Cisco Prime Collaboration Provisioning ガイド - Standard および Advanced 10.5/10.5.1
サーバの設定
サーバの設定

目次

サーバの設定

ライセンスの管理

Prime Collaboration Provisioning を使用するには、Provisioning イメージ ライセンスと 1 つ以上のスケール ライセンスが必要です。 イメージ ライセンスがない場合は、製品が評価モードのままになります。 また、スケール ライセンスによって、プロビジョニングできる電話機の数が追加されます。

[ライセンスステータス情報(License Status Information)] ページには、機能名、使用可能なライセンス数、使用されているランセンス数、有効期限が表示されます(このページを表示するには、[管理(Administration)] > [システムの設定(System Configuration)] > [ライセンス管理(License management)] の順番に移動し、右側にある [ライセンス ステータス(License Status)] アイコンをクリックします)。

Prime Collaboration Provisioning Standard では、使用可能な機能の下に、委任、ワークフロー、テンプレート、および NBI 機能がリストされます。 Prime Collaboration Provisioning Advanced のライセンスを購入した場合、これらの機能が有効な機能のリストに表示されます。


(注)  


分散インストールの場合、2 台のサーバ間のネットワーク接続が失われた後に再確立されるか、Provisioning データベース(PostgreSQL データベース)サーバだけが再起動されると、Provisioning サーバにログインできず、[ライセンスステータス情報(Licensing Status Information)] ページにライセンス エラーが表示されることがあります。 エラー メッセージには、すべての機能を利用できないことが記されています。 この場合、アプリケーション サーバのプロビジョニング サービスを再起動します。


  • Provisioning イメージ ライセンスと、管理対象の電話の MAC アドレス数に合わせた 1 つ以上のスケール ライセンスを購入できます。 スケール ライセンスは追加可能なライセンスで、1 つの Provisioning インスタンスあたり最大 150,000 です。 イメージ ライセンスが存在する必要があります。これがないと、製品は評価モードのままになります。
  • オプションの Provisioning NBI には、個別のライセンス(Provisioning API ライセンス)購入が必要です。 Prime Collaboration Provisioning は、Provisioning NBI を有効にする前にライセンスの有無を確認します。
  • Provisioning のアプリケーション プログラミング インターフェイス(API)は、Cisco Prime Collaboration Provisioning Northbound Interface(Provisioning NBI)と呼ばれています。 これは、Provisioning のプロビジョニング機能の大半をカバーする SOAP ベースの Web サービス リクエストのセットです。 詳細については、次の Provisioning NBI のマニュアルを参照してください。


    (注)  


    Provisioning NBI を使用するには、追加機能ライセンスを購入する必要があります。 基本の(電話機限定)Provisioning ライセンスを購入しても、Provisioning NBI は使用できません。


ライセンス ディレクトリに複数のイメージ ライセンス ファイルが存在する場合、Prime Collaboration Provisioning は、(ファイルの日付に基づいて)最新のイメージ ライセンス ファイルを選択して使用します。

[ライセンス管理(License Management)] ページからライセンス ファイルを追加すると、エラーが発生した場合に、Prime Collaboration Provisioning はそのライセンス ファイルを検証して適切な確認メッセージを表示します。 以下の場合にライセンス ファイルを追加すると、失敗する可能性があります。
  • ライセンス ファイルが不適切(Provisioning アプリケーションに Assurance ライセンスが追加されている)
  • MAC アドレスが不正確
  • ライセンスのバージョンが不適切
  • ライセンス ファイルが破損している、または変更されている
  • ライセンス数が一致しない

手動でアップロードしたライセンス ファイルは、[ライセンス管理(License Management)] ページで表示できます。

ライセンス取得プロセス

次の手順は、新規インストール(およびアップグレード)、スケール ライセンス、および Provisioning API ライセンスに適用されます。

手順
    ステップ 1   Product Authorization Key(PAK)の入手:PAK は、Cisco.com で Prime Collaboration Provisioning を登録するために使用され、リソース制限が含まれます。

    購入した差分ライセンスごとに PAK が提供されるので、その PAK を使用してライセンス ファイルを入手する必要があります。

    ステップ 2   ライセンス ファイルの入手:Cisco.com で PAK を登録すると、ライセンス ファイルを取得できます。
    ステップ 3   [ライセンス管理(License Management)] ページから Prime Collaboration Provisioning にライセンス ファイルをインポートします。 Prime Collaboration Provisioning がインストール済みで、ライセンス ファイルをアップグレードする場合は、Prime Collaboration Provisioning にライセンス ファイルを登録する必要があります。

    Prime Collaboration Provisioning へのライセンス ファイルの追加

    Prime Collaboration Provisioning のスタンドアロンまたは統合アプリケーションにライセンス ファイルを追加するには、次の手順を実行します。

    Prime Collaboration Provisioning のスタンドアロンにライセンス ファイルを追加するには、次の手順を実行します。

    手順
      ステップ 1   [ライセンス管理(License Management)] ページに進みます。
      • 統合モードでは、[管理(Administration)] > [ライセンス管理(License Management)] を選択します。
      • スタンドアロンの Prime Collaboration Provisioning アプリケーションで、[管理(Administration)] > [システムの設定(System Configuration)] > [ライセンス管理(License management)] を選択します。

