この統合のための準備
この統合のための準備

この統合のための準備

サポートされているドメイン間フェデレーションの統合

このマニュアルでは、IM and Presence Service と外部ドメイン間にフェデレーテッド ネットワークを設定するための設定手順について説明します。

IM and Presence Service ノードがフェデレーション可能な、サポートされた外部ドメインは次のとおりです。

  • Microsoft Office Communications Server Release 2007、R2、Microsoft Lync 2010(SIP 経由)


    (注)  


    IM and Presence Service Release 9.0 では、Microsoft Lync とのドメイン間フェデレーションがサポートされています。 OCS とのドメイン間フェデレーションへの参照には、別途明示的な指定がない限り、Microsoft Lync が指定されます。


  • AOL(SIP 経由)

  • Cisco Webex Connect Release 6.x(XMPP 経由)

  • IBM Sametime Server Release 8.2、8.5(XMPP 経由)

  • GoogleTalk(XMPP 経由)

  • Cisco Unified Presence Release 8.x(XMPP 経由)

  • IM and Presence Service Release 9.x 以降(XMPP 経由)


(注)  


それぞれ IM and Presence Service が導入されている 2 つのエンタープライズ間にフェデレーションを設定する場合は、XMPP フェデレーションの設定方法について記載されている手順に従ってください。


ハードウェア要件

Cisco ハードウェア

  • IM and Presence サービス ノード。 IM and Presence サービス ハードウェア サポートについては、IM and Presence サービス互換性マトリクスを参照してください。

  • Cisco Unified Communications Manager のノード。 Cisco Unified Communications Manager のハードウェア サポートについては、Cisco Unified Communications Manager の互換性マトリクスを参照してください。

  • IM and Presence サービスの企業内の 2 つの DNS サーバ

  • Cisco Adaptive Security Appliance(ASA)5500 シリーズ

  • (任意)Cisco CSS11506 Content Services Switch

  • SIP フェデレーションの場合のみ、TLS プロキシ機能を実現できる Cisco Adaptive Security Appliance(ASA)の使用を推奨します。 XMPP フェデレーションの場合は、いずれのファイアウォールでも十分です。
  • Cisco Adaptive Security Appliance(ASA)モデルを選択する場合は、http:/​/​www.cisco.com/​en/​US/​products/​sw/​voicesw/​ps556/​prod_​models_​home.html にアクセスしてください。 TLS プロキシ コンポーネントは、すべての 5500 モデルで使用可能です。

  • 必ず目的の配置に適したバージョンの Cisco Adaptive Security Appliance(ASA)ソフトウェアを使用してください。 ドメイン間フェデレーションを新たに設定する場合は、IM and Presence サービスの互換性マトリクスで、Cisco Adaptive Security Appliance(ASA)ソフトウェアの適切なバージョンを確認してください。

ソフトウェア要件

シスコ ソフトウェア

  • IM and Presence Service Release 9.0

  • Cisco Unified Communications Manager Server Release 9.0

  • Cisco Adaptive Security Appliance v8.3(1)

  • Cisco Adaptive Security Device Manager (ASDM) v6.3

  • サポートされている XMPP クライアント

    • Cisco Unified Personal Communicator Release 8.5

    • Cisco Jabber for Mac

    • Cisco Jabber for Windows

    • Cisco Jabber IM for Mobile(iPhone、Android、Blackberry)

    • Cisco Jabber for iPad

    • Cisco Jabber for Cius

Microsoft の SIP フェデレーション用ソフトウェア

  • Microsoft Lync 2010

  • Microsoft OCS 2007 Release 2 Server Standard または Enterprise

  • Microsoft Office Communicator 2007 Release 2

  • Microsoft Active Directory

AOL の SIP フェデレーション用ソフトウェア

  • AOL SIP Access Gateway(SAG)

