Cisco Nexus 7000 シリーズ NX-OS セキュリティ コマンド リファレンス リリース 5.x

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。

マニュアルのコンテンツ
このマニュアル内で検索
ご利用いただける言語
Download Options

Book Title

Cisco Nexus 7000 シリーズ NX-OS セキュリティ コマンド リファレンス リリース 5.x

Chapter Title

U コマンド

検索結果

Updated:
2017年6月14日

章のタイトル: U コマンド

U コマンド

この章では、U で始まる Cisco NX-OS セキュリティ コマンドについて説明します。

use-vrf

RADIUS、TACACS+、または LDAP サーバ グループの Virtual Routing and Forwarding(VRF; VPN ルーティングおよび転送)インスタンス名を指定するには、 use-vrf コマンドを使用します。VRF 名を削除するには、このコマンドの no 形式を使用します。

use-vrf vrf-name

no use-vrf vrf-name

 
構文の説明

vrf-name

VRF 名。名前では、大文字と小文字が区別されます。

 
デフォルト

なし

 
コマンド モード

RADlUS サーバ グループ コンフィギュレーション
TACACS+ サーバ グループ コンフィギュレーション
LDAP サーバ グループ コンフィギュレーション

サポートされるユーザ ロール

network-admin
vdc-admin

 
コマンド履歴

リリース
変更内容

5.0(2)

LDAP サーバ グループのサポートが追加されました。

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

サーバ グループに設定できるのは、1 つの VRF インスタンスだけです。

RADIUS サーバ グループ コンフィギュレーション モードを開始するには、 aaa group server radius コマンドを使用します。TACACS+ サーバ グループ コンフィギュレーション モードを開始するには、 aaa group server tacacs+ コマンドを使用します。LDAP サーバ グループ コンフィギュレーション モードを開始するには、 aaa group server ldap コマンドを使用します。

サーバを検索できなかった場合、 radius-server host コマンド、 tacacs-server host コマンド、または ldap-server host コマンドを使用してサーバを設定します。

) TACACS+ を設定する前に、feature tacacs+ コマンドを使用するか、LDAP を設定する前に、feature ldap コマンドを使用する必要があります。

このコマンドには、ライセンスは不要です。

次に、RADIUS サーバ グループの VRF 名を指定する例を示します。

switch# config t
switch(config)# aaa group server radius RadServer
switch(config-radius)# use-vrf vrf1
 

次に、TACACS+ サーバ グループの VRF 名を指定する例を示します。

switch# config t
switch(config)# feature tacacs+
switch(config)# aaa group server tacacs+ TacServer
switch(config-tacacs+)# use-vrf vrf2
 

次に、TACACS+ サーバ グループから VRF 名を削除する例を示します。

switch# config t
switch(config)# feature tacacs+
switch(config)# aaa group server tacacs+ TacServer
switch(config-tacacs+)# no use-vrf vrf2
 

次に、LDAP サーバ グループの VRF 名を指定する例を示します。

switch# config t
switch(config)# feature ldap
switch(config)# aaa group server ldap LdapServer
switch(config-tacacs+)# use-vrf vrf3
 

次に、LDAP サーバ グループから VRF 名を削除する例を示します。

switch# config t
switch(config)# feature ldap
switch(config)# aaa group server ldap LdapServer
switch(config-tacacs+)# no use-vrf vrf3
 

 
関連コマンド

コマンド
説明

aaa group server

AAA サーバ グループを設定します。

radius-server host

RADIUS サーバを設定します。

show ldap-server groups

LDAP サーバ情報を表示します。

show radius-server groups

RADIUS サーバ情報を表示します。

show tacacs-server groups

TACACS+ サーバ情報を表示します。

feature ldap

LDAP をイネーブルにします。

feature tacacs+

TACACS+ をイネーブルにします。

ldap-server host

LDAP サーバを設定します。

tacacs-server host

TACACS+ サーバを設定します。

vrf

VRF インスタンスを設定します。

user-certdn-match

検索クエリーを LDAP サーバに送信するために、証明書 DN 一致検索操作のアトリビュート名、検索フィルタ、ベース DN を設定するには、 user-certdn-match コマンドを使用します。この設定をディセーブルにするには、このコマンドの no 形式を使用します。

