Cisco NX-OS の権限レベル
このページの全文を参照するには、ここをクリックしてください

Cisco NX-OS の権限レベル

Cisco NX-OS デバイスの認証スキャンでは、権限レベル 15 のユーザアカウントを指定する必要があります(推奨)。または、アカウントがこれらのデバイスのスキャンに必要なすべてのコマンドを実行できるように設定されている場合に限り、これより低いレベルのアカウントも指定できます。

重要 - 15 より低い権限レベルのユーザアカウントにコマンドへのアクセス権を付与する場合、機密情報の設定はリスクになる可能性があるので注意してください。業務のニーズと組織のセキュリティポリシーに応じて、適切な権限レベルを割り当ててください。

コンプライアンススキャンの場合 - スキャンを成功させるには、この高レベルの権限が必要です。

脆弱性スキャンの場合 - 設定ベースのチェックでのみこの高レベルの権限が必要です。Cisco NX-OS の設定 QID は、QID 45243「Cisco NX-OS Device Configurations Detected」です。

スキャンに必要なコマンド

show running-config all
show logging info | include '(Logging console|Logging loopback|Logging monitor|Logging linecard)'
show logging server
show logging level
show clock
show version
show running-config | include '(clock timezone|clock summer-time)'
show logging onboard status
show checkpoint summary

注記 - 上記のコマンドでは、必要な出力が表示されない場合があります。これは、ユーザ設定によります(“ show version ”および“ show running-config all ”コマンドを除く)。“ show running-config all ”または“ show version ”に出力がない場合、コンプライアンススキャンは失敗します。

スキャンユーザアカウントの要件

認証に指定するユーザアカウントには、上記の「スキャンに必要なコマンド」に表示したコマンドを実行するためのアクセス権が必要です。

スキャンユーザアカウントを設定して、必要なコマンドを実行できるようにするには、以下の 3 つの方法があります。

1)最高レベルのユーザロール(network-admin または priv-15 またはこれらと同等)をスキャンユーザに追加する

2)特別ルールにより既存のロールを変更する

3)カスタムロールを作成し、カスタムルールを追加する

ご自身の環境に最適なスキャンユーザアカウントの設定方法を選択してください。以下で、各方法について詳しく説明します。

最高レベルのユーザロールをスキャンユーザアカウントに追加する

次のコマンドを使用して、network-admin 権限を持つユーザを作成します。

username user-id [password password] [expire date] [role role-name]

nxos-device(config)# username john ******** role network-admin

特別ルールにより既存のロールを変更する

次のコマンドを使用して、既存のロールの権限を変更します。

nxos-device(config)# role name priv-3

nxos-device(config-role)# rule 12 permit command show crypto key mypubkey rsa

カスタムロールを作成し、カスタムルールを追加する

次のコマンドを使用して、カスタムロールとカスタムルールを作成します。

nxos-device(config)# role name temp

nxos-device(config-role)# rule 12 permit command show version

nxos-device(config-role)# rule 13 permit command show running-config all

スキャンユーザロールの権限を確認する

次のコマンドを使用して、スキャンユーザロールに、必要なコマンドを実行するための権限があることを確認します。

nxos-device# show role name temp

Role: temp

  Description: new role

  Vlan policy: permit (default)

  Interface policy: permit (default)

  Vrf policy: permit (default)

  -------------------------------------------------------------------

  Rule    Perm    Type        Scope               Entity

  -------------------------------------------------------------------

  13      permit  command                         show running-config all

  12      permit  command                         show version