ユーザープロファイルの作成および権限の割り当て

ルータ上の XR およびシステム管理設定へのアクセス権を管理するには、権限を割り当てたユーザープロファイルを作成します。権限はコマンドルールとデータルールを使用して指定します。

ユーザー、グループ、コマンドルール、およびデータルールを作成するには、認証、許可、およびアカウンティング（AAA）コマンドを使用します。aaa コマンドはディザスタリカバリパスワードを変更する際にも使用します。

（注）

外部 AAA サーバーおよびサービスは、システム管理 VM からは設定できず、XR VM からのみ設定できます。

制御されていないアクセスをユーザーが行わないよう制限するために、AAA 認証を設定します。AAA 認証が設定されていない場合、ユーザーに割り当てられたグループに関連付けられたコマンドおよびデータルールはバイパスされます。IOS-XR ユーザーは、ネットワーク設定プロトコル（NETCONF）、Google 定義のリモートプロシージャコール（gRPC）または任意の YANG ベースのエージェントを介して、IOS-XR 設定への完全な読み取り/書き込みアクセス権を持つことができます。制御されていないアクセスを許可しないようにするには、いずれかの設定を行う前に AAA 認証を有効にします。

（注）

XR 上のいずれかのユーザーが削除されている場合、ローカルデータベースは、システム管理 VM に最初のユーザーが存在するかどうかを確認します。

最初のユーザーが存在する場合、同期は実行されません。
最初のユーザーが存在しない場合は、XR の最初のユーザー（作成順序に基づく）がシステム管理 VM に同期されます。
ユーザーが XR に追加され、システム管理モードにユーザーが存在しない場合、そのユーザーは sysadmin-vm に同期されます。同期後、XR VM のユーザーに対する変更は、システム管理 VM では同期されません。
システム管理 VM に追加されたユーザーが XR VM と同期しない。
システム管理 VM で作成された最初のユーザーまたはディザスタリカバリユーザーのみがホスト VM と同期します。
システム管理 VM の最初のユーザーまたはディザスタリカバリユーザーのログイン情報の変更は、ホスト VM と同期されます。
システム管理 VM で削除された最初のユーザーまたはディザスタリカバリユーザーは、ホスト VM と同期されません。ホスト VM でユーザーが保持されます。

ユーザーの認証にはユーザー名とパスワードが使用されます。認証されたユーザーは、ユーザーグループに対して作成および適用されているコマンドルールとデータルールに基づいて、コマンドを実行しデータ要素にアクセスする権利が与えられます。ユーザーグループに属するすべてのユーザーには、そのユーザーグループのコマンドルールおよびデータルールで定義されているシステムへのアクセス権があります。

ユーザープロファイルを作成するためのワークフローを次のフローチャートに示します。

（注）

ルータの初回起動時に作成された XR VM の root-lr ユーザーは、システム管理 VM の root-system ユーザーにマッピングされます。root-system ユーザーにはシステム管理 VM のスーパーユーザー権限があるため、アクセスは制限されません。

既存の AAA 設定を表示するには、コンフィギュレーションモードで show run aaa コマンドを使用します。

この章で説明する内容は次のとおりです。

ユーザーグループの作成

新しいユーザーグループを作成してコマンドルールとデータルールを関連付けます。コマンドルールおよびデータルールは、ユーザーグループに属するすべてのユーザーに適用されます。

ユーザーグループ、タスクグループ、RADIUS および TACACS 設定の作成の詳細については、 System Security Configuration Guide for Cisco ASR 9000 Series Routersの「AAA サービスの設定」の章を参照してください。コマンド、構文、および構文の説明の詳細については、 System Security Command Reference for Cisco ASR 9000 Series Routersの「認証、許可、およびアカウンティングコマンド」の章を参照してください。

XR VM でのユーザーグループの設定

ユーザーグループは、タスクグループなど一連のユーザーに対するコマンドパラメータによって設定されます。 usergroup コマンドを入力すると、ユーザーグループコンフィギュレーションサブモードが開始されます。 usergroup コマンドの no 形式を使用すると、特定のユーザーグループを削除できます。システムで参照されているユーザーグループを削除すると、警告が表示されます。

