管理者、グループ、ロール、テナント
ネットワーク管理者が Cisco Prime Network Registrarで実行できる機能のタイプは、割り当てられたロールに基づきます。ローカルおよびリージョン管理者は、これらのロールを定義して、ネットワーク管理機能の粒度を提供できます。Cisco Prime Network Registrar では、管理機能をセグメント化する基本ロールのセットが事前定義されています。これらの基本ロールから、特定のアドレス、ゾーン、およびその他のネットワーク オブジェクトの管理に限定された、さらに制約されたロールを定義できます。
管理者をロールに関連付けるためのメカニズムは、これらのロールを含むグループに管理者を配置することです。
管理者が表示できるデータと設定は、テナントによっても制限されます。管理者にテナント タグが割り当てられている場合、アクセスはテナントに割り当てられたか、読み取り専用のコア設定オブジェクトとしてテナントでの使用が可能にされた設定オブジェクトにさらに制限されます。
関連項目
管理者とグループ、ロール、およびテナントとの関連
Cisco Prime Network Registrarには、管理者、グループ、ロール、およびテナントの4つの管理者オブジェクトがあります。
- 管理者(Administrator) - ログインしたアカウントは、1 つ以上の管理者グループとの関連付けによって、割り当てられたロールに基づいて特定の機能を実行できます。ローカル クラスタでは、これらの機能は、ローカルの中央構成管理(CCM)サーバーとデータベース、ホスト、ゾーン、アドレス空間、および
DHCP を管理しています。リージョン クラスタでは、これらの機能は、リージョン CCM サーバーとデータベース、中央構成、およびリージョンのアドレス空間を管理しています。有効にするには、管理者を少なくとも 1 つのグループに割り当てる必要があります。
管理者の追加については、管理者の管理 を参照してください。
- グループ(Group) - ロールのグループ化。1 つ以上のグループを管理者に関連付ける必要があり、グループを使用可能にするには、グループに少なくとも 1 つのロールが割り当てられている必要があります。Cisco Prime Network Registrar の事前定義グループは、各ロールを一意のグループにマッピングします。
グループの追加については、グループの管理 を参照してください。
- ロール(Role) - 管理者が管理できるネットワーク オブジェクトと、管理者が実行できる機能を定義します。事前定義の一連のロールがインストール時に作成され、追加の制約付きロールを定義できます。一部のロールには、さらに機能的な制約を加えるサブロールが含まれています。
ロールの追加については、ロールの管理 を参照してください。
- テナント(Tenant) - 管理者のセットに関連付けられているテナント組織またはグループを識別します。テナントを作成すると、リージョンとローカルの両方のクラスタに保存されるデータは、テナント別にセグメント化されます。テナントが別のテナントのデータにアクセスすることはできません。
テナントの追加については、テナントの管理 を参照してください。
管理者タイプ
管理者には、スーパーユーザーと専門管理者の 2 つの基本タイプがあります。
- スーパーユーザー(Superuser) - Web UI、CLI、およびすべての機能への無制限のアクセス権を持つ管理者。この管理者タイプは少数のユーザーに制限する必要があります。管理者のスーパーユーザー権限は、他のすべてのロールをオーバーライドします。
ヒント
インストール時、または Web UI に初めてログインするときに、スーパーユーザーとパスワードを作成する必要があります。
スーパーユーザーにテナント タグが割り当てられている場合、無制限のアクセスは、対応するテナント データについてのみ付与されます。他のテナントのデータは表示できず、コア オブジェクトは読み取り専用アクセスに制限されます。
- 専門(Specialized) - 管理者が割り当てたロール(および該当する場合はサブロール)に基づいて、特定の DNS 転送またはリバース ゾーンを管理するなど、特別な機能を実行するために名前によって作成された管理者。専門管理者は、スーパーユーザーと同様に、パスワードを必要としますが、関連するロールを定義する少なくとも
1 つの管理者グループに割り当てられる必要もあります。CLI は admin コマンドを提供します。
ローカル ゾーンまたはホスト管理者を作成する例については、管理者の作成 を参照してください。
テナント タグが割り当てられている専門ユーザーは、関連するロールにも一致する、対応するテナントまたはコア データにのみアクセスできます。コア データは、さらに読み取り専用アクセスに制限されます。
ロール、サブロール、および制約
ライセンス タイプは、各ロールとサブロールの組み合わせに関連付けられます。ロールとサブロールは、そのライセンスがそのクラスタで使用可能な場合にのみ有効になります。
制約を適用することによって、管理者ロールを制限できます。たとえば、host-admin 基本ロールを使用して、192.168.50.0 サブネットに制約されている 192.168.50.0-host-admin という名前のホスト管理者を作成できます。管理者は、このロールを含むグループを割り当てた後、この制約を有効にしてログインします。ロールとサブロールの追加については、ロールの管理 で説明しています。
