Citrix ADC 13.0

ユーザ、ユーザグループ、およびコマンドポリシーの設定

ユーザを定義するには、ユーザに対してアカウントを設定する必要があります。ユーザーアカウントの管理を簡素化するために、それらをグループに整理することができます。コマンドポリシーを作成するか、組み込みのコマンドポリシーを使用して、コマンドへのユーザーアクセスを規制できます。

また、ユーザーのコマンドラインプロンプトをカスタマイズすることもできます。プロンプトは、ユーザーの構成、ユーザーグループ構成、およびグローバルシステム構成設定で定義できます。特定のユーザに対して表示されるプロンプトは、次の優先順位によって決まります。

  1. ユーザーの構成で定義されているプロンプトを表示します。
  2. ユーザーのグループのグループ構成で定義されているプロンプトを表示します。
  3. システムグローバル設定に定義されているプロンプトを表示します。

システムユーザの非アクティブ CLI セッションのタイムアウト値を指定できるようになりました。ユーザーのCLIセッションがタイムアウト値を超えた時間アイドル状態である場合、Citrix ADCアプライアンスは接続を終了します。タイムアウトは、ユーザーの構成、ユーザーグループ構成、およびグローバルシステム構成設定で定義できます。ユーザの非アクティブ CLI セッションのタイムアウトは、次の優先順位によって決まります。

  1. ユーザーの構成で定義されたタイムアウト値。
  2. ユーザーのグループのグループ構成で定義されているタイムアウト値。
  3. グローバルシステム構成設定で定義されているタイムアウト値。

Citrix ADC ルート管理者は、システムユーザーの最大同時セッション制限を設定できます。制限を制限することで、開いている接続の数を減らし、サーバーのパフォーマンスを向上させることができます。CLI カウントが設定された制限内であれば、同時ユーザは GUI に何回でもログインできます。ただし、CLI セッションの数が設定された制限に達すると、ユーザは GUI にログオンできなくなります。たとえば、同時セッションの数が 20 に設定されている場合、同時ユーザーは 19 の CLI セッションにログオンできます。ただし、ユーザーが20<sup>th</sup> CLIセッションにログオンしている場合、GUI、CLI、またはNITRO にログオンしようとすると、エラーメッセージが表示されます(エラー:CFEへの接続制限を超えました)。

デフォルトでは、同時セッション数は 20 に設定され、同時セッションの最大数は 40 に設定されています。

ユーザー・アカウントの構成

ユーザアカウントを設定するには、ユーザ名とパスワードを指定するだけです。パスワードの変更やユーザーアカウントの削除はいつでも行えます。

コマンドラインインターフェイスを使用してユーザーアカウントを作成するには

コマンドプロンプトで次のコマンドを入力して、ユーザーアカウントを作成し、構成を確認します。

  • add system user <username> [-externalAuth ( ENABLED | DISABLED )] [-promptString <string>] [-timeout \<secs>] [-logging ( ENABLED | DISABLED )] [-maxsession <positive_integer>]
  • show system user <userName>

ログオプションは、外部ユーザーがウェブログや監査ロギングメカニズムを使用してログデータを収集するためのものです。有効にすると、監査クライアントはCitrix ADCで自身を認証し、このユーザーアカウントを通じてログを収集します。

> add system user johnd -promptString user-%u-at-%T

Enter password:

Confirm password:

> show system user johnd

user name: john

     Timeout:900 Timeout Inherited From: Global

     External Authentication: ENABLED

     Logging: DISABLED

     Maximum Client Sessions: 20

GUI を使用してユーザーアカウントを構成するには

[システム] > [ユーザー管理] > [ユーザー] に移動し、ユーザーを作成します。

ユーザグループの設定

ユーザーグループを構成したら、グループ内のすべてのユーザーに同じアクセス権を簡単に付与できます。グループを構成するには、グループを作成し、ユーザーをグループにバインドします。各ユーザーアカウントを複数のグループにバインドできます。ユーザーアカウントを複数のグループにバインドすると、コマンドポリシーをより柔軟に適用できます。

コマンドラインインターフェイスを使用してユーザーグループを作成するには

コマンド・プロンプトで次のコマンドを入力して、ユーザー・グループを作成し、構成を確認します。

  • add system group <groupName> [-promptString <string>] [-timeout <secs>]
  • show system group <groupName>

