Cisco Nexus 7000 シリーズ NX-OS セキュリティ コマンド リファレンス
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月7日
章のタイトル: T コマンド
T コマンド
tacacs+ abort
処理中の TACACS+ Cisco Fabric Services(CFS)配信セッションを廃棄するには、 tacacs+ abort コマンドを使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature tacacs+ コマンドを使用して TACACS+ 機能をイネーブルにする必要があります。
例
次に、処理中の TACACS+ CFS 配信セッションを廃棄する例を示します。
関連コマンド
|
|
|
|---|---|
tacacs+ commit
ファブリック内で処理中の TACACS+ Cisco Fabric Service(CFS)配信セッションに関連した保留中のコンフィギュレーションを適用するには、 tacacs+ commit コマンドを使用します。
構文の説明
デフォルト
コマンド モード
network-admin
vdc-admin
VDC ユーザ
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature tacacs+ コマンドを使用して TACACS+ 機能をイネーブルにする必要があります。
TACACS+ の設定をファブリックにコミットする前に、 tacacs+ distribute コマンドを使用して、ファブリックのすべてのスイッチで、配信をイネーブルにする必要があります。
CFS は、TACACS+ サーバ グループ設定、定期的な TACACS+ サーバ テスト設定、またはサーバおよびグローバル キーを配信しません。キーは Cisco NX-OS デバイスに対して一意であり、他の Cisco NX-OS デバイスと共有できません。
例
次に、ファブリックのスイッチに TACACS+ の設定を適用する例を示します。
関連コマンド
|
|
|
|---|---|
tacacs+ distribute
TACACS+ の Cisco Fabric Services(CFS)配信をイネーブルにするには、 tacacs+ distribute コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
network-admin
vdc-admin
VDC ユーザ
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature tacacs+ コマンドを使用して TACACS+ 機能をイネーブルにする必要があります。
CFS は、TACACS+ サーバ グループ設定、定期的な TACACS+ サーバ テスト設定、またはサーバおよびグローバル キーを配信しません。キーは Cisco NX-OS デバイスに対して一意であり、他の Cisco NX-OS デバイスと共有できません。
例
次の例では、TACACS+ のファブリック配信をイネーブルにする方法を示します。
関連コマンド
|
|
|
|---|---|
tacacs-server deadtime
応答性について到達不能(非応答)TACACS+ サーバをモニタする定期的な時間間隔を設定するには、 tacacs-server deadtime コマンドを使用します。非応答 TACACS+ サーバのモニタリングをディセーブルにするには、このコマンドの no 形式を使用します。
tacacs -server deadtime minutes
no tacacs -server deadtime minutes
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
時間間隔の設定をゼロにすると、タイマーがディセーブルになります。個別の TACACS+ サーバのデッド タイム間隔がゼロ(0)よりも大きい場合は、サーバ グループに設定された値よりもその値が優先されます。
デッド タイム間隔が 0 分の場合、TACACS+ サーバがサーバ グループの一部でグループのデッド タイム間隔が 0 分を超えていない限り、TACACS+ サーバ モニタリングは実行されません。
例
次に、デッド タイム間隔を設定して、定期的なモニタリングをイネーブルにする例を示します。
次に、デッド タイム間隔をデフォルトに戻して、定期的なモニタリングをディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
tacacs-server directed-request
ログイン時にユーザが認証要求を特定の TACACS+ サーバに送信できるようにするには、 tacacs-server directed-request コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
tacacs -server directed-request
no tacacs -server directed-request
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
TACACS+ を設定する前に、 feature tacacs+ コマンドを使用する必要があります。
ユーザは、ログイン中に username@vrfname : hostname を指定することができます。vrfname は使用する Virtual Routing and Forwarding(VRF; VPN ルーティングおよび転送)名で、hostname は設定した TACACS+ サーバ名です。ユーザ名が認証用にサーバ名に送信されます。
(注) directed-request オプションをイネーブルにすると、Cisco NX-OS デバイスでは認証に RADIUS 方式だけを使用し、デフォルトのローカル方式は使用しないようになります。
例
次に、ログイン時にユーザが認証要求を特定の TACACS+ サーバに送信できるようにする例を示します。
次に、ログイン時にユーザが認証要求を特定の TACACS+ サーバに送信できないようにする例を示します。
関連コマンド
|