      ステップ 2   [ライセンス管理(License management)] ページで [追加(Add)] をクリックします。
      (注)      Cisco Prime Collaboration Provisioning Standard モードから Cisco Prime Collaboration Provisioning Advanced ライセンス モードに更新している場合は、新しいライセンス ファイルを追加してから、[削除(Delete)] オプションを使用して [ライセンス管理(License management)] ページにリストされている古いライセンス ファイル([アップロード時間(Upload Time)] カラムを参照)をすべて削除する必要があります。
      ステップ 3   [ライセンス ファイルの追加(Add License File)] ウィンドウで、ライセンス ファイルをアップロードして [OK] をクリックします。

      新しく追加されたライセンス ファイル情報は、[ライセンス ステータス(License Status)] ペインに表示されます。 複数のライセンスを購入した場合は、ステップ 2 およびステップ 3 を繰り返して、追加ライセンスのインストールを完了します。

      ライセンス ファイルを削除するには、[ライセンス管理(License management)] ページで、ライセンス ファイルを選択して [削除(Delete)] をクリックします。


      Prime Collaboration の Standard モードと Advanced モード間の切り替え

      Prime Collaboration Assurance でも、Prime Collaboration Provisioning でも、Prime Collaboration は Standard モードから Advanced モードへ切り替える機能が提供されています。

      次の表に、さまざまなシナリオでの切り換えを示します。
      表 1 Prime Collaboration Provisioning における Standard モードから Advanced モードへの切り換え
      インストール モード Standard から Advanced Evaluation Standard から Advanced(ライセンスを購入) Advanced Evaluation から Advanced(ライセンスを購入) Advanced Evaluation から Standard
      Prime Collaboration Provisioning N/A はい。 (ユーザ インターフェイスの右上の隅にある [Upgrade] アイコンをクリックし、[Add Licenses] をクリックします。 [License Management] ページで、[Add] をクリックし、Advanced モードのライセンス ファイルをアップロードします。) はい。 (ユーザ インターフェイスの右上の隅にある [Upgrade] アイコンをクリックし、[Add Licenses] をクリックします。 [License Management] ページで、[Add] をクリックし、Advanced モードのライセンス ファイルをアップロードします。) 該当なし
      統合モードでは、Standard モードからAdvanced モードに切り替えるプロビジョニングもあります。 次のいずれかのアップグレードを行えます。
      • [One application only]:Prime Collaboration Assurance でのみ Standard モードから Advanced モードに切り替えて、同じ(インストールされている)モードで Prime Collaboration Provisioning へのアクセスを続行できます。
      • [Both the applications]:Prime Collaboration Assurance と Prime Collaboration Provisioning の両方で、Standard モードまたは Advanced Evaluation モードから Advanced(ライセンスを購入)に切り替えることができます。

      Prime Collaboration Provisioning からの相互起動

      Prime Collaboration 10.0 以上では、Prime Collaboration Provisioning の相互起動機能を使用して Cisco Unified Communications 機能にアクセスできます。 管理者権限を持つユーザは、Prime Collaboration Provisioning から相互起動して Cisco Unified Communications 製品を使用できます。 相互起動の主な目的は、Cisco Unified Communications Manager、Unity Connection、IM and Presence サービスなど、設定済みデバイスの製品 UI のユーザ設定を管理者が Prime Collaboration Provisioning でアップデートする場合に、スムーズかつ継続的なワークフローを実現することです。

      管理ユーザとして、Prime Collaboration Provisioning から次の目的のため相互起動を使用することができます。

      (注)  


      • 相互起動は admin 権限を持つユーザのみが使用でき、10.0 バージョン以降の Cisco Unified Communications Manager、Unity Connection、Presence Services でサポートされます。 これらのデバイスの旧バージョン(10.0 よりも前)を Prime Collaboration Provisioning に追加すると、管理者としてネイティブ起動リンクのみが表示されます。

        ただし、バージョン 10.0 よりも前の Presence Service は、[インフラストラクチャ設定(Infrastructure Configuration)] ビューにネイティブ リンクとして表示されません。これは、ネイティブ リンクが Prime Collaboration の旧バージョンではサポートされていないためです。

      • 相互起動に対するシングル サインオン(SSO)の有効化は必須ではありません。 相互起動に対して SSO を有効にしていない場合は、プロセッサ(Cisco Unified Communications Manager、Unity Connection、Presence Service)を初めて相互起動するときに、ログイン クレデンシャルを指定する必要があります(信頼できるセキュリティ証明書リストへの Web サイトの追加を要求されたたときに、そのまま続行して指定します)。 ただし、後続の試行では、セッションが進行中で起動している限りプロセッサを相互起動するためにログインする必要はありません。 SSO を有効にするには、「Prime Collaboration のシングル サインオン」を参照してください。
      • ブラウザ設定によっては、相互起動時にブラウザの新しいタブまたはウィンドウが開く場合があります。 該当するアプリケーションの製品マニュアルでブラウザの互換性を参照してください。


      Prime Collaboration サーバの統合

      音声エンドポイントとビデオ エンドポイントの両方をモニタリングしたり、Unified Communications のシステムをプロビジョニングしたりするために Prime Collaboration Assurance アプリケーションおよび Prime Collaboration Provisioning アプリケーションの統合を選択すると、Prime Collaboration Assurance システムおよび Prime Collaboration Provisioning システムの両方の機能を活用できます。

