Cisco Nexus 9000 シリーズ NX-OS セキュリティ コンフィギュレーション ガイド リリース 7.x
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月19日月曜日
章のタイトル: ユーザ アカウントおよび RBAC の設定
ユーザ アカウントおよび RBAC の設定
この章では、Cisco NX-OS デバイス上でユーザ アカウントおよびロールベース アクセス コントロール(RBAC)を設定する手順について説明します。
この章は、次の項で構成されています。
- ユーザ アカウントと RBAC について
- ユーザ アカウントおよび RBAC のライセンス要件
- ユーザ アカウントおよび RBAC の注意事項と制約事項
- ユーザ アカウントおよび RBAC のデフォルト設定
- パスワードの強度確認のイネーブル化
- ユーザ アカウントの設定
- ロールの設定
- ユーザ アカウントおよび RBAC 設定の確認
- ユーザ アカウントおよび RBAC の設定例
- ユーザ アカウントおよび RBAC に関する追加情報
ユーザ アカウントと RBAC について
ユーザ アカウントを作成して管理し、Cisco NX-OS で行える操作を制限するロールを割り当てることができます。RBAC は、ユーザが実行する必要のある管理操作の許可を制限するロールの割り当てのルールを定義することを可能にします。
User Accounts
最大 256 のユーザ アカウントを作成できます。デフォルトでは、明示的に期限を指定しないかぎり、ユーザ アカウントは無期限に有効です。expire オプションを使用すると、ユーザ アカウントをディセーブルにする日付を設定できます。
次の語は予約済みであり、ユーザ設定に使用できません。bin、daemon、adm、lp、sync、shutdown、halt、mail、news、uucp、operator、games、gopher、ftp、nobody、nscd、mailnull、root、rpc、rpcuser、xfs、gdm、mtsuser、ftpuser、man、および sys。
 (注) | ユーザのパスワードは、設定ファイルでは表示されません。 |
 注意 | ユーザ名は、先頭が英数字または Cisco NX-OS リリース 7.0(3)I2(2) 以降でサポートされたアンダースコア(_)で始まる必要があり、その他に使用できる特殊文字は ( + = ._ \ -) だけです。# 記号と ! 記号はサポートされていません。ユーザ名に許可されていない文字が含まれている場合、指定したユーザはログインできません。 |
強力なパスワードの特性
強力なパスワードは、次の特性を持ちます。
-
長さが 8 文字以上である
-
複数の連続する文字(「abcd」など)を含んでいない
-
複数の同じ文字の繰返し(「aaabbb」など)を含んでいない
-
辞書に載っている単語を含んでいない
-
正しい名前を含んでいない
-
大文字および小文字の両方が含まれている
-
数字が含まれている
強力なパスワードの例を次に示します。
(注) | クリア テキスト パスワードには、パスワードのいずれの部分にも、ドル記号($)またはスペースを含めることはできません。また、パスワードの先頭に引用符(" または ')、縦棒(|)、大なり記号(>)などの特殊文字を含めることもできません。 |
(注) | 出力可能なすべての ASCII 文字は、引用符で囲めば、パスワード文字列でサポートされます。 |
パスワードの強度確認をイネーブルにすると、パスワードが単純である場合(短く、簡単に解読されるパスワードなど)に、Cisco NX-OS ソフトウェアによってパスワード設定が拒否されます。サンプル設定のように、強力なパスワードを設定してください。パスワードは大文字と小文字が区別されます。
ユーザ ロール
ユーザ ロールには、そのロールを割り当てられたユーザが実行できる操作を定義するルールが含まれています。各ユーザ ロールに複数のルールを含めることができ、各ユーザが複数のロールを持つことができます。たとえば、ロール 1 では設定操作の実行だけが許可されており、ロール 2 ではデバッグ操作の実行だけが許可されている場合、ロール 1 とロール 2 の両方に属するユーザは、設定操作とデバッグ操作を実行できます。また、特定の仮想ルーティング/転送(VRF)インスタンス、VLAN、およびインターフェイスへのアクセスも制限できます。
Cisco NX-OS ソフトウェアには、次のユーザ ロールが用意されています。
-
network-admin:Cisco NX-OS デバイス全体への完全な読み取り/書き込みアクセス権
-
