この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章の内容は、次のとおりです。
ローカル ユーザ アカウントを設定または変更するには、admin 権限を持つユーザとしてログインする必要があります。
次に、ユーザ 5 を admin として設定する例を示します。
Server# scope user 5 Server /user # set enabled yes Server /user *# set name john Server /user *# set password Please enter password: Please confirm password: Server /user *# set role readonly Server /user *# commit Server /user # show User Name Role Enabled ------ ---------------- -------- -------- 5 john readonly yes
Active Directory はさまざまなネットワーク サービスを提供するテクノロジーであり、LDAP と同様のディレクトリ サービス、Kerberos ベースの認証、DNS ベースの名前付けなどが含まれます。 CIMC は、Active Directory の Kerberos ベースの認証サービスを利用します。
Active Directory が CIMC でイネーブルになっている場合、ローカル ユーザ データベースに登録されていないユーザ アカウントに対して Active Directory がユーザ認証とロール許可を実行します。
サーバでの Active Directory の設定で暗号化をイネーブルにすることで、サーバに Active Directory への送信データを暗号化するよう要求できます。
CIMC を設定して、Active Directory をユーザの認証と認可に使用できます。 Active Directory を使用するには、CIMC のユーザ ロールとロケールを保持する属性を使用してユーザを設定します。 CIMC のユーザ ロールとロケールにマップされた既存の LDAP 属性を使用できます。または、Active Directory スキーマを変更して、属性 ID 1.3.6.1.4.1.9.287247.1 を持つ CiscoAVPair 属性のような新規のカスタム属性を追加できます。 Active Directory スキーマの変更の詳細については、http://technet.microsoft.com/en-us/library/bb727064.aspx の記事を参照してください。
Active Directory サーバで次の手順が実行します。
(注) |
この例では CiscoAVPair という名前のカスタム属性を作成しますが、CIMC のユーザ ロールとロケールにマップされた既存の LDAP 属性を使用することもできます。 |
ステップ 1 | Active Directory スキーマ スナップインがインストールされていることを確認します。 | ||||||||||||
ステップ 2 |
Active Directory スキーマ スナップインを使用して、次のプロパティを持つ新しい属性を追加します。
|
||||||||||||
ステップ 3 | Active Directory スナップインを使用して、ユーザ クラスに CiscoAVPair 属性を追加します。 | ||||||||||||
ステップ 4 |
CIMC にアクセスできるようにするユーザに対し、次のユーザ ロール値を CiscoAVPair 属性に追加します。
|
CIMC を使用して Active Directory を設定します。
ローカル ユーザの認証と許可に Active Directory(AD)サーバを使用するには、CIMC で AD を設定します。
このタスクを実行するには、admin 権限を持つユーザとしてログインする必要があります。
次に、CiscoAVPair 属性を使用して AD を設定する例を示します。
Server# scope ldap Server /ldap # set enabled yes Server /ldap *# set dc1 192.0.20.123 Server /ldap *# set gc1 192.0.20.11 Server /ldap *# set timeout 60 Server /ldap *# set encrypted yes Server /ldap *# set base-dn example.com Server /ldap *# set attribute CiscoAVPair Server /ldap *# commit Server /ldap # show detail LDAP Settings: Domain Controller 1: 192.0.20.123 Domain Controller 2: 0.0.0.0 Domain Controller 3: 0.0.0.0 BaseDN: example.com Encrypted: yes Timeout: 60 Enabled: yes Attribute: CiscoAvPair Group Authorization: no Global Catalog 1: 192.0.20.11 Global Catalog 2: 0.0.0.0 Global Catalog 3: 0.0.0.0 Server /ldap #
グループの認可に Active Directory グループを使用する場合は、『Configuring Active Directory Groups in CIMC』を参照してください。
(注) |
Active Directory(AD)グループ許可をイネーブルにして設定すると、ローカル ユーザ データベースに見つからないユーザや Active Directory で CIMC の使用を個別に許可されていないユーザの認証も、ユーザ グループ レベルで実行されます。 |
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | Server# scope ldap | AD を設定する LDAP コマンド モードを開始します。 |
ステップ 2 | Server /ldap # set group-auth {yes | no} | AD グループ許可をイネーブルまたはディセーブルにします。 |
ステップ 3 | Server /ldap # scope role-group index | 設定に使用可能な 5 種類のグループ プロファイルのいずれかを選択します。index は 1 ~ 5 の数字です。 |
ステップ 4 | Server /ldap/role-group # set name group-name | サーバへのアクセスが許可された AD データベース内のグループの名前を指定します。 |
ステップ 5 | Server /ldap/role-group # set domain domain-name | グループが存在する必要がある AD ドメインを指定します。 |
ステップ 6 | Server /ldap/role-group # set role {admin | user | readonly} | この AD グループですべてのユーザに割り当てられる権限レベル(ロール)を指定します。 次のいずれかになります。 |
ステップ 7 | Server /ldap/role-group # commit | トランザクションをシステムの設定にコミットします。 |
次に、AD グループ許可を設定する例を示します。
Server# scope ldap Server /ldap # set group-auth yes Server /ldap *# scope role-group 5 Server /ldap/role-group *# set name Training Server /ldap/role-group *# set domain example.com Server /ldap/role-group *# set role readonly Server /ldap/role-group *# commit ucs-c250-M2 /ldap # show role-group Group Name Domain Role ------ ---------------- ---------------- -------- 1 (n/a) (n/a) admin 2 (n/a) (n/a) user 3 (n/a) (n/a) readonly 4 (n/a) (n/a) (n/a) 5 Training example.com readonly Server /ldap/role-group #
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | Server# show user-session | 現在のユーザ セッションの情報を表示します。 |
コマンドの出力には、現在のユーザ セッションに関する次の情報が表示されます。
名前 | 説明 | ||
---|---|---|---|
[Session ID] カラム |
セッションの固有識別情報。 |
||
[Username] カラム |
ユーザのユーザ名。 |
||
[IP Address] カラム |
ユーザがサーバにアクセスした IP アドレス。 |
||
[Type] カラム |
ユーザがサーバにアクセスした方法。 |
||
[Action] カラム |
ユーザ アカウントに admin ユーザ ロールが割り当てられている場合、関連付けられたユーザ セッションを強制的に終了できるときはこのカラムに [Terminate] と表示されます。 それ以外の場合は、N/A と表示されます。
|
次に、現在のユーザ セッションに関する情報を表示する例を示します。
Server# show user-session ID Name IP Address Type Killable ------ ---------------- ----------------- ------------ -------- 15 admin 10.20.30.138 CLI yes Server /user #
ユーザ セッションを終了するには、admin 権限を持つユーザとしてログインする必要があります。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | Server# show user-session | 現在のユーザ セッションの情報を表示します。 終了するユーザ セッションは、終了可能(killable)であり、独自のセッションではないことが必要です。 |
ステップ 2 | Server /user-session # scope user-session session-number | 終了する番号付きのユーザ セッションに対してユーザ セッション コマンド モードを開始します。 |
ステップ 3 | Server /user-session # terminate | ユーザ セッションを終了します。 |
次に、ユーザ セッション 10 の admin がユーザ セッション 15 を終了する例を示します。
Server# show user-session ID Name IP Address Type Killable ------ ---------------- ----------------- ------------ -------- 10 admin 10.20.41.234 CLI yes 15 admin 10.20.30.138 CLI yes Server# scope user-session 15 Server /user-session # terminate User session 15 terminated. Server /user-session #