      Prime Collaboration Provisioning の接続

      サーバを統合するには:

      はじめる前にPrime Collaboration サーバを統合する前に、次の手順を実行します。

      デフォルトでは、Prime Collaboration Assurance サーバはセキュア モード(HTTPS)で動作しますが、Prime Collaboration Provisioning サーバは非セキュア(HTTP)モードで動作します。 Prime Collaboration Provisioning サーバを HTTPS モードに設定し、コンテンツが混在する問題を回避する必要があります。 SSL を有効にする方法の詳細については、『Cisco Prime Collaboration 10.0 Provisioning User Guide』の「Setting up the server(サーバの設定)」の項を参照してください。

      手順
        ステップ 1   Prime Collaboration Assurance サーバで、[Administration] > [System Setup] > [Assurance Setup] > [Cisco Prime 360 Integration] の順に移動します。
        ステップ 2   [Prime Collaboration Provisioning Server Setup] で、接続するPrime Collaboration Provisioning アプリケーション サーバの IP アドレスを指定します。
        ステップ 3   プロトコルを選択して、ポートの詳細を入力します。

        HTTPS の使用を推奨します。

        HTTP の場合、Prime Collaboration Assurance および Provisioning のサーバで使用するポートは 80 です。HTTPS の場合は Prime Collaboration Assurance は 443、Prime Collaboration Provisioning は 46443 です。

        データ転送に使用するポートの詳細については、『Required Ports for Prime Collaboration』を参照してください。

        ステップ 4   Prime Collaboration Provisioning サーバの接続をテストします。
        ステップ 5   [Attach] をクリックします。 Prime Collaboration Provisioning アプリケーションを Prime Collaboration Assurance に接続後、UI を更新し、UI の [Design and Deploy] のタブを表示します。
        ステップ 6   HTTPS プロトコルを選択した場合は、[Getting Started] ページの [Test Provisioning Certificate] をクリックし、Prime Collaboration Provisioning サーバの SSL 証明書をテストします。

        Windows Internet Explorer:

        統合アプリケーションを起動すると、「Do you want to view only the web page content that was delivered securely」というメッセージが表示されます。

        ポップアップ ダイアログボックスから [No] を選択した場合は、Prime Collaboration Provisioning のすべてのページに適切なデータが表示されます。

        ポップアップ ダイアログボックスから [Yes] を選択した場合は、Prime Collaboration Provisioning のすべてのページにデータが表示されません。 ただし、Microsoft IE 9.0 および 10.0 では、セキュリティ警告が表示されず、Prime Collaboration Provisioning のすべてのページに適切なデータが表示されます。

        Internet Explorer 10.0 および Internet Explorer 11.0

        統合モードで Prime Collaboration UI を起動する場合、[証明書のテストプロビジョニング(Test Provisioning Certificate)] をクリックした後でも Provisioning UI を起動できないことがあります。 エラー メッセージ「無効なセキュリティ証明書のためコンテンツがブロックされています(Content Blocked due to Invalid Security Certificate)」が表示されます。

        この問題を回避するには、次のタスクを実行します。
        1. アドレス バーで、[証明書エラー(Certificate Error)] > [証明書の表示(View certificates)] をクリックします。

        2. [証明書(Certificate)] ダイアログ ボックスで、[証明書のインストール(Install Certificate)] をクリックして、[次へ(Next)] をクリックします。

        3. [証明書をすべて次のストアに配置する(Place All Certificates)] オプションを選択して、証明書ストアを参照します。

        4. [物理ストアを表示する(Show Physical Stores)] チェック ボックスをオンにします。

        5. [信頼されたルート証明機関:ローカルコンピューター(Trusted Root Certificate Authorities—Local Computer)] オプションを選択します。

        6. [OK] をクリックし、[完了(Finish)] をクリックします。

        7. ステップ 2 から 4 を繰り返します。

        8. [信頼された発行元:ローカルコンピューター(Trusted Publishers—Local Computer)] オプションをクリックして、[完了(Finish)] をクリックします。

        9. Internet Explorer を再起動すると、証明書のエラーは起きなくなります。

        Mozilla Firefox:

        混合コンテンツをサーバに表示するには、アドレス バーの [Shield] アイコンをクリックし、[Keep Blocking] ドロップダウンの [Disable Protection] を選択します。

        統合後:

        • Prime Collaboration Provisioning UI が Prime Collaboration Assurance と統合され、Prime Collaboration Provisioning にログインしている場合でも、プロビジョニング IP アドレスが Prime Collaboration Assurance にリダイレクトされます。
        • Prime Collaboration Assurance から Prime Collaboration Provisioning の接続を解除すると、統合モードの Prime Collaboration Provisioning および Prime Collaboration Assurance で適切であったユーザ ロールもスタンドアロン アプリケーションに適用されます。
        • Prime Collaboration Provisioning アプリケーションを再起動またはシャット ダウンする場合は、必ず Prime Collaboration Assurance から接続解除してください。 再起動プロセス後に統合することができます。

        Prime Collaboration のシングル サインオン

        Prime Collaboration は Security Assertion Markup Language(SAML)を使用して Prime Collaboration Assurance および Prime Collaboration Provisioning でのシングル サインオン(SSO)を可能にする管理者権限をユーザに提供します。

