ユーザ アカウントおよび RBAC の概要
Cisco Nexus シリーズ スイッチは、ロールベース アクセス コントロール(RBAC)を使用して、ユーザがスイッチにログインするときに各ユーザが持つアクセス権の量を定義します。
RBAC では、1 つまたは複数のユーザ ロールを定義し、各ユーザ ロールがどの管理操作を実行できるかを指定します。スイッチのユーザ アカウントを作成するとき、そのアカウントにユーザ ロールを関連付けます。これにより個々のユーザがスイッチで行うことができる操作が決まります。
ユーザ ロール
ユーザ ロールには、そのロールを割り当てられたユーザが実行できる操作を定義するルールが含まれています。各ユーザ ロールに複数のルールを含めることができ、各ユーザが複数のロールを持つことができます。たとえば、role1 では設定操作へのアクセスだけが許可されており、role2 ではデバッグ操作へのアクセスだけが許可されている場合、role1 と role2 の両方に属するユーザは、設定操作とデバッグ操作にアクセスできます。特定の 、VLAN、およびインターフェイスへのアクセスを制限することもできます。
スイッチには、次のデフォルト ユーザ ロールが用意されています。
- network-admin(スーパーユーザ)
-
スイッチ全体に対する完全な読み取りと書き込みのアクセス権。
- network-operator
-
スイッチに対する完全な読み取りアクセス権。
(注) |
複数のロールに属するユーザは、そのロールで許可されるすべてのコマンドの組み合わせを実行できます。コマンドへのアクセス権は、コマンドへのアクセス拒否よりも優先されます。たとえば、ユーザが、コンフィギュレーション コマンドへのアクセスが拒否されたロール A を持っていたとします。しかし、同じユーザが ロール B も持ち、このロールではコンフィギュレーション コマンドにアクセスできるとします。この場合、このユーザはコンフィギュレーション コマンドにアクセスできます。 |
ルール
ルールは、ロールの基本要素です。ルールは、そのロールがユーザにどの操作の実行を許可するかを定義します。ルールは次のパラメータで適用できます。
- コマンド
-
正規表現で定義されたコマンドまたはコマンド グループ
- 機能
-
Cisco Nexus デバイスにより提供される機能に適用されるコマンド。show role feature コマンドを入力すると、このパラメータに指定できる機能名が表示されます。
- 機能グループ
-
機能のデフォルト グループまたはユーザ定義グループshow role feature-group コマンドを入力すると、このパラメータに指定できるデフォルトの機能グループが表示されます。
- OID
-
SNMP オブジェクト ID(OID)。
これらのパラメータは、階層状の関係を作成します。最も基本的な制御パラメータはコマンドです。次の制御パラメータは機能です。これは、その機能にアソシエートされているすべてのコマンドを表します。最後の制御パラメータが、機能グループです。機能グループは、関連する機能を組み合わせたものです。機能グループによりルールを簡単に管理できます。
SNMP OID は RBAC でサポートされています。SNMP OID に読み取り専用ルールまたは読み取り/書き込みルールを設定できます。
ロールごとに最大 256 のルールを設定できます。ルールが適用される順序は、ユーザ指定のルール番号で決まります。ルールは降順で適用されます。たとえば、1 つのロールが 3 つのルールを持っている場合、ルール 3 がルール 2 よりも前に適用され、ルール 2 はルール 1 よりも前に適用されます。
ユーザ ロール ポリシー
ユーザがアクセスできるスイッチ リソースを制限するために、またはインターフェイスと VLAN へのアクセスを制限するために、ユーザ ロール ポリシーを定義できます。
ユーザ ロール ポリシーは、ロールに定義されているルールで制約されます。たとえば、特定のインターフェイスへのアクセスを許可するインターフェイス ポリシーを定義した場合、interface コマンドを許可するコマンド ルールをロールに設定しないと、ユーザはインターフェイスにアクセスできません。
コマンド ルールが特定のリソース(インターフェイス、VLAN、)へのアクセスを許可した場合、ユーザがそのユーザに関連付けられたユーザ ロール ポリシーに表示されていなくても、ユーザはこれらのリソースへのアクセスを許可されます。
ユーザ アカウントの設定の制限事項
次の語は予約済みであり、ユーザ設定に使用できません。
-
adm
-
bin
-
daemon
-
ftp
-
ftpuser
-
games
-
gdm
-
gopher
-
halt
-
lp
-
mail
-
mailnull
-
man
-
mtsuser
-
news
-
nobody
-
san-admin
-
shutdown
-
sync
-
sys
-
uucp
-
xfs
注意 |
Cisco Nexus シリーズ スイッチでは、すべて数字のユーザ名が TACACS+ または RADIUS で作成されている場合でも、すべて数字のユーザ名はサポートされません。AAA サーバに数字だけのユーザ名が登録されていて、ログイン時に入力しても、スイッチはログイン要求を拒否します。 |
ユーザ パスワードの要件
Cisco Nexus デバイス パスワードには大文字小文字の区別があり、英数字だけを含むことができます。ドル記号($)やパーセント記号(%)などの特殊文字は使用できません。
パスワードが脆弱な場合(短い、解読されやすいなど)、Cisco Nexus デバイスはパスワードを拒否します。各ユーザ アカウントには強力なパスワードを設定するようにしてください。強力なパスワードは、次の特性を持ちます。
-
長さが 8 文字以上である
-
複数の連続する文字(「abcd」など)を含んでいない
-
複数の同じ文字の繰り返し(「aaabbb」など)を含んでいない
-
辞書に載っている単語を含んでいない
-
固有名詞を含んでいない
-
大文字および小文字の両方が含まれている
-
数字が含まれている
強力なパスワードの例を次に示します。
-
If2CoM18
-
2009AsdfLkj30
-
Cb1955S21
(注) |
セキュリティ上の理由から、ユーザ パスワードはコンフィギュレーション ファイルに表示されません。 |