始める前に

（注）

WRITE:AAA タスク ID が関連付けられているユーザーだけ、ユーザーグループを設定できます。ユーザーグループは、事前定義されたグループのプロパティ（owner-sdr など）を継承できません。

手順

ステップ 1	configure 例: `RP/0/RSP0/cpu 0: router# configure` グローバルコンフィギュレーションモードを開始します。
ステップ 2	usergroup `usergroup-name` 例: `RP/0/RSP0/cpu 0: router(config)# usergroup beta` 特定のユーザーグループの名前を作成し、ユーザーグループコンフィギュレーションサブモードを開始します。 usergroup コマンドの no 形式を指定すると、特定のユーザーグループをシステムから削除できます。
ステップ 3	description `string` 例: `RP/0/RSP0/cpu 0: router(config-ug)# description this is a sample user group description` （任意）ステップ 2 で指定したユーザーグループの説明を作成します。
ステップ 4	inherit usergroup `usergroup-name` 例: `RP/0/RSP0/cpu 0: router(config-ug)# inherit usergroup sales` ユーザーグループの権限を明示的に定義します。
ステップ 5	taskgroup `taskgroup-name` 例: `RP/0/RSP0/cpu 0: router(config-ug)# taskgroup beta` ステップ 2 で指定したユーザーグループをこのステップで指定したタスクグループに関連付けます。ユーザーグループは、入力したタスクグループに対してすでに定義されている設定属性（タスク ID リストと権限）を取ります。
ステップ 6	ステップ 2 で指定したユーザーグループを関連付ける各タスクグループに対して手順を繰り返します。
ステップ 7	commit または end コマンドを使用します。 commit ：設定の変更を保存し、コンフィギュレーションセッションに留まります。 end ：次のいずれかのアクションの実行をユーザーに要求します。 Yes ：設定の変更を保存し、コンフィギュレーションセッションを終了します。 No ：設定の変更をコミットせずに、コンフィギュレーションセッションを終了します。 Cancel ：設定の変更をコミットせずに、コンフィギュレーションセッションに留まります。

システム管理 VM でのユーザーグループの作成

システム管理 VM のユーザーグループを作成します。

ルータでは、最大 32 のユーザーグループがサポートされます。

始める前に

ユーザープロファイルを作成します。「ユーザーの作成」の項を参照してください。

手順

ステップ 1

admin

例:


RP/0/RSP0/cpu 0: router# admin

管理 EXEC モードを開始します。

ステップ 2

config

例:

sysadmin-vm:0_RP0#config

モードを開始します。

ステップ 3

aaa authentication groups group group_name

例:

sysadmin-vm:0_RP0(config)#aaa authentication groups group gr1

新しいユーザーグループ（まだ存在していない場合）を作成して、グループコンフィギュレーションモードを開始します。この例では、ユーザーグループ「gr1」が作成されます。

（注）

デフォルトで、root ユーザーの作成時にユーザーグループ「root-system」がシステムによって作成されます。root ユーザーはこのユーザーグループのメンバです。このグループに追加されたユーザーは root ユーザー権限を取得します。

ステップ 4

users user_name

例:

sysadmin-vm:0_RP0(config-group-gr1)#users us1

ユーザーグループに含めるユーザーの名前を指定します。

複数のユーザー名を二重引用符で囲んで指定することができますたとえば、users "user1 user2 ... " となります。

ステップ 5

gid group_id_value

例:

sysadmin-vm:0_RP0(config-group-gr1)#gid 50

数値を指定します。32 ビットの整数を入力できます。

ステップ 6

commit または end コマンドを使用します。

commit ：設定の変更を保存し、コンフィギュレーションセッションに留まります。

end ：次のいずれかのアクションの実行をユーザーに要求します。

Yes ：設定の変更を保存し、コンフィギュレーションセッションを終了します。
No ：設定の変更をコミットせずに、コンフィギュレーションセッションを終了します。
Cancel ：設定の変更をコミットせずに、コンフィギュレーションセッションに留まります。

