Cisco Unity セキュリティ ガイド IBM Lotus Domino版 Release 5.x
アカウントの保護
アカウントの保護
発行日;2012/01/09 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 795KB) | フィードバック

目次

アカウントの保護

アカウントの概要

Cisco Unity システム管理へのアクセスに使用するアカウントのベスト プラクティス

Cisco Unity へのアクセスに使用するアカウントのベスト プラクティス

Cisco Unity ユーザ アカウントを削除する場合のベスト プラクティス

デフォルト アカウントを保護するためのベスト プラクティス

アカウントの保護

この章では、アカウントの保護に関係する潜在的なセキュリティの問題について説明します。また、実施する必要のある作業、さまざまな決定を支援するための推奨事項、決定した事項による影響、および多くのケースについてベスト プラクティスを示します。

次の各項を参照してください。

「アカウントの概要」

「Cisco Unity システム管理へのアクセスに使用するアカウントのベスト プラクティス」

「Cisco Unity へのアクセスに使用するアカウントのベスト プラクティス」

「Cisco Unity ユーザ アカウントを削除する場合のベスト プラクティス」

「デフォルト アカウントを保護するためのベスト プラクティス」

Cisco Unity サービス アカウントおよび許可の最新の要件については、該当する『Cisco Unity インストレーション ガイド』を参照してください。このドキュメントは、
http://www.cisco.com/en/US/products/sw/voicesw/ps2237/prod_installation_guides_list.html から入手可能です。

アカウントの概要

Cisco Unity の一般ユーザ アカウントはそれぞれ、Domino Person ドキュメントと関連付けられます。Cisco Unity Bulk Import ウィザードまたは Cisco Unity システム管理を使用してユーザ アカウントを作成する場合は、Cisco Unity が次のことを行わないことに注意してください。

Active Directory アカウント情報のインポート

Active Directory ドメイン アカウントが無効な場合の有効化

ユーザの Active Directory ドメイン アカウントが存在しない場合の Active Directory ドメイン アカウントの作成

Cisco Unity システム管理およびステータス モニタにアクセスするとき、管理者は有効な Active Directory アカウントが必要になる場合と不要な場合があります。次に具体例を示します。

Cisco Unity システム管理およびステータス モニタで統合 Windows 認証を使用する場合、管理者はどちらのアプリケーションにアクセスするときも Active Directory アカウントを必要とします。

Cisco Unity システム管理およびステータス モニタで Anonymous 認証方式を使用し、Active Directory 資格を使用してこれらのアプリケーションにアクセスする場合、管理者は Active Directory アカウントを必要とします。

Cisco Unity システム管理およびステータス モニタで Anonymous 認証を使用し、Domino 資格を使用してこれらのアプリケーションにアクセスする場合、管理者はどちらのアプリケーションにアクセスするときも Active Directory アカウントを必要としません。

Active Directory アカウントが必要な場合は、Cisco Unity の管理に使用するユーザ アカウントの作成後、GrantUnityAccess ユーティリティを使用して、ユーザ アカウントを Active Directory アカウントに関連付ける必要があります。この関連付けにより、ユーザが Cisco Unity システム管理にアクセスできます。詳細については、「Cisco Unity システム管理へのアクセスに使用するアカウントのベスト プラクティス」を参照してください。

Cisco Unity システム管理へのアクセスに使用するアカウントのベスト プラクティス

Cisco Unity システム管理は、ほとんどの管理タスクの実行に使用する Web サイトです。Cisco Unity システム管理へのアクセスに使用できるアカウントは、関連付けられているサービス クラス権限に応じて、個々のユーザ(またはユーザ グループ)に対する Cisco Unity の動作、システムのスケジュール、通話管理オプション、およびその他の重要データを定義する設定値にアクセスできます。サイトが複数の Cisco Unity サーバで構成されている場合は、ある Cisco Unity システム管理にアクセスするためのアカウントを使用して、他の Cisco Unity システム管理にもアクセスできることがあります。Cisco Unity システム管理へのアクセスを保護するには、次のベスト プラクティスを考慮してください。