user-certdn-match attribute-name attribute-name search-filter filter base-DN base-DN-name

no user-certdn-match

 
構文の説明

attribute-name attribute-name

LDAP 検索マップのアトリビュート名。名前は、英数字で指定します。大文字と小文字が区別され、最大文字数は 128 です。

search-filter filter

LDAP 検索マップのフィルタ。名前は、英数字で指定します。大文字と小文字が区別され、最大文字数は 128 です。

base-DN base-DN-name

LDAP 検索マップのベース指定名。名前は、英数字で指定します。大文字と小文字が区別され、最大文字数は 128 です。

 
デフォルト

なし

 
コマンド モード

LDAP 検索マップ コンフィギュレーション

サポートされるユーザ ロール

network-admin
vdc-admin

 
コマンド履歴

リリース
変更内容

5.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを使用するには、LDAP をイネーブルにする必要があります。

このコマンドには、ライセンスは不要です。

次に、検索クエリーを LDAP サーバに送信するために、証明書 DN 一致検索操作のアトリビュート名、検索フィルタ、ベース DN を設定する例を示します。

switch# conf t
switch(config)# ldap search-map s0
switch(config-ldap-search-map)# user-certdn-match attribute-name certificateDN search-filter (&(objectClass=inetOrgPerson)(cn=$userid)) base-DN dc=acme,dc=com
switch(config-ldap-search-map)#
 

 
関連コマンド

コマンド
説明

feature ldap

LDAP をイネーブルにします。

ldap search-map

LDAP 検索マップを設定します。

show ldap-search-map

設定済み LDAP 検索マップを表示します。

user-pubkey-match

検索クエリーを LDAP サーバに送信するために、公開鍵一致検索操作のアトリビュート名、検索フィルタ、ベース DN を設定するには、 user-pubkey-match コマンドを使用します。この設定をディセーブルにするには、このコマンドの no 形式を使用します。

user-pubkey-match attribute-name attribute-name search-filter filter base-DN base-DN-name

no user-pubkey-match

 
構文の説明

attribute-name attribute-name

LDAP 検索マップのアトリビュート名。名前は、英数字で指定します。大文字と小文字が区別され、最大文字数は 128 です。

search-filter filter

LDAP 検索マップのフィルタ。名前は、英数字で指定します。大文字と小文字が区別され、最大文字数は 128 です。

base-DN base-DN-name

LDAP 検索マップのベース指定名。名前は、英数字で指定します。大文字と小文字が区別され、最大文字数は 128 です。

 
デフォルト

なし

 
コマンド モード

LDAP 検索マップ コンフィギュレーション

サポートされるユーザ ロール

network-admin
vdc-admin

 
コマンド履歴

リリース
変更内容

5.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを使用するには、LDAP をイネーブルにする必要があります。

このコマンドには、ライセンスは不要です。

次に、検索クエリーを LDAP サーバに送信するために、公開鍵一致検索操作のアトリビュート名、検索フィルタ、ベース DN を設定する例を示します。

switch# conf t
switch(config)# ldap search-map s0
switch(config-ldap-search-map)# user-pubkey-match attribute-name sshPublicKey search-filter (&(objectClass=inetOrgPerson)(cn=$userid)) base-DN dc=acme,dc=com
switch(config-ldap-search-map)#
 

 
関連コマンド

コマンド
説明

feature ldap

LDAP をイネーブルにします。

ldap search-map

LDAP 検索マップを設定します。

show ldap-search-map

設定済み LDAP 検索マップを表示します。
 

user-switch-bind

検索クエリーを LDAP サーバに送信するために、ユーザスイッチグループ検索操作のアトリビュート名、検索フィルタ、ベース DN を設定するには、 user-switch-bind コマンドを使用します。この設定をディセーブルにするには、このコマンドの no 形式を使用します。

user-switch-bind attribute-name attribute-name search-filter filter base-DN base-DN-name

