• 検索結果がありません。

Cisco Security Device Manager サンプル設定ガイド

N/A
N/A
Info
ダウンロード
Protected

Academic year: 2022

シェア "Cisco Security Device Manager サンプル設定ガイド"

Copied!
13
0
0

読み込み中.... (全文を見る)

今ダウンロードする ( 13 ページ )

全文

(1)

ロールベースアクセス制御

Ⅰ 概 要

--- 02

Ⅱ 設定手順

--- 04

2006 年 4 月(第 1 版)

SDM 2.1.2 2005/09 リリース版

Cisco Security Device Manager  サンプル設定ガイド 

(2)

Ⅰ  要 

Cisco IOS ロールベース CLI アクセスは、ネットワーク管理者が Cisco IOS EXEC またはコンフィグレーション(config)

モードコマンドに対して、選択的あるいは部分的なアクセス制御を提供する「ビュー」を定義する機能です。

ビューは、Cisco IOS コマンドライン インターフェイス(CLI)へのユーザクセスと構成情報を制限します。ビューは ユーザに対してどんなコマンドを許可するか、そしてどんな構成情報を表示可能であるかを定義することができ、この 機能によって、ネットワーク管理者は Cisco ネットワークデバイスへのアクセスについて厳密なアクセス制御を行うこと ができます。

シスコルータとセキュリティ デバイス マネージャ(SDM;Security Device Manager)は、SDM ユーザアクセスのために事 前に定義された 4 つのビュー(SDM_Administrator(root)、SDM_Monitor、SDM_Firewall、SDM_Easy VPN_Remote)の作 成/削除を行うことができます。

(1) SDM_Administrator(root)

このビュータイプに関連づけられたユーザは、Cisco SDM に完全なアクセスを持って、Cisco SDM によっ てサポートされたすべての操作を実行することができます。

(2) SDM_Monitor

このビュータイプに関連づけられたユーザは、Cisco SDM によってサポートされたすべての機能について 監視することができますが、構成変更を行うことができません。このユーザは Cisco SDM のインターフェイス と接続、ファイアウォールと ACL、VPN 機能など様々な領域にアクセスすることができます。しかしながら、こ れらの領域のユーザ インターフェイス コンポーネントは監視のみが許可され、設定はできないよう無効に なっています。

(3) SDM_Firewall

このビュータイプに関連づけられたユーザは、SDM のファイアウォールと ACL 及びモニター監視機能を 使用することができます。このユーザは、ファイアウォール ウィザード(ファイアウォール ポリシービュー)、イ ンスペクトルール エディタ、およびアクセスリスト エディタを使用することでファイアウォールとアクセスコント ロールリストを設定することができます。ユーザは、「インターフェイスと接続」構成画面からアクセスリストとイ ンスペクトルールを関連づけたり、または解除したりすることができます。他の領域のユーザインターフェイス コンポーネントは、設定/変更ができないよう無効にされています。

(4)SDM_EasyVPN_リモート:

このビュータイプに関連づけられたユーザは Cisco SDM Easy VPN リモートの機能を使用することができ ます。ユーザは、Easy VPN リモート接続を作成して、それらを編集することができます。他の領域のユーザ

(3)

インターフェイス コンポーネントは無効にされています。

ユーザ定義されたビューが Cisco SDM によって必要とされている最小量のコマンドを含む場合、ユーザ定義された ビュー(あるいはシスコ SDM が事前に定義している「none」と呼ばれるビュー)に関連づけられたユーザがシスコ SDM を呼び出すことができます。Cisco SDM はユーザ定義されたビューを SDM_Monitor ビューにマップし、そして Cisco SDM は読込み専用モードとして起動されます。

(4)

Ⅱ  設 定 手 順

ここでは、ファイアウォールと監視機能をもつセキュリティオペレータの作成を行います。

設定を始める前に、以下の前提条件が満たされているのを確認してください。

(1) イネーブルパスワードが設定されていることが必要です。

(2) Cisco IOS 12.3(11)T 以前のバージョンの場合、認証・承認・課金の依存関係の点から AA 機能を有効化し、

認証と承認を適切に行う必要があります。

(3) ビューを構成するために、ユーザは root ビューにアクセスしなければなりません。(特権レベル 15 のユーザ のみアクセス可能)

サンプル構成はセキュリティオペレータと新しいユーザ(secOP)作成のためのビュー(ビューセキュリティ)の構成を 含んでいます。前提条件を構成する方法についてはこのサンプル構成でカバーされていません。CLI によるビュー構 成は、アクセスルール、インスペクトルール、および show コマンドによって表示されるファイアウォールルール、ファイ アウォールステータス、ルータ構成、およびルータステータスを構成するのに使用されるシスコ IOS CLIs に関する広 範囲にわたる知識を必要とします。

(5)

1.Cisco SDM ロールベースアクセス

Cisco SDM は、事前に定義された 4 つのビューを提供することによって、ロールベースのアクセスを容易にしま す。各ビューがその主な操作コマンドと構成コマンドのセットに基づいて名づけられているので、ビューへのユー ザの関連づけを容易に行うことができます。このドキュメントでは、ユーザとビューの関連付けをどのように構成す るか、またビューに関連づけられたユーザをどのように編集するかを解説します。ビューに関連付けられた 2 つの ユーザが設定されており、sdmadmin は特権レベル 1 で SDM_Administrator(root)に定義され、sdmvpn は特権レ ベル 15 で SDM_EasyVPN_Remote に定義されています。このシナリオでは、新しいユーザカウント sdmOP を特権 レベル 1 で SDM_Firewall に定義し、既存の sdmvpn を特権レベル 1 に変更します。

