RBAC に関する情報
VPN によるロールベース アクセス コントロール
ロールベース アクセス コントロール(RBAC)は、ネットワーク設定およびリソースへのユーザーアクセスを制限するプロセスです。RBAC では、アクセスが必要なリソースに応じてユーザーにロールを割り当てます。VPN による RBAC 機能は、VPN に基づいてネットワークへのアクセスを管理および制御するのに役立ちます。これには、権限を持つユーザーがアクセスできるようにするアクセス許可と権限の設定が含まれます。
VPN による RBAC
VPN によるロールベースアクセスにより、ネットワーク管理者は 1 つ以上のネットワークセグメントを持つ VPN グループを定義できます。ネットワーク管理者は、ネットワーク内のデバイスおよび Cisco vManage の機能へのユーザーアクセスを制限する VPN グループにユーザーを関連付けることができます。
VPN による RBAC は、VPN グループが設定されたユーザーに次の制限付きアクセスを提供します。
-
VPN ダッシュボードへのアクセス
-
VPN ダッシュボードを介したデバイス、ネットワーク、およびアプリケーションのステータスのモニタリング
-
VPN グループ内のセグメントを持つデバイスに制限された VPN ダッシュボード情報
-
VPN グループ内のセグメントを持つデバイスに制限されたモニタリングオプション
-
VPN グループ内のセグメントのインターフェイスに制限された各デバイスのインターフェイス モニタリング
VPN ダッシュボードの概要
VPN グループで設定されたユーザーは、VPN ダッシュボードにのみアクセスでき、読み取り専用アクセスになります。管理者アクセスのあるユーザーは、VPN グループを作成でき、管理ダッシュボードと VPN ダッシュボードの両方にアクセスできます。管理ユーザーは、Cisco vManage のメニューから [Dashboard] を選択して、これらのダッシュボードにアクセスできます。
AAA を使用したロールベースアクセス
Cisco SD-WAN AAA ソフトウェアは、ロールベースのアクセスを実装して、Cisco IOS XE SD-WAN デバイス のユーザーの認可権限を制御します。ロールベースのアクセスは、次の 3 つのコンポーネントで構成されます。
-
ユーザーは、Cisco IOS XE SD-WAN デバイス へのログインが許可されているユーザーです。
-
ユーザーグループは、ユーザーのコレクションです。
-
権限は各グループに関連付けられています。これらは、グループのユーザーが発行を許可されているコマンドを定義します。
ユーザーとユーザーグループ
Cisco SD-WAN ソフトウェアは、UNIX スーパーユーザーと同様な、完全な管理者権限を持つユーザーである admin という 1 つの標準ユーザー名を提供します。デフォルトでは、admin ユーザー名のパスワードは admin です。このユーザー名を削除または変更することはできませんが、デフォルトのパスワードは変更できますし、変更する必要があります。
ユーザーグループは、Cisco IOS XE SD-WAN デバイス で共通のロールまたは権限を持つユーザーをプールします。ログインアカウント情報の構成の一環として、ユーザーがメンバーであるユーザーグループを指定します。admin ユーザーのグループを指定する必要はありません。このユーザーは自動的にユーザーグループ netadmin に属し、Cisco IOS XE SD-WAN デバイス でのすべての操作の実行が許可されるためです。
ユーザーグループ自体は、そのグループに関連付けられた権限を設定する場所です。これらの権限は、ユーザーが実行を許可されている特定のコマンドに対応し、Cisco SD-WAN ソフトウェア要素への役割ベースのアクセスを効果的に定義します。
Cisco SD-WAN ソフトウェアは、次の標準ユーザーグループを提供します。
-
[basic]:[basic] グループは設定可能なグループであり、任意のユーザーおよび権限レベルに使用できます。このグループは、デバイス上の情報を表示および変更する権限を持つユーザーを含むように設計されています。
-
[operator]:[operator] グループも設定可能なグループであり、任意のユーザーおよび権限レベルに使用できます。このグループは、情報を表示する権限のみを持つユーザーを含むように設計されています。
-
[netadmin]:[netadmin] グループは設定不可能なグループです。デフォルトでは、このグループには admin ユーザーが含まれます。このグループに他のユーザーを追加できます。このグループのユーザーは、デバイスですべての操作を実行できます。
-
サポート対象の最小リリース:Cisco vManage リリース 20.9.1
[network_operations]:[network_operations] グループは設定不可能なグループです。このグループのユーザーは、デバイス上でセキュリティポリシー以外のすべての操作を実行でき、セキュリティポリシー情報は表示のみが可能です。たとえば、ユーザーはテンプレート設定を作成または変更し、災害復旧を管理し、アプリケーション対応ルーティングポリシーや CFlowD ポリシーなどの非セキュリティポリシーを作成できます。