  • AOL Instant Messenger Release 7.2.6.1 以降

XMPP フェデレーション用ソフトウェア

  • Cisco Webex Connect Release 6.x

  • IBM Sametime Server Release 8.2

  • GoogleTalk

統合の準備

この統合については、綿密な計画を立てることが重要です。 この統合に関する設定を開始する前に、以下の各項目をお読みください。

ルーティング設定

フェデレーテッド ネットワークでのルーティングをどのように設定するかを考えます。 まず外部ドメイン宛てのメッセージを、IM and Presence Service から Cisco Adaptive Security Appliance を経由して外部ドメインにルーティングする方法について考える必要があります。 その 1 つの選択肢として、IM and Presence Service のエンタープライズ導入と Cisco Adaptive Security Appliance との間に、ルーティング エンティティ(ルータ、スイッチ、またはゲートウェイ)を導入するという方法があります。 この場合、メッセージはルーティング エンティティから Cisco Adaptive Security Appliance にルーティングされ、さらに Cisco Adaptive Security Appliance から外部ドメインにルーティングされます。

一方、IM and Presence Service と外部ドメインとの間に Cisco Adaptive Security Appliance をゲートウェイとして導入することもできます。 Cisco Adaptive Security Appliance をローカルのエンタープライズ導入内の IM and Presence Service のゲートウェイとして使用する場合は、Cisco Unified Communications ManagerIM and Presence Service クライアントが IM and Presence Service ノードにどのようにアクセスするかを考慮する必要があります。 Cisco Unified Communications ManagerIM and Presence Service クライアントが IM and Presence Service とは異なるサブネットにある場合、それらは Cisco Adaptive Security Appliance を使用して IM and Presence Service にアクセスする必要があります。

ネットワーク内の既存のファイアウォールの背後に Cisco Adaptive Security Appliance を導入する場合は、Cisco Adaptive Security Applianceおよび IM and Presence Service にトラフィックをルーティングする方法について考慮します。 既存のファイアウォール上では、IM and Presence Service のパブリック アドレスにトラフィックをルーティングするためのルートとアクセス リストを設定します。 また、既存のファイアウォールを使用して、外部ドメインへのルートも設定する必要があります。

パブリック IP アドレス

SIP フェデレーションの場合、IM and Presence Service のパブリック アドレスとして、パブリックにアクセスできる IP アドレスが必要です。 割り当てることができる IP アドレスがない場合は、Cisco Adaptive Security Appliance(ASA)の外部インターフェイスを IM and Presence Service アドレスのパブリック アドレスとして使用します(Cisco Adaptive Security Appliance を在席情報および IM トラフィック用としてのみ使用している場合)。

Microsoft OCS R2 との SIP フェデレーションでは、複数の IM and Presence Service ノードを導入する場合でも、必要となるパブリック IP アドレスは 1 つだけです。 Cisco Adaptive Security Appliance では、ポート アドレス変換(PAT)を使用して、OCS から適切な IM and Presence Service ノードへ要求がルーティングされます。

XMPP フェデレーションの場合は、XMPP フェデレーションを有効にした IM and Presence Service ノードごとにパブリック IP アドレスを公開するか、ただ 1 つのパブリック IP アドレスを公開するかを選択することができます。

  • 複数の IP アドレスを公開する場合は、Cisco Adaptive Security Appliance 上で NAT を使用してパブリック アドレスをプライベート アドレスに変換します。 たとえば、NAT を使用すると、x.x.x.x:5269 および y.y.y.y:5269 というパブリック アドレスをそれぞれ、a.a.a.a:5269 および b.b.b.b:5269 というプライベート アドレスに変換できます。

  • 1 つのパブリック IP アドレスを公開する場合は、Cisco Adaptive Security Appliance 上で PAT を使用して、正しい IM and Presence Service ノードにマッピングします。 たとえば、使用するパブリック IP アドレスが x.x.x.x で、かつ _xmpp-server の DNS SRV レコードが複数あるとします。 各レコードのポートはそれぞれ異なりますが、レコードはすべて x.x.x.x に解決されます。 そして外部サーバからは、Cisco Adaptive Security Appliance を経由して x.x.x.x:5269、x.x.x.x:15269、x.x.x.x.25269 に要求が送信されるとします。 この場合、Cisco Adaptive Security Applianceでは、それらの IP アドレスを対象に PAT が実行されます。これにより、それぞれのアドレスは、対応する各 IM and Presence Service ノードの内部 IP アドレスにマッピングされます。

    たとえば、パブリック IP アドレス x.x.x.x:5269 は a.a.a.a:5269 というプライベート IP アドレス、パブリック IP アドレス x.x.x.x:15269 は b.b.b.b.b:5269 というプライベート IP アドレス、パブリック IP アドレス x.x.x.x:25269 は c.c.c.c:5269 というプライベート IP アドレスにそれぞれマッピングされます。 内部的には、すべての IP アドレスが IM and Presence Service 上の同一ポート(5269)にマッピングされます。

パブリック FQDN

SIP フェデレーションの場合、要求メッセージのルーティングは FQDN に基づいて行われます。 そのため、ルーティングする IM and Presence Service ノード(パブリッシャ)の FQDN は、パブリックに解決可能である必要があります。

AOL SIP Access Gateway

AOL SIP Access Gateway では、企業の SIP/SIMPLE ベースのインスタント メッセージ サーバと、ネットワーク上のインスタント メッセージ ユーザとの通信を可能にするフェデレーション サービスが提供されます。 AOL SIP Access Gateway を使用すると、企業の SIP/SIMPLE ベースのインスタント メッセージ サーバを利用するユーザは、AIM サービスや AOL サービスのパブリック ユーザと対話することができるほか、その在席情報を取得することもできます。 また AOL SIP Access Gateway により、AIM システムや AOL システムのユーザはインスタント メッセージを送信したり、社内の SIP/SIMPLE ベース システムのユーザに関する在席情報を表示したりすることもできます。

AOL SIP Access Gateway は、内部 AOL プロトコルの変換を行うフロント エンドとして機能します。 企業のサーバと AOL との間の通信は、すべて SIP を使用して行われます。 内部の AOL システムで必要なプロトコルへの変換処理は、AOL SIP Access Gateway で行われます。 外部サーバに変換機能を追加する必要はありません。そのため、AOL プロトコルは外部からは認識されません。 企業のサーバは、SIP/SIMPLE を使用して通信している場合でも、AOL SIP Access Gateway を介して AOL に接続することが可能です。

AOL SIP Access Gateway は、TLS over TCP を介した接続のみサポートしています。 AOL SIP Access Gateway サーバは、次のアドレスを持つインスタント メッセージ サーバまたはプロキシの内部で定義する必要があります。

サーバ名: sip.oscar.aol.com

サーバ ポート:5061

サーバ名 sip.oscar.aol.com は、205.188.153.55 および 64.12.162.248 に解決されます。


(注)  


  • これらの IP アドレスをネットワーク内のいずれかの場所で静的に設定した場合は、これらのアドレスが変更されていないかどうか AOL で定期的に確認することをお勧めします。
  • また、AOL SIP Access Gateway の FQDN(sip.oscar.aol.com)についても、場合によっては変更される可能性があるため、ping を実行してその IP アドレスを確認することが推奨されます(ping sip.oscar.aol.com など)。


冗長性およびハイ アベイラビリティ

フェデレーテッド ネットワークに冗長性を確保する方法についても考える必要があります。 Cisco Adaptive Security Appliance では、アクティブ/スタンバイ(A/S)導入モデルにより冗長性がサポートされています。

IM and Presence Service のフェデレーション機能に対してハイ アベイラビリティを実現する必要がある場合は、指定した(フェデレーション)IM and Presence Service クラスタの手前にロード バランサを導入することができます。 シスコでは、Cisco CSS 11500 Content Services Switch の使用を推奨しています。

Cisco CSS 11500 Content Services Switch のマニュアルは、http:/​/​www.cisco.com/​en/​US/​products/​hw/​contnetw/​ps792/​products_​installation_​and_​configuration_​guides_​list.html から入手できます。

DNS 設定

ローカル IM and Presence サービス企業展開では、DNS SRV を通じて他のドメインが IM and Presence サービス ノードを確認できるように、IM and Presence サービスがローカル IM and Presence サービス ドメインに DNS SRV レコードをパブリッシュしなければなりません。 DNS SRV レコードは、企業の DMZ 内にある DNS サーバに保管されています。

ローカル IM and Presence サービス展開が複数のドメインを管理している場合は、各ローカル ドメインの DNS SRV レコードを公開します。 ユーザが各ローカル ドメインに対して公開する DNS SRV レコードは、同一の FQDN パブリック IP アドレスに解決される必要があります。

Microsoft OCS R2 との SIP フェデレーションの場合は、DNS SRV レコード「_sipfederationtls」をパブリッシュする必要があります。 Microsoft 製品の企業配置では、IM and Presence サービスをアクセス エッジ サーバ上で Public IM Provider として設定するため、このレコードが必要となります。 外部の企業配置で IM and Presence サービスから Microsoft ドメインを検出できるようにするためには、その外部ドメインを指す DNS SRV レコードが存在する必要があります。 IM and Presence サービス ノードが DNS SRV を使用して Microsoft ドメインを検出できない場合は、IM and Presence サービス上で、その外部ドメインのパブリック インターフェイスに向かうスタティック ルートを設定する必要があります。

DNS SRV レコード「_sipfederationtls_tcp.example.com」の DNS 設定例については、次の図を参照してください。

図 1. 「_sipfederationtls」の DNS SRV



AOL フェデレーションの場合、AOL では「aol.com」ドメインのパブリック DNS サーバで DNS SRV レコード「_sipfederationtls_tcp.aol.com」がパブリッシュされます。 このレコードは、AOL SIP Access Gateway に対応する「sip.oscar.aol.com」に解決されます。

DNS SRV レコードはパブリックに解決可能です。そのため、ローカルの企業配置内で DNS 転送を有効にしている場合は、DNS クエリーを実行することで、外部のパブリック ドメインに関する情報を取得することができます。 DNS クエリーがローカルの企業配置内の DNS 情報に全面的に依存している(ローカルの企業配置内で DNS 転送を有効にしていない)場合は、外部ドメインを指定する DNS SRV レコード/FQDN/IP アドレスをパブリッシュしなければなりません。 ただし、その代替手段として、 スタティック ルートを設定することもできます。

XMPP フェデレーションの場合は、DNS SRV レコード「_xmpp-server」をパブリッシュする必要があります。 このレコードにより、フェデレーション XMPP ドメインから IM and Presence サービス ドメインを検出することができるため、両ドメインのユーザは XMPP を介して IM や在席情報をやり取りすることが可能です。 同様に外部ドメインでは、IM and Presence サービスから検出できるよう、パブリック DNS サーバで「_xmpp-server」レコードをパブリッシュする必要があります。

DNS SRV レコード「_xmpp-server」の DNS 設定例については、次の図を参照してください。

図 2. 「_xmpp-server」の DNS SRV



認証権限サーバ

SIP フェデレーションの場合、IM and Presence サービスの企業配置内の Cisco Adaptive Security Appliance(ASA)と、外部の企業配置とは、セキュアな TLS/SSL 接続を介して IM および在席情報を共有します。

各企業配置では外部認証局(CA)により署名された証明書を提示する必要があります。ただし、企業配置ごとに別々の CA が使用される場合もあります。 したがって両者間の相互信頼を実現するためには、それぞれの企業配置に他方の企業配置の外部 CA からルート証明書をダウンロードする必要があります。

XMPP フェデレーションの場合は、セキュアな TLS 接続を設定するかどうかを選択することができます。 TLS を設定する場合は、IM and Presence サービス上で、外部企業の証明書に署名している認証局(CA)のルート証明書をアップロードする必要があります。 この証明書は、IM and Presence サービス上の証明書信頼ストア内に存在する必要があります。これは、Cisco Adaptive Security Appliance(ASA)では XMPP フェデレーション用の TLS 接続が終端されないためです。Cisco Adaptive Security Appliance(ASA)は XMPP フェデレーション用のファイアウォールとして機能します。

この統合の前提条件となる設定タスク

統合に関する IM and Presence Service の設定


(注)  


ここで説明する前提条件タスクは、SIP フェデレーションと XMPP フェデレーションのどちらにも共通するものです。


手順
    ステップ 1   IM and Presence Service をインストールし、設定します。

    ここでは、IM and Presence Service が正常に動作することを保証するため、以下の確認を行います。

    • IM and Presence Service システム設定トラブルシュータを実行します。

    • ローカルな連絡先を IM and Presence Service に追加できることを確認します。

    • クライアントが IM and Presence Service ノードからアベイラビリティ ステータスを受信していることを確認します。

    ステップ 2   IM and Presence Service ノードと Cisco Unified Communications Manager ノードを『Configuration and Administration of IM and Presence Service on Cisco Unified Communications Manager(Cisco Unified Communications Manager での IM and Presence Service の設定と管理)』の説明のとおりに設定します。 IM and Presence Service ノードが動作しており、問題がないことを確認します。

    統合に関する Cisco Adaptive Security Appliance の設定


    (注)  


    • SIP フェデレーションには、Cisco Adaptive Security Appliance が必要です。
    • XMPP フェデレーションには、ファイアウォールが必要です。 基本的なファイアウォール/NAT/PAT 機能を実現するためであれば、Cisco Adaptive Security Appliance を含め任意のファイアウォールを使用することができます。 XMPP フェデレーションで TLS プロキシ機能を実現する場合には、Cisco Adaptive Security Appliance は使用しません。

    Cisco Adaptive Security Appliance をインストールし、設定します。 そのうえで、Cisco Adaptive Security Appliance について次のような基本設定の確認を行います。

    手順
      ステップ 1   コンソール、HyperTerminal または Web ベースの Adaptive Security Device Manager(ASDM) を介して Cisco Adaptive Security Appliance にアクセスします。
      ステップ 2   Cisco Adaptive Security Appliance の適切なライセンスを取得します。 Cisco Adaptive Security Appliance の TLS プロキシにはライセンスが必要です。 ライセンス情報については、シスコの担当者にお問い合わせください。
      ステップ 3   ソフトウェアをアップグレードします(必要な場合)。
      ステップ 4   次のコマンドを使用してホスト名を設定します。

      (config)# hostname name

      ステップ 5   [Device Setup(デバイス設定)] > [System Time(システム時間)] > [Clock(時計)] を選択するか、CLI から clock set コマンドを使用することにより、ASDM でタイムゾーン、日付、および時刻を設定します。 次の点に注意してください。
      • TLS プロキシを設定する前に、Cisco Adaptive Security Appliance 5500 で時計を設定します。

      • Cisco Adaptive Security Appliance では IM and Presence Service クラスタと同じ NTP サーバを使用することが推奨されます。 Cisco Adaptive Security ApplianceIM and Presence Service ノードとの間で時計が同期されていない場合は、証明書の有効性が確認できないために TLS 接続が正常に確立されないことがあります。

      • NTP サーバ アドレスを表示するには、 ntp server server_address コマンドと show ntp associat | status コマンドを使用して、NTP サーバのステータスを表示します。

      ステップ 6   Cisco Adaptive Security Appliance 5500 のモードを確認します。 Cisco Adaptive Security Appliance 5500 は、デフォルトでシングル モードおよびルーテッド モードが使用されるよう設定されています。
      • 現在のモードを確認します。 この値は、デフォルトでシングル モードとなります。

        (config)# show mode

      • 現在のファイアウォール モードを確認します。 この値は、デフォルトでルーテッド モードとなります。

        (config)# show firewall

      • 外部インターフェイスおよび内部インターフェイスを設定します。

      • 基本 IP ルートを設定します。