2.ユーザカウントと関連付けたビューの設定

ユーザカウントの変更を行うために、特権レベル 15 のユーザまたは SDM_Administraitor(root)ビューに定義さ れたユーザで SDM にログオンします。この例では、「sdmadmin」でログオンします。追加タスクの構成画面で[ルー タアクセス]フォルダを展開し、[ユーザカウント/表示]を選択します(図 1)。

図 1:追加タスク-ユーザカウント/表示

(6)

ユーザカウント/表示の「追加」をクリックし、ユーザ名の追加画面を表示させます(図 2)。以下の情報を入力し、

「OK」をクリックします。

ユーザ名:secOP パスワード:secOP123

MD5 ハッシュアルゴリズム:チェック(有効化)

特権レベル:1

ビューをユーザに関連付け:チェック(有効化)

ビュー名:SDM_Firewall

図 2:ユーザ名の追加

これまでに SDM_Administrator(root)以外のビューに関連付けられるユーザを初めて定義する場合には、

ビューパスワードの入力を求められます(図 3)。このシナリオでは、security123 というビューパスワードを使用しま す。

図 3:ビューパスワード設定

(7)

ユーザの追加が完了すると、図 4 のようにユーザカウント/表示画面にユーザ「secOP」が追加されます。

図 4:ユーザ「secOP」登録完了

続いて、ユーザ「sdmvpn」の編集を行います。ユーザ「sdmvpn」を選択し、「編集」をクリックします(図 5)。

図 5:ユーザ「sdmvpn」の編集

(8)

ユーザ「sdmvpn」のパスワードを「likesdm」に、特権モードを 15 から 1 に変更し「OK」をクリックします(図 6)。

図 6:ユーザ名の編集

登録ユーザの内容を変更する場合、図 7 の警告が表示されます。現在ログオンしている管理権限のあるアカウ ントを削除すると、以後 SDM にアクセスできなくなることへの警告メッセージです。このシナリオでは問題がありま せんので、「はい」をクリックして処理を進めます。

図 7:ユーザ名変更警告

(9)

ユーザ「sdmvpn」の編集が反映され、特権レベルが 1 に変更されていることを確認します(図 8)。

図 8:ユーザ変更の確認

(10)

3.設定の確認

設定したユーザでログオンし、ロールベースのアクセス制限が正しく機能していることを確認します。一旦 SDM からログオフし、再度ユーザ「secOP」でログオンします。ユーザ secOP は SDM_Firewall ビューに属しているため、

ファイアウォールと ACL の確認/変更を行うことができます。図 9/図 10 では、ユーザ secOP がファイアウォールと ACL 画面の構成項目をすべて設定できる状態であることがわかります。また図 11/図 12 のインターフェイス/接続 画面では、そのほとんどがグレーアウトして設定を行うことができなくなっています。

図 9:ユーザ「secOP」によるファイアウォールと ACL(1)

(11)

図 10:ユーザ「secOP」によるファイアウォールと ACL(2)

図 11:ユーザ「secOP」によるインターフェイスと接続画面(1)

(12)

図 12:ユーザ「secOP」によるインターフェイスと接続画面(2)

またインターフェイス/接続の編集画面でインターフェイスの編集をクリックしインターフェイス機能編集ダイアログを 表示させると、図 13 のようにセキュリティ関係の設定項目については secOP(SDM_Fireall)で設定可能な状態にあるこ とがわかります。

図 13:インターフェイス機能編集ダイアログ

(13)

Cisco Security Device Manger サンプル設定ガイド ロールベースアクセス制御

発行 2006 年 4 月 第 1 版 発行 シスコシステムズ株式会社

・本技術資料に記載されている仕様および製品に関する情報は、予告なしに変更されることがあります。

(最新情報については、CCO のドキュメントをご確認ください。また、シスコ担当までお問い合わせください。)

・本技術資料に関して、その正確性又は完全性について一切の責任を負わないこととします。

図 5:ユーザ「sdmvpn」の編集
図 8:ユーザ変更の確認
図 9:ユーザ「secOP」によるファイアウォールと ACL(1)
図 10:ユーザ「secOP」によるファイアウォールと ACL(2)
+2

参照

今ダウンロードする ( PDF - 13 ページ - 786.37 KB )

関連したドキュメント

(Z690 ) BIOS Q-Flash BIOS...2 BIOS Q-Flash Plus...6 APP Center EasyTune Fast Boot RGB Fusion...11

Q-Flash Plus では、システムの電源が切れているとき(S5シャットダウン状態)に BIOS を更新する ことができます。最新の BIOS を USB

令和4年度 北区地域づくり応援団事業 募集要項

対象期間を越えて行われる同一事業についても申請することができます。た

AND9346/D LC717A30 アプリケーションノート

Âに、%“、“、ÐなÑÒなどÓÔのÑÒにŒして、いかなるGÏもうことはできません。おÌÍは、ON

原子炉圧力容器・格納容器ホウ酸水注入設備 4.1

この設備によって、常時監視を 1~3 号機の全てに対して実施する計画である。連続監

2020年度大阪手話言語条例シンポジウム

自然言語というのは、生得 な文法 があるということです。 生まれつき に、人 に わっている 力を って乳幼児が獲得できる言語だという え です。 語の それ自 も、 から

それをこれから始まる実習では意識していこうと思っています

・私は小さい頃は人見知りの激しい子どもでした。しかし、当時の担任の先生が遊びを

2011年3月11日の東日本大震災以後、

夜真っ暗な中、電気をつけて夜遅くまで かけて片付けた。その時思ったのが、全 体的にボランティアの数がこの震災の規

★説明会(4月1日)

下山にはいり、ABさんの名案でロープでつ ながれた子供たちには笑ってしまいました。つ