ベスト プラクティス:管理アカウントの使用を制限する

Cisco Unity を管理するための専用アカウントを作成するまでは、Cisco Unity システム管理にログオンする場合、Cisco Unity のインストール時に選択した管理アカウントに関連付けられている Active Directory 資格を使用します。管理アカウントは、Cisco Unity システム管理への完全なシステム アクセス権限を提供するサービス クラスに自動的に関連付けられます。つまり、管理アカウントは Cisco Unity システム管理のすべてのページにアクセスできるだけでなく、Cisco Unity システム管理のすべてのページに対する読み取り、編集、追加、および削除の特権も持っています。したがって、この高レベル特権付きのアカウントを使用するのは 1 名または数名のユーザだけに限定してください。

管理アカウントの代替として、Cisco Unity システム管理にアクセスするためのサービス クラス権限を持つ追加のアカウントを作成し、そのアカウントに少数の特権だけを付与する方法もあります。組織で複数のユーザが Cisco Unity の管理を担当する場合は、各アカウントのサービス クラス権限を変更して、各ユーザの実施する管理タスクに応じて Cisco Unity システム管理 へのアクセスを適切に制限します。追加のアカウントを作成すると、管理アカウントが削除された場合や破損した場合に、その追加アカウントを使用して Cisco Unity システム管理にアクセスすることも可能になります。

追加アカウントを作成するか、既存アカウントに管理者権限を付与して、それらのアカウントで Cisco Unity システム管理にアクセスできるようにする方法については、『 Cisco Unity システム アドミニストレーション ガイド 』の「Cisco Unity システム管理のアカウントの管理」の章の「Cisco Unity 管理に使用できるアカウントについて」の項を参照してください。このドキュメントは、
http://www.cisco.com/en/US/products/sw/voicesw/ps2237/prod_maintenance_guides_list.html から入手可能です。

ベスト プラクティス:サービス クラスを使用して Cisco Unity システム管理へのアクセスを制限する

サービス クラスの設定および割り当てを変更して、Cisco Unity システム管理へのアクセスを保護するには、次のベスト プラクティスを考慮してください。

Default Administrator サービス クラスのシステム アクセス設定は変更しないでください。代わりに、Cisco Unity システム管理に対する適切なアクセス レベルが定義されたサービス クラスを新しく作成し、ユーザ アカウントをこのクラスに割り当て直します。たとえば、アカウントを Cisco Unity システム管理に読み取り専用でアクセスできるサービス クラスに関連付けることや、Cisco Unity システム管理の特定のページだけにアクセスし、アカウントのロック解除やパスワード変更を実行できるサービス クラスに関連付けることができます。

Default Administrator サービス クラスに 1 つ以上のユーザ アカウントが割り当てられていることを確認します。管理者が各自の Active Directory アカウント資格を使用して Cisco Unity システム管理にアクセスする場合は、Cisco Unity システム管理にアクセスするサービス クラス権限のある Active Directory アカウントが 1 つ以上存在することを確認してください。存在しない場合は、Cisco Unity にアクセスできなくなり、再インストールが必要になります。

デフォルトでは、Default Subscriber サービス クラスは Cisco Unity システム管理へのアクセスが禁止されています。アクセスを許可する変更は行わないでください。このサービス クラスは、エンド ユーザを対象とする Cisco Unity の機能およびアプリケーションへのアクセスを提供するために使用します。

サービス クラスを作成および修正する方法については、『 Cisco Unity システム アドミニストレーション ガイド 』の「サービス クラスの管理」の章を参照してください。このドキュメントは、
http://www.cisco.com/en/US/products/sw/voicesw/ps2237/prod_maintenance_guides_list.html から入手可能です。

ベスト プラクティス:他のアカウントを使用して Cisco Unity システム管理にアクセスしない

Cisco Unity の管理者は、Cisco Personal Communications Assistant(PCA)へのログオンに使用するものと同一のアカウントを使用して Cisco Unity システム管理にアクセスしないでください。また、Cisco Unity システム管理へのアクセスに Cisco Unity サービス アカウントを使用しないようにします。