次のタスク

コマンドルールを作成します。
データルールを作成します。

ユーザーの作成

新しいユーザーを作成し、特定の権限を持つユーザーグループにそのユーザーを含めることができます。ルータでは、最大で 1024 個のユーザープロファイルがサポートされます。

（注）

システム管理 VM で作成したユーザーは、XR VM で作成したユーザーとは異なるため、システム管理 VM ユーザーのユーザー名とパスワードを使用して XR VM にアクセスすることはできません。逆も同様です。

XR VM およびシステム管理 VM ユーザープロファイルの同期

ユーザープロファイルの初期同期：ユーザープロファイルを XR VM で初めて作成した場合、そのユーザーがシステム管理 VM に存在しない場合のみ、ユーザー名とパスワードがシステム管理 VM に同期されます。この初期同期により、2 つの VM 間でのユーザー情報の一貫性が確保されます。

後続の変更の制限：ただし、システム管理 VM では、XR VM 内で行われた後続のパスワード変更やユーザーの削除は同期されないことに注意することが重要です。その結果、XR VM とシステム管理 VM のパスワードが異なり、XR VM 内での削除を反映するためにユーザープロファイルがリアルタイムで更新されない場合があります。

ユーザーの削除処理：さらに、XR VM 内でユーザーが削除されても、システム管理 VM 内の対応するユーザープロファイルは影響を受けません。つまり、XR VM でユーザーを削除しても、システム管理 VM のユーザープロファイルは自動的に削除されません。

XR VM でのユーザープロファイルの作成

表 1. 機能の履歴（表）
機能名	リリース情報	機能説明
拡張ログインバナーの標準規格	リリース 7.3.1	US DoD に準拠するために、ログインバナーの表示を有効にするオプションが導入されました。ログインバナーは、成功したログイン試行回数と失敗したログイン試行回数、タイムスタンプ、ログイン方法などの情報を提供します。 login-history コマンドが導入されました。

各ユーザーは、管理ドメイン内で一意のユーザー名によって識別されます。各ユーザーは、少なくとも 1 つのユーザーグループのメンバーである必要があります。ユーザーグループを削除すると、そのグループに関連付けられたユーザーが孤立する場合があります。AAA サーバーでは孤立したユーザーも認証されますが、ほとんどのコマンドは許可されません。

AAA の詳細については、 System Security Configuration Guide for Cisco ASR 9000 Series Routersの「AAA サービスの設定」の章を参照してください。関連コマンド、構文、および構文の説明の詳細については、 System Security Command Reference for Cisco ASR 9000 Series Routersの「認証、許可、およびアカウンティングコマンド」の章を参照してください。

手順

ステップ 1

configure

例:


RP/0/RSP0/cpu 0: router# configure

グローバルコンフィギュレーションモードを開始します。

ステップ 2

username user-name

例:

 RP/0/RSP0/cpu 0: router(config)# username user1

新しいユーザーの名前を作成（または現在のユーザーを識別）して、ユーザー名コンフィギュレーションサブモードを開始します。

user-name 引数には 1 つの単語だけ使用できます。スペースと引用符は使用できません。

ステップ 3

次のいずれかを実行します。

password {0 | 7} password
secret {0 | 5 | 8 | 9 | 10} secret

例:

 Router(config-un)# password 0 pwd1

または

 Router(config-un)# secret 0 sec1

ステップ 2 で指定したユーザーのパスワードを指定します。

secret コマンドを使用して、ステップ 2 で指定したユーザー名用の安全なログインパスワードを作成します。
password コマンドの後に 0 を入力すると、暗号化されていない（クリアテキスト）パスワードが続くことが指定されます。 password コマンドの後に 7 を入力すると、暗号化されたパスワードが続くことが指定されます。

secret コマンドでは、次の値を入力できます。

0 ：セキュアな暗号化されていない（クリアテキスト）パスワードが続くことを指定します。
5 ：MD5 ハッシュアルゴリズムを使用するセキュアな暗号化パスワードが続くことを指定します。
8 ：SHA256 ハッシュアルゴリズムを使用するタイプ 8 シークレットが続くことを指定します。

