Cisco NX-OS Security コンフィギュレーション ガイド Release 4.0
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月28日
章のタイトル: ユーザ アカウントおよび RBAC の設定
ユーザ アカウントおよび RBAC の設定
この章では、NX-OS デバイス上でユーザ アカウントおよび Role-Based Access Control(RBAC; ロールベース アクセス コントロール)を設定する手順について説明します。
ユーザ アカウントおよび RBAC の概要
ユーザ アカウントの作成および管理を行い、NX-OS デバイス上で実行できる操作を制限するロールを割り当てることができます。RBAC を使用すると、割り当てたロールにルールを定義して、管理操作を実行するためにユーザが所有する権限を制限できます。
ユーザ アカウントについて
最大 256 のユーザ アカウントを作成できます。デフォルトでは、明示的に期限を指定しないかぎり、ユーザ アカウントは無期限に有効です。expire オプションを使用すると、ユーザ アカウントをディセーブルにする日付を設定できます。
ユーザは、ユーザ アカウントを複数の VDC 上に所有できます。これらのユーザは、最初に 1 つの VDC に接続してから複数の VDC 間を移動できます。
ヒント 次の語は予約済みのため、ユーザの設定には使用できません。bin、daemon、adm、lp、sync、shutdown、halt、mail、news、uucp、operator、games、gopher、ftp、nobody、nscd、mailnull、rpc、rpcuser、xfs、gdm、mtsuser、ftpuser、man、および sys。
(注) ユーザ パスワードはコンフィギュレーション ファイルに表示されません。
強力なパスワード
•
多くの反復する文字("aaabbb" など)を含んでいない
(注) クリア テキスト パスワードには、特殊文字のドル記号($)を含めることができません。
ヒント パスワードが単純(短く、簡単に解読されるパスワードなど)な場合、NX-OS ソフトウェアはパスワード設定を拒否します。例に示すような強力なパスワードを設定するようにしてください。パスワードでは大文字と小文字が区別されます。
ユーザ ロールについて
ユーザ ロールにはルールが含まれており、ルールにはロールを割り当てられたユーザに許可された操作が定義されています。ユーザ ロールには複数のルールを含めることが可能で、ユーザは複数のロールを持つことができます。たとえば、role1 は設定操作だけにアクセスすることができ、role2 はデバッグ操作だけにアクセスすることができるとします。role1 と role2 の両方に属するユーザは、設定操作とデバッグ操作にアクセスすることができます。また、特定の VLAN、Virtual Routing and Forwarding instance(VRF)、およびインターフェイスへのアクセスも制限できます。
Cisco NX-OS ソフトウェアは、デフォルトで次の 4 つのユーザ ロールを提供しています。
• network-admin ― NX-OS デバイス全体に対する読み取り/書き込みアクセスを実行できます(デフォルト DVC でのみ使用可能)。
• network-operator ― NX-OS デバイス全体に対する読み取りアクセスを実行できます(デフォルト DVC でのみ使用可能)。
• vdc-admin ― VDC に限定した読み取り/書き込みアクセス
• vdc-operator ― VDC に限定した読み取りアクセス
VDC 内のカスタム ロールを作成できます。デフォルトでは、作成したユーザ ロールで使用できるコマンドは、 show 、 exit 、 end 、および configure terminal コマンドだけです。ユーザが機能を表示したり設定するためには、ルールを追加する必要があります。
VDC 間ではユーザ ロールを共有しません。各 VDC には、独立したユーザ ロール データベースがあります。ロールは、VDC 内でルールとアトリビュートを割り当てることで設定します。
(注) ユーザが複数のロールに属する場合、それらのロールで許可されるすべてのコマンドを組み合わせて実行できます。アクセスを許可されるコマンドは、アクセスを拒否されるコマンドに優先します。たとえば、あるユーザが RoleA を持っており、このロールでは設定コマンドへのアクセスが拒否されるとします。しかし、同じユーザが RoleB も持ち、このロールでは設定コマンドにアクセスできるとします。このような場合、同じユーザは設定コマンドにアクセスできます。
ユーザ ロールのルールについて
ルールは、ユーザ ロールの基本要素です。ルールには、そのロールでユーザが実行できる操作を定義します。次のパラメータのルールを適用できます。
• コマンド ― 1 つのコマンドまたは正規表現で定義された複数のコマンド
• 機能 ― NX-OS ソフトウェアが提供する機能に適用するコマンド
• 機能グループ ― デフォルトの機能またはユーザが定義した機能グループ
これらのパラメータは、階層型の関係を形成します。最も基本的な制御パラメータは「コマンド」です。次の制御パラメータは「機能」です。これは、機能に関連付けられたすべてのコマンドを代表します。最後の制御パラメータは「機能グループ」です。機能グループは、関連する機能を組み合わせたものです。機能グループによりルールを簡単に管理できます。また、NX-OS ソフトウェアには、使用可能な機能グループ L3 があらかじめ定義されています。