network-operator または vdc-operator:Cisco NX-OSデバイス全体への完全な読み取りアクセス権
(注)
Cisco Nexus 9000 シリーズ スイッチは、複数の VDC をサポートしていません。ただし、the vdc-operator ロールが利用可能で、これには network-operator ロールと同じ権限と制約事項が付随します。
(注) | ユーザ ロールは変更できません。 |
(注) | 一部の show コマンドは、network-operator ユーザには使用不可にすることができます。さらに、一部の show 以外のコマンド(telnet など)を、これらのユーザのロールで使用可能にすることができます。 |
(注) | 複数のロールに属するユーザは、そのロールで許可されるすべてのコマンドの組み合わせを実行できます。コマンドへのアクセス権は、コマンドへのアクセス拒否よりも優先されます。たとえば、ユーザが、コンフィギュレーション コマンドへのアクセスが拒否されたロール A を持っていたとします。しかし、同じユーザが RoleB も持ち、このロールではコンフィギュレーション コマンドにアクセスできるとします。この場合、このユーザはコンフィギュレーション コマンドにアクセスできます。 |
ユーザ ロールのルール
ルールは、ロールの基本要素です。ルールは、そのロールがユーザにどの操作の実行を許可するかを定義します。ルールは次のパラメータで適用できます。
- コマンド
- 正規表現で定義されたコマンドまたはコマンド グループ
- 機能
- 正規表現で定義されたコマンドまたはコマンド グループ
- 機能グループ
- 機能のデフォルト グループまたはユーザ定義グループ
- OID
- SNMP オブジェクト ID(OID)。
command、feature、および feature group の各パラメータにより、階層的な関係が作成されます。最も基本的な制御パラメータは command です。次の制御パラメータは feature です。これは、その機能にアソシエートされているすべてのコマンドを表します。最後の制御パラメータが、feature group です。機能グループは、関連する機能を組み合わせたものです。機能グループによりルールを簡単に管理できます。また、Cisco NX-OS ソフトウェアには、使用可能な機能グループ L3 があらかじめ定義されています。
ロールごとに最大 256 のルールを設定できます。ルールが適用される順序は、ユーザ指定のルール番号で決まります。ルールは降順で適用されます。たとえば、1 つのロールが 3 つのルールを持っている場合、ルール 3 がルール 2 よりも前に適用され、ルール 2 はルール 1 よりも前に適用されます。
ユーザ アカウントおよび RBAC のライセンス要件
次の表に、この機能のライセンス要件を示します。
|
製品 |
ライセンス要件 |
|---|---|
|
Cisco NX-OS |
ユーザ アカウントおよび RBAC にはライセンスは必要ありません。ライセンス パッケージに含まれていない機能は nx-os イメージにバンドルされており、無料で提供されます。Cisco NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。 |
ユーザ アカウントおよび RBAC の注意事項と制約事項
ユーザ アカウントおよび RBAC に関する注意事項と制約事項は次のとおりです。
-
ユーザ ロールには最大 256 個の規則を追加できます。
-
デフォルトの機能グループである L3 に加えて、最大 64 のユーザ定義機能グループを追加できます。
-
最大 256 人のユーザを設定できます。
-
1 つのユーザ アカウントに最大 64 個のユーザ ロールを割り当てられます。
-
ローカルの Cisco NX-OS デバイス上に設定されているユーザ アカウントが、AAA サーバ上のリモート ユーザ アカウントと同じ名前の場合、Cisco NX-OS ソフトウェアは、AAA サーバ上に設定されているユーザ ロールではなく、ローカル ユーザ アカウントのユーザ ロールをリモート ユーザに適用します。
-
デフォルトの admin と SNMP ユーザ アカウントは削除できません。
-
デフォルトのユーザ ロールを、デフォルトの admin ユーザ アカウントから削除することはできません。
-
network-operator ロールでは、show running-config および show startup-config コマンドを実行できません。
(注) | Cisco IOS の CLI に慣れている場合、この機能の Cisco NX-OS コマンドは従来の Cisco IOS コマンドと異なる点があるため注意が必要です。 |
