この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章は、次の項で構成されています。
Cisco Nexus 1000V へのアクセスは、各ユーザに許可される特定のアクションを定義するユーザ アカウントを設定することで実現されます。 ユーザ アカウントは最大 256 個作成できます。 各ユーザ アカウントには、次の情報が含まれています。
ロールとは、同じグループのユーザによって共有可能なアクションを具体的に定義する規則の集合です。 たとえば、次のような幅広い権限を持つロールをユーザ アカウントに割り当てることができます。 これらのロールは Cisco Nexus 1000V 内であらかじめ定義されたものであり、変更はできません。
role: network-admin description: Predefined network admin role has access to all commands on the switch ------------------------------------------------------------------- Rule Perm Type Scope Entity ------------------------------------------------------------------- 1 permit read-write role: network-operator description: Predefined network operator role has access to all read commands on the switch ------------------------------------------------------------------- Rule Perm Type Scope Entity ------------------------------------------------------------------- 1 permit read
管理者は、ユーザのアクセス権を定義するロールをこの他に 64 個作成できます。
各ユーザ アカウントには少なくとも 1 つのロールを割り当てる必要があり、最大 64 個を割り当てることができます。
管理者が作成できるロールでは、アクセスを許可できるコマンドがデフォルトでは次のものに限られています。 機能の設定をユーザに許可するには、規則を追加する必要があります。
ユーザ名とは、個々のユーザを特定するための一意の文字列です(たとえば「daveGreen」)。 ユーザ名は、最大 28 文字で、英数字を使用でき、大文字と小文字が区別されます。 数字だけで構成されたユーザ名は許可されません。 すべてが数字のユーザ名が AAA サーバに存在し、ログインの際に入力されても、そのユーザはログインできません。
パスワードは、大文字と小文字が区別される文字列です。パスワードによって特定のユーザによるアクセスが可能になり、不正なアクセスの防止に役立ちます。 パスワードを指定せずにユーザを追加することもできますが、そのユーザはデバイスにアクセスできなくなる可能性があります。 パスワードは、強力なものでなければなりません。容易に推測できるパスワードは、不正アクセスの原因となります。
次の文字は、クリア テキスト パスワードには使用できません。
次の特殊文字は、パスワードの先頭には使用できません。
次の表に、強力なパスワードの特性を示します。
強力なパスワードに含まれるもの |
強力なパスワードに含まれないもの |
---|---|
最低 8 文字 |
連続する文字(例:abcd) |
大文字の英字 |
文字の繰り返し(例:aaabbb) |
小文字の英字 |
辞書に載っている単語 |
数字 |
固有名詞 |
特殊文字 |
次に、強力なパスワードの例を示します。
デバイスによるパスワード強度のチェックは、デフォルトでは自動的に行われます。 管理者がユーザ名とパスワードを追加するときに、パスワードの強度が評価されます。 これが脆弱なパスワードの場合、次のエラー メッセージが表示されて、通知されます。
switch# config terminal switch (config)# username daveGreen password davey
password is weak Password should contain characters from at least three of the classes: lower case letters, upper case letters, digits, and special characters
パスワード強度チェックはディセーブルにすることができます。
デフォルトでは、ユーザ アカウントは無期限に有効です。 ただし、管理者はアカウントがディセーブルになる有効期限を明示的に設定することができます。
adm |
gdm |
mtuser |
rpcuser |
bin |
gopher |
neews |
shutdown |
daemon |
haltlp |
nobody |
sync |
FTP |
nscd |
sys |
|
ftpuser |
mailnull |
operator |
uucp |
games |
man |
rpc |
xfs |
パラメータ |
デフォルト |
---|---|
ユーザ アカウント パスワード |
未定義 |
ユーザ アカウントの有効期限 |
なし |
ユーザ アカウント ロール |
network-operator |
インターフェイス ポリシー |
すべてのインターフェイスにアクセス可能 |
VLAN ポリシー |
すべての VLAN にアクセス可能 |
Cisco Nexus 1000V でパスワード強度のチェックをイネーブルにして、ユーザ アカウントに対して弱いパスワードを設定できないようにするには、この手順を使用します。
パスワード強度のチェックは、デフォルトではイネーブルになっています。 ディセーブルにされていても、ここで説明する手順を実行すれば再度イネーブルにすることができます。
この手順を開始する前に、EXEC モードで CLI にログインする必要があります。
switch# configure terminal switch(config)# password strength-check switch(config)# show password strength-check Password strength check enabled switch(config)# copy running-config startup-config
この手順を開始する前に、EXEC モードで CLI にログインする必要があります。
switch# configure terminal switch(config)# no password strength-check switch(config)# show password strength-check switch(config)# copy running-config startup-config
この手順を開始する前に、EXEC モードで CLI にログインする必要があります。
switch# configure terminal switch(config)# show role switch(config)# username NewUser password 4Ty18Rnt switch(config)# show user-account NewUser user: NewUser this user account has no expiry date roles:network-operator network-admin switch# copy running-config startup-config