-
サポート対象の最小リリース:Cisco vManage リリース 20.9.1
[security_operations]:[security_operations] グループは設定不可能なグループです。このグループのユーザーは、デバイス上ですべてのセキュリティ操作を実行でき、セキュリティポリシー以外の情報は表示のみが可能です。たとえば、ユーザーは Umbrella キー、ライセンス、IPS 署名の自動更新、TLS/SSL プロキシ設定などを管理できます。
[network_operations] グループのユーザーは、デバイスへのポリシーの適用、適用されたポリシーの取り消し、およびデバイステンプレートの編集を許可されています。[security_operations] グループのユーザーは、デバイスにセキュリティポリシーを展開するために、[network_operations] ユーザーによる 0 日目の介入と、展開されたセキュリティポリシーを削除するために、N 日目の介入が必要です。ただし、セキュリティポリシーがデバイスに展開された後は、[security_operations] ユーザーは、[network_operations] ユーザーの介入を必要とせずにセキュリティポリシーを変更できます。
 (注) |
実行中の設定およびローカル設定を表示できるのは管理ユーザーのみです。事前定義された [operator] ユーザーグループに関連付けられたユーザーは、実行中の設定およびローカル設定にアクセスできません。事前定義されたユーザーグループ [operator] には、テンプレート設定の読み取りアクセスのみがあります。管理者ユーザー権限のサブセットのみが必要な場合は、機能リストから選択した機能を使用して、読み取りと書き込みの両方のアクセス権を持つ新しいユーザーグループを作成し、そのグループをカスタムユーザーに関連付ける必要があります。 |
ロールベースのアクセス権限
ロールベースのアクセス権限は、タスクと呼ばれる 5 つのカテゴリに分類されます。
-
インターフェイス:Cisco IOS XE SD-WAN デバイス 上のインターフェイスを制御するための権限。
-
ポリシー:コントロール プレーン ポリシー、OMP、およびデータプレーンポリシーを制御するための権限。
-
ルーティング:BFD、BGP、OMP、OSPF などのルーティングプロトコルを制御するための権限。
-
セキュリティ:ソフトウェアや証明書のインストールなど、デバイスのセキュリティを制御するための権限。[netadmin] グループに属するユーザーのみがシステムにソフトウェアをインストールできます。
-
システム:一般的なシステム全体の権限。
次のセクションの表は、ユーザーおよびユーザーグループの AAA 認証ルールの詳細を示しています。これらの認証ルールは、CLI から発行されたコマンドと Netconf から発行されたコマンドに適用されます。
操作コマンドのユーザー認証ルール
操作コマンドのユーザー認証ルールは、ユーザー名のみに基づいています。Cisco IOS XE SD-WAN デバイス にログインできるユーザーは、ほとんどの操作コマンドを実行できます。ただし、ソフトウェアのインストールとアップグレード、デバイスのシャットダウンなど、デバイスの基本的な操作に影響を与えるコマンドを発行できるのは admin ユーザーだけです。
どのユーザーも config コマンドを発行して設定モードに入ることができ、設定モードに入ると、一般的な設定コマンドを発行できることに注意してください。また、すべてのユーザーは、system aaa user self password password コマンドを発行して、その設定変更をコミットすることにより、自分のパスワードを設定することができます。デバイスの動作を設定する実際のコマンドでは、ユーザーグループのメンバーシップに従って承認が定義されます。「設定コマンドのユーザーグループの認証ルール」を参照してください。
次の表に、一般的な CLI コマンドの AAA 認証ルールを示します。注記があるものを除き、すべてのコマンドは操作コマンドです。また、「admin」ユーザーが使用できる一部のコマンドは、そのユーザーが「netadmin」ユーザーグループに属している場合にのみ使用できます。
|
CLI コマンド |
すべてのユーザー |
管理者ユーザ |
|---|---|---|
|
clear history |
X |
X |
|
commit confirm |
X |
X |
|
complete-on-space |
X |
X |
|
config |
X |
X |
|
exit |
X |
X |
|
file |
X |
X |
|
help |
X |
X |
|
[no] history |
X |
X |
|
idle-timeout |
X |
X |
|
job |
X |
X |
|
logout |
— |
X(netadmin グループのユーザーのみ) |
|
monitor |
X |
X |
|
nslookup |
X |
X |
|
paginate |
X |
X |
|
ping |
X |
X |
|
poweroff |
— |
X(netadmin グループのユーザーのみ) |
|
prompt1 |
X |
X |
|
prompt2 |
X |
X |
