ユーザ アカウントと RBAC について
ユーザ アカウントを作成して管理し、Cisco NX-OS で行える操作を制限するロールを割り当てることができます。RBAC は、ユーザが実行する必要のある管理操作の許可を制限するロールの割り当てのルールを定義することを可能にします。
ユーザ アカウント
最大 256 のユーザ アカウントを作成できます。デフォルトでは、明示的に期限を指定しないかぎり、ユーザ アカウントは無期限に有効です。expire オプションを使用すると、ユーザ アカウントをディセーブルにする日付を設定できます。
次の語は予約済みであり、ユーザ設定に使用できません。bin、daemon、adm、lp、sync、shutdown、halt、mail、news、uucp、operator、games、gopher、ftp、nobody、nscd、mailnull、root、rpc、rpcuser、xfs、gdm、mtsuser、ftpuser、man、および sys。
Note |
ユーザのパスワードは、設定ファイルでは表示されません。 |
Caution |
ユーザ名は、先頭が英数字で始まる必要があり、その他に使用できる特殊文字は ( + = . _ \ -)。# 記号と ! 記号はサポートされていません。ユーザ名に許可されていない文字が含まれている場合、指定したユーザはログインできません。 |
強力なパスワードの特性
強力なパスワードは、次の特性を持ちます。
Note |
Cisco Nexus デバイスのパスワードには、ドル記号($)やパーセント記号(%)などの特殊文字を使用できます。 |
-
長さが 8 文字以上である
-
複数の連続する文字(「abcd」など)を含んでいない
-
複数の同じ文字の繰返し(「aaabbb」など)を含んでいない
-
辞書に載っている単語を含んでいない
-
正しい名前を含んでいない
-
大文字および小文字の両方が含まれている
-
数字が含まれている
強力なパスワードの例を次に示します。
-
If2CoM18
-
2004AsdfLkj30
-
Cb1955S21
Note |
クリア テキストのパスワードでは、パスワードの先頭に引用符(" または ')、縦棒(|)、大なり記号(>)などの特殊文字を含めることはできません。パスワードの強度確認をイネーブルにすると、パスワードが単純である場合(短く、簡単に解読されるパスワードなど)に、Cisco NX-OS ソフトウェアによってパスワード設定が拒否されます。サンプル設定のように、強力なパスワードを設定してください。パスワードでは大文字と小文字が区別されます。 |
Note |
出力可能なすべての ASCII 文字は、引用符で囲めば、パスワード文字列でサポートされます。 |
ユーザ ロール
ユーザ ロールには、そのロールを割り当てられたユーザが実行できる操作を定義するルールが含まれています。各ユーザ ロールに複数のルールを含めることができ、各ユーザが複数のロールを持つことができます。たとえば、ロール 1 では設定操作の実行だけが許可されており、ロール 2 ではデバッグ操作の実行だけが許可されている場合、ロール 1 とロール 2 の両方に属するユーザは、設定操作とデバッグ操作を実行できます。また、特定の仮想ルーティング/転送(VRF)インスタンス、VLAN、およびインターフェイスへのアクセスも制限できます。
Cisco NX-OS ソフトウェアには、次のユーザ ロールが用意されています。
-
network-admin:Cisco NX-OS デバイス全体への完全な読み取り/書き込みアクセス権
-
network-operator または vdc-operator:Cisco NX-OS デバイス全体への完全な読み取りアクセス権
Note
-
Cisco Nexus 9000シリーズスイッチは複数のVDCをサポートしていません。ただし、vdc-operatorロールは使用可能で、network-operatorロールと同じ権限と制限があります。
-
Cisco Nexus 9000 シリーズ スイッチは、VDC 管理者がネットワーク管理者と同じ権限と制限を持つような、単一の VDC をサポートします。
-
Note |
ユーザ ロールは変更できません。 |
Note |
一部の show コマンドは、network-operator ユーザには表示されないようにすることができます。加えて、一部の show 以外のコマンド(telnet など)を、このユーザ ロールで使用できるようにすることができます。 |
Note |
複数のロールに属するユーザは、そのロールで許可されるすべてのコマンドの組み合わせを実行できます。コマンドへのアクセス権は、コマンドへのアクセス拒否よりも優先されます。たとえば、ユーザが、コンフィギュレーション コマンドへのアクセスが拒否されたロール A を持っていたとします。しかし、同じユーザが ロール B も持ち、このロールではコンフィギュレーション コマンドにアクセスできるとします。この場合、このユーザはコンフィギュレーション コマンドにアクセスできます。 |
ユーザ ロールのルール
ルールは、ロールの基本要素です。ルールは、そのロールがユーザにどの操作の実行を許可するかを定義します。ルールは次のパラメータで適用できます。
- コマンド
- 正規表現で定義されたコマンドまたはコマンド グループ
- 機能
- 正規表現で定義されたコマンドまたはコマンド グループ
- 機能グループ
- 機能のデフォルト グループまたはユーザ定義グループ
- OID
- SNMP オブジェクト ID(OID)。
command、feature、および feature group の各パラメータにより、階層的な関係が作成されます。最も基本的な制御パラメータはコマンドです。次の制御パラメータは機能です。これは、その機能にアソシエートされているすべてのコマンドを表します。最後の制御パラメータが、機能グループです。機能グループは、関連する機能を組み合わせたものです。機能グループによりルールを簡単に管理できます。Cisco NX-OS ソフトウェアは、使用可能な事前定義済み機能グループもサポートしています。
SNMP OID は RBAC でサポートされています。SNMP OID に読み取り専用ルールまたは読み取り/書き込みルールを設定できます。
ロールごとに最大 256 のルールを設定できます。ルールが適用される順序は、ユーザ指定のルール番号で決まります。ルールは降順で適用されます。たとえば、1 つのロールが 3 つのルールを持っている場合、ルール 3 がルール 2 よりも前に適用され、ルール 2 はルール 1 よりも前に適用されます。