Cisco Unity Connection セキュリティ ガイド リリース 9.x
Cisco Unity Connection での管理およびサービス アカウントの保護
Cisco Unity Connection での管理およびサービス アカウントの保護
発行日;2013/07/16 | 英語版ドキュメント(2013/05/30 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 848KB) | フィードバック

目次

Cisco Unity Connection での管理およびサービス アカウントの保護

管理アカウントについて

に でアクセスする際に使用するアカウントのベスト プラクティス

ユニファイド メッセージング サービス アカウントの保護()

Cisco Unity Connection での管理およびサービス アカウントの保護

この章では、アカウント保護に関連して発生する可能性があるセキュリティ上の問題について説明します。また、とるべき対策に関する情報、意思決定に役立つ推奨事項、下した決定の効果に関する情報、およびベスト プラクティスも紹介します。

次の項を参照してください。

「Cisco Unity Connection 管理アカウントについて」

「Cisco Unity Connection の管理に Connection でアクセスする際に使用するアカウントのベスト プラクティス」

「ユニファイド メッセージング サービス アカウントの保護(Cisco Unity Connection)」

Cisco Unity Connection 管理アカウントについて

Cisco Unity Connection サーバには 2 種類の管理アカウントがあります。 表 4-1 は、これら 2 つのアカウントの用途と相違点の概要を示しています。

 

表 4-1 Connection サーバの管理アカウント

Operating System Administration アカウント
Application Administration アカウント
アクセス先

Cisco Unified オペレーティング システムの管理

ディザスタ リカバリ システム

コマンドライン インターフェイス

Cisco Unity Connection の管理

Cisco Unified Serviceability

Cisco Unity Connection Serviceability

Real-Time Monitoring Tool

最初のアカウントの作成

インストール中に、管理者 ID およびパスワードを指定するときに作成

インストール中に、アプリケーション ユーザ名およびパスワードを指定するときに作成

アカウント名の変更方法

未サポート

Cisco Unity Connection の管理を使用。


注意 アカウント名の変更に utils reset_ui_administrator_name コマンドを使用しないでください。このコマンドを使用すると、Connection が適切に機能しなくなります。

アカウント パスワードの変更方法

set password CLI コマンドを使用

Cisco Unity Connection の管理を使用

utils cuc reset password CLI コマンドを使用


注意 アカウント名の変更に utils reset_ui_administrator_password コマンドは使用しないでください。このコマンドを使用すると、Connection が適切に機能しなくなります。

追加アカウントの作成方法

set account CLI コマンドを使用

Cisco Unity Connection の管理を使用


注意 追加アカウントの作成に set account コマンドは使用しないでください。このコマンドを使用すると、Connection が適切に機能しなくなります。

最初のアカウント以外のアカウントの削除方法

delete account CLI コマンドを使用

Cisco Unity Connection の管理を使用


注意 アカウントの削除に delete account コマンドは使用しないでください。このコマンドを使用すると、Connection が適切に機能しなくなります。

管理アカウントのリスト方法

show account CLI コマンドを使用。

Cisco Unity Connection の管理を使用

LDAP ユーザ アカウントとの連動

No

Yes

Cisco Unity Connection の管理に Connection でアクセスする際に使用するアカウントのベスト プラクティス

Cisco Unity Connection の管理は、ほとんどの管理タスクに使用する Web アプリケーションです。管理アカウントを使用して Connection の管理にアクセスし、個々のユーザ(またはユーザ グループ)に対して Cisco Unity Connection がどのように機能するかを定義し、システム スケジュールを設定し、コール管理オプションを設定し、その他の重要なデータを変更します。これらの処理はすべて、管理アカウントが割り当てられているロールに依存します。サイトが複数の Connection サーバで構成される場合、あるサーバで Connection の管理へのアクセスに使用されるアカウントが、ネットワーク上の他のサーバで Connection の管理に対する認証とアクセスにも使用できることがあります。Connection の管理へのアクセスを保護するには、次のベスト プラクティスを検討してください。

ベスト プラクティス:Application Administration アカウントの使用の制限

Cisco Unity Connection のユーザ アカウントを Connection の管理専用に作成するまでは、デフォルトの管理者アカウントと関連付けられている資格情報を使用して、Cisco Unity Connection の管理にサインインします。デフォルトの管理者アカウントは、Connection のインストール中に、インストール時に指定したアプリケーション ユーザのユーザ名およびパスワードを使用して作成されます。デフォルトの管理者アカウントには、自動的にシステム管理者の役割が割り当てられます。この役割では、Connection の管理への完全なシステム アクセス権限が提供されます。つまり、管理者アカウントは、Connection の管理のすべてのページにアクセスできるだけでなく、Connection の管理のすべてのページに対する読み取り、編集、作成、削除、および実行の各特権を持ちます。このため、高い特権を持つこのアカウントは、1 人またはごく少数の人だけが使用できるように制限する必要があります。