9 ：scrypt ハッシュアルゴリズムを使用するタイプ 9 シークレットが続くことを指定します。

（注）

タイプ 8 およびタイプ 9 のシークレットは、Cisco IOS XR ソフトウェアリリース 7.0.1 以降の IOS XR 64 ビットオペレーティングシステムでサポートされています。リリース 7.0.1 より前は、IOS XR 32 ビットオペレーティングシステムでのみサポートされていました。

10 ：SHA512 ハッシュアルゴリズムを使用するタイプ 10 シークレットを指定します。

（注）

タイプ 10 シークレットは、Cisco IOS XR 64 ビットプラットフォームでのみサポートされています。
まだ MD5 または SHA256 暗号化アルゴリズムを使用している下位バージョンにダウングレードする場合、設定の損失、認証の失敗など、後方互換性の問題が発生することが予想されます。タイプ 10 シークレットがある場合、システムをバージョン 7.0.1 以降からバージョン 6.5.3 以降にダウングレードする場合は、シークレット をタイプ 5 に変換します。システムをバージョン 7.0.1 以降から 6.5.3 未満のバージョンにダウングレードする場合は、install activate を実行する前に、XR-vm および sysadmin-vm からすべてのユーザーの設定を解除します。Cisco IOS XR 32 ビットソフトウェアを実行している Cisco ASR 9000 シリーズルータには、タイプ 10 シークレットが適用されないため、後方互換性の問題は発生しません。
最初のユーザー設定シナリオの場合やユーザーを再設定する場合は、タイプ 5 およびタイプ 10 シークレットのみが XR VM からシステム管理 VM とホスト VM に同期されます。このようなシナリオでは、タイプ 8 およびタイプ 9 シークレットは同期されません。

タイプ 0 が、 password コマンドおよび secret コマンドのデフォルトです。
Cisco IOS XR ソフトウェアリリース 7.0.1 以降では、設定でタイプを選択せずにクリアテキストシークレットが設定されている場合、デフォルトのハッシュタイプは 10（SHA512）です。

ステップ 4

group group-name

例:

 RP/0/RSP0/cpu 0: router(config-un)# group sysadmin

ステップ 2 で指定したユーザーを usergroup コマンドで定義したユーザーグループに割り当てます。

ユーザーは、ユーザーグループのさまざまなタスクグループへの割り当てによって定義された内容に従って、ユーザーグループのすべての属性を受け取ります。
各ユーザーは、少なくとも 1 つのユーザーグループに割り当てる必要があります。ユーザーは複数のユーザーグループに属することがあります。

ステップ 5

ステップ 2 で指定したユーザーに関連付けるユーザーグループごとに、ステップ 4 を繰り返します。

ステップ 6

（任意）米国国防総省（DoD）承認済みログインバナーの表示を有効にできます。バナーは、デバイスへのアクセスを許可する前に表示されます。バナーにより、適用される連邦法に準拠したプライバシーとセキュリティの確保も行われます。さらに、システムは、システムブートから、またはユーザープロファイルが作成された直後から、ログインの追跡を行います。

（注）

ルータをリロードすると、ログイン通知がリセットされます。

次のコマンドを使用して、ログインバナーを有効または無効にします。

例:

Router(config-un)#login-history enable
Router(config-un)#login-history disable

show running-config username user1 コマンドを実行して、ログインバナーの状態を確認します。

Router(config-un)# show running-config username NAME1
Fri Jan 29 13:55:28.261 UTC
username NAME1
 group UG1
 secret * **********
 password * ******
 login-history enable

ステップ 7

commit または end コマンドを使用します。

commit ：設定の変更を保存し、コンフィギュレーションセッションに留まります。

end ：次のいずれかのアクションの実行をユーザーに要求します。

Yes ：設定の変更を保存し、コンフィギュレーションセッションを終了します。
No ：設定の変更をコミットせずに、コンフィギュレーションセッションを終了します。
Cancel ：設定の変更をコミットせずに、コンフィギュレーションセッションに留まります。

