Cisco ACI で特定テナントにしかアクセス出来ないユーザを作成する
Cisco ACI ではセキュリティドメイン (Security Domain) という概念を用いることで「特定のテナントにしかアクセス出来ないユーザ」を作成することが出来ます。 今回はこういった「アクセス出来る範囲を制限されたユーザ」の作成方法をメモしておきます。
検証環境¶
今回は Cisco ACI 2.2(2i) 環境で検証を実施しました。 また、認証は(外部サーバでは無く)ローカルユーザを利用しました。
設定の流れ¶
以下の流れで設定作業を進めます。
- セキュリティドメインを作成する
- ローカルユーザを作成する
- テナントを作成する
セキュリティドメインを作成する¶
まず最初にセキュリティドメインを作成します。
Step.1¶
Admin → Security Management → Security Domains から Create Security Domain をクリックします。
Step.2¶
セキュリティドメインの名前を指定します。 今回は PodA という値にしました。
ローカルユーザを作成する¶
次はローカルユーザを作成します。
Step.1¶
Admin → Security Management → Local Users から Create Local User をクリックします。
Step.2¶
ユーザ名 (Login ID) やパスワード (Password) 等の項目を指定します。 今回、ユーザ名は admin-A としました。
Step.3¶
作成したユーザに関連付けるセキュリティドメインを指定します。 今回は先程作成した PodA を指定しました。
Step.4¶
指定したセキュリティドメイン (今回なら PodA) に対する権限を指定します。 今回は admin Role で権限は Write(書き込み権限)としました。 従って、ここで作成したユーザは「PodA の範囲に対して Admin Role で Write 権限を持つ」ことになります。
Step.5¶
作成したユーザをクリックすると関連付けられているセキュリティドメインを確認出来ます。 明示的に指定しなくても common テナントは追加される為、admin-A ユーザは PodA と common のふたつが関連付けられていることが分かります。
テナントを作成する¶
最後にテナントを作成します。
Step.1¶
テナント名と関連付けるセキュリティドメインを指定します。 今回、テナント名は TenantA、関連付けるセキュリティドメインは PodA としました。
Step.2¶
作成済みのテナントに対してセキュリティドメインの関連付けを変更するには Tenant → Policy をクリックし、Security Domain 部分の設定を変更します。
確認¶
新規作成したユーザでログインし、アクセス出来る範囲が制限されていることを確認します。
Step.1¶
ACI のログイン画面から、新規ユーザでログインします。 今回は新規作成した admin-A ユーザでログインします。
Step.2¶
ACI にログインすると、上部のナビゲーションメニューのうち Fabric や VM Networking 等、十分な権限割当てられていない為にアクセス出来ない部分はグレーアウトしているのが分かります。
Step.3¶
テナントの一覧画面を表示してみます。 すると、admin-A に関連付けられている common と TenantA しか表示されないことが分かります。
