Cisco Unity インストレーションガイド IBM Lotus Domino版 (フェールオーバーあり) Release 5.x
Cisco Unity システム管理 で使用する 認証の設定
Cisco Unity システム管理で使用する認証の設定
発行日;2012/02/02 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

Cisco Unity システム管理で使用する認証の設定

で使用する認証方式の決定

で使用可能な認証方式

での統合 Windows 認証のしくみ

での Anonymous 認証のしくみ

とステータス モニタで Anonymous 認証を使用するための IIS の設定

Cisco Unity システム管理で使用する認証の設定

この章では、次のタスクを順序どおりに実行します。


) タスク 1. は、フェールオーバーのペアのうち最初にインストールするサーバだけで実行してください。


1. Cisco Unity システム管理で使用する認証方式を決定します。「Cisco Unity システム管理で使用する認証方式の決定」を参照してください。

2. 必要に応じて IIS を設定し、Cisco Unity システム管理とステータス モニタが Anonymous 認証方式を使用するようにします。「Cisco Unity システム管理とステータス モニタで Anonymous 認証を使用するための IIS の設定」を参照してください。

この章が完了したら、「Cisco Unity インストールに必要なタスクの概要」に戻り、引き続き Cisco Unity システムを正しくインストールしてください。


) リスト内のタスクでは、『Cisco Unity インストレーション ガイド』およびその他の Cisco Unity のドキュメントに記載されている詳細な手順を参照します。これらのドキュメントに従って、正しくインストールを完了してください。


Cisco Unity システム管理で使用する認証方式の決定

Cisco Unity システム管理は、ほとんどの管理タスクの実行に使用する Web サイトです。この管理タスクには、システム スケジュールの決定、個々のユーザ(またはユーザ テンプレートを利用して区分けしたユーザのグループ)に対する設定の指定、および通話管理計画の実施などがあります。

Cisco Unity で Cisco Unity システム管理へアクセスするためには、管理者の身元がユーザ名とパスワードによって認証されることが必要です。Cisco Unity システム管理が使用する IIS 認証方式を選択することができます。なお、選択した認証方式は、Cisco Unity ステータス モニタにも適用されます。


) Cisco Unity を管理するための Cisco Unity ユーザ アカウントを作成するまでは、Cisco Unity をインストールしたときに選択した管理アカウントに関連付けられた Windows 資格を使用して、Cisco Unity システム管理にログオンする必要があります。


次の 3 つの項では、使用可能な認証方式と、その動作を説明しています。

「Cisco Unity システム管理で使用可能な認証方式」

「Cisco Unity システム管理での統合 Windows 認証のしくみ」

「Cisco Unity システム管理での Anonymous 認証のしくみ」

Cisco Unity システム管理で使用可能な認証方式

デフォルトでは、IIS は Cisco Unity システム管理で統合 Windows 認証方式(以前に NTLM 認証や Windows NT チャレンジ/レスポンス認証と呼ばれていたもの)を使用してユーザ名とパスワードを認証するように設定されます。必要であれば、Cisco Unity システム管理で Anonymous 認証方式を使用するように IIS を設定することもできます。

使用する認証方式を決定する場合は、事前にネットワーク管理者と相談して、選択した認証方式が組織の既存の認証スキームと合致していること、およびサイトにおけるセキュリティ要件を満たせることを確認してください。また、 表10-1 表10-2 を参照して、Cisco Unity システム管理でそれぞれの認証方式を使用する場合の利点や欠点も把握しておいてください。

統合 Windows 認証または Anonymous 認証を使用した場合の長所および短所の概要については、Microsoft の Web サイトを参照してください。

表10-1 に、Cisco Unity システム管理で統合 Windows 認証を使用する場合の利点と欠点を示します。

 

表10-1 Cisco Unity システム管理での統合 Windows 認証の使用

利点
欠点

ユーザの資格がネットワーク内でやり取りされない。代わりに、Internet Explorer と Windows はチャレンジ/レスポンス メカニズムを使用してユーザを認証する。

IIS は、デフォルトですでに Cisco Unity システム管理で統合 Windows 認証方式を使用するように設定されている。

信頼されていないドメインにユーザがログオンした場合、Windows はそのユーザの身元を検証できない。この問題を解決するには、ユーザ名とパスワードの入力を求めるように各ユーザ ブラウザを設定して、
Cisco Unity が属するドメイン用の適切な資格をユーザが入力できるようにします。または、ドメイン間の信頼を確立します。

