Arista EOS デバイスの認証スキャンでは、権限レベル 15 のユーザアカウントを指定する必要があります(推奨)。または、アカウントがこれらのデバイスのスキャンに必要なすべてのコマンドを実行できるように設定されている場合に限り、これより低いレベルのアカウントも指定できます。
重要 - 15 より低い権限レベルのユーザアカウントにコマンドへのアクセス権を付与する場合、機密情報の設定はリスクになる可能性があるので注意してください。業務のニーズと組織のセキュリティポリシーに応じて、適切な権限レベルを割り当ててください。
show banner login
show banner motd
show interface status
show logging
show running-config all
デフォルトでは、次の 3 つの権限レベルがあります。
レベル 0 - 基本コマンド(無効化、有効化、終了、ヘルプ、ログアウト)のみ含まれます。
レベル 1 - User EXEC コマンドモードで使用できるすべてのコマンドが含まれます。
レベル 15 - Privileged EXEC コマンドモードで使用できるすべてのコマンドが含まれます。
最低から最高までのこれらのレベルは、管理者がコマンド/ユーザを割り当てるまでは未定義となります。したがって、管理者は、これらの最低から最高までの異なる権限レベルをユーザに割り当てることで、ユーザが所有するアクセス権を区分できます。
1)権限レベルとロールを指定して新規ユーザを追加します。次の例ではユーザ“ qualys_scan ”には権限レベル 2 とロール“ qualys ”が指定されています。
vsveos415(config)#username qualys_scan privilege 2 role qualys secret test123
2)ユーザに対して特定のコマンドの実行を“ permit ”(許可)または“ deny ”(拒否)するためにロールを設定します。スキャンを行うために必要になる(上に示した)すべてのコマンドを許可する必要があります。
vsveos415(config)#role qualys
vsveos415(config-role-qualys)#10 permit mode exec command show logging
vsveos415(config-role-qualys)#11 permit mode exec command show banner login
vsveos415(config-role-qualys)#12 permit mode exec command show banner motd
vsveos415(config-role-qualys)#13 permit mode exec command show interface status
vsveos415(config-role-qualys)#14 permit mode exec command show running-config all
vsveos415(config-role-qualys)#exit
3)新しく追加したユーザを使用してログインを行い、許可したコマンドにアクセスできることを確認します。