システム管理 VM でのユーザープロファイルの作成

システム管理 VM の新しいユーザーを作成します。ユーザーはユーザーグループに含まれ、特定の権限が割り当てられます。ユーザーには、割り当てられた権限に基づいて、システム管理 VM コンソールのコマンドと設定への制限付きアクセス権が付与されます。

ルータでは、最大で 1024 個のユーザープロファイルがサポートされます。

XR VM の root-lr ユーザーは、EXEC モードで Admin コマンドを入力することで、システム管理 VM にアクセスできます。ルータではユーザー名とパスワードの入力を求めるプロンプトは表示されません。XR VM の root-lr ユーザーには、システム管理 VM へのフルアクセス権が付与されます。

手順

ステップ 1	admin 例: `RP/0/RSP0/cpu 0: router# admin` 管理 EXEC モードを開始します。
ステップ 2	config 例: `sysadmin-vm:0_RP0#config` モードを開始します。
ステップ 3	aaa authentication users user `user_name` 例: `sysadmin-vm:0_RP0(config)#aaa authentication users user us1` 新しいユーザーを作成し、ユーザーコンフィギュレーションモードを開始します。例では、ユーザー「us1」が作成されます。
ステップ 4	password `password` 例: `sysadmin-vm:0_RP0(config-user-us1)#password pwd1` システム管理 VM へのログイン時にユーザー認証に使用するパスワードを入力します。
ステップ 5	uid `user_id_value` 例: `sysadmin-vm:0_RP0(config-user-us1)#uid 100` 数値を指定します。32 ビットの整数を入力できます。
ステップ 6	gid `group_id_value` 例: `sysadmin-vm:0_RP0(config-user-us1)#gid 50` 数値を指定します。32 ビットの整数を入力できます。
ステップ 7	ssh_keydir `ssh_keydir` 例: `sysadmin-vm:0_RP0(config-user-us1)#ssh_keydir dir1` 英数字の値を指定します。
ステップ 8	homedir `homedir` 例: `sysadmin-vm:0_RP0(config-user-us1)#homedir dir2` 英数字の値を指定します。
ステップ 9	commit または end コマンドを使用します。 commit ：設定の変更を保存し、コンフィギュレーションセッションに留まります。 end ：次のいずれかのアクションの実行をユーザーに要求します。 Yes ：設定の変更を保存し、コンフィギュレーションセッションを終了します。 No ：設定の変更をコミットせずに、コンフィギュレーションセッションを終了します。 Cancel ：設定の変更をコミットせずに、コンフィギュレーションセッションに留まります。

コマンドルールの作成

コマンドルールとは、ユーザーグループ内のどのユーザーが特定のコマンドの使用を許可または拒否されるかに基づいたルールです。コマンドルールはユーザーグループに関連付けられ、そのユーザーグループに属するすべてのユーザーに適用されます。

コマンドでの動作を許可するか拒否するかを指定することで、コマンドルールを作成します。次の表に、有効な動作と権限の組み合わせを示します。


動作	承認権限	拒否権限
読み取り（R）	「?」を使用した場合に CLI にコマンドが表示されます。	「?」を使用した場合に CLI にコマンドが表示されません。
実行（X）	CLI からコマンドを実行できます。	CLI からコマンドを実行できません。
読み取りおよび実行（RX）	コマンドが CLI に表示され、実行可能です。	コマンドは CLI に表示されず、実行することもできません。

デフォルトでは、すべての権限が Reject に設定されています。

各コマンドルールは、関連付けられている番号によって識別されます。ユーザーグループに複数のコマンドルールを適用すると、より小さい番号のコマンドルールが優先されます。たとえば cmdrule 5 は読み取りアクセスを許可しますが、cmdrule 10 は読み取りアクセスを拒否するとします。これら両方のコマンドルールを同じユーザーグループに適用すると、cmdrule 5 が優先されるため、このグループのユーザーは読み取りアクセス権を持ちます。

