ユーザプロファイルの作成および権限の割り当て

ルータ上のシステム管理設定へのアクセス権を管理するには、権限を割り当てたユーザプロファイルを作成します。権限はコマンドルールとデータルールを使用して指定します。ユーザ、グループ、コマンドルール、およびデータルールを作成するには、認証、認可、およびアカウンティング（AAA）コマンドをシステム管理コンフィギュレーションモードで使用します。aaa コマンドはディザスタリカバリパスワードを変更する際にも使用します。

（注）

システム管理 VM から外部 AAA サーバおよびサービスを設定することはできません。その設定は XR VM からのみ実行できます。

ユーザが制御されていないアクセスを行うのを制限するために AAA 認証を設定します。AAA 認証が設定されていない場合、ユーザに割り当てられたグループに関連付けられたコマンドおよびデータルールはバイパスされます。IOS-XR ユーザは、ネットワーク設定プロトコル（NETCONF）、Google 定義のリモートプロシージャコール（gRPC）または任意の YANG ベースのエージェントを介して、IOS-XR 設定への完全な読み取り/書き込みアクセス権を持つことができます。制御されていないアクセスを許可しないようにするには、いずれかの設定を行う前に AAA 認証を有効にします。

（注）

XR 上のいずれかのユーザが削除されている場合、ローカルデータベースは、システム管理 VM に最初のユーザが存在するかどうかを確認します。

最初のユーザが存在する場合、同期は実行されません。
最初のユーザが存在しない場合は、XR の最初のユーザ（作成順序に基づく）がシステム管理 VM に同期されます。

ユーザの認証にはユーザ名とパスワードが使用されます。認証されたユーザは、ユーザグループに対して作成および適用されているコマンドルールとデータルールに基づいて、コマンドを実行しデータ要素にアクセスする権利が与えられます。ユーザグループに属するすべてのユーザには、そのユーザグループのコマンドルールおよびデータルールで定義されているシステムへのアクセス権があります。

ユーザプロファイルを作成するためのワークフローを次のフローチャートに示します。

（注）

ルータの初回起動時に作成された XR VM の root-lr ユーザは、システム管理 VM の root-system ユーザにマッピングされます。root-system ユーザにはシステム管理 VM のスーパーユーザ権限があるため、アクセスは制限されません。

既存の AAA 設定を表示するには、システム管理コンフィギュレーションconfig モードで show run aaa コマンドを使用します。

この章で説明する内容は次のとおりです。

ユーザプロファイルの作成

システム管理 VM の新しいユーザを作成します。ユーザはユーザグループに含まれ、特定の権限が割り当てられます。ユーザは割り当てられた権限に基づいて、システム管理 VM コンソールのコマンドと設定への制限付きアクセス権を持ちます。

ルータでは、最大で 1024 個のユーザプロファイルがサポートされます。

（注）

システム管理 VM で作成したユーザは、XR VM で作成したユーザとは異なります。したがって、システム管理 VM ユーザのユーザ名とパスワードを使用して XR VM にアクセスすることはできません。逆も同様です。

XR VM およびシステム管理 VM ユーザプロファイルの同期

ユーザプロファイルを XR VM で初めて作成するとき、システム管理 VM にユーザが存在しない場合、ユーザ名とパスワードはシステム管理 VM に同期されます。

ただし、同期されたユーザの XR VM での後続のパスワード変更またはユーザ削除は、システム管理 VM と同期されません。

そのため、XR VM およびシステム管理 VM のパスワードが同じでない可能性があります。また、ユーザが XR VM で削除されても、システム管理 VM と同期されたユーザは削除されません。

XR VM の root-lr ユーザがシステム管理 VM にアクセスするには、XR EXEC モードXR EXEC モードで Admin コマンドを入力します。ルータではユーザ名とパスワードの入力を求めるプロンプトは表示されません。XR VM の root-lr ユーザには、システム管理 VM へのフルアクセス権が提供されます。