デフォルトの管理者アカウントの代わりとなる管理アカウントを、追加で作成できます。追加するアカウントには、それらを使用する各ユーザが実行する管理タスクに応じて、より少ない特権を持つ役割を割り当てます。

管理アカウントの作成方法の詳細については、『 User Moves, Adds, and Changes Guide for Cisco Unity Connection 』( Release 9.x )の「 Adding Cisco Unity Connection 9.x Accounts Individually 」の章の「Adding an Administrator Account (User Without a Voice Mailbox)」の項を参照してください。このガイドは、 http://www.cisco.com/en/US/docs/voice_ip_comm/connection/9x/user_mac/guide/9xcucmacx.html から入手可能です。

ベスト プラクティス:役割を使用した、Cisco Unity Connection の管理への各種レベルのアクセスの提供

Cisco Unity Connection の管理へのアクセスを保護するために役割の割り当てを変更する際には、次のベスト プラクティスを検討してください。

デフォルトの管理者アカウントへの役割の割り当ては変更しません。その代わりに、Connection の管理への適切なレベルのアクセスを提供する、追加の管理ユーザ アカウントを作成します。たとえば、管理ユーザ アカウントをユーザ管理者の役割に割り当てて、管理者がユーザ アカウント設定を管理したり、すべてのユーザ管理機能にアクセスしたりできるようにします。または、管理ユーザ アカウントをヘルプ デスク管理者の役割に割り当てて、管理者がユーザ パスワードおよび PIN をリセットしたり、ユーザ アカウントのロックを解除したり、ユーザ設定ページを表示したりできるようにします。

追加の管理ユーザ テンプレートを作成し、それぞれのテンプレートに、さまざまなレベルのアクセスを提供する役割を割り当てます。デフォルトでは、管理者ユーザ テンプレートには、システム管理者の役割が割り当てられます。管理者ユーザ テンプレートから作成されたすべての管理ユーザ アカウントにはシステム管理者の役割が割り当てられ、管理者は Connection のすべての管理機能に対するフル アクセス権を与えられます。この管理者テンプレートを慎重に使用して、管理ユーザ用のアカウントを作成します。

デフォルトでは、ボイスメール ユーザ テンプレートにはどの役割も割り当てられず、このテンプレートに管理役割を割り当てることはできません。その代わりに、このテンプレートを使用して、メールボックスを持つエンド ユーザ用のアカウントを作成します。(メールボックスを持つエンド ユーザに割り当てる唯一の役割は、グリーティング管理者の役割です。この役割では、「管理」機能だけが Cisco Unity Greetings Administrator にアクセスでき、ユーザはコール ハンドラ用の録音済みグリーティングを電話で管理できます)。

Cisco Unity Connection に用意されている定義済みの役割と、それぞれの役割に含まれる特権のレベルについては、『 User Moves, Adds, and Changes Guide for Cisco Unity Connection 』( Release 9.x )の「 Preparing to Add User Accounts in Cisco Unity Connection 9.x 」の章の「Roles in Cisco Unity Connection 9.x」の項を参照してください。このガイドは、 http://www.cisco.com/en/US/docs/voice_ip_comm/connection/9x/user_mac/guide/9xcucmacx.html から入手可能です。

ベスト プラクティス:異なるアカウントを使用した、ボイスメールボックスおよび Cisco Unity Connection の管理へのアクセス

Cisco Unity Connection 管理者が Cisco Unity Connection の管理にアクセスするときに、Cisco Personal Communications Assistant(PCA)または電話インターフェイスへのサインインに使用するのと同じアカウントを使用しないことを推奨します。

ユニファイド メッセージング サービス アカウントの保護(Cisco Unity Connection)

Cisco Unity Connection 9.x のユニファイド メッセージングを設定する場合は、Connection が Exchange との通信に使用する 1 つ以上の Active Directory アカウントを作成します。Exchange メールボックスにアクセスする権限を持つ Active Directory アカウントと同様に、このアカウントのアカウント名とパスワードを知っているユーザは、メールを読んだり、音声メッセージを聞いたり、メッセージを送信および削除したりできます。このアカウントは、Exchange における広範囲の権限を持っていないため、たとえば、Exchange サーバの再起動などに使用できない場合があります。

アカウント保護のために、大文字、小文字、数字、および特殊文字からなる 20 文字以上の長いパスワードをアカウントに与えることを推奨します。パスワードは AES 128 ビットの暗号化方式によって暗号化され、Connection データベースに保存されます。データベースはルート アクセスによってしかアクセスできず、ルート アクセスは Cisco TAC からのサポートによってしか使用できません。

アカウントを無効にしないでください。無効にすると、Connection がアカウントを使用して Exchange メールボックスにアクセスできなくなります。