ユーザ アカウントおよび RBAC のデフォルト設定
|
パラメータ |
デフォルト |
|---|---|
|
ユーザ アカウント パスワード |
未定義 |
|
ユーザ アカウントの有効期限 |
なし |
|
ユーザ アカウント ロール |
作成ユーザが network-admin ロールを持つ場合は network-operator |
|
デフォルト ユーザ ロール |
network-operator |
|
インターフェイス ポリシー |
すべてのインターフェイスにアクセス可能 |
|
VLAN ポリシー |
すべての VLAN にアクセス可能 |
|
VRF ポリシー |
すべての VRF にアクセス可能 |
|
機能グループ |
L3 |
パスワードの強度確認のイネーブル化
ユーザ アカウントに対して弱いパスワードを設定しないように、パスワードの強度確認機能をイネーブルにすることができます。
(注) | パスワード強度確認をイネーブルにしても、Cisco NX-OS ソフトウェアでは、既存パスワードの強度確認は行われません。 |
1.
configure terminal
2.
password strength-check
3.
exit
4.
(任意) show password strength-check
5.
(任意) copy running-config startup-config
手順の詳細
ユーザ アカウントの設定
1 つの Cisco NX-OS デバイスに最大 256 個のユーザ アカウントを作成できます。ユーザ アカウントは、次の属性を持ちます。
パスワードはクリア テキストか暗号化された形式で入力できます。Cisco NX-OS パスワードは、実行コンフィギュレーションに保存する前にクリア テキストのパスワードを暗号化します。暗号化された形式のパスワードは、これ以上の暗号化を行わずに実行コンフィギュレーションに保存されます。Cisco NX-OS リリース 7.0(3)I2(1) 以降では、ユーザ パスワードの暗号化には MD5 ハッシュより強力な SHA256 ハッシュ メソッドが使用されます。
ユーザ アカウントは、最大 64 個のユーザ ロールを持つことができます。コマンドライン インターフェイス(CLI)の状況依存ヘルプ ユーティリティを使用して、利用できるコマンドを確認できます。
(注) | ユーザ アカウントの属性に加えられた変更は、そのユーザがログインして新しいセッションを作成するまで有効になりません。 |
1.
configure terminal
2.
(任意) show role
3.
usernameuser-id [password [0 | 5] password] [expiredate] [rolerole-name]
4.
exit
5.
(任意) show user-account
6.
(任意) copy running-config startup-config
手順の詳細
ロールの設定
ここでは、ユーザ ロールの設定方法について説明します。
ユーザ ロールおよびルールの作成
最大 64 個のユーザ ロールを設定できます。各ユーザ ロールが、最大 256 個のルールを持つことができます。ユーザ ロールを複数のユーザ アカウントに割り当てることができます。
指定したルール番号は、ルールが適用される順番を決定します。ルールは降順で適用されます。たとえば、1 つのロールが 3 つのルールを持っている場合、ルール 3 がルール 2 よりも前に適用され、ルール 2 はルール 1 よりも前に適用されます。
(注) | ユーザ ロールに設定された読み取り/書き込みルールに関係なく、一部のコマンドは、あらかじめ定義された network-admin ロールでのみ実行できます。 |
ユーザ ロール設定を配布する場合は、設定を配布する対象のすべての Cisco NX-OS デバイスでユーザ ロール設定の配布をイネーブルにします。
1.
configure terminal
2.
role namerole-name
3.
rulenumber {deny | permit} commandcommand-string
4.
rulenumber {deny | permit} {read | read-write}
5.
rulenumber {deny | permit} {read | read-write} featurefeature-name
6.
rulenumber {deny | permit} {read | read-write} feature-groupgroup-name
7.
rulenumber {deny | permit} {read | read-write} oidsnmp_oid_name
8.
