らくがきちょう

なんとなく

Cisco ACI で特定テナントにしかアクセス出来ないユーザを作成する

Cisco ACI ではセキュリティドメイン (Security Domain) という概念を用いることで「特定のテナントにしかアクセス出来ないユーザ」を作成することが出来ます。 今回はこういった「アクセス出来る範囲を制限されたユーザ」の作成方法をメモしておきます。

検証環境

今回は Cisco ACI 2.2(2i) 環境で検証を実施しました。 また、認証は(外部サーバでは無く)ローカルユーザを利用しました。

設定の流れ

以下の流れで設定作業を進めます。

  1. セキュリティドメインを作成する
  2. ローカルユーザを作成する
  3. テナントを作成する

セキュリティドメインを作成する

まず最初にセキュリティドメインを作成します。

Step.1

AdminSecurity ManagementSecurity Domains から Create Security Domain をクリックします。

f:id:sig9:20170529223629p:plain

Step.2

セキュリティドメインの名前を指定します。 今回は PodA という値にしました。

f:id:sig9:20170529223640p:plain

ローカルユーザを作成する

次はローカルユーザを作成します。

Step.1

AdminSecurity ManagementLocal Users から Create Local User をクリックします。

f:id:sig9:20170529223650p:plain

Step.2

ユーザ名 (Login ID) やパスワード (Password) 等の項目を指定します。 今回、ユーザ名は admin-A としました。

f:id:sig9:20170529223701p:plain

Step.3

作成したユーザに関連付けるセキュリティドメインを指定します。 今回は先程作成した PodA を指定しました。

f:id:sig9:20170529223718p:plain

Step.4

指定したセキュリティドメイン (今回なら PodA) に対する権限を指定します。 今回は admin Role で権限は Write(書き込み権限)としました。 従って、ここで作成したユーザは「PodA の範囲に対して Admin Role で Write 権限を持つ」ことになります。

f:id:sig9:20170529223729p:plain

Step.5

作成したユーザをクリックすると関連付けられているセキュリティドメインを確認出来ます。 明示的に指定しなくても common テナントは追加される為、admin-A ユーザは PodAcommon のふたつが関連付けられていることが分かります。

f:id:sig9:20170529223745p:plain

テナントを作成する

最後にテナントを作成します。

Step.1

テナント名と関連付けるセキュリティドメインを指定します。 今回、テナント名は TenantA、関連付けるセキュリティドメインPodA としました。

f:id:sig9:20170529225511p:plain

Step.2

作成済みのテナントに対してセキュリティドメインの関連付けを変更するには TenantPolicy をクリックし、Security Domain 部分の設定を変更します。

f:id:sig9:20170529223815p:plain

確認

新規作成したユーザでログインし、アクセス出来る範囲が制限されていることを確認します。

Step.1

ACI のログイン画面から、新規ユーザでログインします。 今回は新規作成した admin-A ユーザでログインします。

f:id:sig9:20170529223829p:plain

Step.2

ACI にログインすると、上部のナビゲーションメニューのうち FabricVM Networking 等、十分な権限割当てられていない為にアクセス出来ない部分はグレーアウトしているのが分かります。

f:id:sig9:20170529223840p:plain

Step.3

テナントの一覧画面を表示してみます。 すると、admin-A に関連付けられている commonTenantA しか表示されないことが分かります。

f:id:sig9:20170529223856p:plain