この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章では、Cisco NX-OS デバイス上でユーザ アカウントおよび Role-Based Access Control(RBAC; ロールベース アクセス コントロール)を設定する手順について説明します。
この章は、次の内容で構成されています。
ユーザ アカウントを作成して管理し、Cisco NX-OS で行える操作を制限するロールを割り当てることができます。 RBAC は、ユーザが実行する必要のある管理操作の許可を制限するロールの割り当てのルールを定義することを可能にします。
最大 256 のユーザ アカウントを作成できます。 デフォルトでは、明示的に期限を指定しないかぎり、ユーザ アカウントは無期限に有効です。 expire オプションを使用すると、ユーザ アカウントをディセーブルにする日付を設定できます。
次の語は予約済みであり、ユーザ設定に使用できません。bin、daemon、adm、lp、sync、shutdown、halt、mail、news、uucp、operator、games、gopher、ftp、nobody、nscd、mailnull、root、rpc、rpcuser、xfs、gdm、mtsuser、ftpuser、man、および sys。
![]() (注) |
ユーザのパスワードは、設定ファイルでは表示されません。 |
![]() 注意 |
ユーザ名の先頭は英数字とする必要があります。ユーザ名には特殊文字 ( + = . _ \ - ) のみを含めることができます。 # 記号と ! 記号はサポートされていません。 ユーザ名に許可されていない文字が含まれている場合、指定したユーザはログインできません。 |
強固なパスワードは、次の特性を持ちます。
強固なパスワードの例を次に示します。
![]() (注) |
クリア テキスト パスワードには、パスワードのいずれの部分にも、ドル記号($)またはスペースを含めることはできません。 また、パスワードの先頭に引用符(" または ')、縦棒(|)、大なり記号(>)などの特殊文字を含めることもできません。 |
![]() (注) |
出力可能なすべての ASCII 文字は、引用符で囲めば、パスワード文字列でサポートされます。 |
パスワードの強度確認をイネーブルにすると、パスワードが単純である場合(短く、簡単に解読されるパスワードなど)に、Cisco NX-OS ソフトウェアによってパスワード設定が拒否されます。 サンプル設定にあるような強固なパスワードを設定してください。 パスワードでは、大文字と小文字が区別されます。
ユーザ ロールには、そのロールを割り当てられたユーザが実行できる操作を定義するルールが含まれています。 各ユーザ ロールに複数のルールを含めることができ、各ユーザが複数のロールを持つことができます。 たとえば、ロール 1 では設定操作の実行だけが許可されており、ロール 2 ではデバッグ操作の実行だけが許可されている場合、ロール 1 とロール 2 の両方に属するユーザは、設定操作とデバッグ操作を実行できます。 また、特定の仮想ルーティング/転送(VRF)インスタンスおよびインターフェイスへのアクセスも制限できます。
Cisco NX-OS ソフトウェアには、2 種類のユーザ ロールが準備されています。
![]() (注) |
ユーザ ロールは変更できません。 |
![]() (注) |
一部の show コマンドは、network-operator ユーザには使用不可にすることができます。 さらに、一部の show 以外のコマンド(telnet など)を、これらのユーザのロールで使用可能にすることができます。 |
![]() (注) |
複数のロールに属するユーザは、そのロールで許可されるすべてのコマンドの組み合わせを実行できます。 コマンドへのアクセス権は、コマンドへのアクセス拒否よりも優先されます。 たとえば、ユーザが、コンフィギュレーション コマンドへのアクセスが拒否されたロール A を持っていたとします。 しかし、同じユーザがロール B も持ち、このロールではコンフィギュレーション コマンドにアクセスできるとします。 この場合、このユーザはコンフィギュレーション コマンドにアクセスできます。 |
ルールは、ロールの基本要素です。 ルールは、そのロールがユーザにどの操作の実行を許可するかを定義します。 ルールは次のパラメータで適用できます。
command、feature、および feature group の各パラメータにより、階層的な関係が作成されます。 最も基本的な制御パラメータは command です。 次の制御パラメータは feature です。これは、その機能にアソシエートされているすべてのコマンドを表します。 最後の制御パラメータが、feature group です。 機能グループは、関連する機能を組み合わせたものです。機能グループによりルールを簡単に管理できます。 また、Cisco NX-OS ソフトウェアには、使用可能な機能グループ L3 があらかじめ定義されています。
ロールごとに最大 256 のルールを設定できます。 ルールが適用される順序は、ユーザ指定のルール番号で決まります。 ルールは降順で適用されます。 たとえば、1 つのロールが 3 つのルールを持っている場合、ルール 3 がルール 2 よりも前に適用され、ルール 2 はルール 1 よりも前に適用されます。
次の表に、この機能のライセンス要件を示します。
製品 |
ライセンス要件 |
---|---|
Cisco NX-OS |
ユーザ アカウントおよび RBAC にはライセンスは必要ありません。 ライセンス パッケージに含まれていない機能は nx-os イメージにバンドルされており、無料で提供されます。 Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。 |
ユーザ アカウントおよび RBAC に関する注意事項と制約事項は次のとおりです。
![]() (注) |
Cisco IOS の CLI に慣れている場合、この機能の Cisco NX-OS コマンドは従来の Cisco IOS コマンドと異なる点があるため注意が必要です。 |
パラメータ |
デフォルト |
---|---|
ユーザ アカウント パスワード |
未定義 |
ユーザ アカウントの有効期限 |
なし |
ユーザ アカウント ロール |