(任意) descriptiontext
9.
exit
10.
(任意) show role
11.
(任意) show role{pending| pending-diff}
12.
(任意) role commit
13.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
| ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 | ||
| ステップ 2 | role namerole-name
例: switch(config)# role name UserA switch(config-role)# |
ユーザ ロールを指定し、ロール コンフィギュレーション モードを開始します。role-name 引数は、最大 16 文字の長さの英数字のストリングで、大文字小文字が区別されます。 | ||
| ステップ 3 | rulenumber {deny | permit} commandcommand-string
例: switch(config-role)# rule 1 deny command clear users |
コマンド規則を設定します。 command-string には、スペースおよび正規表現を含めることができます。たとえば、interface ethernet にはすべてのイーサネット インターフェイスが含まれます。 必要な規則の数だけこのコマンドを繰り返します。 | ||
| ステップ 4 | rulenumber {deny | permit} {read | read-write}
例: switch(config-role)# rule 2 deny read-write |
すべての操作の読み取り専用ルールまたは読み取り/書き込みルールを設定します。 | ||
| ステップ 5 | rulenumber {deny | permit} {read | read-write} featurefeature-name
例: switch(config-role)# rule 3 permit read feature router-bgp |
機能に対して、読み取り専用規則か読み取りと書き込みの規則かを設定します。 show role feature コマンドを使用すれば、機能のリストが表示されます。 必要な規則の数だけこのコマンドを繰り返します。 | ||
| ステップ 6 | rulenumber {deny | permit} {read | read-write} feature-groupgroup-name
例: switch(config-role)# rule 4 deny read-write feature-group L3 |
機能グループに対して、読み取り専用規則か読み取りと書き込みの規則かを設定します。 show role feature-group コマンドを使用すれば、機能グループのリストが表示されます。 必要な規則の数だけこのコマンドを繰り返します。 | ||
| ステップ 7 | rulenumber {deny | permit} {read | read-write} oidsnmp_oid_name
例: switch(config-role)# rule 5 deny read-write oid 1.3.6.1.2.1.1.9 |
必要な規則の数だけこのコマンドを繰り返します。 | ||
| ステップ 8 | descriptiontext
例: switch(config-role)# description This role does not allow users to use clear commands | (任意)
ロールの説明を設定します。説明にはスペースも含めることができます。 | ||
| ステップ 9 | exit 例: switch(config-role)# exit switch(config)# |
ロール コンフィギュレーション モードを終了します。 | ||
| ステップ 10 | show role
例: switch(config)# show role | (任意)
ユーザ ロールの設定を表示します。 | ||
| ステップ 11 | show role{pending| pending-diff}
例: switch(config)# show role pending | (任意)
配布するために保留状態になっているユーザ ロール設定を表示します。 | ||
| ステップ 12 | role commit
例: switch(config)# role commit | (任意)
一時データベース内にあるユーザ ロールの設定変更を実行コンフィギュレーションに適用します。 | ||
| ステップ 13 | copy running-config startup-config 例: switch(config)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
機能グループの作成
カスタム機能グループを作成して、Cisco NX-OS ソフトウェアが提供するデフォルトの機能リストに追加できます。これらの機能グループは 1 つまたは複数の機能を含んでいます。最大 64 個の機能グループを作成できます。
(注) | デフォルト機能グループ L3 を変更することはできません。 |
ユーザ ロール設定を配布する場合は、設定を配布する対象のすべての Cisco NX-OS デバイスでユーザ ロール設定の配布をイネーブルにします。
1.
configure terminal
2.
role feature-group namegroup-name
3.
featurefeature-name
4.
exit
5.
(任意) show role feature-group
6.
(任意) show role{pending| pending-diff}
7.