ユーザが他のドメインから Cisco Unity システム管理にログオンしたとき、そのユーザは、電話機を Media Master 用の録音デバイスまたは再生デバイスとして使用するたびに、資格の再入力を求められる。

表10-2 に、Cisco Unity システム管理で Anonymous 認証を使用する場合の利点と欠点を示します。

 

表10-2 Cisco Unity システム管理での Anonymous 認証の使用

利点
欠点

ユーザは、Domino 資格または Windows 資格のどちらを入力するかを Cisco Unity のログオン ページで選択できる。Domino 資格を使用する場合、ユーザはそのユーザ用に作成された Windows ドメイン アカウントを持つ必要がありません。ただし、ユーザは Windows ドメイン アカウントを保持していれば、Domino サーバがダウンした場合などにも Windows 資格を使用して Cisco Unity システム管理にアクセスできます。

ユーザが他のドメインから Cisco Unity システム管理にログオンする場合、そのユーザは、Cisco Unity が属するドメイン用の適切な資格を Cisco Unity のログオン ページで入力できる。このため、ユーザ名とパスワードの入力を求めるように各ユーザ ブラウザを設定する必要や、ドメイン間の信頼を確立する必要はありません。

ユーザが他のドメインから Cisco Unity システム管理にログオンしたとき、そのユーザは、電話機を Media Master 用の録音デバイスまたは再生デバイスとして使用するたびに資格の再入力を求められることはない。

ユーザが Cisco Unity のログオン ページに Domino 資格を入力する場合、その資格は、ネットワーク内でクリア テキストでやり取りされる。この問題を解決するには、SSL を使用するように Cisco Unity を設定します。

ユーザが Cisco Unity のログオン ページに Windows ドメイン アカウントの資格を入力する場合、その資格は、ネットワーク内でクリア テキストでやり取りされる。この問題を解決するには、SSL を使用するように Cisco Unity を設定します。

デフォルトでは、IIS は、Cisco Unity システム管理で Anonymous 認証方式を使用するように設定されていない。IIS を設定する必要があります。

Cisco Unity システム管理での統合 Windows 認証のしくみ

Cisco Unity システム管理で統合 Windows 認証を使用するように IIS を設定する場合、Cisco Unity はユーザを認証しません。ユーザの身元は、Windows によって確認されます。

1. Cisco Unity ユーザが Internet Explorer を起動し、Cisco Unity システム管理 Web サイトを参照しようとします。

2. Internet Explorer が、IIS から Cisco Unity システム管理のホーム ページの取得を試みます。

3. IIS は、ユーザを認証できないことを認識します。

4. ユーザ名とパスワードの入力を求めるように Internet Explorer が設定されている場合、Internet Explorer はダイアログボックスを表示し、ユーザが Windows ドメイン アカウントの資格を入力するまで待機します。ユーザが資格を入力すると、Internet Explorer は Cisco Unity システム管理 Web ページの取得を再度試みますが、このとき、Internet Explorer はダイアログボックスに入力された資格情報に基づいて、Windows ドメイン アカウントに関する暗号化メッセージを IIS に送信します。

ユーザ名とパスワードの入力を求めるように Internet Explorer が設定されていない場合、Internet Explorer は Cisco Unity システム管理 Web ページの取得を再度試みますが、このとき、Internet Explorer はユーザが Windows ログオン時に入力した資格に基づいて、Windows ドメイン アカウントに関する暗号化メッセージを IIS に送信します。

どちらの場合も、ユーザ パスワード(またはパスワードを表現する情報)はネットワーク内でやり取りされません。これは、認証で Windows のチャレンジ/レスポンスを利用しているためです。

5. Windows が Windows ドメイン ユーザの身元を確認できる場合は、IIS がユーザ名とドメイン名を Cisco Unity に送信し、認証プロセスはステップ 6. に進みます。

信頼されていないドメインにユーザがログオンした場合など、Windows が Windows ドメイン ユーザの身元を確認できない場合には、Internet Explorer がユーザにユーザ名とパスワードの入力を求めます。この場合も、資格がネットワーク内でやり取りされることはありません。Internet Explorer は IIS に対し、ダイアログボックスに入力された資格に基づいて、Windows ドメイン アカウントに関する暗号化メッセージを送信します。それでも Windows がユーザを認証できない場合、Internet Explorer は、ドメイン アカウントが未知のものであるために Web サイトへのアクセスが拒否されたことを示すメッセージを表示します。