作成ユーザが network-admin ロールを持つ場合は network-operator |
デフォルト ユーザ ロール |
network-operator |
インターフェイス ポリシー |
すべてのインターフェイスにアクセス可能 |
VRF ポリシー |
すべての VRF にアクセス可能 |
機能グループ |
L3 |
ユーザ アカウントに対して弱いパスワードを設定しないように、パスワードの強度確認機能をイネーブルにすることができます。
![]() (注) |
パスワード強度確認をイネーブルにしても、Cisco NX-OS ソフトウェアでは、既存パスワードの強度確認は行われません。 |
1. configure terminal
2. password strength-check
3. exit
4. (任意) show password strength-check
5. (任意) copy running-config startup-config
1 つの Cisco NX-OS デバイスに最大 256 個のユーザ アカウントを作成できます。 ユーザ アカウントは、次の属性を持ちます。
パスワードはクリア テキストか暗号化された形式で入力できます。 Cisco NX-OS パスワードは、実行コンフィギュレーションに保存する前にクリア テキストのパスワードを暗号化します。 暗号化された形式のパスワードは、これ以上の暗号化を行わずに実行コンフィギュレーションに保存されます。
ユーザ アカウントは、最大 64 個のユーザ ロールを持つことができます。 コマンドライン インターフェイス(CLI)の状況依存ヘルプ ユーティリティを使用して、利用できるコマンドを確認できます。
![]() (注) |
ユーザ アカウントの属性に加えられた変更は、そのユーザがログインして新しいセッションを作成するまで有効になりません。 |
1. configure terminal
2. (任意) show role
3. username user-id [password [0 | 5] password] [expire date] [role role-name]
4. exit
5. (任意) show user-account
6. (任意) copy running-config startup-config
ここでは、ユーザ ロールの設定方法について説明します。
最大 64 個のユーザ ロールを設定できます。 各ユーザ ロールが、最大 256 個のルールを持つことができます。 ユーザ ロールを複数のユーザ アカウントに割り当てることができます。
指定するルール番号は、適用するルールの順序を決めます。 ルールは降順で適用されます。 たとえば、1 つのロールが 3 つのルールを持っている場合、ルール 3 がルール 2 よりも前に適用され、ルール 2 はルール 1 よりも前に適用されます。
![]() (注) |
ユーザ ロールに設定された読み取り/書き込みルールに関係なく、一部のコマンドは、あらかじめ定義された network-admin ロールでのみ実行できます。 |
ユーザ ロール設定を配布する場合は、設定を配布する対象のすべての Cisco NX-OS デバイスでユーザ ロール設定の配布をイネーブルにします。
1. configure terminal
2. role name role-name
3. rule number {deny | permit} command command-string
4. rule number {deny | permit} {read | read-write}
5. rule number {deny | permit} {read | read-write} feature feature-name
6. rule number {deny | permit} {read | read-write} feature-group group-name
7. rule number {deny | permit} {read | read-write} oid snmp_oid_name
8. (任意) description text
9. exit
10. (任意) show role
11. (任意) show role {pending | pending-diff}
12. (任意) role commit
13. (任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | role name role-name 例: switch(config)# role name UserA switch(config-role)# |
ユーザ ロールを指定し、ロール コンフィギュレーション モードを開始します。 role-name 引数は、最大 16 文字の長さの英数字のストリングで、大文字小文字が区別されます。 |
||
ステップ 3 | rule number {deny | permit} command command-string 例: switch(config-role)# rule 1 deny command clear users |
コマンド ルールを設定します。 command-string には、スペースおよび正規表現を含めることができます。 たとえば、interface ethernet にはすべてのイーサネット インターフェイスが含まれます。 必要なルールの数だけこのコマンドを繰り返します。 |
||
ステップ 4 | rule number {deny | permit} {read | read-write} 例: switch(config-role)# rule 2 deny read-write |
すべての操作の読み取り専用ルールまたは読み取り/書き込みルールを設定します。 |
||
ステップ 5 | rule number {deny | permit} {read | read-write} feature feature-name 例: switch(config-role)# rule 3 permit read feature router-bgp |
機能に対して、読み取り専用ルールか読み取りと書き込みのルールかを設定します。 show role feature コマンドを使用すれば、機能のリストが表示されます。 必要なルールの数だけこのコマンドを繰り返します。 |
||
