クレデンシャル ポリシー
クレデンシャル ポリシー

クレデンシャル ポリシー

この章では、ユーザにシステムへのアクセスを許可する前にユーザのログイン クレデンシャルを認証する Cisco Unified Communications Manager のクレデンシャル ポリシーについて説明します。 ユーザ アカウントを保護するには、失敗したログイン試行、ロックアウト期間、パスワード有効期間、およびパスワード要件に関する設定を Cisco Unified Communications Manager の管理ページで指定します。 これらの認証規則によって、クレデンシャル ポリシーが構成されます。

クレデンシャル ポリシーの適用対象は、アプリケーション ユーザとエンド ユーザです。 管理者は、パスワード ポリシーをエンド ユーザとアプリケーション ユーザに割り当て、暗証番号ポリシーをエンド ユーザに割り当てます。 これらのグループのポリシー割り当ては、[クレデンシャルポリシーのデフォルトの設定(Credential Policy Default Configuration)] に一覧表示されます。

インストール時に、Cisco Unified Communications Manager によって、ユーザ グループに静的なデフォルト クレデンシャル ポリシーが割り当てられます。 デフォルト クレデンシャルは提供されません。 Cisco Unified Communications Manager の管理ページの [クレデンシャルポリシーのデフォルトの設定(Credential Policy Default Configuration)] ウィンドウには、新しいデフォルト ポリシーを割り当てたり、ユーザの新しいデフォルト クレデンシャルやクレデンシャル要件を設定したりするためのオプションが用意されています。


(注)  


空(ヌル)のクレデンシャルはサポートされません。 システムで LDAP 認証を使用している場合は、インストール直後にエンド ユーザのデフォルト クレデンシャルを設定する必要があります。設定しないと、ログインが失敗します。


Cisco Unified Communications Manager データベースに新しいユーザを追加すると、デフォルト ポリシーが割り当てられます。 [ユーザの設定(User Configuration)] ウィンドウにある [クレデンシャルの編集(Edit Credential)] ボタンを使用して、割り当てられたポリシーを変更したり、ユーザ認証イベントを管理したりできます。

クレデンシャル ポリシーの設定

Cisco Unified Communications Manager は、システム アクセスを許可する前に、ユーザのログイン クレデンシャルを認証します。 ユーザ アカウントを保護するには、失敗したログイン試行、ロックアウト期間、パスワード有効期間、およびパスワード要件に関する設定を Cisco Unified Communications Manager の管理ページで指定します。 これらの認証規則によって、クレデンシャル ポリシーが構成されます。

クレデンシャル ポリシーの適用対象は、アプリケーション ユーザとエンド ユーザです。 管理者は、パスワード ポリシーをエンド ユーザとアプリケーション ユーザに割り当て、暗証番号ポリシーをエンド ユーザに割り当てます。 これらのグループのポリシー割り当ては、[クレデンシャルポリシーのデフォルトの設定(Credential Policy Default Configuration)] に一覧表示されます。

インストール時に、Cisco Unified Communications Manager によって、ユーザ グループに静的なデフォルト クレデンシャル ポリシーが割り当てられます。 デフォルト クレデンシャルは提供されません。 Cisco Unified Communications Manager の管理ページの [クレデンシャルポリシーのデフォルトの設定(Credential Policy Default Configuration)] ウィンドウには、新しいデフォルト ポリシーを割り当てたり、ユーザの新しいデフォルト クレデンシャルやクレデンシャル要件を設定したりするためのオプションが用意されています。


(注)  


空(ヌル)のクレデンシャルはサポートされません。 システムで LDAP 認証を使用している場合は、インストール直後にエンド ユーザのデフォルト クレデンシャルを設定する必要があります。設定しないと、ログインが失敗します。


Cisco Unified Communications Manager データベースに新しいユーザを追加すると、デフォルト ポリシーが割り当てられます。 [ユーザの設定(User Configuration)] ウィンドウにある [クレデンシャルの編集(Edit Credential)] ボタンを使用して、割り当てられたポリシーを変更したり、ユーザ認証イベントを管理したりできます。

クレデンシャル ポリシーを設定するための一般的な手順とガイドラインは次のとおりです。

手順
    ステップ 1   デフォルト ポリシー以外のクレデンシャル ポリシーを設定するには、[クレデンシャルポリシーの設定(Credential Policy Configuration)] ウィンドウを使用します。
    ステップ 2   新しいクレデンシャル ポリシーを割り当てたり、アカウント タイプに共通のパスワードを設定したりするには、[クレデンシャルポリシーのデフォルト(Credential Policy Default)] ウィンドウを使用します。
    ステップ 3   個々のユーザのクレデンシャル設定を管理またはモニタするには、[ユーザの設定(User Configuration)] ウィンドウにある [クレデンシャルの編集(Edit Credential)] リンクをクリックします。

    クレデンシャル ポリシーおよび認証

    Cisco Unified Communications Manager の認証機能は、ユーザの認証、クレデンシャル情報の更新、ユーザ イベントとエラーの追跡およびロギング、クレデンシャルの変更履歴の記録、およびデータ保管のためのユーザ クレデンシャルのエンコード/デコード(または暗号化/復号化)を行います。