|
quit |
X |
X |
|
reboot |
— |
X(netadmin グループのユーザーのみ) |
|
request aaa request admin-tech request firmware request interface-reset request nms request reset request software |
— |
X(netadmin グループのユーザーのみ) |
|
request execute request download request upload |
X |
X |
|
request(その他すべて) |
— |
× |
|
rollback(設定モードコマンド) |
— |
X(netadmin グループのユーザーのみ) |
|
screen-length |
X |
X |
|
screen-width |
X |
X |
|
show cli |
X |
X |
|
show configuration commit list |
X |
X |
|
show history |
X |
X |
|
show jobs |
X |
X |
|
show parser dump |
X |
X |
|
show running-config |
X |
X |
|
show users |
X |
X |
|
system aaa user self password password(設定モードコマンド)(注:ユーザーは自分自身を削除できません) |
||
|
tcpdump |
X |
X |
|
timestamp |
X |
X |
|
tools ip-route |
X |
X |
|
tools netstat |
X |
X |
|
tools nping |
X |
X |
|
traceroute |
X |
X |
|
vshell |
X |
X(netadmin グループのユーザーのみ) |
操作コマンドのユーザーグループの認証ルール
操作コマンドのユーザーグループの認証ロールを次の表に示します。
|
操作コマンド |
インターフェイス |
ポリシー |
ルーティング |
セキュリティ |
システム |
|---|---|---|---|---|---|
|
clear app |
X |
||||
|
clear app-route |
X |
||||
|
clear arp |
X |
||||
|
clear bfd |
X |
X |
|||
|
clear bgp |
X |
X |
|||
|
clear bridge |
X |
||||
|
clear cellular |
X |
||||
|
clear control |
X |
||||
|
clear crash |
X |
||||
|
clear dhcp |
X |
||||
|
clear dns |
X |
||||
|
clear igmp |
X |
||||
|
clear installed-certificates |
X |
||||
|
clear interface |
X |
||||
|
clear ip |
X |
||||
|
clear notification |
X |
||||
|
clear omp |
X |
||||
|
clear orchestrator |
X |
||||
|
clear ospf |
X |
||||
|
clear pim |
X |
||||
|
clear policy |
X |
||||
|
clear pppoe |
X |
||||
|
clear system |
X |
||||
|
clear tunnel |
X |
||||
|
clear wlan |
X |
||||
|
clear ztp |
X |
X |
|||
|
clock |
X |
||||
|
debug bgp |
X |
||||
|
debug cellular |
X |
||||
|
debug cflowd |
X |
||||
|
debug chmgr |
X |
||||
|
debug config-mgr |
X |
||||
|
debug dhcp-client |
X |
||||
|
debug dhcp-helper |
X |
||||
|
debug dhcp-server |
X |
||||
|
debug fpm |
X |
||||
|
debug ftm |
X |
||||
|
debug igmp |
X |
||||
|
debug netconf |
X |
||||
|
debug omp |
X |
||||
|
debug ospf |
X |
||||
|
debug pim |
X |
||||
|
debug resolver |
X |
||||
|
debug snmp |
X |
||||
|
debug sysmgr |
X |
||||
|
debug transport |
X |
||||
|
debug ttm |
X |
||||
|
debug vdaemon |
X |
X |
|||
|
debug vrrp |
X |
||||
|
debug wlan |
X |
||||
|
request certificate |
X |
||||
|
request control-tunnel |
