- ユーザ サービスのセキュリティ保護の概要
- AutoSecure
- 認証
- 認証の設定
- 認可の設定
- Standalone MAB Support
- アカウンティングの設定
- 認証プロキシの設定
- IEEE 802.1x-Flexible Authentication
- ネットワーク アドミッション コントロール
- RADIUS の設定
- AAA Dead-Server Detection
- AAA-SERVER-MIB Set Operation
- ACL Default Direction
- アクセス要求のアトリビュート スクリーニン グ
- 事前認証ユーザに対する RADIUS を使用した マルチリンク PPP のイネーブル化
- 拡張テスト コマンド
- RADIUS アカウンティング内の Framed-Route
- Offload Server Accounting Enhancement
- Per VRF AAA
- RFC-2867 RADIUS トンネル アカウンティン グ
- RADIUS アトリビュート スクリーニング
- RADIUS 集中型フィルタ管理
- RADIUS デバッグ拡張
- RADIUS 論理回線 ID
- RADIUS NAS-IP-Address アトリビュート 設定可能性
- RADIUS ルート ダウンロード
- RADIUS サーバ ロード バランシング
- 56 ビット アカウンティング セッション ID の RADIUS サポート
- ロード バランシングおよびフェールオーバー 用の RADIUS トンネル プリファレンス
- RADIUS サーバ障害発生時順序変更
- トンネル ターミネータでの RADIUS 経由での トンネル認証
- TACACS+ の設定
- Per VRF for TACACS+ Servers
- RADI US アトリビュート概要と RADIUS IETF アトリビュート
- RADIUS ベンダー固有アトリビュート
- RADIUS ベンダー固有アトリビュート (VSA)および RADIUS Disconnect-Cause アトリビュート値
- アクセス要求内の RADIUS アトリビュート 8 (Framed-IP-Address)
- RADIUS トンネル アトリビュート拡張
- セキュア シェルの設定
- リバース SSH 拡張
- セキュア コピー
- セキュア シェル バージョン 2 サポート
- SSH Terminal-Line アクセス
- Cisco IOS Login Enhancements(Login Block)
- Cisco IOS Resilient Configuration
- イメージ検証
- IP ソース トラッカー
- ロールベースの CLI アクセス
セキュリティ コンフィギュレーション ガイド:ユー ザ サービスのセキュリティ保護
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月6日
章のタイトル: ロールベースの CLI アクセス
ロールベースの CLI アクセス
ロールベースの CLI アクセス機能を使用すれば、ネットワーク管理者は「ビュー」を定義できます。ビューは、Cisco IOS EXEC コマンドおよびコンフィギュレーション(config)モード コマンドへのアクセスを精選したり部分的に制限する、操作コマンドと設定機能のセットです。ビューは、Cisco IOS Command-Line Interface(CLI; コマンドライン インターフェイス)と設定情報へのユーザ アクセスを制限します。つまり、ビューは、どのコマンドを受け入れて、どの設定情報を表示するかを定義できます。したがって、ネットワーク管理者はシスコ ネットワーキング デバイスへのアクセスを柔軟に管理できます。
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。この章に記載されている機能の詳細、および各機能がサポートされているリリースのリストについては、「ロールベースの CLI アクセスの機能情報」 を参照してください。
Cisco Feature Navigator を使用すると、プラットフォーム、および Cisco ソフトウェア イメージの各サポート情報を検索できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
この章の構成
ロールベースの CLI アクセスの前提条件
ロールベースの CLI アクセスの制約事項
CLI ビューは Cisco IOS パーサーの一部であるため、すべてのプラットフォームと Cisco IOS イメージの一部でもあります。ただし、合法的傍受ビューは、合法的傍受サブシステムが組み込まれたイメージ内でしか使用できません。