ロールの制約を読み取り専用アクセスに制限することができます。管理者は、そのロールのデータを読み取ることはできますが、変更することはできません。ただし、制限されたデータが読み取り/書き込みロールにも関連付けられている場合、読み取り/書き込み権限は読み取り専用の制約に優先します。
ヒント |
ロール制約の追加の例は、制約付きのホスト管理者ロールの作成 にあります。 |
DNS とホスト管理者ロールの割り当ての間の相互作用により、制約のない dns-admin ロールをグループ内の任意の host-admin ロールと組み合わせることができます。たとえば、グループ内の dns-admin-readonly ロールと host-admin ロールを組み合わせる(およびグループに host-rw-dns-ro という名前を付ける)と、完全なホスト アクセス権と読み取り専用アクセス権がゾーンと RR に与えられます。ただし、制限付きの dns-admin ロールを host-admin ロールとともにグループに割り当て、次に管理者に割り当てると、制約付き dns-admin ロールが優先され、ログイン時の管理者権限によってホスト管理が排除されます。
特定のロールにはサブロールがあり、それによってロール機能をさらに制限できます。たとえば、ローカルの ccm-admin または regional-admin に owner-region サブロールが適用されると、所有者とリージョンのみを管理できます。デフォルトでは、制約付きのロールを作成すると、可能なすべてのサブロールが適用されます。
事前定義されたロールについては、表 1(ローカル)と 表 2(リージョン)を参照してください。
ローカル ロール |
サブロールとアクティブな機能 |
---|---|
addrblock-admin |
コア機能:アドレス ブロック、サブネット、およびリバース DNS ゾーンを管理します(dns-admin も必要)。また、スコープ アクティビティを通知します。
|
ccm-admin |
コア機能:アクセス コントロール リスト(ACL)と暗号キーを管理します。
|
cdns-admin |
コア機能:メモリ内キャッシュを管理します(フラッシュ キャッシュとフラッシュ キャッシュ名)。
|
cfg-admin |
コア機能:クラスタを管理します。
|
dhcp-admin |
コア機能:DHCP スコープとテンプレート、ポリシー、クライアント、クライアントクラス、オプション、リース、および予約を管理します。
|
dns-admin |
コア機能:DNS ゾーンとテンプレート、リソース レコード、セカンダリ サーバー、およびホストを管理します。
|
host-admin |
コア機能:DNS ホストを管理します。(管理者に制約付き dns-admin ロールも割り当てられた場合、これは host-admin の定義をオーバーライドするため、管理者には host-admin ロールが割り当てられないことに注意してください)。 |
リージョンのロール |
サブロールとアクティブな機能 |
---|---|
central-cfg-admin |
コア機能:クラスタを管理し、レプリカ データを表示します。
|
central-dns-admin |
コア機能:DNS ゾーンとテンプレート、ホスト、リソース レコード、およびセカンダリ サーバーを管理します。サブゾーンと逆引きゾーンを作成します。
|
central-host-admin |
コア機能:DNS ホストを管理します。(管理者に制約付き central-dns-admin ロールも割り当てられた場合、これは central-host-admin の定義をオーバーライドするため、管理者には central-host-admin ロールが割り当てられないことに注意してください)。 |
regional-admin |
コア機能:ライセンスと暗号キーを管理します。
|
regional-addr-admin |
コア機能:アドレス ブロック、サブネット、およびアドレス範囲を管理します。割り当てレポートを生成します。レプリカ アドレス空間データをプルします。
|
グループ
管理者グループは、管理者にロールを割り当てるために使用されるメカニズムです。したがって、グループは、使用可能な 1 つ以上の管理者ロールで構成される必要があります。Cisco Prime Network Registrar を初めてインストールすると、事前定義の各ロールに対応する事前定義のグループが作成されます。
同じ基本ロールを持つロールは結合されます。制約のない dhcp-admin ロールと制約付きの dns-admin ロールを持つグループは、dns-admin ロールに割り当てられた権限を変更しません。たとえば、いずれかのロールに制約なしの読み取り/書き込み権限が割り当てられている場合、他のロールには読み取り専用権限が割り当てられていても、そのグループには制約なしの読み取り/書き込み権限が割り当てられます。したがって、すべてのデータへの読み取り専用アクセスを許可しながら、ユーザーの読み取り/書き込み権限を制限するには、制約付きの読み取り/書き込みロールとともに、制約なしの読み取り専用ロールを含むグループを作成します。(グループ内の host-admin ロールと dns-admin ロールの組み合わせの実装については、ロール、サブロール、および制約 を参照してください)。