(任意) role commit
8.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 | |||
|---|---|---|---|---|
| ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 | ||
| ステップ 2 | role feature-group namegroup-name
例: switch(config)# role feature-group name GroupA switch(config-role-featuregrp)# |
ユーザ ロール機能グループを指定して、ロール機能グループ コンフィギュレーション モードを開始します。 group-name 引数は、最大 32 文字の長さの英数字のストリングで、大文字小文字が区別されます。 | ||
| ステップ 3 | featurefeature-name
例: switch(config-role-featuregrp)# feature radius |
機能グループの機能を指定します。 必要な機能の数だけこのコマンドを繰り返します。
| ||
| ステップ 4 | exit 例: switch(config-role-featuregrp)# exit switch(config)# |
ロール機能グループ コンフィギュレーション モードを終了します。 | ||
| ステップ 5 | show role feature-group
例: switch(config)# show role feature-group | (任意)
ロール機能グループ設定を表示します。 | ||
| ステップ 6 | show role{pending| pending-diff}
例: switch(config)# show role pending | (任意)
配布するために保留状態になっているユーザ ロール設定を表示します。 | ||
| ステップ 7 | role commit
例: switch(config)# role commit | (任意)
一時データベース内にあるユーザ ロールの設定変更を実行コンフィギュレーションに適用します。 | ||
| ステップ 8 | copy running-config startup-config 例: switch(config)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
ユーザ ロール インターフェイス ポリシーの変更
ユーザ ロール インターフェイス ポリシーを変更することで、ユーザがアクセスできるインターフェイスを制限できます。デフォルトでは、ユーザ ロールによってすべてのインターフェイスへのアクセスが許可されます。
1 つまたは複数のユーザ ロールを作成します。
ユーザ ロール設定を配布する場合は、設定を配布する対象のすべての Cisco NX-OS デバイスでユーザ ロール設定の配布をイネーブルにします。
1.
configure terminal
2.
role namerole-name
3.
interface policy deny
4.
permit interfaceinterface-list
5.
exit
6.
(任意) show role
7.
(任意) show role {pending | pending-diff}
8.
(任意) role commit
9.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
| ステップ 2 | role namerole-name
例: switch(config)# role name UserA switch(config-role)# |
ユーザ ロールを指定し、ロール コンフィギュレーション モードを開始します。 |
| ステップ 3 | interface policy deny
例: switch(config-role)# interface policy deny switch(config-role-interface)# |
ロール インターフェイス ポリシー コンフィギュレーション モードを開始します。 |
| ステップ 4 | permit interfaceinterface-list
例: switch(config-role-interface)# permit interface ethernet 2/1-4 |
ロールがアクセスできるインターフェイスのリストを指定します。 必要なインターフェイスの数だけこのコマンドを繰り返します。 |
| ステップ 5 | exit 例: switch(config-role-interface)# exit switch(config-role)# |
ロール インターフェイス ポリシー コンフィギュレーション モードを終了します。 |
| ステップ 6 | show role
例: switch(config-role)# show role | (任意)
ロール設定を表示します。 |
| ステップ 7 | show role {pending | pending-diff}
例: switch(config-role)# show role pending | (任意)
配布するために保留状態になっているユーザ ロール設定を表示します。 |
| ステップ 8 | role commit
例: switch(config-role)# role commit | (任意)
一時データベース内にあるユーザ ロールの設定変更を実行コンフィギュレーションに適用します。 |
| ステップ 9 | copy running-config startup-config 例: switch(config-role)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
ユーザ ロール VLAN ポリシーの変更
ユーザ ロール VLAN ポリシーを変更することで、ユーザがアクセスできる VLAN を制限できます。デフォルトでは、ユーザ ロールによってすべての VLAN へのアクセスが許可されます。
1 つまたは複数のユーザ ロールを作成します。
1.
configure terminal
2.
role namerole-name
3.
vlan policy deny
4.
permit vlanvlan-list
5.
exit
6.
(任意) show role
7.
(任意) show role{pending | pending-diff}
8.