X |
||||
|
request controller |
X |
||||
|
request controller-upload |
X |
||||
|
request csr |
X |
||||
|
request device |
X |
||||
|
request device-upload |
X |
||||
|
request on-vbond-controller |
X |
||||
|
request port-hop |
X |
||||
|
request root-cert-chain |
X |
||||
|
request security |
X |
||||
|
request vedge |
X |
||||
|
request vedge-upload |
X |
||||
|
request vsmart-upload |
X |
||||
|
show aaa |
X |
||||
|
show app |
X |
||||
|
show app-route |
X |
||||
|
show arp |
X |
||||
|
show bfd |
X |
X |
|||
|
show bgp |
X |
||||
|
show boot-partition |
X |
||||
|
show bridge |
X |
||||
|
show cellular |
X |
||||
|
show certificate |
X |
||||
|
show clock |
X |
||||
|
show control |
X |
X |
|||
|
show crash |
X |
||||
|
show debugs:debug コマンドと同じ |
|||||
|
show dhcp |
X |
||||
|
show external-nat |
X |
X |
|||
|
show hardware |
X |
||||
|
show igmp |
X |
||||
|
show interface |
X |
||||
|
show ip |
X |
X |
|||
|
show ipsec |
X |
||||
|
show licenses |
X |
||||
|
show logging |
X |
||||
|
show multicast |
X |
||||
|
show nms-server |
X |
||||
|
show notification |
X |
||||
|
show ntp |
X |
||||
|
show omp |
X |
X |
X |
||
|
show orchestrator |
X |
||||
|
show ospf |
X |
||||
|
show pim |
X |
||||
|
show policer |
X |
||||
|
show policy |
X |
||||
|
show ppp |
X |
||||
|
show pppoe |
X |
||||
|
show reboot |
X |
||||
|
show security-info |
X |
||||
|
show software |
X |
||||
|
show system |
X |
||||
|
show transport |
X |
||||
|
show tunnel |
X |
||||
|
show uptime |
X |
||||
|
show users |
X |
||||
|
show version |
X |
||||
|
show vrrp |
X |
||||
|
show wlan |
X |
||||
|
show ztp |
X |
設定コマンドのユーザーグループの認証ルール
次の表に、設定コマンドのユーザーグループの認証ルールを示します。
|
コンフィギュレーション コマンド |
インターフェイス |
ポリシー |
ルーティング |
セキュリティ |
システム |
|---|---|---|---|---|---|
|
apply-policy |
X |
||||
|
banner |
X |
||||
|
bfd |
X |
X |
|||
|
bridge |
X |
||||
|
[omp] |
X |
X |
X |
||
|
ポリシー |
X |
||||
|
security |
X |
X |
|||
|
snmp |
X |
||||
|
system |
X |
||||
|
vpn interface |
X |
||||
|
vpn ip |
X |
||||
|
vpn router |
X |
||||
|
vpn service |
X |
||||
|
vpn(作成、削除、命名を含むその他すべて) |
X |
||||
|
wlan |
X |
リソースグループによる RBAC の概要
サポートされている最小リリース:Cisco IOS XE リリース 17.5.1a、Cisco vManage リリース 20.5.1
リソースグループによる RBAC は、ユーザーグループとリソースグループに基づいてユーザーのシステムアクセスを制限または承認する方法です。ユーザーグループはシステム内のユーザーの権限を定義し、リソースグループはユーザーがアクセスできる組織(ドメイン)を定義します。権限がユーザーに直接割り当てられることはないため、個々のユーザー権限の管理では、適切なユーザーとリソースグループを割り当てることが主な作業になります。
