Nexus9の運用設定4(ユーザ権限)
Nexus9監視運用設定と出力
運用フェーズで使いそうなコマンド出力を記載する。
※仮想NX-OSなので参考まで。
確認すること
- 1_ログ出力
- 2_NTP同期
- 3_SNMP/SNMPTRAP
- 4_user権限★
- 5_ファイル操作
- 6_基本コマンド
- 7_NX-OSとIOS比較
■初期導入時
※password強度のcheckする仕組みを有効にするかどうか聞かれるのでnoにする。後に有効にすることも可能。
---- System Admin Account Setup ---- Do you want to enforce secure password standard (yes/no) [y]: no
※後でpassword強度のcheckする仕組みを有効にする場合、以下設定。
Nexus9k(config)# no password strength-check
強力なパスワードを有効にしたときにcheckされる事。
- 長さが 8 文字以上である
- 複数の連続する文字(「abcd」など)を含んでいない
- 複数の同じ文字の繰り返し(「aaabbb」など)を含んでいない
- 辞書に載っている単語を含んでいない
- 正しい名前を含んでいない
- 大文字および小文字の両方が含まれている
- 数字が含まれている
■初期導入時 adminパスワード設定
※adminはrole network-adminのシステムの特権ユーザで削除できない。
※ 強力なパスワードcheckの設定に合わせてパスワードを設定する。
※その後セットアップモードのdialogsはnoで終了し後でconfigrationモードで設定をする(好みで)。
Enter the password for "admin": <password> Confirm the password for "admin": <password> ---- Basic System Configuration Dialog ---- (省略) Press Enter at anytime to skip a dialog. Use ctrl-c at anytime to skip the remaining dialogs. Would you like to enter the basic configuration dialog (yes/no): no
■ログインユーザ追加
※user38pinnを作成、パスワードの強度が弱いためWAEINGが出るが上記でcheckを無効にしているので設定可能
Nexus9k(config)# username 38pinn role network-admin password 38pinn WARNING: Minimum recommended length of 8 characters. WARNING: Password should contain characters from at least three of the following classes: lower case letters, upper case letters, digits and special characters. WARNING: it is based on a dictionary word WARNING: Configuration accepted because password strength check is disabled
■ログインユーザ 確認
※show run 表示ではパスワードはdefaultでType5のハッシュ表示となる。
※ role network-operatorはroleを指定しない場合のデフォルトで読み込み権限のみ。
configrationモードに移行できるが設定はできない。
※role network-adminを指定するとadminと同等の読み書き権限となる。
※snmp-server user 節はuser追加時に自動生成され削除するとuserも削除される。
Nexus9k(config)# sh run | i 38pinn username 38pinn password 5 $5$OoGzvk10$ED4IVkpCgWd5AsImMQ.Pxv9FVcqAp0mfN9OHWhL2Z .C role network-operator snmp-server user 38pinn network-operator auth md5 0x60963d0566c1975ff3242d0f08c0 9947 priv 0x60963d0566c1975ff3242d0f08c09947 localizedkey
■telnetログイン
※デフォルトでtelnetは許容していない。featureで有効化可能。
※権限パスワードはline vtyで個別設定は不可。usernameのパスワードと共通になる。
Nexus9k(config)# feature telnet
■sshログイン
※デフォルトでsshは有効だshow runでは表示されない。sh featureで確認可能。
※権限パスワードはline vtyで個別設定は不可。usernameのパスワードと共通になる。
Nexus9k# sh feature | i ssh sshServer 1 enabled
■コンソールログイン
※権限パスワードはline consoleで個別設定は不可。usernameのパスワードと共通になる。
■enableパスワード
※デフォルトでenableパスワードによる権限移行の仕組みはない。feature privilegeで有効にすることは可能。
■snmp認証
※デフォルトでsnmpv3が有効。usename設定時のパスワードからsnmpv3の認証MD5が作成されshow run状に表示される。
■NTP認証
※ntpサーバの認証キーをあらかじめ登録し指定することで認証可能。keyは以下の数まで登録可能。
Nexus9k(config)# ntp authentication-key ? <1-65535> Authentication key number (range 1-65535)
※key1を登録しntpサーバを指定する場合の設定
Nexus9k(config)# ntp authentication-key 1 md5 XXXXXXXX Nexus9k(config)# ntp server 172.16.0.1 key 1 use-vrf default