ステップ 6 | rule number {deny | permit} {read | read-write} feature-group group-name 例: switch(config-role)# rule 4 deny read-write feature-group L3 |
機能グループに対して、読み取り専用ルールか読み取りと書き込みのルールかを設定します。 show role feature-group コマンドを使用すれば、機能グループのリストが表示されます。 必要なルールの数だけこのコマンドを繰り返します。 |
||
ステップ 7 | rule number {deny | permit} {read | read-write} oid snmp_oid_name 例: switch(config-role)# rule 5 deny read-write oid 1.3.6.1.2.1.1.9 |
必要な規則の数だけこのコマンドを繰り返します。 |
||
ステップ 8 | description text 例: switch(config-role)# description This role does not allow users to use clear commands |
(任意) ロールの説明を設定します。 説明にはスペースも含めることができます。 |
||
ステップ 9 | exit 例: switch(config-role)# exit switch(config)# |
ロール コンフィギュレーション モードを終了します。 |
||
ステップ 10 | show role 例: switch(config)# show role |
(任意) ユーザ ロールの設定を表示します。 |
||
ステップ 11 | show role {pending | pending-diff} 例: switch(config)# show role pending |
(任意) 配布するために保留状態になっているユーザ ロール設定を表示します。 |
||
ステップ 12 | role commit 例: switch(config)# role commit |
(任意) 一時データベース内にあるユーザ ロールの設定変更を実行コンフィギュレーションに適用します。 |
||
ステップ 13 | copy running-config startup-config 例: switch(config)# copy running-config startup-config |
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
カスタム機能グループを作成して、Cisco NX-OS ソフトウェアが提供するデフォルトの機能リストに追加できます。 これらの機能グループは 1 つまたは複数の機能を含んでいます。 最大 64 個の機能グループを作成できます。
![]() (注) |
デフォルト機能グループ L3 を変更することはできません。 |
ユーザ ロール設定を配布する場合は、設定を配布する対象のすべての Cisco NX-OS デバイスでユーザ ロール設定の配布をイネーブルにします。
1. configure terminal
2. role feature-group name group-name
3. feature feature-name
4. exit
5. (任意) show role feature-group
6. (任意) show role {pending | pending-diff}
7. (任意) role commit
8. (任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |||
---|---|---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
||
ステップ 2 | role feature-group name group-name 例: switch(config)# role feature-group name GroupA switch(config-role-featuregrp)# |
ユーザ ロール機能グループを指定して、ロール機能グループ コンフィギュレーション モードを開始します。 group-name 引数は、最大 32 文字の長さの英数字のストリングで、大文字小文字が区別されます。 |
||
ステップ 3 | feature feature-name 例: switch(config-role-featuregrp)# feature radius |
機能グループの機能を指定します。 必要な機能の数だけこのコマンドを繰り返します。
|
||
ステップ 4 | exit 例: switch(config-role-featuregrp)# exit switch(config)# |
ロール機能グループ コンフィギュレーション モードを終了します。 |
||
ステップ 5 | show role feature-group 例: switch(config)# show role feature-group |
(任意) ロール機能グループ設定を表示します。 |
||
ステップ 6 | show role {pending | pending-diff} 例: switch(config)# show role pending |
(任意) 配布するために保留状態になっているユーザ ロール設定を表示します。 |
||
ステップ 7 | role commit 例: switch(config)# role commit |
(任意) 一時データベース内にあるユーザ ロールの設定変更を実行コンフィギュレーションに適用します。 |
||
ステップ 8 | copy running-config startup-config 例: switch(config)# copy running-config startup-config |
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
ユーザ ロール インターフェイス ポリシーを変更することで、ユーザがアクセスできるインターフェイスを制限できます。 デフォルトでは、ユーザ ロールによってすべてのインターフェイスへのアクセスが許可されます。
1 つまたは複数のユーザ ロールを作成します。
ユーザ ロール設定を配布する場合は、設定を配布する対象のすべての Cisco NX-OS デバイスでユーザ ロール設定の配布をイネーブルにします。
