(注) |
ここで挙げている例は説明のみを目的とするものです。
|
次に、グループ設定の例を示します。
<nacm xmlns="urn:ietf:params:xml:ns:yang:ietf-netconf-acm">
<groups>
<group>
<name>administrators</name>
<user-name>admin</user-name>
<user-name>root</user-name>
</group>
<group>
<name>limited-permission</name>
<user-name>alice</user-name>
<user-name>bob</user-name>
</group>
</groups>
</nacm>
表 1. グループ設定の設定パラメータの説明
パラメータ
|
説明
|
<name>administrators</name>
|
グループ名
|
<user-name>admin</user-name>
|
ユーザ名
|
<user-name>root</user-name>
|
ユーザ名
|
次に、モジュール ルールを作成する例を示します。
<nacm xmlns="urn:ietf:params:xml:ns:yang:ietf-netconf-acm">
<rule-list>
<name>only-ietf-interfaces</name>
<group>limited-permission</group>
<rule>
<name>deny-native</name>
<module-name>Cisco-IOS-XE-native</module-name>
<access-operations>*</access-operations>
<action>deny</action>
</rule>
<rule>
<name>allow-ietf-interfaces</name>
<module-name>ietf-interfaces</module-name>
<access-operations>*</access-operations>
<action>permit</action>
</rule>
</rule-list>
</nacm>
表 2. モジュール ルールを作成するための設定パラメータの説明
パラメータ
|
説明
|
<name>only-ietf-interfaces</name>
|
固有のルールリスト名
|
< group > permission </group >
|
ルールリストが適用されるグループ
|
<name>deny-native</name>
|
固有のルール名
|
<module-name>Cisco-IOS-XE-native</module-name>
|
YANG モジュールの名前
|
<access-operations>*</access-operations>
|
CRUDx の動作タイプ
|
<action>deny</action>
|
許可/拒否
|
次に、プロトコル操作ルールを作成する例を示します。
<nacm xmlns="urn:ietf:params:xml:ns:yang:ietf-netconf-acm">
<rule-list>
<name>only-get</name>
<group>limited-permission</group>
<rule>
<name>deny-edit-config</name>
<module-name>ietf-netconf</module-name>
<rpc-name>edit-config</rpc-name>
<access-operations>exec</access-operations>
<action>deny</action>
</rule>
<rule>
<name>allow-get</name>
<module-name>ietf-netconf</module-name>
<rpc-name>get</rpc-name>
<access-operations>exec</access-operations>
<action>permit</action>
</rule>
</rule-list>
</nacm>
表 3. プロトコル操作ルールを作成するための設定パラメータの説明
パラメータ
|
説明
|
<name>only-get</name>
|
固有のルールリスト名
|
< group > permission </group >
|
ルールリストが適用されるグループ
|
<name>deny-edit-config</name>
|
固有のルール名
|
<module-name>ietf-netconf</module-name>
|
RPC を含むモジュールの名前
|
<rpc-name>edit-config</rpc-name>
|
RPC の名前
|
<access-operations>exec</access-operations>
|
RPC の実行権限
|
<action>deny</action>
|
許可/拒否
|
次に、データ ノード ルールを作成する例を示します。
<nacm xmlns="urn:ietf:params:xml:ns:yang:ietf-netconf-acm">
<rule-list>
<name>hide-enable-passwords</name>
<group>limited-permission</group>
<rule>
<name>deny-enable-passwords</name>
<path xmlns:ios="http://cisco.com/ns/yang/Cisco-IOS-XE-native>/ios:native/enable
</path>
<access-operations>*</access-operations>
<action>deny</action>
</rule>
</rule-list>
</nacm>
表 4. データ ノード ルールを作成するための設定パラメータの説明
パラメータ
|
説明
|
<name>hide-enable-passwords</name>
|
固有のルールリスト名
|
< group > permission </group >
|
ルールリストが適用されるグループ
|
<name>deny-enable-passwords</name>
|
固有のルール名
|
<path xmlns:ios="http://cisco.com/ns/yang/Cisco-IOS-XE-native>/ios:native/enable</path>
|
許可または拒否されるデータ ノードへのパス
|
<access-operations>*</access-operations>
|
CRUDx の動作タイプ
|
<action>deny</action>
|
許可/拒否
|
次に、すべてのグループに対して、標準の NETCONF RPC <get> および <get-config> の使用、スキーマ ダウンロード RPC <get-schema>、およびモジュール ietf-interfaces にあるデータへの読み取り専用アクセスを許可する NACM 設定の例を示します。
<nacm xmlns="urn:ietf:params:xml:ns:yang:ietf-netconf-acm">
<rule-list>
<name>readonly-protocol</name>
<group>*</group>
<rule>
<name>get-permit</name>
<module-name>ietf-netconf</module-name>
<rpc-name>get</rpc-name>
<access-operations>exec</access-operations>
<action>permit</action>
</rule>
<rule>
<name>get-config-permit</name>
<module-name>ietf-netconf</module-name>
<rpc-name>get-config</rpc-name>
<access-operations>exec</access-operations>
<action>permit</action>
</rule>
<rule>
<name>get-schema-permit</name>
<module-name>ietf-netconf-monitoring</module-name>
<rpc-name>get-schema</rpc-name>
<access-operations>exec</access-operations>
<action>permit</action>
</rule>
</rule-list>
<rule-list>
<name>readonly-data</name>
<group>*</group>
<rule>
<name>ietf-interfaces-permit</name>
<module-name>ietf-interfaces</module-name>
<access-operations>read</access-operations>
<action>permit</action>
</rule>
</rule-list>
</nacm>