複数の地理的な場所にまたがる大規模な Cisco SD-WAN 展開では、ネットワーク管理を異なる地域管理者間で分割できます。
ネットワーク管理者が割り当てられているユーザーグループとリソースグループに基づいて、それらをグローバル管理者と地域管理者として大まかに分類できます。グローバル管理者は、すべてのリソースグループのリソースにアクセスでき、すべての機能に対する完全な読み取り/書き込み特権を持っています。地域管理者グループには、すべての機能に対する完全な読み取り/書き込み権限がありますが、アクセスできるリソースは、割り当てられているリソースグループによって制御されます。
Global Admin
グローバルリソースグループのユーザーアカウントは、すべてのリソースにアクセスできます。グローバル管理者は、ネットワーク全体を監視する責任がありますが、毎日の個々のデバイスの操作には関与しません。グローバル管理者は、デバイスを対応する地域に割り当て、地域管理者アカウントを割り当て、コントローラを管理し、共有可能で一元化された構成を維持し、必要に応じて個々のデバイスを操作できます。
netadmin 権限を持ち、グローバルリソースグループの一部でもあるシングル テナント セットアップのユーザーは、グローバル管理者と見なされます。Cisco vManage のデフォルトの管理者ユーザーもグローバル管理者であり、そのユーザーはさらにグローバル管理者を割り当てることができます。グローバルリソースグループには、すべての WAN エッジ、単一ビューのコントローラが含まれます。
グローバル管理者は、特定のリソースグループのみを表示するように切り替え、テンプレートを作成できます。地域管理者とも呼ばれるローカルリソースグループ管理者は、グローバルテンプレートを複製して、リソースグループ内で再利用できます。
地域管理者
地域管理者は、対応する地域のデバイスの日常的な操作(構成、監視、オンボーディング、など)を担当します。地域外のデバイスにアクセスしたり、表示したりしてはなりません。次のユーザーグループを作成できます。
-
リソースグループ管理者:対応するリソースグループ内のデバイスへの完全な読み取り/書き込みアクセス権。グループ内の WAN エッジのテンプレートのトラブルシューティング、監視、アタッチ、またはデタッチを行うことができます
-
リソースグループオペレータ:リソースグループ内の WAN エッジへの読み取り専用アクセス
-
リソースグループ基本:基本アクセス
リソースグループの管理者は、新しいテンプレートを作成し、グループ内の WAN エッジにアタッチまたはデタッチできます。また、グローバルテンプレートをコピーして再利用することもできます。
リソースグループは、ユーザーがアクセスできるリソースを決定します。ただし、アクセスレベルは既存のユーザーグループによって制御されます。
-
ユーザーが resource_group_a およびユーザーグループ resource_group_admin に属している場合、resource_group_a のすべてのリソースへの完全な読み取り/書き込みアクセス権があります。
-
ユーザーが resource_group_a およびユーザーグループ resource_group_operator に属している場合、resource_group_a のすべてのリソースへの読み取り専用アクセス権があります。
-
ユーザーが resource_group_a およびユーザーグループ resource_group_basic に属している場合、resource_group_a のインターフェイスおよびシステムリソースへの読み取り専用アクセス権があります。
グローバルリソースグループ
グローバルグループは、異なるアクセス制御ルールを持つ特別なシステム定義済みリソースグループです。
-
このグループ内のユーザーはグローバル管理者と見なされ、システム内のすべてのリソース(デバイス、テンプレート、ポリシー)に完全にアクセスでき、リソースグループを管理し、リソースとユーザーをグループに割り当てることができます。
-
他のすべてのユーザーは、このグループ内のリソースへの読み取り専用アクセス権を持っています。
-
システムのデフォルトの管理者アカウント(またはマルチテナント設定の tenantadmin アカウント)は、常にこのグループに属します。この権限は変更できません。ただし、管理者アカウントは、他のユーザーアカウントをこのグループに追加したり、このグループから削除したりできます。
IdP(SSO)管理グループ
ID プロバイダー(IdP)は、ユーザー ID を保存して検証するサービスです。IdP は通常、シングルサインオン(SSO)プロバイダーと連携してユーザーを認証します。ユーザーが IdP の SSO サービスで認証されている場合、グループ情報も IDP によって提供および管理されます。IdP は、ユーザー名やユーザーが属するすべてのグループ名など、ユーザーに関する情報を渡します。Cisco vManage は、グループ名をデータベースに保存されているグループ名と照合して、IdP から渡された特定のグループ名がユーザーグループ、リソースグループ、または VPN グループのものであるかどうかをさらに区別します。
マルチテナントサポート