1. configure terminal
2. role name role-name
3. interface policy deny
4. permit interface interface-list
5. exit
6. (任意) show role
7. (任意) show role {pending | pending-diff}
8. (任意) role commit
9. (任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | role name role-name 例: switch(config)# role name UserA switch(config-role)# |
ユーザ ロールを指定し、ロール コンフィギュレーション モードを開始します。 |
ステップ 3 | interface policy deny 例: switch(config-role)# interface policy deny switch(config-role-interface)# |
ロール インターフェイス ポリシー コンフィギュレーション モードを開始します。 |
ステップ 4 | permit interface interface-list 例: switch(config-role-interface)# permit interface ethernet 2/1-4 |
ロールがアクセスできるインターフェイスのリストを指定します。 必要なインターフェイスの数だけこのコマンドを繰り返します。 |
ステップ 5 | exit 例: switch(config-role-interface)# exit switch(config-role)# |
ロール インターフェイス ポリシー コンフィギュレーション モードを終了します。 |
ステップ 6 | show role 例: switch(config-role)# show role |
(任意) ロール設定を表示します。 |
ステップ 7 | show role {pending | pending-diff} 例: switch(config-role)# show role pending |
(任意) 配布するために保留状態になっているユーザ ロール設定を表示します。 |
ステップ 8 | role commit 例: switch(config-role)# role commit |
(任意) 一時データベース内にあるユーザ ロールの設定変更を実行コンフィギュレーションに適用します。 |
ステップ 9 | copy running-config startup-config 例: switch(config-role)# copy running-config startup-config |
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
ユーザ ロールの VRF ポリシーを変更して、ユーザがアクセスできる VRF を制限できます。 デフォルトでは、ユーザ ロールによってすべての VRF へのアクセスが許可されます。
1 つまたは複数のユーザ ロールを作成します。
ユーザ ロール設定を配布する場合は、設定を配布する対象のすべての Cisco NX-OS デバイスでユーザ ロール設定の配布をイネーブルにします。
1. configure terminal
2. role name role-name
3. vrf policy deny
4. permit vrf vrf-name
5. exit
6. (任意) show role
7. (任意) show role {pending | pending-diff}
8. (任意) role commit
9. (任意) copy running-config startup-config
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
ステップ 2 | role name role-name 例: switch(config)# role name UserA switch(config-role)# |
ユーザ ロールを指定し、ロール コンフィギュレーション モードを開始します。 |
ステップ 3 | vrf policy deny 例: switch(config-role)# vrf policy deny switch(config-role-vrf)# |
ロール VRF ポリシー コンフィギュレーション モードを開始します。 |
ステップ 4 | permit vrf vrf-name 例: switch(config-role-vrf)# permit vrf vrf1 |
ロールがアクセスできる VRF を指定します。 必要な VRF の数だけこのコマンドを繰り返します。 |
ステップ 5 | exit 例: switch(config-role-vrf)# exit switch(config-role)# |
ロール VRF ポリシー コンフィギュレーション モードを終了します。 |
ステップ 6 | show role 例: switch(config-role)# show role |
(任意) ロール設定を表示します。 |
ステップ 7 | show role {pending | pending-diff} 例: switch(config-role)# show role pending |
(任意) 配布するために保留状態になっているユーザ ロール設定を表示します。 |
ステップ 8 | role commit 例: switch(config-role)# role commit |
(任意) 一時データベース内にあるユーザ ロールの設定変更を実行コンフィギュレーションに適用します。 |
ステップ 9 | copy running-config startup-config 例: switch(config-role)# copy running-config startup-config |
(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
ユーザ アカウントおよび RBAC 設定情報を表示するには、次のいずれかの作業を行います。
コマンド |
目的 |
---|---|