        Prime Collaboration では、マルチサーバの SAN 証明書およびエンド ユーザ の SAML SSO はサポートされません。

        次の UC アプリケーションを相互起動するように Prime Collaboration Provisioning で SSO を有効にできます。
        • Cisco Unified Communications Manager
        • Cisco Unity Connection
        • Cisco Unified Presence

        (注)  


        ログイン クレデンシャルを必要とせずにアプリケーションを相互起動するには、それらのアプリケーションの SSO を必ず Prime Collaboration と同じ IdP サーバで設定します。

        SSO を有効にする前に、次の前提条件が満たされていることを確認してください。

        • Prime Collaboration Provisioning が Secure Socket Layer(SSL)を使用するように設定されています。 Provisioning の SSO を有効にする前に SSL を有効にする必要があります。 Prime Collaboration Provisioning で SSL を有効にする手順については、『Cisco Prime Collaboration Provisioning Guide』の「Enabling SSL for Prime Collaboration Provisioning」のセクションを参照してください。

          (注)  


          デフォルトでは、Prime Collaboration Assurance の SSL は有効になっています。
        • Prime Collaboration Provisioning での LDAP の同期を介して、または Prime Collaboration Assurance で LDAP 管理ユーザを手動で 作成することにより、システムに少なくとも 1 人の LDAP 管理ユーザが存在するようになります。

          Prime Collaboration Provisioning でユーザに管理者権限を提供する方法については、『Cisco Prime Collaboration Provisioning Guide』の「Managing Users」の章を参照してください」。

        • Identity Provider(IdP)サーバは、単一ホストのアプリケーションおよびサービス プロバイダーが提供するその他多くのアプリケーションへのアクセスに SSO を使用できるようにします。 サービス プロバイダーとはアプリケーションをホストする Web サイトです。
          次に、サポートされているサードパーティ IdP サーバを示します。
          • Open Access Manager(OpenAM)
          • Ping ID
          • Active Directory Federation Services(ADFS)
          • Oracle Identity Manager

          IdP サーバをセットアップする手順については、『SAML SSO Deployment Guide for Cisco Unified Communication Applications, Release 10.0(1)』を参照してください。

        • IdP サーバからのアイデンティティ プロバイダーのメタデータ ファイルをダウンロードし、ローカル システムに保存します。

        シングル サインオンを有効にするには、以下を実施します。

        手順
          ステップ 1   [Administration] > [Single Sign-on] を選択します。
          ステップ 2   [Enable SSO] をクリックします。

          「Enabling SSO redirects you to the IdP server for authentication from the next login」という警告メッセージが表示されます。 アプリケーションにアクセスするには、正常に認証される必要があります。

          (注)      前述の前提条件が満たされていない場合は、[Enable SSO] は無効になっています。
          ステップ 3   [Continue] をクリックします。
          ステップ 4   シングル サインオンを有効にするには、SSO ウィザードに示される手順に従います。
          1. ローカル システムから IdP メタデータ ファイルを見つけ、[Import IdP Metadata] をクリックします。
          2. [Download Trust Metadata file] をクリックします。
          3. IdP サーバを起動し、ダウンロードした信頼メタデータ ファイルをインポートします。
            (注)      これは、SSO を有効にするための手動の手順です。 SSO のテストを進める前に、IdP サーバで信頼範囲(CoT)を作成し、ログアウトする必要があります。
          4. SSO のテスト セットアップを実行するには、[Valid Administrative Usernames] ドロップダウンからユーザ名を選択します。
            (注)      ほかのユーザ名を使用して IdP サーバにログインすると、管理者アカウントがロックされる可能性があります。
          5. [Run SSO Test] をクリックし、IdP サーバ、Prime Collaboration のアプリケーション、およびシングル サインオン間の接続をテストします。 「Unable to do Single Sign-On or Federation」というエラー メッセージが表示された場合は、次の手順を実行します。
            • エンド ユーザ クレデンシャルを使用して手動で IdP サーバにログインし、認証が成功したかどうかを確認します。
            • Trust Metadata ファイルが IdP サーバで正常にアップロードされているかどうかを確認します。
            • Prime Collaboration サーバと IdP サーバが同じ信頼範囲内にあるかどうかを確認します。
          6. [Finish] をクリックします。
          統合モードでは、Prime Collaboration は Provisioning セットアップを使用して Cisco Unified Communications Manager、Cisco Unity Connection、Cisco Unified Presence のアプリケーションを相互起動します。

