。 show role feature-group コマンドを入力すれば、このパラメータに指定できるデフォルトの機能グループが表示されます。
これらのパラメータは、階層状の関係を作成します。 最も基本的な制御パラメータは command です。 次の制御パラメータは feature です。これは、その機能にアソシエートされているすべてのコマンドを表します。 最後の制御パラメータが、feature group です。 機能グループは、関連する機能を組み合わせたものです。機能グループによりルールを簡単に管理できます。
ロールごとに最大 256 のルールを設定できます。 ルールが適用される順序は、ユーザ指定のルール番号で決まります。 ルールは降順で適用されます。 たとえば、1 つのロールが 3 つのルールを持っている場合、ルール 3 がルール 2 よりも前に適用され、ルール 2 はルール 1 よりも前に適用されます。
SAN 管理者ロールは編集不可です。 次のロール機能は、設定済みのロールの一部です。 事前設定されたロールには、完全な読み取りアクセス権があり、次のルールが適用されます。
機能 |
権限 |
---|---|
copy |
コピー関連コマンドに対する読み取りおよび書き込み権限 |
fabric-binding |
ファブリック バインディング関連コマンドに対する読み取りおよび書き込み権限 |
fcdomain |
ファイバ チャネル ドメイン関連コマンドに対する読み取りおよび書き込み権限 |
fcfe |
ファイバ チャネル FE 関連コマンドに対する読み取りおよび書き込み権限 |
fcmgmt |
ファイバ チャネル管理関連コマンドに対する読み取りおよび書き込み権限 |
fcns |
ファイバ チャネル関連サービス FCNS コマンドに対する読み取りおよび書き込み権限 |
fcoe |
Fibre Channel over Ethernet 関連コマンドに対する読み取りおよび書き込み権限 |
fcsp |
Fibre Channel Security Protocol(FCSP)関連コマンドに対する読み取りおよび書き込み権限 |
fdmi |
Fabric Device Management Interface(FDMI)関連コマンドに対する読み取りおよび書き込み権限 |
fspf |
Fabric Shortest Path First(FSPF)関連コマンドに対する読み取りおよび書き込み権限 |
interface |
インターフェイス関連コマンドに対する読み取りおよび書き込み権限。 これには、ファイバ チャネル インターフェイスだけでなく、すべてのインターフェイスが含まれます。 |
port-track |
ポート トラック関連コマンドに対する読み取りおよび書き込み権限 |
port-security |
ポート セキュリティ関連コマンドに対する読み取りおよび書き込み権限 |
rdl |
Remote Domain Loopback(RDL)関連コマンドに対する読み取りおよび書き込み権限 |
rmon |
RMON 関連コマンドに対する読み取りおよび書き込み権限 |
rscn |
Registered State Change Notification(RSCN)関連コマンドに対する読み取りおよび書き込み権限 |
snmp |
SNMP 関連コマンドに対する読み取りおよび書き込み権限 |
snmpTargetAddrEntry |
SNMP トラップ ターゲット関連コマンドに対する読み取りおよび書き込み権限 |
snmpTargetParamsEntry |
SNMP トラップ ターゲット パラメータ関連コマンドに対する読み取りおよび書き込み権限 |
span |
SPAN 関連コマンドに対する読み取りおよび書き込み権限 |
trapRegEntry |
SNMP トラップ レジストリ関連コマンドに対する読み取りおよび書き込み権限 |
trunk |
ファイバ チャネル ポート チャネル トランク関連コマンドに対する読み取りおよび書き込み権限 |
vsan |
VSAN 関連コマンドに対する読み取りおよび書き込み権限 |
vsanIfvsan |
FCoE VLAN と VSAN 間マッピング コマンド関連コマンドに対する読み取りおよび書き込み権限 |
wwnm |
World Wide Name(WWN)関連コマンドに対する読み取りおよび書き込み権限 |
zone |
ゾーン分割コマンドに対する読み取りおよび書き込み権限 |
ユーザがアクセスできるスイッチ リソースを制限するために、またはインターフェイス、VLAN、VSAN へのアクセスを制限するために、ユーザ ロール ポリシーを定義できます。
ユーザ ロール ポリシーは、ロールに定義されているルールで制約されます。 たとえば、特定のインターフェイスへのアクセスを許可するインターフェイス ポリシーを定義した場合、interface コマンドを許可するコマンド ルールをロールに設定しないと、ユーザはインターフェイスにアクセスできません。
コマンド ルールが特定のリソース(インターフェイス、VLAN、または VSAN)へのアクセスを許可した場合、ユーザがそのユーザに関連付けられたユーザ ロール ポリシーに表示されていなくても、ユーザはこれらのリソースへのアクセスを許可されます。
次の語は予約済みであり、ユーザ設定に使用できません。
注意 |
Cisco Nexus 5000 シリーズ スイッチでは、すべて数字のユーザ名が TACACS+ または RADIUS で作成されている場合でも、すべて数字のユーザ名はサポートされません。 AAA サーバに数字だけのユーザ名が登録されていて、ログイン時に入力しても、スイッチはログイン要求を拒否します。 |
Cisco Nexus 5000 シリーズ パスワードには大文字小文字の区別があり、英数字だけを含むことができます。 ドル記号($)やパーセント記号(%)などの特殊文字は使用できません。
パスワードが脆弱な場合(短い、解読されやすいなど)、Cisco Nexus 5000 シリーズ スイッチはパスワードを拒否します。 各ユーザ アカウントには強力なパスワードを設定するようにしてください。 強固なパスワードは、次の特性を持ちます。
強固なパスワードの例を次に示します。
(注) |
セキュリティ上の理由から、ユーザ パスワードはコンフィギュレーション ファイルに表示されません。 |
ユーザ アカウントおよび RBAC を設定する場合、次の注意事項および制約事項を考慮してください。
(注) |
ユーザ アカウントは、少なくとも 1 つのユーザ ロールを持たなければなりません。 |
(注) |
ユーザ アカウントの属性に加えられた変更は、そのユーザがログインして新しいセッションを作成するまで有効になりません。 |
次に、ユーザ アカウントを設定する例を示します。
switch# configure terminal switch(config)# username NewUser password 4Ty18Rnt switch(config)# exit switch# show user-account
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal | グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config) # username user-id role san-admin password password | 指定したユーザに対する SAN 管理者ユーザ ロールのアクセス権を設定します。 |
ステップ 3 | switch(config) # show user-account | (任意) ロール設定を表示します。 |
ステップ 4 | switch(config) # show snmp-user | (任意) SNMP ユーザの設定を表示します。 |
ステップ 5 | switch(config)# copy running-config startup-config | (任意) リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を永続的に保存します。 |
次に、SAN 管理者ユーザを設定し、ユーザ アカウントおよび SNMP ユーザ設定を表示する例を示します。
switch# configure terminal switch(config)# username user1 role san-admin password xyz123 switch(config)# show user-account user:admin this user account has no expiry date roles:network-admin user:user1 this user account has no expiry date roles:san-admin switch(config) # show snmp user ________________________________________________________________________ SNMP USERS ________________________________________________________________________ User Auth Priv(enforce) Groups ____ ____ _____________ ______ admin md5 des(no) network-admin user1 md5 des(no) san-admin ________________________________________________________________________ NOTIFICATION TARGET USES (configured for sending V3 Inform) ________________________________________________________________________ User Auth Priv ____ ____ ____ switch(config) #
指定するルール番号は、適用するルールの順序を決めます。 ルールは降順で適用されます。 たとえば、1 つのロールが 3 つのルールを持っている場合、ルール 3 がルール 2 よりも前に適用され、ルール 2 はルール 1 よりも前に適用されます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal | グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config) # role name role-name | ユーザ ロールを指定し、ロール コンフィギュレーション モードを開始します。 role-name 引数は、最大 16 文字の長さの英数字のストリングで、大文字小文字が区別されます。 |
ステップ 3 | switch(config-role) # rule number {deny | permit} command command-string | コマンド ルールを設定します。 command-string には、スペースおよび正規表現を含めることができます。 たとえば、「interface ethernet *」は、すべてのイーサネット インターフェイスが含まれます。 必要なルールの数だけこのコマンドを繰り返します。 |
ステップ 4 | switch(config-role)# rule number {deny | permit} {read | read-write} | すべての操作の読み取り専用ルールまたは読み取り/書き込みルールを設定します。 |
ステップ 5 | switch(config-role)# rule number {deny | permit} {read | read-write} feature feature-name | 機能に対して、読み取り専用ルールか読み取りと書き込みのルールかを設定します。 show role feature コマンドを使用すれば、機能のリストが表示されます。 必要なルールの数だけこのコマンドを繰り返します。 |
ステップ 6 | switch(config-role)# rule number {deny | permit} {read | read-write} feature-group group-name | 機能グループに対して、読み取り専用ルールか読み取りと書き込みのルールかを設定します。 show role feature-group コマンドを使用すれば、機能グループのリストが表示されます。 必要なルールの数だけこのコマンドを繰り返します。 |
ステップ 7 | switch(config-role)# description text | (任意) ロールの説明を設定します。 説明にはスペースも含めることができます。 |
ステップ 8 | switch(config-role)# end | ロール コンフィギュレーション モードを終了します。 |
ステップ 9 | switch# show role | (任意) ユーザ ロールの設定を表示します。 |
ステップ 10 | switch# copy running-config startup-config | (任意) リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を永続的に保存します。 |
次に、ユーザ ロールを作成してルールを指定する例を示します。
switch# configure terminal switch(config)# role name UserA switch(config-role)# rule deny command clear users switch(config-role)# rule deny read-write switch(config-role)# description This role does not allow users to use clear commands switch(config-role)# end switch(config)# show role
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal | グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config) # role feature-group group-name | ユーザ ロール機能グループを指定して、ロール機能グループ コンフィギュレーション モードを開始します。 group-name は、最大 32 文字の英数字のストリングで、大文字と小文字が区別されます。 |
ステップ 3 | switch(config) # exit | グローバル コンフィギュレーション モードを終了します。 |
ステップ 4 | switch# show role feature-group | (任意) ロール機能グループ設定を表示します。 |
ステップ 5 | switch# copy running-config startup-config | (任意) リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を永続的に保存します。 |
次に、機能グループを作成する例を示します。