> add system group Managers -promptString Group-Managers-at-%h

コマンドラインインターフェイスを使用してユーザーをグループにバインドするには

コマンドプロンプトで次のコマンドを入力して、ユーザーアカウントをグループにバインドし、構成を確認します。

  • bind system group <groupName> -userName <userName>
  • show system group <groupName>

> bind system group Managers -userName user1

GUI を使用してユーザグループを構成するには

[システム] > [ユーザ管理] > [グループ] に移動し、ユーザグループを作成します。

ご注意

グループにメンバーを追加するには、[メンバー] セクションで [追加] をクリックします。「使用可能」リストからユーザーを選択し、「構成済み」リストに追加します。

コマンドポリシーの設定

コマンドポリシーは、ユーザーおよびユーザーグループの使用を許可するコマンド、コマンドグループ、仮想サーバー、およびその他のエンティティを規制します。

アプライアンスには一連の組み込みコマンドポリシーが用意されており、カスタムポリシーを設定できます。ポリシーを適用するには、ポリシーをユーザーまたはグループにバインドします。

ここでは、コマンドポリシーを定義および適用する際に留意すべき重要なポイントを示します。

  • グローバルコマンドポリシーは作成できません。コマンドポリシーは、アプライアンス上のユーザーとグループに直接バインドする必要があります。
  • コマンドポリシーが関連付けられていないユーザまたはグループは、デフォルト(DENY-ALL)コマンドポリシーの対象となります。したがって、適切なコマンドポリシーがアカウントにバインドされるまで、構成コマンドを実行できません。
  • すべてのユーザーは、自分が属するグループのポリシーを継承します。
  • コマンドポリシーをユーザアカウントまたはグループアカウントにバインドするときは、コマンドポリシーに優先順位を割り当てる必要があります。これにより、複数の競合するポリシーが同じユーザーまたはグループに適用される場合に、アプライアンスが優先度を持つポリシーを判断できるようになります。
  • 次のコマンドは、デフォルトですべてのユーザが使用でき、指定したコマンドの影響を受けません。
  • help, show cli attribute, set cli prompt, clear cli prompt, show cli prompt, alias, unalias, history, quit, exit,whoami, config, set cli mode, unset cli mode,  show cli mode.

組み込みコマンドポリシー

次の表は、組み込みポリシーの説明です。

表1. 組み込みコマンドポリシー

ポリシー名 許可内容
read-only show ns runningConfig、show ns ns.conf、および Citrix ADC コマンドグループの show コマンドを除くすべての show コマンドへの読み取り専用アクセス。
operator 読み取り専用のアクセスと、サービスおよびサーバーを有効または無効にするコマンドへのアクセス。
network フルアクセス。ただしset and unset SSLコマンドの設定と解除、show ns ns.conf、show ns runningConfig、show gslb runningConfigコマンドを除きます。
sysadmin [Citrix ADC 12.0以降に同梱されています。]sysadmin は、スーパーユーザーよりも低く、アプライアンスで許可されているアクセス条件です。sysadminユーザーは、Citrix ADCシェルにアクセスできない、ユーザー構成を実行できない、パーティション構成を実行できない、sysadminコマンドポリシーに記載されているその他の構成を除いて、すべてのCitrix ADC操作を実行できます。
superuser フルアクセス。nsrootユーザーと同じ権限。

カスタムコマンドポリシーの作成

よりカスタマイズされた式を維持するためのリソースを持つユーザーや、正規表現が提供する柔軟性を必要とするデプロイメントには、正規表現のサポートが提供されます。ほとんどのユーザーにとって、組み込みのコマンドポリシーで十分です。追加の制御レベルを必要とするが、正規表現に慣れていないユーザは、このセクションで説明する例のような単純な式だけを使用して、ポリシーの可読性を維持することができます。

正規表現を使用してコマンドポリシーを作成する場合は、次の点に注意してください。

  • コマンドポリシーの影響を受けるコマンドを定義するために正規表現を使用する場合は、コマンドを二重引用符で囲む必要があります。たとえば、show で始まるすべてのコマンドを含むコマンドポリシーを作成するには、次のように入力します。
  • “^show .*$”
  • rm で始まるすべてのコマンドを含むコマンドポリシーを作成するには、次のように入力します。
  • “^rm .*$”
  • コマンドポリシーで使用される正規表現では、大文字と小文字が区別されません。