switch# configure terminal switch(config)# role name UserA switch(config-role)# description Prohibits use of clear commands switch(config-role)# rule 1 deny command clear users switch(config-role)# rule 2 deny read-write
switch# configure terminal switch(config)# role name UserA switch(config-role)# rule 3 permit read feature snmp switch(config-role)# rule 2 permit read feature dot1x switch(config-role)# rule 1 deny command clear *
ここでは、機能グループを作成して設定する手順を説明します。 最大 64 個のカスタム機能グループを作成できます。
デフォルトでは、ロールによってすべてのインターフェイスへのアクセスが許可されます。 すべてのインターフェイスへのアクセスを拒否し、選択したインターフェイスへのアクセスを許可して、すでに作成されているロールを変更します。
この手順を開始する前に、次のことを確認してください。
デフォルトでは、すべての VLAN へのアクセスが許可されます。 この手順では、すべての VLAN へのアクセスを拒否してから、選択した VLAN へのアクセスを許可して、作成済みのロールを変更します。
この手順を開始する前に、次のことを実行する必要があります。
次のいずれかのコマンドを使用して、設定を確認します。
コマンド |
目的 |
---|---|
show role |
使用可能なユーザ ロールとその規則を表示します。 |
show role feature |
使用可能な機能のリストを表示します。 |
show role feature-group |
使用可能な機能グループのリストを表示します。 |
show startup-config security |
スタートアップ コンフィギュレーションのユーザ アカウント設定を表示します。 |
show running-config security [all] |
実行コンフィギュレーションのユーザ アカウント設定を表示します。 all キーワードを指定すると、ユーザ アカウントのデフォルト値が表示されます。 |
show user-account |
ユーザ アカウント情報を表示します。 |
switch# config terminal switch(config-role)# role feature-group name security-features switch(config-role)# feature radius switch(config-role)# feature tacacs switch(config-role)# feature dot1x switch(config-role)# feature aaa switch(config-role)# feature snmp switch(config-role)# feature acl switch(config-role)# feature access-list
switch# config terminal switch(config)# role name UserA switch(config-role)# rule 3 permit read feature snmp switch(config-role)# rule 2 permit read feature dot1x switch(config-role)# rule 1 deny command clear *
MIB |
MIB のリンク |
---|---|
CISCO-COMMON-MGMT-MIB |
MIB を検索およびダウンロードするには、次の URL にアクセスしてください。 http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml |
この表には、機能の追加や変更によるリリースの更新内容のみが記載されています。
機能名 |
リリース |
機能情報 |
---|---|---|
ユーザ アカウント |
Release 5.2(1)IC1(1.1) |
この機能が導入されました。 |
目次
この章は、次の項で構成されています。
- ユーザ アカウントについて
- ユーザ アカウント作成の注意事項と制限事項
- ユーザ アカウント作成の注意事項
- ユーザ アクセスのデフォルト設定
- ユーザ アクセス設定の確認
- MIB
- ユーザ アカウント機能の履歴
ユーザ アカウントについて
Cisco Nexus 1000V へのアクセスは、各ユーザに許可される特定のアクションを定義するユーザ アカウントを設定することで実現されます。 ユーザ アカウントは最大 256 個作成できます。 各ユーザ アカウントには、次の情報が含まれています。
ロール
ロールとは、同じグループのユーザによって共有可能なアクションを具体的に定義する規則の集合です。 たとえば、次のような幅広い権限を持つロールをユーザ アカウントに割り当てることができます。 これらのロールは Cisco Nexus 1000V 内であらかじめ定義されたものであり、変更はできません。
role: network-admin description: Predefined network admin role has access to all commands on the switch ------------------------------------------------------------------- Rule Perm Type Scope Entity ------------------------------------------------------------------- 1 permit read-write role: network-operator description: Predefined network operator role has access to all read commands on the switch ------------------------------------------------------------------- Rule Perm Type Scope Entity ------------------------------------------------------------------- 1 permit read管理者は、ユーザのアクセス権を定義するロールをこの他に 64 個作成できます。
各ユーザ アカウントには少なくとも 1 つのロールを割り当てる必要があり、最大 64 個を割り当てることができます。
管理者が作成できるロールでは、アクセスを許可できるコマンドがデフォルトでは次のものに限られています。 機能の設定をユーザに許可するには、規則を追加する必要があります。
ユーザ名
ユーザ名とは、個々のユーザを特定するための一意の文字列です(たとえば「daveGreen」)。 ユーザ名は、最大 28 文字で、英数字を使用でき、大文字と小文字が区別されます。 数字だけで構成されたユーザ名は許可されません。 すべてが数字のユーザ名が AAA サーバに存在し、ログインの際に入力されても、そのユーザはログインできません。
