この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章の内容は、次のとおりです。
Cisco Nexus シリーズ スイッチは、ロールベース アクセス コントロール(RBAC)を使用して、ユーザがスイッチにログインするときに各ユーザが持つアクセス権の量を定義します。
RBAC では、1 つまたは複数のユーザ ロールを定義し、各ユーザ ロールがどの管理操作を実行できるかを指定します。 スイッチのユーザ アカウントを作成するとき、そのアカウントにユーザ ロールを関連付けます。これにより個々のユーザがスイッチで行うことができる操作が決まります。
次の語は予約済みであり、ユーザ設定に使用できません。
adm |
bin |
daemon |
ftp |
ftpuser |
games |
gdm |
gopher |
halt |
lp |
mailnull |
man |
mtsuser |
news |
|
nobody |
nscd |
operator |
rpc |
rpcuser |
shutdown |
sync |
sys |
uucp |
xfs |
注意 |
Cisco Nexus 5000 シリーズ スイッチでは、すべて数字のユーザ名が TACACS+ または RADIUS で作成されている場合でも、すべて数字のユーザ名はサポートされません。 AAA サーバに数字だけのユーザ名が登録されていて、ログイン時に入力しても、スイッチはログイン要求を拒否します。 |
Cisco Nexus 5000 シリーズ パスワードには大文字小文字の区別があり、英数字だけを含むことができます。 ドル記号($)やパーセント記号(%)などの特殊文字は使用できません。
パスワードが脆弱な場合(短い、解読されやすいなど)、Cisco Nexus 5000 シリーズ スイッチはパスワードを拒否します。 各ユーザ アカウントには強力なパスワードを設定するようにしてください。 強固なパスワードは、次の特性を持ちます。
強固なパスワードの例を次に示します。
(注) |
セキュリティ上の理由から、ユーザ パスワードはコンフィギュレーション ファイルに表示されません。 |
ユーザ ロールには、そのロールを割り当てられたユーザが実行できる操作を定義するルールが含まれています。 各ユーザ ロールに複数のルールを含めることができ、各ユーザが複数のロールを持つことができます。 たとえば、role1 では設定操作へのアクセスだけが許可されており、role2 ではデバッグ操作へのアクセスだけが許可されている場合、role1 と role2 の両方に属するユーザは、設定操作とデバッグ操作にアクセスできます。 特定の VSAN、VLAN、およびインターフェイスへのアクセスを制限することもできます。
Cisco Nexus 3000 シリーズ スイッチは、次のデフォルトのユーザ ロールを提供します。
(注) |
複数のロールに属するユーザは、そのロールで許可されるすべてのコマンドの組み合わせを実行できます。 コマンドへのアクセス権は、コマンドへのアクセス拒否よりも優先されます。 たとえば、ユーザが、コンフィギュレーション コマンドへのアクセスが拒否されたロール A を持っていたとします。 しかし、同じユーザがロール B も持ち、このロールではコンフィギュレーション コマンドにアクセスできるとします。 この場合、このユーザはコンフィギュレーション コマンドにアクセスできます。 |
ルールは、ロールの基本要素です。 ルールは、そのロールがユーザにどの操作の実行を許可するかを定義します。 ルールは次のパラメータで適用できます。
これらのパラメータは、階層状の関係を作成します。 最も基本的な制御パラメータは command です。 次の制御パラメータは feature です。これは、その機能にアソシエートされているすべてのコマンドを表します。 最後の制御パラメータが、feature group です。 機能グループは、関連する機能を組み合わせたものです。機能グループによりルールを簡単に管理できます。
ロールごとに最大 256 のルールを設定できます。 ルールが適用される順序は、ユーザ指定のルール番号で決まります。 ルールは降順で適用されます。 たとえば、1 つのロールが 3 つのルールを持っている場合、ルール 3 がルール 2 よりも前に適用され、ルール 2 はルール 1 よりも前に適用されます。
ユーザ ロール ポリシーを定義することにより、ユーザがアクセスできるスイッチ リソースを制限できます。 インターフェイス、VLAN、および VSAN へのアクセスを制限するユーザ ロール ポリシーを定義できます。
ユーザ ロール ポリシーは、ロールに定義されているルールで制約されます。 たとえば、特定のインターフェイスへのアクセスを許可するインターフェイス ポリシーを定義した場合、interface コマンドを許可するコマンド ルールをロールに設定しないと、ユーザはインターフェイスにアクセスできません。
コマンド ルールが特定のリソース(インターフェイス、VLAN、または VSAN)へのアクセスを許可した場合、ユーザがそのユーザに関連付けられたユーザ ロール ポリシーに表示されていなくても、ユーザはこれらのリソースへのアクセスを許可されます。
ユーザ アカウントと RBAC には、次の設定ガイドラインと制限事項があります。
(注) |
ユーザ アカウントは、少なくとも 1 つのユーザ ロールを持たなければなりません。 |
1 台の Cisco Nexus シリーズ スイッチ上に最大 256 個のユーザ アカウントを作成できます。 ユーザ アカウントは、次の属性を持ちます。
ユーザ アカウントは、最大 64 個のユーザ ロールを持つことができます。
(注) |
ユーザ アカウントの属性に加えられた変更は、そのユーザがログインして新しいセッションを作成するまで有効になりません。 |
1. (任意) switch(config)# show role
2. switch# configure terminal
3. switch(config)# username user-id [password password] [expire date] [role role-name]
4. (任意) switch# show user-account
5. (任意) switch# copy running-config startup-config
次に、ユーザ アカウントを設定する例を示します。
switch# configure terminal
switch(config)# username NewUser password 4Ty18Rnt
switch(config)# exit
switch# show user-account
各ユーザ ロールが、最大 256 個のルールを持つことができます。 1 つのユーザ ロールを複数のユーザ アカウントに割り当てることができます。
指定するルール番号は、適用するルールの順序を決めます。 ルールは降順で適用されます。 たとえば、1 つのロールが 3 つのルールを持っている場合、ルール 3 がルール 2 よりも前に適用され、ルール 2 はルール 1 よりも前に適用されます。
1. switch# configure terminal
