ユーザアカウントおよび RBAC の設定

この章は、次の内容で構成されています。

ユーザーアカウントおよび RBAC の概要

Cisco Nexus シリーズスイッチは、ロールベースアクセスコントロール（RBAC）を使用して、ユーザーがスイッチにログインするときに各ユーザーが持つアクセス権の量を定義します。

RBAC では、1 つまたは複数のユーザーロールを定義し、各ユーザーロールがどの管理操作を実行できるかを指定します。スイッチのユーザーアカウントを作成するとき、そのアカウントにユーザーロールを関連付けます。これにより個々のユーザーがスイッチで行うことができる操作が決まります。

ユーザロール

ユーザーロールには、そのロールを割り当てられたユーザーが実行できる操作を定義するルールが含まれています。各ユーザーロールに複数のルールを含めることができ、各ユーザーが複数のロールを持つことができます。たとえば、role1 では設定操作へのアクセスだけが許可されており、role2 ではデバッグ操作へのアクセスだけが許可されている場合、role1 と role2 の両方に属するユーザーは、設定操作とデバッグ操作にアクセスできます。特定の VLAN やインターフェイスだけにアクセスを制限することもできます。

スイッチには、次のデフォルトユーザーロールが用意されています。

network-admin（スーパーユーザー）: スイッチ全体に対する完全な読み取りと書き込みのアクセス権。
network-operator: スイッチに対する完全な読み取りアクセス権。ただし、network-operator ロールは show running-config コマンドと show startup-config コマンドを実行できません。

Note

複数のロールに属するユーザは、そのロールで許可されるすべてのコマンドの組み合わせを実行できます。コマンドへのアクセス権は、コマンドへのアクセス拒否よりも優先されます。たとえば、ユーザが、コンフィギュレーションコマンドへのアクセスが拒否されたロール A を持っていたとします。しかし、同じユーザがロール B も持ち、このロールではコンフィギュレーションコマンドにアクセスできるとします。この場合、このユーザはコンフィギュレーションコマンドにアクセスできます。

Note

RBAC ロールでチェックポイントまたはロールバックを実行できるのは network-admin ユーザーだけです。他のユーザーはこれらのコマンドをロールの許可ルールとして持っていますが、これらのコマンドを実行しようとすると、ユーザーアクセスは拒否されます。

ルール

ルールは、ロールの基本要素です。ルールは、そのロールがユーザにどの操作の実行を許可するかを定義します。ルールは次のパラメータで適用できます。

コマンド: 正規表現で定義されたコマンドまたはコマンドグループ
機能: Cisco Nexus デバイスにより提供される機能に適用されるコマンド。show role feature コマンドを入力すると、このパラメータに指定できる機能名が表示されます。
機能グループ: 機能のデフォルトグループまたはユーザ定義グループshow role feature-group コマンドを入力すると、このパラメータに指定できるデフォルトの機能グループが表示されます。
OID: SNMP オブジェクト ID（OID）。

これらのパラメータは、階層状の関係を作成します。最も基本的な制御パラメータはコマンドです。次の制御パラメータは機能です。これは、その機能にアソシエートされているすべてのコマンドを表します。最後の制御パラメータが、機能グループです。機能グループは、関連する機能を組み合わせたものです。機能グループによりルールを簡単に管理できます。

SNMP OID は RBAC でサポートされています。SNMP OID に読み取り専用ルールまたは読み取り/書き込みルールを設定できます。

ロールごとに最大 256 のルールを設定できます。ルールが適用される順序は、ユーザ指定のルール番号で決まります。ルールは降順で適用されます。たとえば、1 つのロールが 3 つのルールを持っている場合、ルール 3 がルール 2 よりも前に適用され、ルール 2 はルール 1 よりも前に適用されます。

ユーザーロールポリシー

ユーザがアクセスできるスイッチリソースを制限するために、またはインターフェイス、VLAN、VSAN へのアクセスを制限するために、ユーザロールポリシーを定義できます。

ユーザロールポリシーは、ロールに定義されているルールで制約されます。たとえば、特定のインターフェイスへのアクセスを許可するインターフェイスポリシーを定義した場合、interface コマンドを許可するコマンドルールをロールに設定しないと、ユーザはインターフェイスにアクセスできません。

コマンドルールが特定のリソース（インターフェイス、VLAN）へのアクセスを許可した場合、ユーザーがそのユーザーに関連付けられたユーザーロールポリシーに含まれていなくても、ユーザーはこれらのリソースへのアクセスを許可されます。