このタスクの例として、「show platform」コマンドの読み取りおよび実行権限を拒否するルールを作成します。

始める前に

ユーザーグループを作成します。システム管理 VM でのユーザーグループの作成を参照してください。

手順の概要

admin
config
aaa authorization cmdrules cmdrule command_rule_number
command command_name
ops {r | x | rx}
action { accept | accept_log | reject}
group user_group_name
context connection_type
commit または end コマンドを使用します。

手順の詳細

ステップ 1

admin

例:


RP/0/RSP0/cpu 0: router# admin

管理 EXEC モードを開始します。

ステップ 2

config

例:

sysadmin-vm:0_RP0#config

モードを開始します。

ステップ 3

aaa authorization cmdrules cmdrule command_rule_number

例:

sysadmin-vm:0_RP0(config)#aaa authorization cmdrules cmdrule 1100

コマンドルール番号として数値を指定します。32 ビットの整数を入力できます。

重要	1 ～ 1000 の数字はシスコで予約済みのため使用しないでください。

このコマンドによって、新しいコマンドルール（まだ存在していない場合）が作成され、コマンドルールコンフィギュレーションモードが開始されます。例では、コマンドルール「1100」が作成されます。

（注）

デフォルトでは、root-system ユーザーの作成時に「cmdrule 1」がシステムによって作成されます。このコマンドルールは、すべてのコマンドの「読み取り」および「実行」動作に対する「承認」権限を提供します。したがって「cmdrule 1」が変更されない限り、root ユーザーに課せられる制限はありません。

ステップ 4

command command_name

例:

sysadmin-vm:0_RP0(config-cmdrule-1100)#command "show platform"

権限を制御するコマンドを指定します。

command にアスタリスク「*」を入力した場合、そのコマンドルールがすべてのコマンドに適用されることを意味します。

ステップ 5

ops {r | x | rx}

例:

sysadmin-vm:0_RP0(config-cmdrule-1100)#ops rx

権限を指定する必要がある動作を指定します。

r ：読み取り
x ：実行
rx ：読み取りおよび実行

ステップ 6

action { accept | accept_log | reject}

例:

sysadmin-vm:0_RP0(config-cmdrule-1100)#action reject

ユーザーがその動作の使用を許可されるか拒否されるかを指定します。

accept ：ユーザーはその動作の実行を許可されます。
accept_log ：ユーザーはその動作の実行を許可され、アクセスの試行がすべて記録されます。
reject ：ユーザーはその動作の実行を制限されます。

ステップ 7

group user_group_name

例:

sysadmin-vm:0_RP0(config-cmdrule-1100)#group gr1

コマンドルールを適用するユーザーグループを指定します。

ステップ 8

context connection_type

例:

sysadmin-vm:0_RP0(config-cmdrule-1100)#context *

このルールを適用する接続タイプを指定します。接続タイプは netconf （ネットワーク設定プロトコル）、cli （コマンドラインインターフェイス）、または xml （Extensible Markup Language）です。アスタリスク「*」の入力が推奨されます。これは、そのコマンドルールがすべての接続タイプに適用されることを示します。

ステップ 9

commit または end コマンドを使用します。

commit ：設定の変更を保存し、コンフィギュレーションセッションに留まります。

end ：次のいずれかのアクションの実行をユーザーに要求します。

Yes ：設定の変更を保存し、コンフィギュレーションセッションを終了します。
No ：設定の変更をコミットせずに、コンフィギュレーションセッションを終了します。
Cancel ：設定の変更をコミットせずに、コンフィギュレーションセッションに留まります。

次のタスク

データルールを作成します。データルールの作成を参照してください。

データルールの作成

データルールとは、ユーザーグループ内のどのユーザーが設定データ要素へのアクセスとその変更を許可または拒否されるかに基づいたルールです。データルールはユーザーグループに関連付けられます。データルールは、ユーザーグループに属するすべてのユーザーに適用されます。

各データルールは、関連付けられている番号によって識別されます。ユーザーグループに複数のデータルールを適用すると、より小さい番号のデータルールが優先されます。

始める前に

ユーザーグループを作成します。システム管理 VM でのユーザーグループの作成を参照してください。

手順の概要

admin
config
aaa authorization datarules datarule data_rule_number
keypath keypath
ops operation
action { accept | accept_log | reject}
group user_group_name
context connection type
namespace namespace
commit または end コマンドを使用します。