switch# configure terminal switch(config) # role feature-group group1 switch(config) # exit switch# show role feature-group switch# copy running-config startup-config switch#
ユーザ ロール インターフェイス ポリシーを変更することで、ユーザがアクセスできるインターフェイスを制限できます。 ロールがアクセスできるインターフェイスのリストを指定します。 これを必要なインターフェイスの数だけ指定できます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal | グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config) # role name role-name | ユーザ ロールを指定し、ロール コンフィギュレーション モードを開始します。 |
ステップ 3 | switch(config-role) # interface policy deny | ロール インターフェイス ポリシー コンフィギュレーション モードを開始します。 |
ステップ 4 | switch(config-role-interface) # permit interface interface-list | ロールがアクセスできるインターフェイスのリストを指定します。 必要なインターフェイスの数だけこのコマンドを繰り返します。 このコマンドの場合、イーサネット インターフェイス、ファイバ チャネル インターフェイス、および仮想ファイバ チャネル インターフェイスを指定できます。 |
ステップ 5 | switch(config-role-interface) # exit | ロール インターフェイス ポリシー コンフィギュレーション モードを終了します。 |
ステップ 6 | switch(config-role) # show role | (任意) ロール設定を表示します。 |
ステップ 7 | switch(config-role) # copy running-config startup-config | (任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、ユーザがアクセスできるインターフェイスを制限するために、ユーザ ロール インターフェイス ポリシーを変更する例を示します。
switch# configure terminal switch(config)# role name UserB switch(config-role)# interface policy deny switch(config-role-interface)# permit interface ethernet 2/1 switch(config-role-interface)# permit interface fc 3/1 switch(config-role-interface)# permit interface vfc 30/1
ユーザ ロール VLAN ポリシーを変更することで、ユーザがアクセスできる VLAN を制限できます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal | グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config) # role name role-name | ユーザ ロールを指定し、ロール コンフィギュレーション モードを開始します。 |
ステップ 3 | switch(config-role )# vlan policy deny | ロール VLAN ポリシー コンフィギュレーション モードを開始します。 |
ステップ 4 | switch(config-role-vlan # permit vlan vlan-list | ロールがアクセスできる VLAN の範囲を指定します。 必要な VLAN の数だけこのコマンドを繰り返します。 |
ステップ 5 | switch(config-role-vlan) # exit | ロール VLAN ポリシー コンフィギュレーション モードを終了します。 |
ステップ 6 | switch# show role |
(任意) ロール設定を表示します。 |
ステップ 7 | switch# copy running-config startup-config | (任意) リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を永続的に保存します。 |
ユーザ ロール VSAN ポリシーを変更して、ユーザがアクセスできる VSAN を制限できます。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal | グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config-role) # role name role-name | ユーザ ロールを指定し、ロール コンフィギュレーション モードを開始します。 |
ステップ 3 | switch(config-role) # vsan policy deny | ロール VSAN ポリシー コンフィギュレーション モードを開始します。 |
ステップ 4 | switch(config-role-vsan) # permit vsan vsan-list | ロールがアクセスできる VSAN 範囲を指定します。 必要な VSAN の数だけ、このコマンドを繰り返します。 |
ステップ 5 | switch(config-role-vsan) # exit | ロール VSAN ポリシー コンフィギュレーション モードを終了します。 |
ステップ 6 | switch# show role | (任意) ロール設定を表示します。 |
ステップ 7 | switch# copy running-config startup-config | (任意) リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を永続的に保存します。 |
設定を確認するには、次のいずれかのコマンドを使用します。
コマンド |
目的 |
---|---|
show role [role-name] | ユーザ ロールの設定を表示します。 |
show role feature | 機能リストを表示します。 |
show role feature-group | 機能グループの設定を表示します。 |
show startup-config security | スタートアップ コンフィギュレーションのユーザ アカウント設定を表示します。 |
show running-config security [all] | 実行コンフィギュレーションのユーザ アカウント設定を表示します。 all キーワードを指定すると、ユーザ アカウントのデフォルト値が表示されます。 |
show user-account | ユーザ アカウント情報を表示します。 |
次の表に、ユーザ アカウントおよび RBAC パラメータのデフォルト設定を示します。
パラメータ |
デフォルト |
---|---|
ユーザ アカウント パスワード |
未定義。 |
ユーザ アカウントの有効期限 |
なし。 |
インターフェイス ポリシー |
すべてのインターフェイスにアクセス可能。 |
VLAN ポリシー |
すべての VLAN にアクセス可能。 |
VFC ポリシー |
すべての VFC にアクセス可能。 |
VETH ポリシー |
すべての VETH にアクセス可能。 |