          SSO のトラブルシューティングおよびログ

          • SSO を有効化している間に Prime Collaboration サーバからログアウトしている場合は、ブラウザを閉じて Prime Collaboration アプリケーションを再起動することを推奨します。 これは、Prime Collaboration サーバでのセッションが期限切れになっても、IdP サーバ セッションはまだアクティブである可能性があるためです。
          • Prime Collaboration Provisioning の場合は /opt/cupm/sep/logs ディレクトリ、Prime Collaboration Assurance の場合は /opt/emms/tomcat/webapps/emsam/log/sso ディレクトリでログ ファイル(ssosp*.log)を見つけることができます。
          • SSO を有効化中は、Prime Collaboration のホスト名が設定され、DNS の一部であることを確認します。
          IdP サーバがダウンしている場合は、次のことが可能です。
          • リカバリ URL(https://<PCserver IP アドレス または DNS に含まれているホスト名>/ssosp/local/login)を使用します。
          • CMD ユーティリティからのシングル サインオンの無効化。
          Prime Collaboration アプリケーションで CMD ユーティリティから SSO を無効化するには、以下を実施します。
          • SSH とポート 22(Prime Collaboration Assurance の場合は 26)を使用して Prime Collaboration Provisioning サーバにログインします。
          • Prime Collaboration Provisioning の場合は /opt/cupm/sep/build/bin ディレクトリ、Prime Collaboration Assurance の場合は /opt/emms/emsam/bin に移動します。 次の表に基づいて cpcmconfigsso.sh ファイルの <Operation> および <Value> エントリを追加します。
          操作は次のとおりです。 値は次のとおりです。
          1:シングル サインオン ステータスを取得 N/A
          2:リカバリ URL ステータスを取得 N/A
          3:シングル サインオン ステータスを設定 False
          (注)      CLI から SSO を有効にすることはできません。 SSO を有効にするには、UI プロシージャを使用します。
          4:リカバリ URL ステータスを設定 True または False
          • SSO を無効にするには、次のコマンドを実行します。

          cpcmconfigsso.sh 3 false


          (注)  


          デフォルトでは、リカバリ URL は有効になっています。 セキュリティ上の理由から無効にする場合は、false に設定します。

          Prime Collaboration Provisioning の SSL の有効化

          OpenSSL を有効にする前に、Prime Collaboration Assurance から Prime Collaboration Provisioning を切断済みであることを確認してください。


          (注)  


          • SSL は Prime Collaboration Assurance ではデフォルトで有効になりますが、SSL を Prime Collaboration Provisioning で有効にすることは必須ではありません。
          • Prime Collaboration Assurance と Prime Collaboration Provisioning を統合した場合は、SSL を Prime Collaboration Provisioning で有効にしてから、Prime Collaboration Provisioning と Prime Collaboration Assurance を SSL の設定中に指定したポート番号に再接続します。 デフォルトでは OpenSSL はポート番号 443 で有効になっていますが、この設定は変更できます。

          手順
            ステップ 1   Cisco.com から OpenSSL1.0.1g-PC10-Linux.zip をダウンロードします。 Provisioning サーバに root ユーザとしてログインし、zip ファイルを /opt/cupm フォルダにコピーします。 次のコマンドを使用して zip ファイルを解凍します。
            unzip OpenSSL1.0.1g-PC10-Linux.zip
            解凍すると、/opt/cupm に OpenSSL1.0.1g-PC10-Linux フォルダが作成されます。
            ステップ 2   次のコマンドを使用して、/opt/cupm にバックアップ ディレクトリを作成します。
             mkdir <backupdirectoryname>
            /opt/cupm/httpd に移動します。 次のコマンドを実行して、/opt/cupm/httpd の下にある bin、lib 、modules、ssl フォルダをバックアップします。
            cp -R ssl/ /opt/cupm/<backup_directory_name>/ssl
            cp -R bin/ /opt/cupm/<backup_directory_name>/bin
            cp -R lib/ /opt/cupm/<backup_directory_name>/lib
            cp -R modules/ /opt/cupm/<backup_directory_name>/modules
            
            ステップ 3   /opt/cupm/OpenSSL1.0.1g-PC10-Linux に移動します。 次のコマンドを使用して、/opt/cupm/OpenSSL1.0.1g-PC10-Linux フォルダから /opt/cupm/httpd フォルダに bin、lib 、modules、ssl フォルダをコピーします。
            unalias cp 
            cp -R ssl/* /opt/cupm/httpd/ssl/
            cp -R bin/* /opt/cupm/httpd/bin/
            cp -R lib/* /opt/cupm/httpd/lib/
            cp -R modules/* /opt/cupm/httpd/modules/
            
            (注)     

            ファイルのコピー中、既存のファイルを上書きするプロンプトが表示されたら、[すべてはい(Yes to All)] を選択します。 SSH ファイル転送でファイルをコピーする場合は、[自動選択(Autoselect)] を選択していることを確認します。

            ステップ 4   新しい lib ファイルからの(オペレーティング システム ライブラリ ファイルへの)リンクを、次のように作成します:ln -s /opt/cupm/httpd/lib/libssl.so.1.0.0 /lib64 ln -s /opt/cupm/httpd/lib/libcrypto.so.1.0.0 /lib64
            ステップ 5   /opt/cupm/httpd/bin ディレクトリに移動して、アクセス権限用に次のコマンドを実行します:chmod 777 openssl
            ステップ 6   次のコマンドを実行してキーを作成します:./openssl genrsa -out /opt/cupm/httpd/mycorp.com.key 1024
            ステップ 7   次のコマンドを実行して SSL 証明書を作成します:./openssl req -new -key /opt/cupm/httpd/mycorp.com.key -x509 -out /opt/cupm/httpd/mycorpcom.crt -days 365

            mycorpcom.crt は証明書名で、mycorp.com.key はキー名です。

            キーと証明書が opt/cupm/httpd フォルダに作成されます。

            サンプル出力:
            • Country Name (2 letter code) [AU]:US
            • State or Province Name (full name) [Some-State]:CA
            • Locality Name (eg, city)[ ]:CA
            • Organization Name (eg, company) [Internet Widgits Pty Ltd]:mycorp, LLC
            • Organizational Unit Name (eg, section)[ ]:Sales
            • Common Name (eg, YOUR name)[ ]:
            • Email Address [ ]:you@mycorp.com
            ステップ 8   /opt/cupm/httpd/conf にある ssl.conf ファイルのバックアップを作成します。
            ステップ 9   VI エディタを使用して、ssl.conf ファイルの次の行を更新します。
            • SSLCertificateFile conf/server.crt を SSLCertificateFile /opt/cupm/httpd/mycorpcom.crt に置き換えます。