(任意) role commit
9.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
| ステップ 2 | role namerole-name
例: switch(config)# role name UserA switch(config-role)# |
ユーザ ロールを指定し、ロール コンフィギュレーション モードを開始します。 |
| ステップ 3 | vlan policy deny
例: switch(config-role)# vlan policy deny switch(config-role-vlan)# |
ロール VLAN ポリシー コンフィギュレーション モードを開始します。 |
| ステップ 4 | permit vlanvlan-list
例: switch(config-role-vlan)# permit vlan 1-4 |
ロールがアクセスできる VLAN の範囲を指定します。 必要な VLAN の数だけこのコマンドを繰り返します。 |
| ステップ 5 | exit 例: switch(config-role-vlan)# exit switch(config-role)# |
ロール VLAN ポリシー コンフィギュレーション モードを終了します。 |
| ステップ 6 | show role
例: switch(config)# show role | (任意)
ロール設定を表示します。 |
| ステップ 7 | show role{pending | pending-diff}
例: switch(config-role)# show role pending | (任意)
配布するために保留状態になっているユーザ ロール設定を表示します。 |
| ステップ 8 | role commit
例: switch(config-role)# role commit | (任意)
一時データベース内にあるユーザ ロールの設定変更を実行コンフィギュレーションに適用します。 |
| ステップ 9 | copy running-config startup-config 例: switch(config-role)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
ユーザ ロールの VRF ポリシーの変更
ユーザ ロールの VRF ポリシーを変更して、ユーザがアクセスできる VRF を制限できます。デフォルトでは、ユーザ ロールによってすべての VRF へのアクセスが許可されます。
1 つまたは複数のユーザ ロールを作成します。
ユーザ ロール設定を配布する場合は、設定を配布する対象のすべての Cisco NX-OS デバイスでユーザ ロール設定の配布をイネーブルにします。
1.
configure terminal
2.
role namerole-name
3.
vrf policy deny
4.
permit vrfvrf-name
5.
exit
6.
(任意) show role
7.
(任意) show role{pending| pending-diff}
8.
(任意) role commit
9.
(任意) copy running-config startup-config
手順の詳細
| コマンドまたはアクション | 目的 | |
|---|---|---|
| ステップ 1 | configure terminal 例: switch# configure terminal switch(config)# |
グローバル コンフィギュレーション モードを開始します。 |
| ステップ 2 | role namerole-name
例: switch(config)# role name UserA switch(config-role)# |
ユーザ ロールを指定し、ロール コンフィギュレーション モードを開始します。 |
| ステップ 3 | vrf policy deny
例: switch(config-role)# vrf policy deny switch(config-role-vrf)# |
ロール VRF ポリシー コンフィギュレーション モードを開始します。 |
| ステップ 4 | permit vrfvrf-name
例: switch(config-role-vrf)# permit vrf vrf1 |
ロールがアクセスできる VRF を指定します。 必要な VRF の数だけこのコマンドを繰り返します。 |
| ステップ 5 | exit 例: switch(config-role-vrf)# exit switch(config-role)# |
ロール VRF ポリシー コンフィギュレーション モードを終了します。 |
| ステップ 6 | show role
例: switch(config-role)# show role | (任意)
ロール設定を表示します。 |
| ステップ 7 | show role{pending| pending-diff}
例: switch(config-role)# show role pending | (任意)
配布するために保留状態になっているユーザ ロール設定を表示します。 |
| ステップ 8 | role commit
例: switch(config-role)# role commit | (任意)
一時データベース内にあるユーザ ロールの設定変更を実行コンフィギュレーションに適用します。 |
| ステップ 9 | copy running-config startup-config 例: switch(config-role)# copy running-config startup-config | (任意)
実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。 |
ユーザ アカウントおよび RBAC 設定の確認
ユーザ アカウントおよび RBAC 設定情報を表示するには、次のいずれかの作業を行います。
|
コマンド |
目的 |
|---|---|
|
show cli syntax roles network-admin |
network-admin ロールが使用できて コマンドの構文を表示します。 |
|
show cli syntax roles network-operator |
network-operator ロールで使用できるコマンドの構文を表示します。 |