手順

ステップ 1	admin 例: `RP/0/RP0/cpu 0: router# admin` モードを開始します。
ステップ 2	config 例: `sysadmin-vm:0_RP0sysadmin-vm:0_RP0#config` システム管理コンフィギュレーション System Admin Config モードを開始します。
ステップ 3	aaa authentication users user `user_name` 例: `sysadmin-vm:0_RP0(config)#aaa authentication users user us1` 新しいユーザを作成し、ユーザコンフィギュレーションモードを開始します。例では、ユーザ「us1」が作成されます。
ステップ 4	password `password` 例: `sysadmin-vm:0_RP0(config-user-us1)#password pwd1` システム管理 VM へのログイン時にユーザ認証に使用するパスワードを入力します。
ステップ 5	uid `user_id_value` 例: `sysadmin-vm:0_RP0(config-user-us1)#uid 100` 数値を指定します。32 ビットの整数を入力できます。
ステップ 6	gid `group_id_value` 例: `sysadmin-vm:0_RP0(config-user-us1)#gid 50` 数値を指定します。32 ビットの整数を入力できます。
ステップ 7	ssh_keydir `ssh_keydir` 例: `sysadmin-vm:0_RP0(config-user-us1)#ssh_keydir dir1` 英数字の値を指定します。
ステップ 8	homedir `homedir` 例: `sysadmin-vm:0_RP0(config-user-us1)#homedir dir2` 英数字の値を指定します。
ステップ 9	commit

次のタスク

このタスクで作成したユーザを含めるユーザグループを作成します。ユーザグループの作成を参照してください。
ユーザグループに適用するコマンドルールを作成します。コマンドルールの作成を参照してください。
ユーザグループに適用するデータルールを作成します。「データルールの作成」を参照してください。

ユーザグループの作成

新しいユーザグループを作成してコマンドルールとデータルールを関連付けます。コマンドルールおよびデータルールは、ユーザグループに属するすべてのユーザに適用されます。

ルータでは、最大 32 のユーザグループがサポートされます。

始める前に

ユーザプロファイルを作成します。ユーザプロファイルの作成および権限の割り当てを参照してください。

手順

ステップ 1

admin

例:


RP/0/RP0/cpu 0: router# admin

モードを開始します。

ステップ 2

config

例:

sysadmin-vm:0_RP0#config

システム管理コンフィギュレーションモードを開始します。

ステップ 3

aaa authentication groups group group_name

例:

sysadmin-vm:0_RP0(config)#aaa authentication groups group gr1

新しいユーザグループ（まだ存在していない場合）を作成して、グループコンフィギュレーションモードを開始します。この例では、ユーザグループ「gr1」が作成されます。

（注）

デフォルトで、root ユーザの作成時にユーザグループ「root-system」がシステムによって作成されます。root ユーザはこのユーザグループのメンバです。このグループに追加されたユーザは root ユーザ権限を取得します。

ステップ 4

users user_name

例:

sysadmin-vm:0_RP0(config-group-gr1)#users us1

ユーザグループに含めるユーザの名前を指定します。

複数のユーザ名を二重引用符で囲んで指定することができますたとえば、users "user1 user2 ... " となります。

ステップ 5

gid group_id_value

例:

sysadmin-vm:0_RP0(config-group-gr1)#gid 50

数値を指定します。32 ビットの整数を入力できます。

ステップ 6

commit

次のタスク

コマンドルールを作成します。コマンドルールの作成を参照してください。
データルールを作成します。「データルールの作成」を参照してください。

コマンドルールの作成

コマンドルールとは、ユーザグループ内のどのユーザが特定のコマンドの使用を許可または拒否されるかに基づいたルールです。コマンドルールはユーザグループに関連付けられ、そのユーザグループに属するすべてのユーザに適用されます。

コマンドでの動作を許可するか拒否するかを指定することで、コマンドルールを作成します。次の表に、有効な動作と権限の組み合わせを示します。


動作	承認権限	拒否権限
読み取り（R）	「?」を使用した場合に CLI にコマンドが表示されます。	「?」を使用した場合に CLI にコマンドが表示されません。
実行（X）	CLI からコマンドを実行できます。	CLI からコマンドを実行できません。
読み取りおよび実行（RX）	コマンドが CLI に表示され、実行可能です。	コマンドは CLI に表示されず、実行することもできません。

デフォルトでは、すべての権限が Reject に設定されています。

各コマンドルールは、関連付けられている番号によって識別されます。ユーザグループに複数のコマンドルールを適用すると、より小さい番号のコマンドルールが優先されます。たとえば cmdrule 5 は読み取りアクセスを許可しますが、cmdrule 10 は読み取りアクセスを拒否するとします。これら両方のコマンドルールを同じユーザグループに適用すると、cmdrule 5 が優先されるため、このグループのユーザは読み取りアクセス権を持ちます。

このタスクの例として、「show platform」コマンドの読み取りおよび実行権限を拒否するルールを作成します。

始める前に

ユーザグループを作成します。ユーザグループの作成を参照してください。

手順

ステップ 1

admin

例:


RP/0/RP0/cpu 0: router# admin

モードを開始します。

ステップ 2

config

例:

sysadmin-vm:0_RP0#config

システム管理コンフィギュレーションモードを開始します。

ステップ 3

aaa authorization cmdrules cmdrule command_rule_number

例:

sysadmin-vm:0_RP0(config)#aaa authorization cmdrules cmdrule 1100

コマンドルール番号として数値を指定します。32 ビットの整数を入力できます。

重要	1 ～ 1000 の数字はシスコで予約済みのため使用しないでください。

このコマンドによって、新しいコマンドルール（まだ存在していない場合）が作成され、コマンドルールコンフィギュレーションモードが開始されます。例では、コマンドルール「1100」が作成されます。

（注）

デフォルトでは、root-system ユーザの作成時に「cmdrule 1」がシステムによって作成されます。このコマンドルールは、すべてのコマンドの「読み取り」および「実行」動作に対する「承認」権限を提供します。したがって「cmdrule 1」が変更されない限り、root ユーザに課せられる制限はありません。

ステップ 4

command command_name

例:

sysadmin-vm:0_RP0(config-cmdrule-1100)#command "show platform"

権限を制御するコマンドを指定します。

command にアスタリスク「*」を入力した場合、そのコマンドルールがすべてのコマンドに適用されることを意味します。

ステップ 5

ops {r | x | rx}

例:

sysadmin-vm:0_RP0(config-cmdrule-1100)#ops rx

権限を指定する必要がある動作を指定します。

r ：読み取り
x ：実行
rx ：読み取りおよび実行

ステップ 6

action { accept | accept_log | reject}

例:

sysadmin-vm:0_RP0(config-cmdrule-1100)#action reject

ユーザがその動作の使用を許可されるか拒否されるかを指定します。

accept ：ユーザはその動作の実行を許可されます。
accept_log ：ユーザはその動作の実行を許可され、アクセスの試行がすべて記録されます。
reject ：ユーザはその動作の実行を制限されます。

ステップ 7

group user_group_name

例:

sysadmin-vm:0_RP0(config-cmdrule-1100)#group gr1

コマンドルールを適用するユーザグループを指定します。

ステップ 8

context connection_type

例:

sysadmin-vm:0_RP0(config-cmdrule-1100)#context *

このルールを適用する接続タイプを指定します。接続タイプは netconf （ネットワーク設定プロトコル）、cli （コマンドラインインターフェイス）、または xml （Extensible Markup Language）です。アスタリスク「*」の入力が推奨されます。これは、そのコマンドルールがすべての接続タイプに適用されることを示します。

ステップ 9

commit

次のタスク

データルールを作成します。「データルールの作成」を参照してください。

データルールの作成

データルールとは、ユーザグループ内のどのユーザが設定データ要素へのアクセスとその変更を許可または拒否されるかに基づいたルールです。データルールはユーザグループに関連付けられます。データルールは、ユーザグループに属するすべてのユーザに適用されます。

各データルールは、関連付けられている番号によって識別されます。ユーザグループに複数のデータルールを適用すると、より小さい番号のデータルールが優先されます。

始める前に

ユーザグループを作成します。ユーザグループの作成を参照してください。

手順

ステップ 1

admin

例:


RP/0/RP0/cpu 0: router# admin

モードを開始します。

ステップ 2

config

例:

sysadmin-vm:0_RP0#config

システム管理コンフィギュレーションモードを開始します。

ステップ 3

aaa authorization datarules datarule data_rule_number

例:

sysadmin-vm:0_RP0(config)#aaa authorization datarules datarule 1100

データルール番号として数値を指定します。32 ビットの整数を入力できます。

重要	1 ～ 1000 の数字はシスコで予約済みのため使用しないでください。

このコマンドによって、新しいデータルール（まだ存在していない場合）が作成され、データルールコンフィギュレーションモードが開始されます。例では、データルール「1100」が作成されます。

（注）

デフォルトで、root-system ユーザの作成時に「datarule 1」がシステムによって作成されます。このデータルールは、すべての設定データの「読み取り」、「書き込み」、および「実行」動作に対する「承認」権限を提供します。したがって「datarule 1」が変更されない限り、root ユーザに課せられる制限はありません。

ステップ 4

keypath keypath

例:

sysadmin-vm:0_RP0(config-datarule-1100)#keypath  /aaa/disaster-recovery

データ要素のキーパスを指定します。キーパスはデータ要素の場所を定義する式です。keypath にアスタリスク「*」を入力した場合、そのコマンドルールがすべての設定データに適用されることを意味します。