    システムは常に、アプリケーション ユーザのパスワードとエンド ユーザの暗証番号を Cisco Unified Communications Manager データベースと照合して認証します。 システムは、エンド ユーザのパスワードを社内ディレクトリまたは Cisco Unified Communications Manager データベースと照合して認証できます。

    システムが社内ディレクトリと同期されている場合は、Cisco Unified Communications Manager の認証機能または LDAP によって、このパスワードを認証できます。

    • LDAP 認証が有効になっている場合、Cisco Unified Communications Manager の管理ページで設定されているユーザのパスワードとクレデンシャル ポリシーは適用されません。 これらのデフォルトは、ディレクトリ同期(DirSync サービス)で作成されたユーザに適用されます。

    • LDAP 認証が無効になっている場合、システムはユーザ クレデンシャルを Cisco Unified Communications Manager データベースと照合して認証します。 このオプションを使用すると、管理者はクレデンシャル ポリシーの割り当て、認証イベントの管理、およびパスワードの管理を行うことができます。 エンド ユーザは、電話機のユーザ ページでパスワードと暗証番号を変更できます。

    LDAP 認証の詳細については、ディレクトリの概要を参照してください。

    クレデンシャル ポリシーは、OS ユーザや CLI ユーザには適用されません。 これらの管理者は、OS がサポートしている標準のパスワード検証手順を使用します。 OS のログイン手順については、『Cisco Unified Communications Operating System Administration Guide』を参照してください。

    クレデンシャルのキャッシュ

    パフォーマンスを向上させるために、管理者は、エンタープライズ パラメータ "Enable Caching" を [True] に設定できます。 このパラメータを使用すると、Cisco Unified Communications Manager は、キャッシュされたクレデンシャルを最大 2 分間使用できます。 これにより、ログイン要求が発行されるたびに Cisco Unified Communications Manager がデータベース検索を実行したり、ストアド プロシージャを呼び出したりする必要がなくなるため、システムの効率が向上します。 関連付けられたクレデンシャル ポリシーは、キャッシュの有効期間が切れるまで適用されません。

    この設定は、ユーザ認証を呼び出すすべての Java アプリケーションに適用されます。 このエンタープライズ パラメータを [False] に設定すると、キャッシュがオフになり、キャッシュされたクレデンシャルが認証に使用されなくなります。 LDAP 認証では、この設定は無視されます。 クレデンシャルのキャッシュを実行する場合は、ユーザごとに、ごくわずかな追加メモリが必要になります。

    BAT 管理

    一括管理ツール(BAT)を使用すると、管理者は BAT ユーザ テンプレートで、ユーザのグループに共通のクレデンシャル パラメータ(パスワードや PIN など)を定義できます。 ユーザ テンプレートを初めて作成するときは、すべてのユーザに静的なデフォルト クレデンシャル ポリシーが割り当てられます。

    JTAPI/TAPI のサポート

    Cisco Unified Communications Manager の Java テレフォニー アプリケーション プログラミング インターフェイス(JTAPI)およびテレフォニー アプリケーション プログラミング インターフェイス(TAPI)は、アプリケーション ユーザに関連付けるクレデンシャル ポリシーをサポートしています。クレデンシャル ポリシーを適用するには、パスワード有効期間、暗証番号有効期間、およびロックアウト戻りコードに対応できるアプリケーションを作成する必要があります。

    アプリケーションは、どの認証モデルを使用するかにかかわらず、API を使用し、データベースまたは社内ディレクトリと照合して認証を実行します。

    クレデンシャルの履歴

    ユーザがデータベース内に設定されると、ユーザ クレデンシャルの履歴がデータベースに格納されます。ユーザは、クレデンシャルを変更するように求められたとき、以前と同じクレデンシャルを入力することはできません。

    認証イベント

    管理者は、ユーザの [クレデンシャル設定(Credential Configuration)] ページでユーザ認証アクティビティをモニタし、管理することができます。このページにアクセスするには、[ユーザの設定(User Configuration)] ウィンドウの [クレデンシャルの編集(Edit Credentials)] ボタンを使用します。 最後のハック試行時刻、失敗したログイン試行の回数など、最新の認証結果が表示されます。

    詳細については、ディレクトリの概要を参照してください。

    システムは、次のクレデンシャル ポリシー イベントのログ ファイル エントリを作成します。

    • 認証の成功

    • 認証の失敗(不正なパスワードまたは不明なパスワード)

    • 次の原因による認証の失敗

      • 管理ロック

      • ハック ロック(失敗したログインのロックアウト)

      • 期限切れソフト ロック(有効期限が切れたクレデンシャル)

      • 非アクティブ ロック(クレデンシャルが一定の期間にわたって使用されていない)

      • ユーザによる変更が必要(クレデンシャルが、ユーザによる変更必須として設定されている)

      • LDAP 非アクティブ(LDAP 認証への切り替えと LDAP 非アクティブ)

    • ユーザ クレデンシャルの更新の成功

    • ユーザ クレデンシャルの更新の失敗


    (注)  


    エンド ユーザのパスワードに対して LDAP 認証を使用している場合、LDAP が追跡するのは認証の成否だけです。


    イベント メッセージには、常に "ims-auth" という文字列と、認証を試行しているユーザ ID が含まれます。

    Cisco Unified リアルタイム監視ツールを使用して、ログ ファイルを表示できます。 記録されたイベントを収集して、レポートにすることもできます。