ロールごとに最大 256 のルールを設定できます。ルールが適用される順番は、ユーザが指定したルール番号で決まります。ルールは降順で適用されます。たとえば、1 つのロールに 3 つのルールがある場合は、ルール 3、ルール 2、ルール 1 の順に適用されます。
バーチャライゼーション サポート
network-admin および network-operator のロールを持つユーザは、デフォルト VDC にログインし switchto vdc コマンドを使用することで、他の VDC アクセスできます。他のすべてのユーザ ロールは、VDC にローカルです。ロールは VDC 間で共有されません。各 VDC には、独立したユーザ ロール データベースがあります。VDC の詳細については、『 Cisco NX-OS Virtual Device Context Configuration Guide, Release 4.0 』を参照してください。
ユーザ アカウントおよび RBAC のライセンス要件
|
|
|
|---|---|
ユーザ アカウントおよび RBAC にライセンスは必要ありません。ライセンス パッケージに含まれない機能はすべて、Cisco NX-OS システム イメージにバンドルされており、無償で提供されます。NX-OS のライセンス方式の詳細については、『 Cisco NX-OS Licensing Guide, Release 4.0 』を参照してください。 |
注意事項および制限事項
ユーザ アカウントおよび RBAC には、次の設定に関する注意事項と制限事項があります。
• 1 つの VDC には最大 64 のユーザ定義のユーザ ロールを作成できるほか、デフォルト VDC には 4 つのデフォルトのユーザ ロール、デフォルト以外の VDC には 2 つのデフォルトのユーザ ロールを作成できます。
• 1 つのユーザ ロールには最大 256 のルールを追加できます。
• 1 つの VDC には最大 64 のユーザ定義の機能グループを追加できるほか、デフォルトの機能グループ L3 を追加できます。
• 1 つの VDC には最大 256 のユーザを設定できます。
• ユーザ アカウントには最大 64 のユーザ ロールを割り当てることができます。
• ローカルの Cisco NX-OS デバイス上に設定されているユーザ アカウントが、AAA サーバ上のリモート ユーザ アカウントと同じ名前の場合、Cisco NX-OS ソフトウェアは、AAA サーバ上に設定されているユーザ ロールでなく、ローカル ユーザ アカウントのユーザ ロールをリモート ユーザに適用します。
(注) Cisco IOS CLI の知識があるユーザは、この機能に関する Cisco NX-OS のコマンドが Cisco IOS のコマンドで使用されるものと異なる場合があることに注意してください。
(注) ユーザ アカウントには 1 つ以上のユーザ ロールが必要です。
ユーザ アカウントの設定
NX-OS デバイス上に最大 256 の ユーザ アカウントを作成できます。ユーザ アカウントには次のアトリビュートがあります。
ユーザ アカウントは最大 64 のユーザ ロールを持つことができます。ユーザ ロールの詳細については、「RBAC の設定」を参照してください。
ユーザ アカウントは、VDC に対してローカルです。ただし、network-admin または network-operator のロールを持つユーザは、デフォルト VDC にログインし、 switchto vdc コマンドを使用して他の VDC にアクセスできます
(注) ユーザ アカウントのアトリビュートを変更した場合、ユーザがログインして新しいセッションを作成するまで有効になりません。
作業を開始する前に
手順の概要
3. username user-id [ password password ] [ expire date ] [ role role-name ]
詳細な手順
|
|
|
|
|---|---|---|
(任意)使用可能なユーザ ロールを表示します。必要な場合は、他のユーザ ロールを作成できます(ユーザ ロールおよびルールの作成を参照)。 |
||
username user-id [ password password ] [ expire date ] [ role role-name ] |
ユーザ アカウントを設定します。 user-id 引数は、最大 28 文字の英数字ストリングで、大文字と小文字は区別されます。
(注) パスワードを指定しない場合、ユーザは NX-OS デバイスにログインできない可能性があります。パスワードでなく SSH 公開鍵を使用する手順については、「ユーザ アカウントの SSH 公開鍵の指定」を参照してください。 expire date オプションの形式は YYYY-MM-DD です。デフォルトは無期限です。 ユーザ アカウントは最大 64 のユーザ ロールを持つことができます。デフォルト VDC におけるデフォルトのユーザ ロールは、作成ユーザが network-admin のロールを持つ場合は
(注) network-admin および network-operator のロールは、デフォルト VDC でのみ使用可能です。 |
|
RBAC の設定
ユーザ ロールおよびルールの作成