2. switch(config)# role name role-name
3. switch(config-role)# rule number {deny | permit} command command-string
4. switch(config-role)# rule number {deny | permit} {read | read-write}
5. switch(config-role)# rule number {deny | permit} {read | read-write} feature feature-name
6. switch(config-role)# rule number {deny | permit} {read | read-write} feature-group group-name
7. (任意) switch(config-role)# description text
8. (任意) switch# show role
9. (任意) switch# copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal |
コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config)# role name role-name |
ユーザ ロールを指定し、ロール コンフィギュレーション モードを開始します。 role-name 引数は、最大 16 文字の長さの英数字のストリングで、大文字小文字が区別されます。 |
ステップ 3 | switch(config-role)# rule number {deny | permit} command command-string |
コマンド ルールを設定します。 command-string には、スペースおよび正規表現を含めることができます。 たとえば、「interface ethernet *」は、すべてのイーサネット インターフェイスが含まれます。 必要なルールの数だけこのコマンドを繰り返します。 |
ステップ 4 | switch(config-role)# rule number {deny | permit} {read | read-write} |
すべての操作の読み取り専用ルールまたは読み取り/書き込みルールを設定します。 |
ステップ 5 | switch(config-role)# rule number {deny | permit} {read | read-write} feature feature-name |
機能に対して、読み取り専用ルールか読み取りと書き込みのルールかを設定します。 show role feature コマンドを使用すれば、機能のリストが表示されます。 必要なルールの数だけこのコマンドを繰り返します。 |
ステップ 6 | switch(config-role)# rule number {deny | permit} {read | read-write} feature-group group-name |
機能グループに対して、読み取り専用ルールか読み取りと書き込みのルールかを設定します。 show role feature-group コマンドを使用すれば、機能グループのリストが表示されます。 必要なルールの数だけこのコマンドを繰り返します。 |
ステップ 7 | switch(config-role)# description text |
(任意) ロールの説明を設定します。 説明にはスペースも含めることができます。 |
ステップ 8 | switch# show role |
(任意) ユーザ ロールの設定を表示します。 |
ステップ 9 | switch# copy running-config startup-config |
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、ユーザ ロールを作成して規則を指定する例を示します。
switch# configure terminal
switch(config)# role name UserA
switch(config-role)# rule deny command clear users
switch(config-role)# rule deny read-write
switch(config-role)# description This role does not allow users to use clear commands
switch(config-role)# end
switch(config)# show role
機能グループを作成できます。
1. switch# configure terminal
2. switch(config)# role feature-group group-name
3. (任意) switch# show role feature-group
4. (任意) switch# copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal |
コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config)# role feature-group group-name |
ユーザ ロール機能グループを指定して、ロール機能グループ コンフィギュレーション モードを開始します。 group-name は、最大 32 文字の英数字のストリングで、大文字と小文字が区別されます。 |
ステップ 3 | switch# show role feature-group |
(任意) ロール機能グループ設定を表示します。 |
ステップ 4 | switch# copy running-config startup-config |
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
ユーザ ロール インターフェイス ポリシーを変更することで、ユーザがアクセスできるインターフェイスを制限できます。
1. switch# configure terminal
2. switch(config)# role name role-name
3. switch(config-role)# interface policy deny
4. switch(config-role-interface)# permit interface interface-list
5. switch(config-role-interface)# exit
6. (任意) switch(config-role)# show role
7. (任意) switch(config-role)# copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal |
コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config)# role name role-name |
ユーザ ロールを指定し、ロール コンフィギュレーション モードを開始します。 |
ステップ 3 | switch(config-role)# interface policy deny |