ステップ 5

ops operation

例:

sysadmin-vm:0_RP0(config-datarule-1100)#ops rw

権限を指定する必要がある動作を指定します。各動作は次の文字で識別されます。

c：作成
d：削除
u：更新
w：書き込み（作成、更新、および削除の組み合わせ）
r：読み込み
x：実行

ステップ 6

action { accept | accept_log | reject}

例:

sysadmin-vm:0_RP0(config-datarule-1100)#action reject

ユーザがその動作を許可されるか拒否されるかを指定します。

accept ：ユーザはその動作の実行を許可されます。
accept_log ：ユーザはその動作の実行を許可され、アクセスの試行がすべて記録されます。
reject ：ユーザはその動作の実行を制限されます。

ステップ 7

group user_group_name

例:

sysadmin-vm:0_RP0(config-datarule-1100)#group gr1

データルールを適用するユーザグループを指定します。複数のグループ名を指定することもできます。

ステップ 8

context connection type

例:

sysadmin-vm:0_RP0(config-datarule-1100)#context *

このルールを適用する接続タイプを指定します。接続タイプは netconf （ネットワーク設定プロトコル）、cli （コマンドラインインターフェイス）、または xml （Extensible Markup Language）です。アスタリスク「*」の入力が推奨されます。これは、そのコマンドがすべての接続タイプに適用されることを示します。

ステップ 9

namespace namespace

例:

sysadmin-vm:0_RP0(config-datarule-1100)#namespace *

アスタリスク「*」を入力して、データルールが名前空間の値すべてに適用されることを示します。

ステップ 10

commit

ディザスタリカバリのユーザ名とパスワードの変更

ルータの起動後、最初に root-system ユーザ名とパスワードを定義すると、同じユーザ名とパスワードがシステム管理コンソールのディザスタリカバリユーザ名およびパスワードとしてマッピングされます。ただし、これらは変更可能です。

ディザスタリカバリユーザ名およびパスワードは、次の状況で役立ちます。

システム管理コンソールでの認証のデフォルトソースである AAA データベースが破損した場合にシステムへアクセスする。
何らかの理由でシステム管理コンソールが機能しない場合に、管理ポートを通じてシステムにアクセスする。
通常のユーザ名およびパスワードを忘れた場合に、ディザスタリカバリユーザ名とパスワードを使用してシステム管理コンソールにアクセスし、新しいユーザを作成する。

（注）

ルータでは、ディザスタリカバリユーザ名およびパスワードを一度に 1 つのみ設定できます。

手順

ステップ 1	admin 例: `RP/0/RP0/cpu 0: router# admin` モードを開始します。
ステップ 2	config 例: `sysadmin-vm:0_RP0#config` システム管理コンフィギュレーションモードを開始します。
ステップ 3	aaa disaster-recovery username `username` password `password` 例: `sysadmin-vm:0_RP0(config)#aaa disaster-recovery username us1 password pwd1` ディザスタリカバリユーザ名とパスワードを指定します。既存のユーザをディザスタリカバリユーザとして選択する必要があります。この例では、ディザスタリカバリユーザとして「us1」が選択され、パスワード「pwd1」が割り当てられます。パスワードは、プレーンテキストまたは MD5 ダイジェスト文字列として入力することができます。ディザスタリカバリユーザ名を使用する場合は、`username`@localhost の形式で入力してください。
ステップ 4	commit

Cisco NCS 560 シリーズ ルータ（IOS XR リリース 7.1.x）システムセットアップおよびソフトウェア インストール ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： ユーザ プロファイルの作成および権限の割り当て

ユーザ プロファイルの作成および権限の割り当て

ユーザ プロファイルの作成

手順

例:

例:

例:

例:

例:

例:

例:

例:

次のタスク

ユーザ グループの作成

始める前に

手順

例:

例:

例:

例:

例:

次のタスク

コマンド ルールの作成

始める前に

手順

例:

例:

例:

例:

例:

例:

例:

例:

次のタスク

データ ルールの作成

始める前に

手順

例:

例:

例:

例:

例:

例:

例:

例:

例:

ディザスタ リカバリのユーザ名とパスワードの変更

手順

例:

例:

例:

このドキュメントは役に立ちましたか?

シスコに問い合わせ

Cisco NCS 560 シリーズルータ（IOS XR リリース 7.1.x）システムセットアップおよびソフトウェアインストールガイド

章のタイトル：ユーザプロファイルの作成および権限の割り当て

ユーザプロファイルの作成および権限の割り当て

ユーザプロファイルの作成

ユーザグループの作成

コマンドルールの作成

データルールの作成

ディザスタリカバリのユーザ名とパスワードの変更