Cisco SD-WAN マルチテナント機能を使用すると、サービスプロバイダーは、Cisco vManage からテナントと呼ばれる複数の顧客を管理できます。テナントは、Cisco vManage インスタンス、Cisco vBond Orchestrator、および Cisco vSmart Controller を共有します。サービスプロバイダーのドメイン名には、テナントごとにサブドメインがあります。Cisco vManage は、サービスプロバイダーによって展開および設定されます。プロバイダーは、マルチテナント機能を有効にし、テナントにサービスを提供する Cisco vManage クラスタを作成します。SSH 端末を介して Cisco vManage インスタンスにアクセスできるのはプロバイダーのみです。
プロバイダーには次の機能があります。
-
プロバイダーはコントローラのみを管理するため、リソースグループは適用されません。
-
プロバイダーが新しいテナントをプロビジョニングする場合、テナントのデフォルトのユーザーアカウントは tenantadmin です。
-
プロバイダーによって作成された他のユーザーアカウントは、既定のグローバルリソースグループに含まれます。
-
プロバイダーがテナント用のテンプレートを作成すると、そのテンプレートはグローバルリソースグループに含まれます。
ポリシーの RBAC の概要
サポートされている最小リリース:Cisco IOS XE リリース 17.6.1a、Cisco vManage リリース 20.6.1
ポリシーに対する RBAC により、ユーザーまたはユーザーグループは、Cisco vManage ポリシーへの選択的な読み取りおよび書き込み(RW)アクセスを行うことができます。次に例を示します。
-
Cflowd ポリシーの RW アクセスを持つユーザーは、Cflowd ポリシーのみを構成でき、アプリケーション対応ルーティングポリシーを構成することはできません。
-
アプリケーション対応ルーティングポリシーの RW アクセスを持つユーザーは、アプリケーション対応ルーティングポリシーのみを構成でき、他のポリシーを構成することはできません。
この機能は、集中化およびローカライズされたポリシーでのみサポートされており、セキュリティポリシーではサポートされていません。
機能テンプレートの詳細な RBAC に関する情報
サポート対象の最小リリース:Cisco vManage リリース 20.7.1
ユーザーグループのアクセス権を設定する場合、次のテンプレート権限を使用して、さまざまなタイプのテンプレートへの特定のレベルのアクセス権を RBAC ユーザーに付与できます。これにより、RBAC ユーザーが適用できるデバイス設定のタイプを管理できます。
|
権限 |
説明 |
|---|---|
|
CLI アドオンテンプレート |
CLI アドオン機能テンプレートへのアクセス権を付与します。 |
|
デバイス CLI テンプレート |
デバイス CLI テンプレートへのアクセス権を付与します。 |
|
SIG テンプレート |
SIG 機能テンプレートおよび SIG ログイン情報テンプレートへのアクセス権を付与します。 |
|
その他の機能テンプレート |
SIG 機能テンプレート、SIG ログイン情報テンプレート、および CLI アドオン機能テンプレートを除くすべての機能テンプレートへのアクセス権を付与します。 |
シングルテナントとマルチテナントのシナリオ
シングルテナントおよびマルチテナント Cisco vManage のシナリオでは、機能テンプレートに詳細な RBAC を使用できます。
ユーザーグループを作成して、テナントのさまざまなチームに特定の権限を割り当てることができます。これにより、チームは、デバイス CLI テンプレートを使用する権限がなくても、特定のネットワークサービスのみを管理できます。デバイス CLI テンプレートは他のテンプレートやデバイス設定を上書きする可能性があるため、テナントにデバイス CLI テンプレートを適用する権限を与えることは望ましくない場合があります。
たとえば、テナントのセキュリティ運用グループ用のユーザーグループを作成して、SIG テンプレートオプションへの読み取り/書き込みアクセスのみを許可することができます。これにより、セキュリティ運用グループはセキュリティ設定を使用できるようになります。
きめ細かい設定タスク権限に関する情報
Cisco vManage リリース 20.9.1 からは多数のユーザー権限オプションが利用可能であり、設定グループと機能プロファイルに関連する特定の設定タスクの管理権限をユーザーに割り当てる際にきめ細かい対応が可能です。
RBAC の利点
機能テンプレートのきめ細かい RBAC の利点
サポート対象の最小リリース:Cisco vManage リリース 20.7.1
共同管理のために追加する権限は、ネットワーク設定へのアクセスを詳細に制御するのに役立ちます。これらは、テナントで Cisco SD-WAN を使用する場合に便利で、特定のタイプのテンプレートへのテナントアクセスを提供できます。テナントの VPN 内でテナントに自己管理によるネットワーク構成タスクを与えることができます。
共同管理用に追加された権限については、機能テンプレートの詳細な RBAC に関する情報を参照してください。
フィードバック