VDC には最大 64 のユーザ ロールを設定できます。各ユーザ ロールには最大 256 のルールを指定できます。1 つのユーザ ロールを複数のユーザ アカウントに割り当てることができます。
ルールが適用される順番は、指定したルール番号で決まります。ルールは降順で適用されます。たとえば、1 つのロールに 3 つのルールがある場合は、ルール 3、ルール 2、ルール 1 の順に適用されます。
作業を開始する前に
手順の概要
3. rule number { deny | permit } command command-string
rule number { deny | permit } { read | read-write }
rule number { deny | permit } { read | read-write } feature feature-name
rule number { deny | permit } { read | read-write } feature-group group-name
詳細な手順
機能グループの作成
カスタム機能グループを作成して、Cisco NX-OS ソフトウェアが提供するデフォルトの機能リストに追加できます。これらの機能グループは 1 つまたは複数の機能を含んでいます。VDC には最大 64 の機能グループを設定できます。
(注) デフォルト機能グループ L3 を変更することはできません。
作業を開始する前に
手順の概要
詳細な手順
|
|
|
|
|---|---|---|
| switch(config)# role feature GroupA |
||
|
(注) 機能の一覧を表示する場合は、show role component コマンドを使用します。 |
||
ユーザ ロールのインターフェイス ポリシーの変更
ユーザ ロールのインターフェイス ポリシーを変更して、ユーザがアクセスできるインターフェイスを制限できます。デフォルトでは、ユーザ ロールは VDC のすべてのインターフェイスにアクセスできます。
作業を開始する前に
目的の VDC にいることを確認します(または switchto vdc コマンドを使用)。
1 つまたは複数のユーザ ロールを作成します(ユーザ ロールおよびルールの作成を参照)。
手順の概要
詳細な手順
|
|
|
|
|---|---|---|
permit interface interface-list switch(config-role-interface)# permit interface ethernet 2/1-4 |
||
ユーザ ロールの VLAN ポリシーの変更
ユーザ ロールの VLAN ポリシーを変更して、ユーザがアクセスできる VLAN を制限できます。デフォルトでは、ユーザ ロールは VDC のすべての VLAN にアクセスできます。
作業を開始する前に
目的の VDC にいることを確認します(または switchto vdc コマンドを使用)。
1 つまたは複数のユーザ ロールを作成します(ユーザ ロールおよびルールの作成を参照)。
手順の概要
詳細な手順
|
|
|
|
|---|---|---|
ユーザ ロールの VRF ポリシーの変更
ユーザ ロールの VRF ポリシーを変更して、ユーザがアクセスできる VRF を制限できます。デフォルトでは、ユーザ ロールは VDC のすべての VRF にアクセスできます。
作業を開始する前に
目的の VDC にいることを確認します(または switchto vdc コマンドを使用)。
1 つまたは複数のユーザ ロールを作成します(ユーザ ロールおよびルールの作成を参照)。
手順の概要
詳細な手順
|
|
|
|
|---|---|---|
ユーザ アカウントおよび RBAC 設定の確認
ユーザ アカウントおよび RBAC の設定情報を表示するには、次の作業のいずれかを行います。
|
|
|
|---|---|
実行コンフィギュレーション内のユーザ アカウントの設定を表示します。 all キーワードを使用すると、ユーザ アカウントのデフォルト値を表示します。 |
|
このコマンドの出力に表示されるフィールドの詳細については、『 Cisco NX-OS Security Command Reference, Release 4.0 』を参照してください。
ユーザ アカウントおよび RBAC の設定例
デフォルト設定
表6-1 に、ユーザ アカウントおよび RABC パラメータのデフォルト設定を示します。
|
|
|
|---|---|
作成ユーザが network-admin のロールを持つ場合は network-operator、または vdc-admin のロールを持つ場合は vdc-operator |
|
その他の参考資料
RBAC の実装に関連する詳細情報については、次を参照してください。
• 「関連資料」
• 「規格」
• 「MIB」
関連資料
|
|
|
|---|---|
『 Cisco NX-OS Unicast Routing Configuration Guide, Release 4.0 』 |
規格
|
|
|
|---|---|
この機能によりサポートされた新規規格または改訂規格はありません。またこの機能による既存規格のサポートに変更はありません。 |
MIB
|
|
|
|---|---|
MIB の確認とダウンロードを行うには、次の URL にアクセスします。 http://www.cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml |
フィードバック