show cli syntax roles network-admin |
network-admin ロールで使用できるコマンドの構文を表示します。 |
show cli syntax roles network-operator |
network-operator ロールで使用できるコマンドの構文を表示します。 |
show role |
ユーザ ロールの設定を表示します。 |
show role feature |
機能リストを表示します。 |
show role feature-group |
機能グループの設定を表示します。 |
show startup-config security |
スタートアップ コンフィギュレーションのユーザ アカウント設定を表示します。 |
show running-config security [all] |
実行コンフィギュレーションのユーザ アカウント設定を表示します。 all キーワードを指定すると、ユーザ アカウントのデフォルト値が表示されます。 |
show user-account |
ユーザ アカウント情報を表示します。 |
次に、ユーザ ロールを設定する例を示します。
role name User-role-A rule 2 permit read-write feature bgp rule 1 deny command clear *
次に、BGP をイネーブルにして表示し、EIGRP を表示するようにインターフェイスを設定できるユーザ ロールを作成する例を示します。
role name iftest rule 1 permit command config t; interface *; bgp * rule 2 permit read-write feature bgp rule 3 permit read feature eigrp
上の例では、ルール 1 はインターフェイス上の BGP の設定を許可し、ルール 2 は config bgp コマンドの設定と BGP に対する EXEC レベルの show および debug コマンドのイネーブル化を許可し、さらにルール 3 は EXEC レベルの show および debug eigrp コマンドのイネーブル化を許可します。
次に、特定のインターフェイスだけを設定できるユーザ ロールを設定する例を示します。
role name Int_Eth2-3_only rule 1 permit command configure terminal; interface * interface policy deny permit interface Ethernet2/3
次に、ユーザ ロール機能グループを設定する例を示します。
role feature-group name Security-features feature radius feature tacacs feature aaa feature acl feature access-list
次に、ユーザ アカウントを設定する例を示します。
username user1 password A1s2D4f5 role User-role-A
次に、アクセスを OID サブツリーの一部に制限するための OID ルールを追加する例を示します。
role name User1 rule 1 permit read feature snmp rule 2 deny read oid 1.3.6.1.2.1.1.9 show role name User1 Role: User1 Description: new role Interface policy: permit (default) Vrf policy: permit (default) ------------------------------------------------------------------- Rule Perm Type Scope Entity ------------------------------------------------------------------- 2 deny read oid 1.3.6.1.2.1.1.9 1 permit read feature snmp
次に、指定された OID サブツリーへの書き込み権限を許可する例を示します。
role name User1 rule 3 permit read-write oid 1.3.6.1.2.1.1.5 show role name User1 Role: User1 Description: new role Interface policy: permit (default) Vrf policy: permit (default) ------------------------------------------------------------------- Rule Perm Type Scope Entity ------------------------------------------------------------------- 3 permit read-write oid 1.3.6.1.2.1.1.5 2 deny read oid 1.3.6.1.2.1.1.9 1 permit read feature snmp
ここでは、ユーザ アカウントおよび RBAC の実装に関する追加情報について説明します。
関連項目 |
参照先 |
---|---|
Cisco NX-OS のライセンス |
『Cisco NX-OS Licensing Guide』 |
VRF コンフィギュレーション |
『Cisco Nexus 9000 Series NX-OS Unicast Routing Configuration Guide』 |
標準 |
タイトル |
---|---|
この機能では、新規の標準がサポートされることも、一部変更された標準がサポートされることもありません。また、既存の標準に対するサポートが変更されることもありません。 |
— |
MIB |
MIB のリンク |
---|---|
ユーザ アカウントおよび RBAC に関連する MIB |
サポートされている MIB を検索およびダウンロードするには、次の URL にアクセスしてください。 ftp://ftp.cisco.com/pub/mibs/supportlists/nexus9000/Nexus9000MIBSupportList.html |