ユーザーアカウントの設定の制限事項

次の語は予約済みであり、ユーザー設定に使用できません。

adm
bin
daemon
ftp
ftpuser
games
gdm
gopher
halt
lp
mail
mailnull
man
mtsuser
news
nobody
san-admin
shutdown
sync
sys
uucp
xfs

ユーザパスワードの要件

Cisco Nexus デバイスパスワードには大文字小文字の区別があり、英数字を含むことができます。

パスワードが脆弱な場合（短い、解読されやすいなど）、Cisco Nexus デバイスはパスワードを拒否します。各ユーザーアカウントには強力なパスワードを設定するようにしてください。強力なパスワードは、次の特性を持ちます。

長さが 8 文字以上である
複数の連続する文字（「abcd」など）を含んでいない
複数の同じ文字の繰り返し（「aaabbb」など）を含んでいない
辞書に載っている単語を含んでいない
正しい名前を含んでいない
大文字および小文字の両方が含まれている
数字が含まれている

強力なパスワードの例を次に示します。

If2CoM18
2009AsdfLkj30
Cb1955S21

（注）

セキュリティ上の理由から、ユーザパスワードはコンフィギュレーションファイルに表示されません。

ユーザーアカウントの注意事項および制約事項

ユーザーアカウントおよび RBAC を設定する場合、ユーザーアカウントには次の注意事項および制約事項があります。

ユーザロールに設定された読み取り/書き込みルールに関係なく、一部のコマンドは、あらかじめ定義された network-admin ロールでのみ実行できます。
最大 256 個のルールをユーザーロールに追加できます。
最大 64 個のユーザーロールをユーザーアカウントに割り当てることができます。
1 つのユーザーロールを複数のユーザーアカウントに割り当てることができます。
network-admin、network-operator、san-admin などの事前定義されたロールは編集不可です。
ルールの追加、削除、編集は、SAN 管理者ユーザーロールではサポートされません。
インターフェイス、VLAN、または VSAN 範囲は SAN 管理者ユーザーロールでは変更できません。

（注）

ユーザーアカウントは、少なくとも 1 つのユーザーロールを持たなければなりません。

ユーザアカウントの設定

Note

ユーザーアカウントの属性に加えられた変更は、そのユーザーがログインして新しいセッションを作成するまで有効になりません。

SUMMARY STEPS

switch# configure terminal
(Optional) switch(config)# show role
switch(config) # username user-id [ password password] [ expire date] [ role role-name]
switch(config) # exit
(Optional) switch# show user-account
(Optional) switch# copy running-config startup-config

DETAILED STEPS

Command or Action

Purpose

Step 1

switch# configure terminal

グローバルコンフィギュレーションモードを開始します。

Step 2

(Optional) switch(config)# show role

(Optional)

使用可能なユーザロールを表示します。必要に応じて、他のユーザロールを設定できます。

Step 3

switch(config) # username user-id [ password password] [ expire date] [ role role-name]

ユーザーアカウントを設定します。

user-id は、最大 28 文字の英数字の文字列で、大文字と小文字が区別されます。

デフォルトの password は定義されていません。

Note

パスワードを指定しなかった場合、ユーザーはスイッチにログインできない場合があります。

expire date オプションのフォーマットは YYYY-MM-DD です。デフォルトでは、失効日はありません。

Step 4

switch(config) # exit

グローバルコンフィギュレーションモードを終了します。

Step 5

(Optional) switch# show user-account

(Optional)

ロール設定を表示します。

Step 6

(Optional) switch# copy running-config startup-config

(Optional)

実行コンフィギュレーションを、スタートアップコンフィギュレーションにコピーします。

Example

次に、ユーザアカウントを設定する例を示します。

switch# configure terminal
switch(config)# username NewUser password 4Ty18Rnt
switch(config)# exit
switch# show user-account

RBAC の設定

ユーザロールおよびルールの作成

指定したルール番号は、ルールが適用される順番を決定します。ルールは降順で適用されます。たとえば、1 つのロールが 3 つのルールを持っている場合、ルール 3 がルール 2 よりも前に適用され、ルール 2 はルール 1 よりも前に適用されます。