1 つの合法的傍受ビューを含む CLI ビューとスーパービューの設定可能な最大数は 15 です(これには、ルート ビューは含まれません)。
ロールベースの CLI アクセスに関する情報
CLI ビューを使用するメリット
ユーザは権限レベルとイネーブル モード パスワードの両方を介して CLI アクセスを制御できますが、これらの機能では、ネットワーク管理者に Cisco IOS ルータとスイッチを操作するのに必要な詳細レベルが提供されません。CLI ビューは、より詳細なアクセス コントロール機能をネットワーク管理者に提供するため、Cisco IOS ソフトウェア全体のセキュリティとアカウンタビリティが向上します。
Cisco IOS Release 12.3(11)T 以降では、ネットワーク管理者が、ビューへのインターフェイスまたはインターフェイス グループを指定することもできます。そのため、指定されたインターフェイスに基づくアクセスが可能になります。
ルート ビュー
システムが「ルート ビュー」になっている場合は、レベル 15 権限を持つユーザとして、すべてのアクセス権限が付与されます。管理者がシステムのビュー(CLI ビュー、スーパービュー、合法的傍受ビューなど)を設定する場合は、システムをルート ビューにする必要があります。
レベル 15 権限を持つユーザとルート ビュー ユーザの違いは、ルート ビュー ユーザは、新しいビューを設定したり、ビューに対してコマンドを追加または削除したりできることです。また、CLI ビューでは、ルート ビュー ユーザがそのビューに追加したコマンドにしかアクセスできません。
合法的傍受ビューについて
CLI ビューと同様に、合法的傍受ビューは、特定のコマンドと設定情報へのアクセスを制限します。具体的には、合法的傍受ビューを使用すれば、ユーザは、コールとユーザに関する情報を保存する Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)コマンドの特別なセットである TAP-MIB 内に保持された合法的傍受コマンドへのアクセスを保護できます。
合法的傍受ビュー内で使用可能なコマンドは、次のカテゴリのいずれかに属します。
スーパービューについて
スーパービューは、1 つ以上の CLI ビューで構成されています。このビューでは、受け入れるコマンドと表示する設定情報を定義できます。スーパービューを使用すれば、ネットワーク管理者は、複数の CLI ビューをユーザ グループに割り当てなくても、設定された CLI ビュー内のすべてのユーザをスーパービューに割り当てることができます。
•
スーパービューにはコマンドを設定できません。つまり、CLI ビューにコマンドを追加してから、その CLI ビューをスーパービューに追加する必要があります。
• スーパービューにログインしたユーザは、そのスーパービューに属している CLI ビューに設定されたすべてのコマンドにアクセスできます。
• スーパービューごとにパスワードが設定されます。このパスワードは、スーパービューを切り替えたり、CLI ビューからスーパービューに切り替えたりするために使用されます。
ビュー認証と新しい AAA アトリビュート
ビュー認証は、新しいアトリビュートの「cli-view-name」を介して、外部の Authentication, Authorization, and Accounting(AAA; 認証、認可、およびアカウンティング)サーバで実行されます。
AAA 認証は特定のユーザに 1 つのビュー名のみを関連付けます。つまり、認証サーバ内の 1 人のユーザに対して 1 つのビュー名しか設定できません。
ロールベースの CLI アクセスの使用方法
• 「CLI ビューの設定」(必須)
• 「合法的傍受ビューの設定」(任意)
• 「スーパービューの設定」(任意)
• 「ビューとビュー ユーザのモニタリング」(任意)
CLI ビューの設定
前提条件
手順の概要
4. secret 5 encrypted-password
5. commands parser-mode { include | include-exclusive | exclude } [ all ] [ interface interface-name | command ]
手順の詳細
トラブルシューティングのヒント
ビューが正常に作成されたら、次のようなシステム メッセージが表示されます。
ビューが正常に削除されたら、次のようなシステム メッセージが表示されます。
%PARSER-6-VIEW_DELETED: view "first" successfully deleted.