            • SSLCertificateKeyFile conf/server.key を SSLCertificateKeyFile /opt/cupm/httpd/mycorp.com.key に置き換えます。

            ステップ 10   Apache サーバを設定します(Apache サーバの設定を参照)。

            Apache サーバの設定

            手順
              ステップ 1   Prime Collaboration Provisioning システムにルート ユーザとしてログインし、/opt/cupm/httpd/conf にある httpd.conf ファイルのバックアップを作成します。
              ステップ 2   VI エディタを使用して、httpd.conf ファイルの次の行を更新します。

              #Include conf/extra/httpd-ssl.conf

              これを次のように更新します。

              Include conf/ssl.conf

              ステップ 3   次のコマンドを実行し、Apache サーバを再起動します。

              /opt/cupm/httpd/bin# ./apachectl -k stop

              /opt/cupm/httpd/bin# ./apachectl -k start -DSSL



              (注)  


              • Prime Collaboration Provisioning アプリケーションの開始時に https をデフォルトで有効にするには、ルート ユーザとしてログインし、/opt/cupm/cupm-full-service.sh および opt/cupm/cupm-app-service.sh ファイルの次の行を変更します。 次に、Prime Collaboration Provisioning サービスを再起動します。

                $PM_BASE/httpd/bin/apachectl -k start & を $PM_BASE/httpd/bin/apachectl -k start -DSSL & へ

                $PM_BASE/httpd/bin/apachectl -k stop & を $PM_BASE/httpd/bin/apachectl -k stop -DSSL & へ

              • SSH コンソールから次のコマンドを使用して、ポート 80 または 443 が有効(リスニング ポート)であることを確認します。

                #lsof -i :443

                #lsof -i :80

              • ssl.conf ファイルにポート 443 を設定することをお勧めします。 Listen 443 を必要なポートに変更します。

              • HTTPS を排他的に実行する場合は、/opt/cupm/httpd/conf/httpd.conf ファイルの行「Listen 80」をコメントアウトして HTTP を無効にし、Apache サーバを再起動する必要があります。


              SSL ポートの変更

              Prime Collaboration Provisioning によって SSL 用に使用されるポートを変更するには、次の手順を実行します。

              手順
                ステップ 1   Prime Collaboration Provisioning システムで、(/opt/cupm/httpd/conf にある)ssl.conf ファイルを開きます。
                ステップ 2   次の行のポート番号を変更します。

                Listen 443

                VirtualHost _default_:443

                (注)     

                ポート番号の変更後、Prime Collaboration へアクセスするときに新しいポート番号を入力します。

                ステップ 3   変更内容を保存して、ファイルを閉じます。
                ステップ 4   Apache サーバを再起動します。

                Prime Collaboration Provisioning での OpenSSL の更新

                脆弱性を修正する最新の openSSL を Cisco.com からダウンロードできます。

                Prime Collaboration Assurance と Prime Collaboration Provisioning を統合している場合は、OpenSSL をアップグレードする前に必ず、Prime Collaboration Provisioning を Prime Collaboration Assurance から切り離してください。

                手順
                  ステップ 1   Cisco.com から OpenSSL1.0.1g-PC10-Linux.zip をダウンロードします。 Provisioning サーバに root ユーザとしてログインし、zip ファイルを /opt/cupm フォルダにコピーします。 次のコマンドを使用して zip ファイルを解凍します。
                  unzip OpenSSL1.0.1g-PC10-Linux.zip
                  解凍すると、/opt/cupm に OpenSSL1.0.1g-PC10-Linux フォルダが作成されます。
                  ステップ 2   次のコマンドを使用して、/opt/cupm にバックアップ ディレクトリを作成します。
                   mkdir <backupdirectoryname>
                  /opt/cupm/httpd に移動します。 次のコマンドを実行して、/opt/cupm/httpd の下にある bin、lib 、modules、ssl フォルダをバックアップします。
                  cp -R ssl/ /opt/cupm/<backup_directory_name>/ssl
                  cp -R bin/ /opt/cupm/<backup_directory_name>/bin
                  cp -R lib/ /opt/cupm/<backup_directory_name>/lib
                  cp -R modules/ /opt/cupm/<backup_directory_name>/modules
                  
                  ステップ 3   /opt/cupm/OpenSSL1.0.1g-PC10-Linux に移動します。 次のコマンドを使用して、/opt/cupm/OpenSSL1.0.1g-PC10-Linux フォルダから /opt/cupm/httpd フォルダに bin、lib 、modules、ssl フォルダをコピーします。
                  unalias cp 
                  cp -R ssl/* /opt/cupm/httpd/ssl/
                  cp -R bin/* /opt/cupm/httpd/bin/
                  cp -R lib/* /opt/cupm/httpd/lib/
                  cp -R modules/* /opt/cupm/httpd/modules/
                  
                  (注)     