ロール インターフェイス ポリシー コンフィギュレーション モードを開始します。 |
ステップ 4 | switch(config-role-interface)# permit interface interface-list |
ロールがアクセスできるインターフェイスのリストを指定します。 必要なインターフェイスの数だけこのコマンドを繰り返します。 このコマンドの場合、イーサネット インターフェイス、ファイバ チャネル インターフェイス、および仮想ファイバ チャネル インターフェイスを指定できます。 |
ステップ 5 | switch(config-role-interface)# exit |
ロール インターフェイス ポリシー コンフィギュレーション モードを終了します。 |
ステップ 6 | switch(config-role)# show role |
(任意) ロール設定を表示します。 |
ステップ 7 | switch(config-role)# copy running-config startup-config |
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
次に、ユーザがアクセスできるインターフェイスを制限するために、ユーザ ロール インターフェイス ポリシーを変更する例を示します。
switch# configure terminal
switch(config)# role name UserB
switch(config-role)# interface policy deny
switch(config-role-interface)# permit interface ethernet 2/1
switch(config-role-interface)# permit interface fc 3/1
switch(config-role-interface)# permit interface vfc 30/1
ロールがアクセスできるインターフェイスのリストを指定できます。 これを必要なインターフェイスの数だけ指定できます。
ユーザ ロール VLAN ポリシーを変更することで、ユーザがアクセスできる VLAN を制限できます。
1. switch# configure terminal
2. switch(config)# role name role-name
3. switch(config-role)# vlan policy deny
4. switch(config-role-vlan)# permit vlan vlan-list
5. (任意) switch# show role
6. (任意) switch# copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal |
コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config)# role name role-name |
ユーザ ロールを指定し、ロール コンフィギュレーション モードを開始します。 |
ステップ 3 | switch(config-role)# vlan policy deny |
ロール VLAN ポリシー コンフィギュレーション モードを開始します。 |
ステップ 4 | switch(config-role-vlan)# permit vlan vlan-list |
ロールがアクセスできる VLAN の範囲を指定します。 必要な VLAN の数だけこのコマンドを繰り返します。 |
ステップ 5 | switch# show role |
(任意) ロール設定を表示します。 |
ステップ 6 | switch# copy running-config startup-config |
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
ユーザ ロール VSAN ポリシーを変更して、ユーザがアクセスできる VSAN を制限できます。
1. switch# configure terminal
2. switch(config-role)# role name role-name
3. switch(config-role)# vsan policy deny
4. switch(config-role-vsan)# permit vsan vsan-list
5. (任意) switch# show role
6. (任意) switch# copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# configure terminal |
コンフィギュレーション モードを開始します。 |
ステップ 2 | switch(config-role)# role name role-name |
ユーザ ロールを指定し、ロール コンフィギュレーション モードを開始します。 |
ステップ 3 | switch(config-role)# vsan policy deny |
ロール VSAN ポリシー コンフィギュレーション モードを開始します。 |
ステップ 4 | switch(config-role-vsan)# permit vsan vsan-list |
ロールがアクセスできる VSAN 範囲を指定します。 必要な VSAN の数だけ、このコマンドを繰り返します。 |
ステップ 5 | switch# show role |
(任意) ロール設定を表示します。 |
ステップ 6 | switch# copy running-config startup-config |
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
ユーザ アカウントおよび RBAC 設定情報を表示するには、次のいずれかの作業を行います。
コマンド |
目的 |
---|---|
show role | ユーザ ロールの設定を表示します。 |
show role feature | 機能リストを表示します。 |
show role feature-group | 機能グループの設定を表示します。 |
show startup-config security | スタートアップ コンフィギュレーションのユーザ アカウント設定を表示します。 |
show running-config security [all] | 実行コンフィギュレーションのユーザ アカウント設定を表示します。 all キーワードを指定すると、ユーザ アカウントのデフォルト値が表示されます。 |
show user-account | ユーザ アカウント情報を表示します。 |
次の表に、ユーザ アカウントおよび RBAC パラメータのデフォルト設定を示します。
パラメータ |
デフォルト |
---|---|
ユーザ アカウント パスワード |
未定義。 |
ユーザ アカウントの有効期限 |
なし。 |
インターフェイス ポリシー |
すべてのインターフェイスにアクセス可能。 |
VLAN ポリシー |
すべての VLAN にアクセス可能。 |
VFC ポリシー |
すべての VFC にアクセス可能。 |
VETH ポリシー |
すべての VETH にアクセス可能。 |