|
|
|---|---|
tacacs-server host
TACACS+ サーバ ホスト パラメータを設定するには、 tacacs-server host コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
tacacs-server host { hostname | ipv4-address | ipv6-address }
[ key [ 0 | 7 ] shared-secret ] [ port port-number ]
[ test { idle-time time | password password | username name }]
[ timeout seconds ]
no tacacs-server host { hostname | ipv4-address | ipv6-address }
[ key [ 0 | 7 ] shared-secret ] [ port port-number ]
[ test { idle-time time | password password | username name }]
[ timeout seconds ]
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
TACACS+ を設定する前に、 feature tacacs+ コマンドを使用する必要があります。
例
次に、TACACS+ サーバ ホスト パラメータを設定する例を示します。
関連コマンド
|
|
|
|---|---|
tacacs-server key
グローバル TACACS+ 共有秘密キーを設定するには、 tacacs-server key コマンドを使用します。設定した共有秘密キーを削除するには、このコマンドの no 形式を使用します。
tacacs-server key [ 0 | 6 | 7 ] shared-secret
no tacacs-server key [ 0 | 6 | 7 ] shared-secret
構文の説明
(任意)TACACS+ クライアントとサーバ間の通信を認証する、クリア テキストで指定された事前共有キーを設定します。これはデフォルトです。 |
|
TACACS+ クライアントとサーバ間の通信を認証する事前共有キー。事前共有キーは、英数字で指定します。大文字と小文字が区別され、最大文字数は 63 です。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
TACACS+ 事前共有キーを設定して TACACS+ サーバに対してデバイスを認証する必要があります。キーの長さは 63 文字で、出力可能な任意の ASCII 文字を含めることができます(スペースは使用できません)。グローバル キーを設定して、デバイスにあるすべての TACACS+ サーバ コンフィギュレーションで使用するようにできます。 tacacs-server host コマンドで key キーワードを使用することで、このグローバル キーの割り当てを上書きできます。
例
次に、TACACS+ サーバ共有キーを設定する例を示します。
関連コマンド
|
|
|
|---|---|
tacacs-server test
TACACS+ サーバごとに個別にテスト パラメータを設定する必要なく、すべてのサーバの可用性をモニタするには、 tacacs-server test コマンドを使用します。この設定をディセーブルにするには、このコマンドの no 形式を使用します。
tacacs -server test { idle-time time | password password | username name }
no tacacs -server test { idle-time time | password password | username name }
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、TACACS+ 認証をイネーブルにする必要があります。
テスト パラメータが設定されていないサーバは、グローバル レベルのパラメータを使用してモニタリングされます。
各サーバ用に設定されたテスト パラメータは、グローバルのテスト パラメータより優先されます。
例
次に、TACACS+ サーバ グローバル モニタリング用のパラメータを設定する例を示します。
関連コマンド
|
|
|
|---|---|
tacacs-server timeout
TACACS+ サーバへの再送信間隔を指定するには、 tacacs-server timeout コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
no tacacs-server timeout seconds
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、TACACS+ サーバのタイムアウト値を設定する例を示します。
次に、デフォルトの TACACS+ サーバのタイムアウト値に戻す例を示します。
関連コマンド
|
|
|
|---|---|
telnet
Cisco NX-OS デバイス上に IPv4 による Telnet セッションを作成するには、 telnet コマンドを使用します。
telnet { ipv4-address | hostname } [ port-number ] [ vrf vrf-name ]
構文の説明
(任意)Telnet セッションで使用する Virtual Routing and Forwarding(VRF; 仮想ルーティングおよび転送)名を指定します。名前では、大文字と小文字が区別されます。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature telnet コマンドを使用して Telnet サーバをイネーブルにする必要があります。
IPv6 アドレスで Telnet セッションを作成するには、 telnet6 コマンドを使用します。
Cisco NX-OS ソフトウェアは、最大で 60 の並列の SSH セッションおよび Telnet セッションをサポートしています。
例
次に、IPv4 アドレスで Telnet セッションを開始する例を示します。