次の表に、正規表現の例を示します。

表 2. コマンドポリシーの正規表現の例

コマンド仕様 これらのコマンドに一致します。
“^rm\s+.*$” すべての削除アクション。すべての削除アクションは rm 文字列で始まり、スペースと、コマンドグループ、コマンドオブジェクトタイプ、引数などの追加パラメータが続くためです。
“^show\s+.*$” すべての show コマンド。すべての show アクションは show string で始まり、スペースと、コマンドグループ、コマンドオブジェクトタイプ、引数などの追加パラメータが続くためです。
“^shell$” シェルコマンドだけですが、コマンドグループ、コマンドオブジェクトタイプ、引数などの追加パラメータと組み合わせることはできません。
“^add\s+vserver\s+.*$” すべての create virtual server アクション。このアクションは、add virtual server コマンドの後にスペースと、コマンドグループ、コマンドオブジェクトタイプ、引数などの追加パラメータで構成されます。
“^add\s+(lb\s+vserver)\s+.*” すべての create lb 仮想サーバアクション。add lb virtual server コマンドの後にスペースと、コマンドグループ、コマンドオブジェクトタイプ、引数などの追加パラメータで構成されます。

組み込みのコマンドポリシーの詳細については、組み込みコマンドポリシー表を参照してください。

コマンドラインインターフェイスを使用してコマンドポリシーを作成するには

コマンドプロンプトで次のコマンドを入力して、コマンドポリシーを作成し、構成を確認します。

  • add system cmdPolicy <policyname> <action> <cmdspec>
  • show system cmdPolicy <policyName>

> add system cmdPolicy read_all ALLOW (^shows+(!system)(!ns ns.conf)(!ns runningConfig).*)|(^stat.*)

GUI を使用してコマンドポリシーを設定するには

[システム] > [ユーザー管理] > [コマンドポリシー] に移動し、コマンドポリシーを作成します。

ユーザーおよびグループへのコマンドポリシーのバインド

コマンドポリシーを定義したら、それらを適切なユーザアカウントおよびグループにバインドする必要があります。ポリシーをバインドする場合は、2 つ以上の適用可能なコマンドポリシーが競合している場合に、アプライアンスが従うコマンドポリシーを決定できるように、ポリシーに優先順位を割り当てる必要があります。

コマンドポリシーは、次の順序で評価されます。

  • ユーザと対応するグループに直接バインドされたコマンドポリシーは、プライオリティ番号に従って評価されます。プライオリティ番号が小さいコマンドポリシーは、プライオリティ番号が高いポリシーポリシーよりも先に評価されます。したがって、小さい番号のコマンドポリシーが明示的に許可または拒否する特権は、大きい番号のコマンドポリシーによって上書きされません。
  • 2 つのコマンドポリシー(1 つはユーザアカウントにバインドされ、もう 1 つはグループにバインドされたコマンドポリシー)が同じプライオリティ番号を持つ場合、ユーザアカウントに直接バインドされたコマンドポリシーが最初に評価されます。

コマンドラインインターフェイスを使用してコマンドポリシーをユーザーにバインドするには

コマンドプロンプトで次のコマンドを入力して、コマンドポリシーをユーザーにバインドし、構成を確認します。

  • bind system user <userName> -policyName <policyName> <priority>
  • show system user <userName>

> bind system user user1 -policyName read_all 1

GUI を使用してコマンドポリシーをユーザーにバインドするには

[システム] > [ユーザー管理] > [ユーザー] に移動し、ユーザーを選択し、コマンドポリシーをバインドします。

オプションで、デフォルトのプライオリティを変更して、ポリシーが正しい順序で評価されるようにできます。

コマンドラインインターフェイスを使用してコマンドポリシーをグループにバインドするには

コマンドプロンプトで次のコマンドを入力して、コマンドポリシーをユーザーグループにバインドし、構成を確認します。

  • bind system group <groupName> -policyName <policyName> <priority>
  • show system group <groupName>

> bind system group Managers -policyName read_all 1

GUI を使用してコマンドポリシーをグループにバインドするには

[システム] > [ユーザー管理] > [グループ] に移動し、グループを選択し、コマンドポリシーをバインドします。

オプションで、デフォルトのプライオリティを変更して、ポリシーが正しい順序で評価されるようにできます。

ユーザ、ユーザグループ、およびコマンドポリシーの設定