no user-switch-bind

 
構文の説明

attribute-name attribute-name

LDAP 検索マップのアトリビュート名。名前は、英数字で指定します。大文字と小文字が区別され、最大文字数は 128 です。

search-filter filter

LDAP 検索マップのフィルタ。名前は、英数字で指定します。大文字と小文字が区別され、最大文字数は 128 です。

base-DN base-DN-name

LDAP 検索マップのベース指定名。名前は、英数字で指定します。大文字と小文字が区別され、最大文字数は 128 です。

 
デフォルト

なし

 
コマンド モード

LDAP 検索マップ コンフィギュレーション

サポートされるユーザ ロール

network-admin
vdc-admin

 
コマンド履歴

リリース
変更内容

5.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを使用するには、LDAP をイネーブルにする必要があります。

このコマンドには、ライセンスは不要です。

次に、検索クエリーを LDAP サーバに送信するために、ユーザスイッチグループ検索操作のアトリビュート名、検索フィルタ、ベース DN を設定する例を示します。

switch# conf t
switch(config)# ldap search-map s0
switch(config-ldap-search-map)# user-switch-bind attribute-name memberuid search-filter (&(objectClass=posixGroup)(cn=dcgroup)) base-DN dc=acme,dc=com
switch(config-ldap-search-map)#
 

 
関連コマンド

コマンド
説明

feature ldap

LDAP をイネーブルにします。

ldap search-map

LDAP 検索マップを設定します。

show ldap-search-map

設定済み LDAP 検索マップを表示します。
 

username

仮想デバイス コンテキスト(VDC)にユーザ アカウントを作成および設定するには、 username コマンドを使用します。ユーザ アカウントを削除するには、このコマンドの no 形式を使用します。

username user-id [ expire date ] [ password [ 0 | 5 ] password ] [ role role-name ]

username user-id [ sshkey { key | file filename }]

username user-id [ keypair generate { rsa [ bits [force]] | dsa [force]}]

username user-id [ keypair {export | import} {bootflash: filename | volatile: filename } {rsa | dsa} [force]]

username user-id [ priv-lvl n] [ expire date ] [ password [ 0 | 5 ] password ]

no username user-id

 
構文の説明

user-id

ユーザ アカウントのユーザ ID。 user-id 引数は、大文字と小文字が区別され、英数字文字列で指定します。最大文字数は 28 です。

引数の文字列に特殊文字の _ . + = \ - を使用できます。

expire date

(任意)ユーザ アカウントが満了する日付を指定します。 date 引数の形式は、YYYY-MM-DD です。

password

(任意)アカウントのパスワードを指定します。デフォルトでは、パスワードは設定されていません。

0

(任意)パスワードがクリア テキストであること指定します。クリア テキストのパスワードは、実行コンフィギュレーションに保存される前に暗号化されます。

5

(任意)パスワードが暗号化形式であること指定します。暗号化パスワードは、実行コンフィギュレーションに保存されるまで変更されません。

password

パスワードのストリング。パスワードは、英数字で指定します。大文字と小文字が区別され、最大文字数は 64 です。

(注) パスワード文字列では、引用符で囲んだ出力可能なすべての ASCII 文字がサポートされています。

role role-name

(任意)ユーザ ロールを指定します。 role-name 引数では、大文字と小文字が区別されます。

sshkey

(任意)ユーザ アカウントの SSH 鍵を指定します。

key

SSH 鍵の文字列。

file filename

SSH 鍵の文字列を含むファイル名を指定します。

keypair

SSH ユーザ鍵を生成します。

generate

SSH キーペアを生成します。

rsa

RSA 鍵を生成します。

bits

鍵の生成に使用するビット数。有効範囲は 768 ~ 2048 で、デフォルト値は 1024 です。

force

以前の鍵が存在する場合でも強制的に鍵を生成します。

dsa

Digital System Algorithm(DSA)鍵を生成します。

export

ブートフラッシュまたは揮発性ディレクトリにキーペアをエクスポートします。

import

ブートフラッシュまたは揮発性ディレクトリからキーペアをインポートします。

bootflash: filename

ブートフラッシュ ファイル名を指定します。

volatile: filename

リモート ファイル名を指定します。

priv-lvl n

ユーザに割り当てる権限レベルを指定します。範囲は 0 ~ 15 です。

 
デフォルト

指定しない限り、ユーザ名には満了日、パスワード、または SSH 鍵が存在しません。

デフォルトの VDC では、作成するユーザに network-admin ロールがある場合、デフォルトのロールは network-operator で、作成するユーザに vdc-admin ロールがある場合、デフォルトのロールは vdc-operator です。