                  ファイルのコピー中、既存のファイルを上書きするプロンプトが表示されたら、[すべてはい(Yes to All)] を選択します。 SSH ファイル転送でファイルをコピーする場合は、[自動選択(Autoselect)] を選択していることを確認します。

                  ステップ 4   次のようにして、新しい lib ファイルから(オペレーティング システムのライブラリ ファイルに)リンクを作成します。
                  ln -s /opt/cupm/httpd/lib/libssl.so.1.0.0 /lib64 
                  ln -s /opt/cupm/httpd/lib/libcrypto.so.1.0.0 /lib64 
                  
                  ステップ 5   /opt/cupm/httpd/bin ディレクトリに移動し、次のアクセス権限用のコマンドを実行します。 chmod 777 openssl
                  ステップ 6   次のコマンドを実行してキーを作成します。 ./openssl genrsa -out /opt/cupm/httpd/<yourkey.key> 1024
                  ステップ 7   次のコマンドを実行して SSL 証明書を作成します。 ./openssl req -new -key /opt/cupm/httpd/<yourkey.key> -x509 -out /opt/cupm/httpd/<yourcert.crt> -days 365

                  yourcert.crt は証明書の名前、yourkey.key はキーの名前です。

                  サンプル出力:
                  • Country Name (2 letter code) [AU]:US
                  • State or Province Name (full name) [Some-State]:CA
                  • Locality Name (eg, city)[ ]:CA
                  • Organization Name (eg, company) [Internet Widgits Pty Ltd]:mycorp, LLC
                  • Organizational Unit Name (eg, section)[ ]:Sales
                  • Common Name (eg, YOUR name)[ ]:
                  • Email Address [ ]:you@mycorp.com
                  ステップ 8   /opt/cupm/httpd/conf/ssl.conf ファイルの次の行を更新して、証明書をキー ファイルにマッピングします。

                  – SSLCertificateFile /opt/cupm/httpd/mycorpcom.crt を SSLCertificateFile /opt/cupm/httpd/yourcert.crt に置き換えます。

                  – SSLCertificateKeyFile /opt/cupm/httpd/mycorp.com.key をSSLCertificateKeyFile /opt/cupm/httpd/yourkey.key に置き換えます。

                  (注)     

                  /opt/cupm/httpd に古い証明書がある場合は、それらを削除してください。

                  ステップ 9   次のコマンドを使用して Apache サーバを再起動します。 /opt/cupm/httpd/bin# ./apachectl -k stop

                  /opt/cupm/httpd/bin# ./apachectl -k start -DSSL


                  SSL ポートの変更

                  Prime Collaboration Provisioning で SSL に使用されるポートを変更するには、次の操作を行います。

                  手順
                    ステップ 1   Prime Collaboration Provisioning システムで、/opt/cupm/httpd/conf にある ssl.conf ファイルを開きます。
                    ステップ 2   次の行のポート番号を変更します。

                    Listen 443

                    VirtualHost_default_: 443

                    ServerName www.example.com:443

                    RewriteRule ^/?(.*) https://%{SERVER_NAME}:443/$1 [R,L]

                    (注)     

                    ポート番号を変更した後は、Prime Collaboration Provisioning にアクセスするときに新しいポート番号を入力する必要があります

                    ステップ 3   変更内容を保存して、ファイルを閉じます。
                    ステップ 4   /opt/cupm/httpd/conf にある httpd.conf ファイルを開きます。
                    ステップ 5   次の行のポート番号を変更します。 RewriteRule ^/?(.*) https://%{SERVER_NAME}:443/$1 [R,L]
                    ステップ 6   変更内容を保存して、ファイルを閉じます。
                    ステップ 7   次のコマンドを使用して Apache サーバを再起動します。

                    /opt/cupm/httpd/bin# ./apachectl -k stop

                    /opt/cupm/httpd/bin# ./apachectl -k start -DSSL


                    LDAP および ACS サーバを使用するための Provisioning の設定

                    認証に Access Control Server(ACS)または LDAP サーバを使用するように Prime Collaboration Provisioning を設定できます。 ACS サーバは認証のみに使用されますが、LDAP サーバを使用して読み取り、書き込み、同期を実行できます。


                    (注)  


                    • ACS サーバを追加する場合は、Provisioning サーバを ACS クライアントとして追加する必要があります(TACACS とともに)。

                    • LDAP サーバに対して SSL を有効にするには、LDAP サーバまたはサードパーティ証明書のために SSL を有効化するを参照してください。

                    • ACS または LDAP サーバを削除する前に、それがドメインに割り当てられていないことを確認します。 ACS または LDAP サーバは、ドメインごとに有効化されます。 ACS または LDAP サーバを追加したら、それをドメインに割り当てる必要があります。 それによって、ドメイン内のすべてのユーザがその ACS または LDAP サーバに対して認証されます。 ACS または LDAP サーバがドメインに関連付けられていない場合、そのドメインのすべてのユーザはローカルに認証されます。 globaladmin は常にローカルで認証されます。


                    Cisco Secure Access Control Server を使用するように Provisioning を設定する場合は、次の点に注意してください。
                    • [テスト接続(Test Connection)] ボタンをクリックすると、IP アドレスの接続だけがチェックされます。