パスワードとビューを関連付ける必要があります。パスワードを関連付けずに、 commands コマンド経由でビューにコマンドを追加しようとすると、次のようなシステム メッセージが表示されます。
合法的傍受ビューの設定
前提条件
合法的傍受ビューを初期化する前に、 privilege コマンド経由で権限レベルが 15 に設定されていることを確認します。
制約事項
手順の概要
3. li-view li-password user username password password
4. username [ lawful-intercept ] name [ privilege privilege-level | view view-name ] password password
手順の詳細
トラブルシューティングのヒント
合法的傍受ビューにアクセス可能なすべてのユーザに関する情報を表示するには、 show users lawful-intercept コマンドを発行します(このコマンドは、認可された合法的傍受ビュー ユーザしか使用できません)。
スーパービューの設定
前提条件
CLI ビューをスーパービューに追加する前に、スーパービューに追加する CLI ビューがシステム内で有効なビューであることを確認します。つまり、ビューが、 parser view コマンド経由で正常に作成されたことを確認します。
制約事項
スーパービューにビューを追加するには、スーパービューに対してパスワードを設定する必要があります( secret 5 コマンド経由)。その後で、ビュー コンフィギュレーション モードで view コマンドを発行して、少なくとも 1 つの CLI ビューをスーパービューに追加します。
手順の概要
3. parser view superview-name superview
手順の詳細
|
|
|
|
|---|---|---|
|
|
||
|
|
||
parser view |
||
|
|
CLI ビューまたはスーパービューとパスワードを関連付けます。 (注) このコマンドを発行しなければ、ビューのその他のアトリビュートが設定できません。 |
|
|
|
||
|
|
||
|
|
||
|
|
キーワードは、ルート ビュー内のユーザが、合法的傍受ビューや CLI ビュー内のユーザに使用を許可するように設定できます。 |
ビューとビュー ユーザのモニタリング
すべてのビュー(ルート、CLI、合法的傍受、およびスーパー)に関するデバッグ メッセージを表示するには、特権 EXEC モードで debug parser view コマンドを使用します。
ロールベースの CLI アクセスの設定例
例:CLI ビューの設定
次の例は、"first" と "second" の 2 つの CLI ビューの設定方法を示しています。その後で、実行設定内で CLI ビューを確認できます。
例:CLI ビューの確認
CLI ビューの "first" と "second" を設定したら、 enable view コマンドを発行して、各ビュー内で使用可能なコマンドを確認できます。次の例は、ユーザが CLI ビューの "first" にログイン後に、どのコマンドがこのビュー内で使用可能かを示しています( show ip コマンドは all オプションと一緒に設定されているため、second ビュー内で include-exclusive キーワードを使用している show ip interface コマンドを除く、すべてのサブオプションのセットが表示されます)。
例:合法的傍受ビューの設定
次の例は、合法的傍受ビューの設定方法、ビューへのユーザの追加方法、および追加されたユーザの確認方法を示しています。
例:スーパービューの設定
次の show running-config コマンドのサンプル出力は、"view_one" と "view_two" がスーパービューの "su_view1" に追加され、"view_three" と "view_four" がスーパービューの "su_view2" に追加されていることを示しています。
その他の参考資料
関連資料
|
|
|
|---|---|
『 Cisco IOS Network Management Configuration Guide , Release 15.0 』 |
|
「 Configuring Security with Passwords, Privilege Levels and, Login Usernames for CLI Sessions on Networking Devices 」モジュール |
規格
|
|
|
|---|---|
MIB
|
|
|
|---|---|
選択したプラットフォーム、Cisco ソフトウェア リリース、および機能セットの MIB の場所を検索しダウンロードするには、次の URL にある Cisco MIB Locator を使用します。 |
RFC
|
|
|
|---|---|
シスコのテクニカル サポート
ロールベースの CLI アクセスの機能情報
表 1 に、この機能のリリース履歴を示します。
Cisco Feature Navigator を使用すると、プラットフォームおよびソフトウェア イメージのサポート情報を検索できます。Cisco Feature Navigator を使用すると、ソフトウェア イメージがサポートする特定のソフトウェア リリース、機能セット、またはプラットフォームを確認できます。Cisco Feature Navigator には、 http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
(注) 表 1 には、一連のソフトウェア リリースのうち、特定の機能が初めて導入されたソフトウェア リリースだけが記載されています。その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。
フィードバック