デフォルトでない VDC では、デフォルトのユーザ ロールは vdc-operator です。

デフォルトの管理ユーザ ロールは削除できません。また、デフォルトの管理ユーザ ロールの満了日の変更または network-admin ロールの削除はできません。

権限レベルを指定するには、 feature privilege コマンドを使用して、TACACS+ サーバでのコマンド認可にロールの累積権限をイネーブルにする必要があります。デフォルトの権限レベルはありません。

このコマンドには、ライセンスは不要です。

 
コマンド モード

グローバル コンフィギュレーション

サポートされるユーザ ロール

network-admin
vdc-admin

 
コマンド履歴

リリース
変更内容

5.0(2)

keypair キーワード オプションが追加されました。

5.0(2)

priv-lvl キーワード オプションが追加されました。

4.1(2)

sshkey キーワード オプションが追加されました。

4.0(1)

このコマンドが追加されました。

 
使用上のガイドライン

Cisco NX-OS ソフトウェアは、admin および adminbackup の 2 つのデフォルト ユーザ アカウントを VDC に作成します。デフォルトでない VDC には、1 つのデフォルト ユーザ アカウント(admin)があります。デフォルト ユーザ アカウントを削除することはできません。

ユーザ アカウントは、VDC に対してローカルです。異なる VDC に同じユーザ ID を持つユーザ アカウントを作成できます。

Cisco NX-OS ソフトウェアは、 password strength-check コマンドを使用してパスワードの強度の確認をイネーブルにした場合だけ、強力なパスワードを許可します。強力なパスワードは、次の特性を備えています。

最低 8 文字の長さ

連続した文字(「abcd」など)が多数含まれない

文字の繰り返し(「aaabbb」など)が多数含まれない

辞書で確認できる単語が含まれない

固有名詞が含まれない

大文字と小文字が両方とも含まれる

数字が含まれる

注意 ユーザ アカウントのパスワードを指定しない場合、ユーザがアカウントにログインできない可能性があります。

このコマンドを使用するには、 feature privilege コマンドを使用して、ロールの累積権限をイネーブルにする必要があります。

キーペアのエクスポートまたはインポート時には、パスフレーズが必要です。パスフレーズは、ユーザのエクスポートされた秘密鍵を暗号化し、インポート時に復号化します。

このコマンドには、ライセンスは不要です。

次に、パスワードおよびユーザ ロールを持つユーザ アカウントを作成する例を示します。

switch# config t
switch(config)# username user1 password Ci5co321 role vdc-admin

 

次に、ユーザ アカウントの SSH 鍵を設定する例を示します。

switch# config t
switch(config)# username user1 sshkey file bootflash:key_file

 

次に、SSH 公開鍵および秘密鍵を生成し、それらをユーザの Cisco NX-OS デバイスのホーム ディレクトリに保存する例を示します。

switch# config t
switch(config)# username user1 keypair generate rsa
generating rsa key(2048 bits)......
generated rsa key

 

次に、公開鍵および秘密鍵を Cisco NX-OS デバイスのホーム ディレクトリからブートフラッシュ ディレクトリにエクスポートする例を示します。

switch# config t
switch(config)# username user1 keypair export bootflash:key_rsa rsa
Enter Passphrase:
switch(config)# dir
.
.
.
951 Jul 09 11:13:59 2009 key_rsa
221 Jul 09 11:14:00 2009 key_rsa.pub
.
.
 

秘密鍵は指定したファイルとしてエクスポートされ、公開鍵は、.pub 拡張子の付いた同じファイル名でエクスポートされます。

次に、エクスポートされた公開鍵および秘密鍵をブートフラッシュ ディレクトリから Cisco NX-OS デバイスのホーム ディレクトリにインポートする例を示します。

switch# config t
switch(config)# username user1 keypair import bootflash:key_rsa rsa
Enter Passphrase:
switch(config)# show username user1 keypair
**************************************
rsa Keys generated: Thu Jul 9 11:10:29 2009
ssh-rsa
AAAAB3NzaC1yc2EAAAABIwAAAIEAxWmjJT+oQhIcvnrMbx2BmD0P8boZElTfJ
Fx9fexWp6rOiztlwODtehnjadWc6A+DE2DvYNvqsrU9TBypYDPQkR/+Y6cKubyFW
VxSBG/NHztQc3+QC1zdkIxGNJbEHyFoajzNEO8LLOVFIMCZ2Td7gxUGRZc+fbq
S33GZsCAX6v0=
bitcount:262144
fingerprint:
8d:44:ee:6c:ca:0b:44:95:36:d0:7d:f2:b5:78:74:7d
**************************************
could not retrieve dsa key information
**************************************
switch(config)#
 

秘密鍵は指定したファイルとしてインポートされ、公開鍵は、.pub 拡張子の付いた同じファイル名でインポートされます。

次に、ユーザに権限レベル 15 を割り当てる例を示します。

switch# config t
switch(config)# feature privilege
switch(config)# enable secret 5 def456 priv-lvl 15
switch(config)# username user2 priv-lvl 15

 

 
関連コマンド

コマンド
説明

enable level

ユーザが高い権限レベルに移行できるようにします。

enable secret priv-lvl

特定の権限レベルのシークレット パスワードをイネーブルにします。

feature privilege

TACACS+ サーバでのコマンド認可に対するロールの累積権限をイネーブルにします。

password strength-check

パスワードのセキュリティ強度を確認します。

show privilege

現在の権限レベル、ユーザ名、および累積権限のサポートのステータスを表示します。

show user-account

ユーザ アカウントの設定を表示します。

show username

指定したユーザの公開鍵を表示します。

userprofile

検索クエリーを LDAP サーバに送信するために、ユーザ プロファイル検索操作のアトリビュート名、検索フィルタ、ベース DN を設定するには、 userprofile コマンドを使用します。この設定をディセーブルにするには、このコマンドの no 形式を使用します。

userprofile attribute-name attribute-name search-filter filter base-DN base-DN-name

no userprofile

 
構文の説明

attribute-name attribute-name

LDAP 検索マップのアトリビュート名。名前は、英数字で指定します。大文字と小文字が区別され、最大文字数は 128 です。

search-filter filter

LDAP 検索マップのフィルタ。名前は、英数字で指定します。大文字と小文字が区別され、最大文字数は 128 です。

base-DN base-DN-name

LDAP 検索マップのベース指定名。名前は、英数字で指定します。大文字と小文字が区別され、最大文字数は 128 です。

 
デフォルト

なし

 
コマンド モード

LDAP 検索マップ コンフィギュレーション

サポートされるユーザ ロール

network-admin
vdc-admin

 
コマンド履歴

リリース
変更内容

5.0(2)

このコマンドが追加されました。

 
使用上のガイドライン

このコマンドを使用するには、LDAP をイネーブルにする必要があります。

このコマンドには、ライセンスは不要です。

次に、検索クエリーを LDAP サーバに送信するために、ユーザ プロファイル検索操作のアトリビュート名、検索フィルタ、ベース DN を設定する例を示します。

switch# conf t
switch(config)# ldap search-map s0
switch(config-ldap-search-map)# userprofile attribute-name description search-filter (&(objectClass=inetOrgPerson)(cn=$userid)) base-DN dc=acme,dc=com
switch(config-ldap-search-map)#
 

 
関連コマンド

コマンド
説明

feature ldap

LDAP をイネーブルにします。

ldap search-map

LDAP 検索マップを設定します。

show ldap-search-map

設定済み LDAP 検索マップを表示します。

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