Cisco Unity へのアクセスに使用するアカウントのベスト プラクティス

Cisco Unity をインストールするときに、インストール先のドライブとディレクトリを選択することができます。デフォルトのインストール先は CommServer ディレクトリです。

Cisco Unity がログオン時に使用する Active Directory アカウントは、デフォルトで CommServer ディレクトリに対する[フル コントロール]アクセス許可を持っています。これらのアカウントは、ローカルの Administrators グループ(Cisco Unity サーバがメンバー サーバの場合)または Domain Admins グループ(Cisco Unity サーバがドメイン コントローラの場合)のいずれかに所属しているためです。ただし、これらのアカウントは管理アカウントとして使用しないことをお勧めします。代わりに、システム管理者が使用する高レベル特権付きのアカウントを指定し、Cisco Unity のディレクトリおよびファイルに対する[フル コントロール]許可を付与して、管理およびトラブルシューティングに使用できるようにします。

ベスト プラクティス

Cisco Unity システム管理者によって使用されるその他のドメイン アカウントの権限が、読み取り専用アクセスだけに限定されていることを確認します。また、すべての Cisco Unity ユーザおよびその他のドメイン アカウントとグループが、Cisco Unity サーバ上のディレクトリおよびファイルに対するアクセス権限を持っていないことを確認します。アクセスを制限するには、Cisco Unity サーバ上の C:\ およびその他のすべてのドライブのルートで、システム グループ Everyone をデフォルトのユーザ許可から除外します。このユーザの代わりに、認証対象となっている適切なユーザを割り当てます。最後に、個々のグループまたはアカウントに対して明示的に特権が割り当てられていないことことを確認します。

Cisco Unity ユーザ アカウントを削除する場合のベスト プラクティス

Cisco Unity ユーザのアカウントを削除しても、そのユーザの Active Directory アカウント(存在する場合)および Domino Person ドキュメントは削除されません。Active Directory アカウントおよび Domino Person ドキュメントは、ユーザ アカウントを Cisco Unity システム管理で削除した後に個別に削除できます。

デフォルト アカウントを保護するためのベスト プラクティス

表7-1 に、Cisco Unity によって作成される Cisco Unity ユーザ アカウント、Domino Person ドキュメント、メール ファイル、これらが作成される時期、および保護のためのベスト プラクティスを示します。

 

表7-1 デフォルト Cisco Unity アカウント、Domino Person ドキュメント、および Domino メール ファイルの保護に関する検討事項

Cisco Unity ユーザ アカウント
Domino Person
ドキュメントおよび Domino メール ファイル
作成される時期
ベスト プラクティス

Example Administrator

Example Administrator、
eadmin<システム ID>.nsf

インストール時

バージョン 4.0(5) より前の Cisco Unity からアップグレードした場合は、次の作業を行います。

電話パスワードを変更します。

サービス クラスに変更を加えて管理権限を削除します。

このアカウント、関連する Person ドキュメント、およびメール ファイルは削除しないでください。

Example Subscriber

ESubscriber

インストール時(Cisco Unity バージョン 4.0(2) 以前のみ)

このユーザ アカウントが存在する場合は、削除します。

なし

Unity Amis、UAmis_
<サーバ名>.nsf

AMIS の設定時

AMIS を使用しなくなった場合も、この Person ドキュメントとメール ファイルは削除しないでください。

Unity メッセージ システム(Cisco Unity システム管理では表示されません)

Unity Messaging System、
Unity_<サーバ名>.nsf

インストール時

このアカウント、関連する Person ドキュメント、およびメール ファイルは削除しないでください。

なし

Unity Omni、UOmni_
<サーバ名>.nsf

Cisco Unity Bridge の設定時

Bridge ネットワークを使用しなくなった場合も、この Person ドキュメントとメール ファイルは削除しないでください。

なし

UnityBroadcast <サーバ名>、USbms_<サーバ名>.nsf

インストール時

ブロードキャスト メッセージを使用しない場合でも、この Person ドキュメントとメール ファイルは削除しないでください。