関連コマンド
|
|
|
|---|---|
telnet server enable
仮想デバイス コンテキスト(VDC)の Telnet サーバをイネーブルにするには、 telnet server enable コマンドを使用します。Telnet サーバをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、Telnet サーバをディセーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
telnet6
Cisco NX-OS デバイス上に IPv6 による Telnet セッションを作成するには、 telnet6 コマンドを使用します。
telnet6 { ipv6-address | hostname } [ port-number ] [ vrf vrf-name ]
構文の説明
(任意)Telnet セッションで使用する Virtual Routing and Forwarding(VRF; 仮想ルーティングおよび転送)名を指定します。名前では、大文字と小文字が区別されます。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
このコマンドを使用するには、 feature telnet コマンドを使用して Telnet サーバをイネーブルにする必要があります。
IPv4 アドレスで Telnet セッションを作成するには、 telnet コマンドを使用します。
Cisco NX-OS ソフトウェアは、最大で 60 の並列の SSH セッションおよび Telnet セッションをサポートしています。
例
次に、IPv6 アドレスで Telnet セッションを開始する例を示します。
関連コマンド
|
|
|
|---|---|
terminal verify-only
コマンドライン インターフェイス(CLI)でコマンドの認可を確認するには、 terminal verify-only コマンドを使用します。この機能をディセーブルにするには、このコマンドの no 形式を使用します。
terminal verify-only [ username username ]
terminal no verify-only [ username username ]
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
コマンド認可の確認をイネーブルにすると、CLI は、そのユーザに対してコマンドが正常に認可されたかについて示しますが、コマンドは実行しません。
コマンド認可の確認では、 aaa authorization commands default コマンドおよび aaa authorization config-commands default コマンドで設定された方式が使用されます。
例
関連コマンド
|
|
|
|---|---|
test aaa authorization command-type
あるユーザ名に対して TACACS+ コマンド認可をテストするには、 test aaa authorization command-type コマンドを使用します。
test aaa authorization command-type { commands | config-commands } user username command command-string
構文の説明
認可テストに使用するユーザ名を指定します。コマンドにスペースが含まれている場合は、 command-string 引数を二重引用符で囲みます。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
test aaa authorization command-type コマンドを使用するには、 feature tacacs+ コマンドを使用して TACACS+ 機能をイネーブルにする必要があります。
コマンド認可をテストする前に、 aaa server group コマンドを使用して Cisco NX-OS デバイス上で TACACS+ グループを設定する必要があります。
例
次に、あるユーザ名で TACACS+ コマンド認可をテストする例を示します。
関連コマンド
|
|
|
|---|---|
time-range
時間の範囲を設定するには、 time-range コマンドを使用します。時間の範囲を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
IPv4 ACL および IPv6 ACL では、 permit コマンドおよび deny コマンドで時間の範囲を使用できます。
例
次に、 time-range コマンドを使用して、時間範囲のコンフィギュレーション モードを開始する例を示します。
関連コマンド
|
|
|
|---|---|
trustedCert
検索クエリーを Lightweight Directory Access Protocol(LDAP)サーバに送信するために、信頼される証明書検索操作の属性名、検索フィルタ、ベース DN を設定するには、 trustedCert コマンドを使用します。この設定をディセーブルにするには、このコマンドの no 形式を使用します。
trustedCert attribute-name attribute-name search-filter filter base-DN base-DN-name
構文の説明
LDAP 検索マップの属性名を指定します。名前は、英数字で指定します。大文字と小文字が区別され、最大文字数は 128 です。 |
|
LDAP 検索マップ用のフィルタを指定します。名前は、英数字で指定します。大文字と小文字が区別され、最大文字数は 128 です。 |
|
LDAP 検索マップのベース指定名を指定します。名前は、英数字で指定します。大文字と小文字が区別され、最大文字数は 128 です。 |
デフォルト
コマンド モード
コマンド履歴
|
|
|
使用上のガイドライン
例
次に、検索クエリーを LDAP サーバに送信するために、信頼される証明書検索操作の属性名、検索フィルタ、ベース DN を設定する例を示します。
関連コマンド
|
|
|
|---|---|
フィードバック