パスワード
パスワードは、大文字と小文字が区別される文字列です。パスワードによって特定のユーザによるアクセスが可能になり、不正なアクセスの防止に役立ちます。 パスワードを指定せずにユーザを追加することもできますが、そのユーザはデバイスにアクセスできなくなる可能性があります。 パスワードは、強力なものでなければなりません。容易に推測できるパスワードは、不正アクセスの原因となります。
次の文字は、クリア テキスト パスワードには使用できません。
次の特殊文字は、パスワードの先頭には使用できません。
次の表に、強力なパスワードの特性を示します。
表 1 強力なパスワードの特性 強力なパスワードに含まれるもの
強力なパスワードに含まれないもの
最低 8 文字
連続する文字(例:abcd)
大文字の英字
文字の繰り返し(例:aaabbb)
小文字の英字
辞書に載っている単語
数字
固有名詞
特殊文字
次に、強力なパスワードの例を示します。
パスワード強度のチェック
デバイスによるパスワード強度のチェックは、デフォルトでは自動的に行われます。 管理者がユーザ名とパスワードを追加するときに、パスワードの強度が評価されます。 これが脆弱なパスワードの場合、次のエラー メッセージが表示されて、通知されます。
switch# config terminal switch (config)# username daveGreen password daveypassword is weak Password should contain characters from at least three of the classes: lower case letters, upper case letters, digits, and special charactersパスワード強度チェックはディセーブルにすることができます。
ユーザ アカウント作成の注意事項
- ユーザ アカウントは最大 256 個追加できます。
- ユーザ アカウントに対する変更が有効になるのは、そのユーザがログインして新しいセッションを作成したときです。
- 次に示す語をユーザ アカウントで使用しないでください。 これらは、他の目的のために予約されています。
- 追加するユーザ パスワードは、クリア テキストと暗号化テキストのどちらでも指定できます。
- 1 つのユーザ アカウントが最大 64 個のロールを持つことができますが、少なくとも 1 つのロールを持つ必要があります。 ロールの詳細については、ユーザ アカウント作成の注意事項を参照してください。
- パスワードを指定しない場合、そのユーザがログインできなくなる可能性があります。
- パスワードでなく SSH 公開キーを使用する手順については、OpenSSH キーの設定を参照してください。
ユーザ アクセスのデフォルト設定
パスワード強度チェックのイネーブル化
手順Cisco Nexus 1000V でパスワード強度のチェックをイネーブルにして、ユーザ アカウントに対して弱いパスワードを設定できないようにするには、この手順を使用します。
パスワード強度のチェックは、デフォルトではイネーブルになっています。 ディセーブルにされていても、ここで説明する手順を実行すれば再度イネーブルにすることができます。
パスワード強度チェックのディセーブル化
手順
ユーザ アカウントの作成
手順
ロールの作成
はじめる前に手順
- この手順を開始する前に、EXEC モードで CLI にログインする必要があります。
- 最大 64 個のユーザ ロールを設定できます。
- 1 つのロールに最大 256 個の規則を設定できます。
- 1 つのロールを複数のユーザに割り当てることができます。
- 規則番号は、その規則が適用される順序を表します。規則は番号の降順で適用されます。 たとえば、あるロールに 3 つの規則がある場合は、最初に規則 3 が適用され、次に規則 2、最後に規則 1 が適用されます。
- デフォルトでは、管理者が作成するユーザ ロールでアクセスを許可できるコマンドは、show、exit、end、および configure terminal コマンドだけです。 機能の設定をユーザに許可するには、規則を追加する必要があります。
switch# configure terminal switch(config)# role name UserA switch(config-role)# description Prohibits use of clear commands switch(config-role)# rule 1 deny command clear users switch(config-role)# rule 2 deny read-writeswitch# configure terminal switch(config)# role name UserA switch(config-role)# rule 3 permit read feature snmp switch(config-role)# rule 2 permit read feature dot1x switch(config-role)# rule 1 deny command clear *機能グループの作成
手順
インターフェイス アクセスの設定
手順デフォルトでは、ロールによってすべてのインターフェイスへのアクセスが許可されます。 すべてのインターフェイスへのアクセスを拒否し、選択したインターフェイスへのアクセスを許可して、すでに作成されているロールを変更します。
VLAN アクセスの設定
手順デフォルトでは、すべての VLAN へのアクセスが許可されます。 この手順では、すべての VLAN へのアクセスを拒否してから、選択した VLAN へのアクセスを許可して、作成済みのロールを変更します。
ユーザ アクセス設定の確認
次のいずれかのコマンドを使用して、設定を確認します。
コマンド
目的
show role
使用可能なユーザ ロールとその規則を表示します。
show role feature
使用可能な機能のリストを表示します。
show role feature-group
使用可能な機能グループのリストを表示します。
show startup-config security
スタートアップ コンフィギュレーションのユーザ アカウント設定を表示します。
show running-config security [all]
実行コンフィギュレーションのユーザ アカウント設定を表示します。 all キーワードを指定すると、ユーザ アカウントのデフォルト値が表示されます。
show user-account
ユーザ アカウント情報を表示します。
機能グループ作成の設定例
switch# config terminal switch(config-role)# role feature-group name security-features switch(config-role)# feature radius switch(config-role)# feature tacacs switch(config-role)# feature dot1x switch(config-role)# feature aaa switch(config-role)# feature snmp switch(config-role)# feature acl switch(config-role)# feature access-listMIB
MIB
MIB のリンク
CISCO-COMMON-MGMT-MIB
MIB を検索およびダウンロードするには、次の URL にアクセスしてください。
http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml