コンフィグレーションコマンドレファレンス Vol.2
指定ユーザに,ローカルコマンド承認で使用するコマンドリストまたはコマンドクラスを設定します。
また,各ユーザの自動ログアウト時間,ページング,ヘルプメッセージ表示動作,警告がある旨のメッセージの出力レベル,およびCLI運用コマンドの入力モードを設定します。
装置当たり,最大20ユーザ分設定できます。
[入力モード]
グローバルコンフィグモード
[入力形式]
- 情報の設定・変更
- 共通ユーザ情報の設定・変更
- login authorization
- ユーザ情報の設定・変更
- login user <User Name> exec-timeout <Minutes>
- login user <User Name> terminal-pager {enable | disable}
- login user <User Name> terminal-help {all | no-utility}
- login user <User Name> terminal-warning-level {disable | all | once}
- login user <User Name> terminal-command-literal {old-format | new-format}
- login user <User Name> class {root | allcommand | noconfig | nomanage | noenable}
- login user <User Name> allow-commands <Command List>
- login user <User Name> deny-commands <Command List>
- 情報の削除
- delete login
- delete login authorization
- delete login user <User Name>
- delete login user <User Name> exec-timeout
- delete login user <User Name> terminal-pager
- delete login user <User Name> terminal-help
- delete login user <User Name> terminal-warning-level
- delete login user <User Name> terminal-command-literal
- delete login user <User Name> class
- delete login user <User Name> allow-commands
- delete login user <User Name> deny-commands
- 情報の表示
- show login
- show login user <User Name>
[サブコマンド入力形式]
なし
[モード階層]
なし
[パラメータ]
- user <User Name>
- 設定するユーザ名を指定します。
- 装置当たり,最大20ユーザ分設定できます。
- 本パラメータ省略時の初期値
なし(省略不可)
- 値の設定範囲
16文字以内(1文字目が英字で2文字目以降が英数字)の文字列を指定します。
なお,exec-timeout,terminal-pager,terminal-help,terminal-warning-level,またはterminal-command-literalを設定する場合に限り,すべてのユーザを対象とするdefault_userを指定できます。default_user指定の設定内容は,個々のユーザ名で設定がされていないユーザにだけ適用されます。
- authorization
- ローカルコマンド承認を行う場合に指定します。
- 本パラメータだけを設定してもコマンド承認は行いません。systemコマンドのlogin_authenticationパラメータでlocalの設定をしてください。
- なお,ローカル認証時にユーザ名とそれに対応したコマンドクラスまたはコマンドリストが設定されていない場合は,ログイン後にlogout,exit,quit,disable,end,set terminal,およびshow whoami以外のすべてのコマンドが制限され,コマンドが投入できなくなりますのでご注意ください。
- 本パラメータ省略時の初期値
ローカルコマンド承認を行いません。
- exec-timeout <Minutes>
- 指定ユーザの自動ログアウト時間(単位は分)を指定します。本設定は各ユーザのログイン時に読み込まれ,ログイン前に運用コマンドset exec-timeoutで設定していた内容より優先されます。
- 本パラメータ省略時の初期値
60
- 値の設定範囲
1〜60
- terminal-pager {enable | disable}
- 指定ユーザのページングをするかどうかを設定します。本設定は各ユーザのログイン時に読み込まれ,ログイン前に運用コマンドset terminal pagerで設定していた内容より優先されます。
- enable
- ページングを行います。
- disable
- ページングを行いません。
- 本パラメータ省略時の初期値
enable
- 値の設定範囲
enableまたはdisable
- terminal-help {all | no-utility}
- 指定ユーザの運用コマンドのヘルプメッセージを表示する際の動作を設定します。本設定は各ユーザのログイン時に読み込まれ,ログイン前に運用コマンドset terminal helpで設定していた内容より優先されます。
- all
- 入力可能なすべての運用コマンドの一覧を表示するように設定します。
- no-utility
- ユーティリティコマンドとファイル操作コマンドを除いた運用コマンドの一覧を表示するように設定します。
- 本パラメータ省略時の初期値
all
- 値の設定範囲
allまたはno-utility
- terminal-warning-level {disable | all | once}
- 指定ユーザの「警告がある旨のメッセージ」の出力レベルを設定します。本設定は各ユーザのログイン時に読み込まれ,ログイン前に運用コマンドset terminal warning-levelで設定していた内容より優先されます。
- disable
- 警告があるときでも,「警告がある旨のメッセージ」を表示しません。
- all
- 警告があるときに,常に「警告がある旨のメッセージ」を表示します。
- once
- ログイン時,ユーザモード変更時,入力モード変更時,ログアウト時に1回だけ「警告がある旨のメッセージ」を表示します。また,新たに警告が発生した場合にも1回だけ表示します。
- 本パラメータ省略時の初期値
all
ただし,運用コマンドadduserでno-mcパラメータを指定して追加したアカウントの場合は,disableです。
- 値の設定範囲
disable,allまたはonce
- terminal-command-literal {old-format | new-format}
- 指定ユーザのCLI運用コマンドのコマンド入力モードを設定します。本設定は各ユーザのログイン時に読み込まれ,ログイン前に運用コマンドset terminal command-literalで設定していた内容より優先されます。
- old-format
- 旧シンタックス運用コマンドモードに変更します。
- new-format
- 新シンタックス運用コマンドモードに変更します。
- 本パラメータ省略時の初期値
new-format
- 値の設定範囲
old-formatまたはnew-format
- class {root | allcommand | noconfig | nomanage | noenable}
- ユーザに割り当てるコマンドクラスを指定します。
- 本パラメータ省略時の初期値
コマンドクラスが未設定になります。
- 値の設定範囲
本装置であらかじめ定義されているコマンドクラス,root,allcommand,noconfig,nomanage,noenableのどれかを指定します。
詳細は,「運用ガイド 5.2.6 CLIコマンドを制限する」の「運用ガイド 表5-2 コマンドクラス一覧」を参照してください。
- allow-commands <Command List>
- 許可コマンドリストとして,許可するコマンド文字列を指定します。
- コマンドリストに許可対象のコマンド文字列をスペースも意識して指定します。
- 複数指定する場合はコンマ(,)で区切って並べます。
- ユーザのコマンド実行時に,指定されたコマンド文字列と,ユーザが投入したコマンドの先頭部分とが,一致するかどうかを判定します(前方一致)。
- 詳細は,「運用ガイド 5.2.6(1)(a) コマンドリストの指定方法について」を参照してください。
- 本パラメータ省略時の初期値
許可コマンドリストが未設定になります。
- 値の設定範囲
950文字以内の文字列を"(ダブルクォート)で囲んで設定します。入力可能な文字列は,英数字と特殊文字です。ただし,入力文字にスペースなどの特殊文字を含まない場合,文字列を"(ダブルクォート)で囲まなくても入力可能です。
ただし,次の文字は使用できないので注意してください。
ダブルクォート("),大カッコ始め({),大カッコ終わり(}),シングルクォート(’),セミコロン(;),ドル($),逆シングルクォート(‘),バックスラッシュ文字(\)
- deny-commands <Command List>
- 制限コマンドリストとして,制限するコマンド文字列を指定します。
- コマンドリストに制限対象のコマンド文字列をスペースも意識して指定します。
- 複数指定する場合はコンマ(,)で区切って並べます。
- ユーザのコマンド実行時に,指定されたコマンド文字列と,ユーザが投入したコマンドの先頭部分とが,一致するかどうかを判定します(前方一致)。
- 詳細は,「運用ガイド 5.2.6(1)(a) コマンドリストの指定方法について」を参照してください。
- 本パラメータ省略時の初期値
制限コマンドリストが未設定になります。
- 値の設定範囲
950文字以内の文字列を"(ダブルクォート)で囲んで設定します。入力可能な文字列は,英数字と特殊文字です。ただし,入力文字にスペースなどの特殊文字を含まない場合,文字列を"(ダブルクォート)で囲まなくても使用できます。
ただし,次の文字は使用できないので注意してください。
ダブルクォート("),大カッコ始め({),大カッコ終わり(}),シングルクォート(’),セミコロン(;),ドル($),逆シングルクォート(‘),バックスラッシュ文字(\)
[サブコマンド]
なし
[入力例]
- 情報の設定
ユーザ名staff01,コマンドクラスnomanage,許可コマンド”password”,制限コマンド”close,reload”のユーザを設定します。
ユーザ名staff02,コマンドクラスnoenable,制限コマンド”clear”のユーザを追加します。
(config)# login user staff01 class nomanage (config)# show login login user staff01 class nomanage (config)# login user staff01 allow-commands "password" (config)# show login login user staff01 class nomanage login user staff01 allow-commands "password" (config)# login user staff01 deny-commands "close,reload" (config)# show login login user staff01 class nomanage login user staff01 allow-commands "password" login user staff01 deny-commands "close,reload" (config)#
ローカルコマンド承認機能を有効に設定します。
(config)# login user staff02 class noenable (config)# show login login user staff01 class nomanage login user staff01 allow-commands "password" login user staff01 deny-commands "close,reload" login user staff02 class noenable (config)# login user staff02 deny-commands "clear" (config)# show login login user staff01 class nomanage login user staff01 allow-commands "password" login user staff01 deny-commands "close,reload" login user staff02 class noenable login user staff02 deny-commands "clear" (config)#
ユーザ名staff02の,自動ログアウト時間を10分に設定し,さらにページングを行わない設定をします。また,その他のヘルプメッセージ表示動作,警告がある旨のメッセージの出力レベル,およびCLI運用コマンドの入力モードはデフォルト値を設定します。
(config)# login authorization (config)# show login login authorization login user staff01 class nomanage login user staff01 allow-commands "password" login user staff01 deny-commands "close,reload" login user staff02 class noenable login user staff02 deny-commands "clear" (config)#
(config)# login user staff02 exec-timeout 10 (config)# login user staff02 terminal-pager disable (config)# show login login authorization login user staff01 class nomanage login user staff01 allow-commands "password" login user staff01 deny-commands "close,reload" login user staff02 exec-timeout 10 login user staff02 terminal-pager disable login user staff02 class noenable login user staff02 deny-commands "clear" (config)#- 情報の変更
staff02ユーザの制限コマンドを”dump”に変更します。
ユーザ名staff02の,自動ログアウト時間を30分に変更します。
(config)# login user staff02 deny-commands "dump" (config)# show login login authorization login user staff01 class nomanage login user staff01 allow-commands "password" login user staff01 deny-commands "close,reload" login user staff02 exec-timeout 10 login user staff02 terminal-pager disable login user staff02 class noenable login user staff02 deny-commands "dump" (config)#
(config)# login user staff02 exec-timeout 30 (config)# show login login authorization login user staff01 class nomanage login user staff01 allow-commands "password" login user staff01 deny-commands "close,reload" login user staff02 exec-timeout 30 login user staff02 terminal-pager disable login user staff02 class noenable login user staff02 deny-commands "dump" (config)#- 情報の削除
staff01ユーザを削除します。
すべてのログイン情報を削除します。
(config)# delete login user staff01 (config)# show login login authorization login user staff02 exec-timeout 30 login user staff02 terminal-pager disable login user staff02 class noenable login user staff02 deny-commands "dump" (config)#
(config)# delete login (config)# show login no such login (config)#
[関連コマンド]
system
[注意事項]
- default_userを含め,装置当たり最大20ユーザ分設定できます。
- authorizationパラメータだけを設定してもコマンド承認は行いません。systemコマンドのlogin_authenticationパラメータでlocalの設定をしてください。なお,ローカル認証時にユーザ名とそれに対応したコマンドクラスまたはコマンドリストが設定されていない場合は,ログイン後にlogout,exit,quit,disable,end,set terminal,およびshow whoami以外のすべてのコマンドが制限され,コマンドが投入できなくなりますのでご注意ください。
- コンソールおよびAUXからのログインの場合は,コマンド承認は行われません。
- default_user指定の設定内容は,個々のユーザ名で設定がされていないユーザにだけ適用されます。例えば,default_userにexec-timeout値として1を設定している場合でも,staffユーザにterminal-pager,terminal-help,terminal-warning-levelまたはterminal-command-literalパラメータを設定している場合は,staffユーザに適用される設定はexec-timeoutパラメータ省略時の初期値である60となります。
- 本コマンドでexec-timeout,terminal-pager,terminal-help,terminal-warning-level,またはterminal-command-literalのどれか一つでも設定してあるユーザ(default_userで設定してある場合はすべてのユーザ)は,運用コマンドset exec-timeout,set terminal pager,set terminal help,set terminal warning-level,およびset terminal command-literalの設定に関わらず,これら五つのコンフィグレーションのパラメータ設定(値の設定内容または省略時の初期値)に従って動作します。この場合でも,ユーザのログイン後に各運用コマンドset exec-timeout,set terminal pager,set terminal help,set terminal warning-level,およびset terminal command-literalを入力することで,該当セッションでだけ一時的にそれぞれの動作を変更できます。
- 本コマンドで該当ユーザに関するexec-timeout,terminal-pager,terminal-help,terminal-warning-level,またはterminal-command-literal指定をすべて削除した場合は,コンフィグレーションの設定以前に各運用コマンドset exec-timeout,set terminal pager,set terminal help,set terminal warning-level,またはset terminal command-literalで設定されていた値(デフォルト値を含む)に戻ります。
Copyright (c)2005, 2011, ALAXALA Networks Corporation. All rights reserved.