手順の詳細

ステップ 1

admin

例:


RP/0/RSP0/cpu 0: router# admin

管理 EXEC モードを開始します。

ステップ 2

config

例:

sysadmin-vm:0_RP0#config

モードを開始します。

ステップ 3

aaa authorization datarules datarule data_rule_number

例:

sysadmin-vm:0_RP0(config)#aaa authorization datarules datarule 1100

データルール番号として数値を指定します。32 ビットの整数を入力できます。

重要	1 ～ 1000 の数字はシスコで予約済みのため使用しないでください。

このコマンドによって、新しいデータルール（まだ存在していない場合）が作成され、データルールコンフィギュレーションモードが開始されます。例では、データルール「1100」が作成されます。

（注）

デフォルトで、root-system ユーザーの作成時に「datarule 1」がシステムによって作成されます。このデータルールは、すべての設定データの「読み取り」、「書き込み」、および「実行」動作に対する「承認」権限を提供します。したがって「datarule 1」が変更されない限り、root ユーザーに課せられる制限はありません。

ステップ 4

keypath keypath

例:

sysadmin-vm:0_RP0(config-datarule-1100)#keypath  /aaa/disaster-recovery

データ要素のキーパスを指定します。キーパスはデータ要素の場所を定義する式です。keypath にアスタリスク「*」を入力した場合、そのコマンドルールがすべての設定データに適用されることを意味します。

ステップ 5

ops operation

例:

sysadmin-vm:0_RP0(config-datarule-1100)#ops rw

権限を指定する必要がある動作を指定します。各動作は次の文字で識別されます。

c：作成
d：削除
u：更新
w：書き込み（作成、更新、および削除の組み合わせ）
r：読み込み
x：実行

ステップ 6

action { accept | accept_log | reject}

例:

sysadmin-vm:0_RP0(config-datarule-1100)#action reject

ユーザーがその動作を許可されるか拒否されるかを指定します。

accept ：ユーザーはその動作の実行を許可されます。
accept_log ：ユーザーはその動作の実行を許可され、アクセスの試行がすべて記録されます。
reject ：ユーザーはその動作の実行を制限されます。

ステップ 7

group user_group_name

例:

sysadmin-vm:0_RP0(config-datarule-1100)#group gr1

データルールを適用するユーザーグループを指定します。複数のグループ名を指定することもできます。

ステップ 8

context connection type

例:

sysadmin-vm:0_RP0(config-datarule-1100)#context *

このルールを適用する接続タイプを指定します。接続タイプは netconf （ネットワーク設定プロトコル）、cli （コマンドラインインターフェイス）、または xml （Extensible Markup Language）です。アスタリスク「*」の入力が推奨されます。これは、そのコマンドがすべての接続タイプに適用されることを示します。

ステップ 9

namespace namespace

例:

sysadmin-vm:0_RP0(config-datarule-1100)#namespace *

アスタリスク「*」を入力して、データルールが名前空間の値すべてに適用されることを示します。

ステップ 10

commit または end コマンドを使用します。

commit ：設定の変更を保存し、コンフィギュレーションセッションに留まります。

end ：次のいずれかのアクションの実行をユーザーに要求します。

Yes ：設定の変更を保存し、コンフィギュレーションセッションを終了します。
No ：設定の変更をコミットせずに、コンフィギュレーションセッションを終了します。
Cancel ：設定の変更をコミットせずに、コンフィギュレーションセッションに留まります。

ディザスタリカバリのユーザー名とパスワードの変更

ルータの起動後、最初に root-system ユーザー名とパスワードを定義すると、同じユーザー名とパスワードがシステム管理コンソールのディザスタリカバリユーザー名およびパスワードとしてマッピングされます。ただし、これらは変更可能です。