SUMMARY STEPS

switch# configure terminal
switch(config) # role name role-name
switch(config-role) # rule number {deny | permit} command command-string
switch(config-role)# rule number {deny | permit} {read | read-write}
switch(config-role)# rule number {deny | permit} {read | read-write} feature feature-name
switch(config-role)# rule number {deny | permit} {read | read-write} feature-group group-name
(Optional) switch(config-role)# description text
switch(config-role)# end
(Optional) switch# show role
(Optional) switch# copy running-config startup-config

DETAILED STEPS

	Command or Action	Purpose
Step 1	switch# configure terminal	グローバルコンフィギュレーションモードを開始します。
Step 2	switch(config) # role name `role-name`	ユーザーロールを指定し、ロールコンフィギュレーションモードを開始します。 `role-name` 引数は、最大 16 文字の英数字の文字列で、大文字と小文字が区別されます。
Step 3	switch(config-role) # rule `number` {deny \| permit} command `command-string`	コマンドルールを設定します。 `command-string` には、スペースおよび正規表現を含めることができます。たとえば、「interface ethernet *」は、すべてのイーサネットインターフェイスが含まれます。必要な規則の数だけこのコマンドを繰り返します。
Step 4	switch(config-role)# rule `number` {deny \| permit} {read \| read-write}	すべての操作の読み取り専用ルールまたは読み取り/書き込みルールを設定します。
Step 5	switch(config-role)# rule `number` {deny \| permit} {read \| read-write} feature `feature-name`	機能に対して、読み取り専用規則か読み取りと書き込みの規則かを設定します。機能リストを表示するには、show role feature コマンドを使用します。必要な規則の数だけこのコマンドを繰り返します。
Step 6	switch(config-role)# rule `number` {deny \| permit} {read \| read-write} feature-group `group-name`	機能グループに対して、読み取り専用規則か読み取りと書き込みの規則かを設定します。機能グループのリストを表示するには、show role feature-group コマンドを使用します。必要な規則の数だけこのコマンドを繰り返します。
Step 7	(Optional) switch(config-role)# description `text`	(Optional) ロールの説明を設定します。説明にはスペースも含めることができます。
Step 8	switch(config-role)# end	ロールコンフィギュレーションモードを終了します。
Step 9	(Optional) switch# show role	(Optional) ユーザロールの設定を表示します。
Step 10	(Optional) switch# copy running-config startup-config	(Optional) リブートおよびリスタート時に実行コンフィギュレーションをスタートアップコンフィギュレーションにコピーして、変更を継続的に保存します。

Example

次に、ユーザロールを作成してルールを指定する例を示します。

switch# configure terminal
switch(config)# role name UserA
switch(config-role)# rule deny command clear users
switch(config-role)# rule deny read-write
switch(config-role)# description This role does not allow users to use clear commands
switch(config-role)# end
switch(config)# show role

機能グループの作成

SUMMARY STEPS

switch# configure terminal
switch(config) # role feature-group group-name
switch(config) # exit
(Optional) switch# show role feature-group
(Optional) switch# copy running-config startup-config

DETAILED STEPS

	Command or Action	Purpose
Step 1	switch# configure terminal	グローバルコンフィギュレーションモードを開始します。
Step 2	switch(config) # role feature-group `group-name`	ユーザーロール機能グループを指定して、ロール機能グループコンフィギュレーションモードを開始します。 `group-name` は、最大 32 文字の英数字の文字列で、大文字と小文字が区別されます。
Step 3	switch(config) # exit	グローバルコンフィギュレーションモードを終了します。
Step 4	(Optional) switch# show role feature-group	(Optional) ロール機能グループ設定を表示します。
Step 5	(Optional) switch# copy running-config startup-config	(Optional) リブートおよびリスタート時に実行コンフィギュレーションをスタートアップコンフィギュレーションにコピーして、変更を継続的に保存します。

Example

次に、機能グループを作成する例を示します。

switch# configure terminal
switch(config) # role feature-group group1
switch(config) # exit
switch# show role feature-group
switch# copy running-config startup-config
switch#

ユーザロールインターフェイスポリシーの変更

ユーザーロールインターフェイスポリシーを変更することで、ユーザーがアクセスできるインターフェイスを制限できます。ロールがアクセスできるインターフェイスのリストを指定します。これを必要なインターフェイスの数だけ指定できます。

SUMMARY STEPS

switch# configure terminal
switch(config) # role name role-name
switch(config-role) # interface policy deny
switch(config-role-interface) # permit interface interface-list
switch(config-role-interface) # exit
(Optional) switch(config-role) # show role
(Optional) switch(config-role) # copy running-config startup-config