|
show role |
ユーザ ロールの設定を表示します。 |
|
show role feature |
機能リストを表示します。 |
|
show role feature-group |
機能グループの設定を表示します。 |
|
show startup-config security |
スタートアップ コンフィギュレーションのユーザ アカウント設定を表示します。 |
|
show running-config security [all] |
実行コンフィギュレーションのユーザ アカウント設定を表示します。all キーワードを指定すると、ユーザ アカウントのデフォルト値が表示されます。 |
|
show user-account |
ユーザ アカウント情報を表示します。 |
ユーザ アカウントおよび RBAC の設定例
次に、ユーザ ロールを設定する例を示します。
role name User-role-A rule 2 permit read-write feature bgp rule 1 deny command clear *
次に、BGP をイネーブルにして表示し、EIGRP を表示するようにインターフェイスを設定できるユーザ ロールを作成する例を示します。
role name iftest rule 1 permit command config t; interface *; bgp * rule 2 permit read-write feature bgp rule 3 permit read feature eigrp
上の例では、ルール 1 はインターフェイス上の BGP の設定を許可し、ルール 2 は config bgp コマンドの設定と BGP に対する EXEC レベルの show および debug コマンドのイネーブル化を許可し、さらにルール 3 は EXEC レベルの show および debug eigrp コマンドのイネーブル化を許可します。
次に、特定のインターフェイスだけを設定できるユーザ ロールを設定する例を示します。
role name Int_Eth2-3_only
rule 1 permit command configure terminal; interface *
interface policy deny
permit interface Ethernet2/3
次に、ユーザ ロール機能グループを設定する例を示します。
role feature-group name Security-features feature radius feature tacacs feature aaa feature acl feature access-list
次に、ユーザ アカウントを設定する例を示します。
username user1 password A1s2D4f5 role User-role-A
次に、アクセスを OID サブツリーの一部に制限するための OID ルールを追加する例を示します。
role name User1 rule 1 permit read feature snmp rule 2 deny read oid 1.3.6.1.2.1.1.9 show role name User1 Role: User1 Description: new role Vlan policy: permit (default) Interface policy: permit (default) Vrf policy: permit (default) ------------------------------------------------------------------- Rule Perm Type Scope Entity ------------------------------------------------------------------- 2 deny read oid 1.3.6.1.2.1.1.9 1 permit read feature snmp
次に、指定された OID サブツリーへの書き込み権限を許可する例を示します。
role name User1 rule 3 permit read-write oid 1.3.6.1.2.1.1.5 show role name User1 Role: User1 Description: new role Vlan policy: permit (default) Interface policy: permit (default) Vrf policy: permit (default) ------------------------------------------------------------------- Rule Perm Type Scope Entity ------------------------------------------------------------------- 3 permit read-write oid 1.3.6.1.2.1.1.5 2 deny read oid 1.3.6.1.2.1.1.9 1 permit read feature snmp
ユーザ アカウントおよび RBAC に関する追加情報
ここでは、ユーザ アカウントおよび RBAC の実装に関する追加情報について説明します。
関連資料
|
関連項目 |
マニュアル タイトル |
|---|---|
|
Cisco NX-OS のライセンス |
『Cisco NX-OS Licensing Guide』 |
|
VRF コンフィギュレーション |
『Cisco Nexus 9000 Series NX-OS Unicast Routing Configuration Guide』 |
標準
|
標準 |
タイトル |
|---|---|
|
この機能でサポートされる新規の標準または変更された標準はありません。また、既存の標準のサポートは変更されていません。 |
— |
MIB
|
MIB |
MIB のリンク |
|---|---|
|
ユーザ アカウントおよび RBAC に関連する MIB |
サポートされている MIB を検索およびダウンロードするには、次の URL にアクセスしてください。 ftp://ftp.cisco.com/pub/mibs/supportlists/nexus9000/Nexus9000MIBSupportList.html |
フィードバック