ディザスタリカバリユーザー名およびパスワードは、次の状況で役立ちます。

システム管理コンソールでの認証のデフォルトソースである AAA データベースが破損した場合にシステムへアクセスする。
何らかの理由でシステム管理コンソールが機能しない場合に、管理ポートを通じてシステムにアクセスする。
通常のユーザー名およびパスワードを忘れた場合に、ディザスタリカバリユーザー名とパスワードを使用してシステム管理コンソールにアクセスし、新しいユーザーを作成する。

（注）

ルータでは、ディザスタリカバリユーザー名およびパスワードを一度に 1 つのみ設定できます。

手順の概要

admin
config
aaa disaster-recovery username username password password
commit または end コマンドを使用します。

手順の詳細

ステップ 1	admin 例: `RP/0/RSP0/cpu 0: router# admin` 管理 EXEC モードを開始します。
ステップ 2	config 例: `sysadmin-vm:0_RP0#config` モードを開始します。
ステップ 3	aaa disaster-recovery username `username` password `password` 例: `sysadmin-vm:0_RP0(config)#aaa disaster-recovery username us1 password pwd1` ディザスタリカバリユーザー名とパスワードを指定します。既存のユーザーをディザスタリカバリユーザーとして選択する必要があります。この例では、ディザスタリカバリユーザーとして「us1」が選択され、パスワード「pwd1」が割り当てられます。パスワードは、プレーンテキストまたは MD5 ダイジェスト文字列として入力することができます。ディザスタリカバリユーザー名を使用する場合は、`username`@localhost の形式で入力してください。
ステップ 4	commit または end コマンドを使用します。 commit ：設定の変更を保存し、コンフィギュレーションセッションに留まります。 end ：次のいずれかのアクションの実行をユーザーに要求します。 Yes ：設定の変更を保存し、コンフィギュレーションセッションを終了します。 No ：設定の変更をコミットせずに、コンフィギュレーションセッションを終了します。 Cancel ：設定の変更をコミットせずに、コンフィギュレーションセッションに留まります。

PXE ブートを使用したパスワードの回復

ログインできない場合、または XR およびシステム管理パスワードを紛失した場合は、次の手順を使用して新しいパスワードを作成します。紛失したパスワードは回復できません。代わりに、新しいユーザー名とパスワードを非グレースフル PXE ブートで作成する必要があります。

手順

ステップ 1

PXE を使用してルータを起動します。

（注）

PXE ブートは完全に侵入型なので、ルータの状態、設定、およびイメージがリセットされます。

ルータを PXE ブートするには、iPXE を使用したルータの起動を参照してください。

ステップ 2

パスワードのリセット。

Cisco ASR 9000 シリーズ ルータ（IOS XR リリース 7.5.x）システムセットアップおよびソフトウェア インストール ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： ユーザープロファイルの作成および権限の割り当て

ユーザープロファイルの作成および権限の割り当て

ユーザーグループの作成

XR VM でのユーザーグループの設定

始める前に

手順

例:

例:

例:

例:

例:

システム管理 VM でのユーザーグループの作成

始める前に

手順

例:

例:

例:

例:

例:

次のタスク

ユーザーの作成

XR VM でのユーザープロファイルの作成

手順

例:

例:

例:

例:

例:

システム管理 VM でのユーザープロファイルの作成

手順

例:

例:

例:

例:

例:

例:

例:

例:

コマンド ルールの作成

始める前に

手順の概要

手順の詳細

例:

例:

例:

例:

例:

例:

例:

例:

次のタスク

データ ルールの作成

始める前に

手順の概要

手順の詳細

例:

例:

例:

例:

例:

例:

例:

例:

例:

ディザスタ リカバリのユーザー名とパスワードの変更

手順の概要

手順の詳細

例:

例:

例:

PXE ブートを使用したパスワードの回復

手順

このドキュメントは役に立ちましたか?

シスコに問い合わせ

Cisco ASR 9000 シリーズルータ（IOS XR リリース 7.5.x）システムセットアップおよびソフトウェアインストールガイド

章のタイトル：ユーザープロファイルの作成および権限の割り当て

コマンドルールの作成

データルールの作成

ディザスタリカバリのユーザー名とパスワードの変更