DETAILED STEPS

	Command or Action	Purpose
Step 1	switch# configure terminal	グローバルコンフィギュレーションモードを開始します。
Step 2	switch(config) # role name `role-name`	ユーザーロールを指定し、ロールコンフィギュレーションモードを開始します。
Step 3	switch(config-role) # interface policy deny	ロールインターフェイスポリシーコンフィギュレーションモードを開始します。
Step 4	switch(config-role-interface) # permit interface `interface-list`	ロールがアクセスできるインターフェイスのリストを指定します。必要なインターフェイスの数だけこのコマンドを繰り返します。このコマンドでは、イーサネットインターフェイスを指定できます。
Step 5	switch(config-role-interface) # exit	ロールインターフェイスポリシーコンフィギュレーションモードを終了します。
Step 6	(Optional) switch(config-role) # show role	(Optional) ロール設定を表示します。
Step 7	(Optional) switch(config-role) # copy running-config startup-config	(Optional) 実行コンフィギュレーションを、スタートアップコンフィギュレーションにコピーします。

Example

次に、ユーザーがアクセスできるインターフェイスを制限するために、ユーザーロールインターフェイスポリシーを変更する例を示します。

switch# configure terminal
switch(config)# role name UserB
switch(config-role)# interface policy deny
switch(config-role-interface)# permit interface ethernet 2/1
switch(config-role-interface)# permit interface fc 3/1
switch(config-role-interface)# permit interface vfc 30/1

ユーザロール VLAN ポリシーの変更

ユーザーロール VLAN ポリシーを変更することで、ユーザーがアクセスできる VLAN を制限できます。

SUMMARY STEPS

switch# configure terminal
switch(config) # role name role-name
switch(config-role )# vlan policy deny
switch(config-role-vlan # permit vlan vlan-list
switch(config-role-vlan) # exit
(Optional) switch# show role
(Optional) switch# copy running-config startup-config

DETAILED STEPS

	Command or Action	Purpose
Step 1	switch# configure terminal	グローバルコンフィギュレーションモードを開始します。
Step 2	switch(config) # role name `role-name`	ユーザーロールを指定し、ロールコンフィギュレーションモードを開始します。
Step 3	switch(config-role )# vlan policy deny	ロール VLAN ポリシーコンフィギュレーションモードを開始します。
Step 4	switch(config-role-vlan # permit vlan `vlan-list`	ロールがアクセスできる VLAN の範囲を指定します。必要な VLAN の数だけこのコマンドを繰り返します。
Step 5	switch(config-role-vlan) # exit	ロール VLAN ポリシーコンフィギュレーションモードを終了します。
Step 6	(Optional) switch# show role	(Optional) ロール設定を表示します。
Step 7	(Optional) switch# copy running-config startup-config	(Optional) リブートおよびリスタート時に実行コンフィギュレーションをスタートアップコンフィギュレーションにコピーして、変更を継続的に保存します。

ユーザーアカウントと RBAC の設定の確認

次のいずれかのコマンドを使用して、設定を確認します。


コマンド	目的
show role [`role-name`]	ユーザーロールの設定を表示します。
show role feature	機能リストを表示します。
show role feature-group	機能グループの設定を表示します。
show startup-config security	スタートアップコンフィギュレーションのユーザアカウント設定を表示します。
show running-config security [all]	実行コンフィギュレーションのユーザアカウント設定を表示します。all キーワードを指定すると、ユーザアカウントのデフォルト値が表示されます。
show user-account	ユーザアカウント情報を表示します。

ユーザーアカウントおよび RBAC のユーザーアカウントデフォルト設定

次の表に、ユーザーアカウントおよび RBAC パラメータのデフォルト設定を示します。

Table 1. デフォルトのユーザーアカウントおよび RBAC パラメータ
パラメータ	デフォルト
ユーザアカウントパスワード	未定義。
ユーザーアカウントの有効期限	なし。
インターフェイスポリシー	すべてのインターフェイスにアクセス可能。
VLAN ポリシー	すべての VLAN にアクセス可能。
VFC ポリシー	すべての VFC にアクセス可能。
VETH ポリシー	すべての VETH にアクセス可能。

Cisco Nexus 3548 スイッチ NX-OS システム管理構成ガイド、リリース 10.3(x)

偏向のない言語

翻訳について

Book Title

Cisco Nexus 3548 スイッチ NX-OS システム管理構成ガイド、リリース 10.3(x)

Chapter Title