                    • 共有秘密キーは、認証にのみ使用されます。

                    • 誤った共有秘密キーを入力した場合、Provisioning にログインしようとすると、不正な秘密キーであることを示すエラーが表示されます。 ACS の設定中に生成された SSK を使用してください。

                    • Provisioning は ACS 4.2 のみをサポートしています。

                    LDAP サーバまたはサードパーティ証明書のために SSL を有効化する

                    Prime Collaboration Provisioning のユーザ インターフェイスを使用して、Prime Collaboration Provisioning SSL 証明書の更新または LDAP サーバ証明書をインポートできます。 手順は次のとおりです。

                    はじめる前に
                    1. サードパーティ証明書で SSL を有効化するには、サードパーティ証明書の PEM 形式(.key および .crt ファイルを含む zip ファイル)をインポートします。 この形式では、Apache サーバで推奨されているように、証明書と秘密キーを 2 つの個別のファイルとして提供します。

                    2. LDAP サーバで SSL を有効にするには、証明書の .cer 形式で SSL 証明書をインポートします。

                    手順
                      ステップ 1   [管理(Administration)] > [システムメンテナンス(System Maintenance)] > [更新(Updates)] を選択します。
                      ステップ 2   [追加(Add)] をクリックします。 [SSL証明書の追加(Add SSL Certificate)] ポップアップ ダイアログ ボックスが表示されます。
                      ステップ 3   ファイルを選択して、[アップロード(Upload)] をクリックして、SSL 証明書をインポートします。
                      ステップ 4   Prime Collaboration Provisioning を再起動します。
                      ステップ 5   [LDAPサーバの設定(LDAP Server Configuration)] ページに移動し、[SSLを使用(Use SSL)] チェック ボックスをオンにします。
                      (注)     

                      Prime Collaboration Provisioning で SSL 証明書を削除するには、[削除(Delete)] をクリックします。


                      Prime Collaboration Provisioning サーバのタイム ゾーンの設定

                      統合サーバのタイム ゾーン設定を変更するには、Provisioning を Assurance から切断し、タイム ゾーン設定を変更します。

                      グリニッジ標準時(GMT)とも呼ばれる、うるう秒で更新される協定世界時(UTC)を指定できます。

                      Provisioning サーバでタイム ゾーンを変更するには、次の手順を実行します。

                      手順
                        ステップ 1   インストール中に作成したアカウントを使用して、Prime Collaboration Provisioning サーバにログインします。 デフォルトでは、管理アカウントです。
                        ステップ 2   次のコマンドを入力して、サポートされているタイム ゾーンのリストを表示します。
                        cm/admin# show timezones
                        ステップ 3   Prime Collaboration Provisioning サーバのタイム ゾーンを設定するには、次のコマンドを入力します。
                        cm/admin(config)# config t
                        cm/admin(config)# clock timezone US/Pacific
                        cm/admin(config)# exit
                        ステップ 4   実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーするには、次のコマンドを入力します。
                        cm/admin# write memory
                        ステップ 5   ルート アカウントを使用して、Prime Collaboration Provisioning にログインします。
                        ステップ 6   cd /opt/cupm/sep を実行します。
                        ステップ 7   dfc.properties ファイルの次のプロパティを更新して、オフセットを更新します。
                        dfc.gui.utc_offset=<applicable offset for your geographic location>
                        たとえば、IST タイムゾーンにいる場合は、「dfc.gui.utc_offset=+0530」と入力します。
                        ステップ 8   サービスを再起動します。
                        /etc/init.d/pmservers stop
                        /etc/init.d/pmservers start 
                        (注)      Provisioning サーバを Assurance に接続すると、Assurance のタイム ゾーン設定が統合サーバに表示されます。 ただし、Provisioning のダッシュボードには Provisioning のタイム ゾーンだけが表示されます。
                        (注)      Provisioning サーバを Assurance に接続すると、Assurance UI に Assurance のタイム ゾーン設定が表示されます。 ただし、Provisioning の UI には Provisioning のタイム ゾーンが表示されます。

                        Provisioning のスタンドアロン サーバで、Provisioning のホーム ページの右上隅から [タイム ゾーン(Time Zone)] アイコンを選択し、タイム ゾーンを変更することもできます。 [タイムゾーンの設定(UTCオフセット)(Time Zone Settings (UTC Offset))] ページで、新しい UTC オフセットと場所の詳細を入力し、[適用(Apply)] をクリックします。

                        Prime Collaboration Provisioning の統合およびスタンドアロン アプリケーションでは、Provisioning ホーム ページの右上隅にある [タイムゾーン(Time Zone)] アイコンを選択して、タイム ゾーンを変更することもできます。 [タイムゾーンの設定(UTCオフセット)(Time Zone Settings (UTC Offset))] ページで、新しい UTC オフセットと場所の詳細を入力し、[適用(Apply)] をクリックします。

                        (注)  


                        Prime Collaboration の統合アプリケーションでは、[タイムゾーン(Time Zone)] アイコンを使用して行った変更は Provisioning の UI にのみ反映されます(Assurance のタイムゾーンは変更されません)。

                        (注)  


                        UI で変更したタイム ゾーンは、アプリケーションをログ アウトするまで持続します。 再びログインすると、そのサーバのタイム ゾーンのみが UI に表示されます。 タイム ゾーンを永続的に変更するには、サーバのタイム ゾーンを更新した後に、上記の手順を行います。