VSH セッションの端末ロック

VSH セッションの端末ロック

概要

現在 NX-OS では、多くのユーザがスイッチにログインしており、CLI のセッションで設定を変更しています。目標は、このシナリオを制限し、1 人のユーザだけがスイッチを設定できるようにすることです。これは、端末をロックして1人のユーザだけが configure terminal コマンドにアクセスできるようにする端末ロック CLI によって実現されます。その結果、他のユーザが NX-OS の実行コンフィギュレーションを変更できないようにする「コンフィギュレーション ロック」の効果が得られます。

端末ロック機能は、ユーザがNX-OS実行コンフィギュレーションを変更するための排他的コンフィギュレーションアクセスを可能にするロックメカニズムを提供します。

動作のシーケンスは、次のとおりです。

  1. 端末ロック:この CLI はユーザに設定ロックを提供します。

  2. terminal unlock:この CLI は、任意のセッションで取得された端末ロックを解除します。

  3. show terminal lock:現在の端末ロックのステータスと詳細を表示します。

端末ロック

端末ロックの使用に関するガイドラインは次のとおりです。

  • 端末ロックでは、ロックが保持されている現在のセッションでのみconfigコマンドを実行できます。

  • 端末ロックは、他のセッションの config コマンドのみをブロックします。つまり、SHOW または EXEC CLI は引き続き許可されます。

  • 端末ロックのデフォルトのタイムアウトは 1800 秒(30 分)です。

  • ロック タイマーが期限切れになると、端末ロックは自動的に解除されます。

  • 端末ロック CLI は、network-admin 権限を持つ任意のユーザが実行できます。

  • 「デュアル ステージの構成」セッションが進行中の場合、端末ロックは拒否されます。

次に、端末ロックの CLI の例を示します。
switch# terminal lock?
lock Locks the CLI Config mode
switch# terminal lock ?
<CR>
<60-43200> Enter terminal lock timeout in seconds
*Default value is 1800
“terminal lock” locks the parser configuration mode and prints a syslog message as shown in below example.
switch# terminal lock
switch# 2021 Jun 19 17:53:37 switch %VSHD-5-VSHD_CLI_TERM_LOCK: terminal lock is taken by admin on console0

(注)  


ユーザが別のセッションで設定済みの端末を入力しようとすると、次のエラー メッセージが表示されます。端末ロックは他の VSH セッションによって取得されます。」


Cisco NX-OS リリース 10.2(2)F 以降、RESTCONF、NETCONF、gRPC、gNMI などのモデル駆動型プログラマビリティ インターフェイスをロックするための新しい CLI オプション、"terminal lock mdp" が導入されました。

"terminal lock mdp" CLI は、DME セッションを含むすべての設定セッションにターミナル ロックを適用できるようにします。

以下は、"terminal lock mdp" CLI のサンプル出力です:
switch# terminal lock?
  lock  Locks the CLI Config mode

switch# terminal lock ?
  <CR>
  <mdp>  Locks Model Driven Programmability sessions
  <60-43200>  Enter terminal lock timeout in seconds
              *Default value is 1800
switch# terminal lock mdp
2021 Oct 26 06:33:19 switch %VSHD-5-VSHD_CLI_TERM_LOCK: terminal lock is taken by admin on console0
switch#
switch# show terminal lock 
PID: 10018
User: admin
Session: console0
State: LOCKED
MDP lock: True
Lock acquired time: Mon Mar  8 09:24:03 2021
Lock Expiration timer (in Sec): 1800
switch#

端末ロック解除

次に、端末ロック解除の CLI の例を示します。
switch# terminal unlock?
unlock Force unlocking of the CLI config mode
switch# terminal unlock ?
<CR>
switch# terminal unlock
switch# 2021 Jun 19 17:53:21 switch %VSHD-5-VSHD_CLI_TERM_LOCK: terminal lock is released by admin on console0

(注)  


「端末ロック」は 1 人の管理者ユーザだけが取得できますが、「端末ロック解除」を使用して管理者ユーザがロックを解除できます。


端末ロックの表示

このコマンドは、所有者、ユーザ、セッション、ロック状態、ロック タイマーなど、現在の設定ロックのステータスと詳細を表示します。

次に、ロックがアクティブな場合の端末ロックの表示の CLI の例を示します。
switch# terminal lock
switch#
switch# show terminal lock
PID: 10018
User: admin
Session: console0
State: LOCKED
Lock acquired time: Mon Mar 8 09:24:03 2021
次に、ロックが解放されている場合の端末ロックの表示の CLI の例を示します。
switch# terminal unlock
switch#
switch#
switch# show terminal lock
PID: -1
User: unknown
Session: NA
State: FREE
Lock acquired time:
Lock Expiration timer (in Sec): 0
switch#