6. Cisco Unity は、ユーザの認証に使用する Windows ドメイン アカウントに関連付けられているユーザ アカウントが存在することをチェックするとともに、そのユーザ アカウントが Cisco Unity システム管理へのアクセスに必要な COS 権限を保持していることをチェックします。

7. ユーザ アカウントが存在し、適切な COS 権限を保持している場合、Cisco Unity は Cisco Unity システム管理 Web サイトの最初のページをブラウザに表示します。

ユーザ アカウントが存在しない場合や適切な COS 権限を保持していない場合、Cisco Unity は、Cisco Unity システム管理 Web サイトを閲覧するための許可をユーザが保持していないことを示す Web ページを表示します。

Cisco Unity システム管理での Anonymous 認証のしくみ

Cisco Unity システム管理で Anonymous 認証を使用するように IIS を設定した場合、Cisco Unity はユーザが Cisco Unity のログオン ページに入力した資格を認証します。

1. Cisco Unity ユーザが Internet Explorer を起動し、Cisco Unity システム管理 Web サイトを参照しようとします。

2. Internet Explorer が、IIS から Cisco Unity システム管理のホーム ページの取得を試みます。

3. IIS が、IUSR_[コンピュータ名]アカウントの持つ特権に基づいて Cisco Unity へのアクセスを許可します。このアカウントは、IIS がデフォルトで Anonymous 認証に使用する匿名アカウントです。

4. Cisco Unity が Cisco Unity のログオン ページをブラウザに表示します。

5. デフォルトでは、ログオン ページ上で、ユーザは 表10-3 に示す Domino 資格を入力するように求められます。ただし、ユーザはログオン ページにある[ログオンに使用するアカウント:Windows アカウント]リンクをクリックしてもう 1 つのログオン ページ( 表10-4 を参照)を参照し、Windows ドメイン アカウントの資格を入力することもできます。

 

表10-3 Domino 資格入力用の Cisco Unity ログオン ページ

フィールド名
説明

ログイン ユーザ名

ユーザが、Cisco Unity ユーザ アカウントに関連付けられているフル Lotus Notes ユーザ名を入力します。

このログオン ユーザ名は、ユーザ名、Domino Person ドキュメントが属する組織単位、および IBM Domino 認証ドメインで構成されます(たとえば、ユーザは Terry Campbell/Sales/Cisco のように入力します)。

インターネットのパスワード

ユーザが、Domino ユーザ アカウントのインターネット パスワードを入力します。

 

表10-4 Windows 資格入力用の Cisco Unity ログオン ページ

フィールド名
説明

ユーザ名

ユーザが、Cisco Unity ユーザ アカウントに関連付けられている Windows ドメイン アカウントのエイリアスを入力します。たとえば、tcampbell のように入力することも、tcampbell@<ドメイン名>のようにフルパスで入力することもできます。

エイリアスをフルパスで入力する場合、ユーザは[ドメイン]フィールドに値を入力する必要はありません。

インターネットのパスワード

ユーザが、Windows ドメイン アカウントのパスワードを入力します。

ドメイン

[ユーザ名]フィールドにエイリアスをフルパスで入力しなかった場合、ユーザは Windows ドメイン アカウントが属しているドメインの名前を入力します。フルパスで入力した場合、ユーザはこのフィールドを空白のままにできます。

6. Internet Explorer が、資格をクリア テキストで Cisco Unity に送信します(このセキュリティ上の問題を解決するには、SSL を使用するように Cisco Unity を設定します)。

7. ユーザがログオン ページに Domino 資格を入力した場合、Cisco Unity は Domino アドレス帳を対象にして、ユーザがログオン ページに入力したユーザ名に関連付けられている Person ドキュメントを検索します。ユーザ名が見つかった場合、Cisco Unity は Person ドキュメントから暗号化パスワードを取得し、ユーザがログオン ページに入力したパスワードと比較します。プロセスはステップ 9. に進みます。

なお、Cisco Unity サーバと Domino サーバ間の接続は、デフォルトでは暗号化されていないことに注意してください。サーバ ポート上のネットワーク データを暗号化する方法の詳細については、Domino のドキュメントを参照してください。また、Domino サーバ上で暗号化を有効にする場合は、発生する可能性のあるパフォーマンス上の問題について、組織の Domino 管理者と事前に協議しておくことを推奨します。

8. ユーザがログオン ページに Windows 資格を入力した場合、Cisco Unity は Windows から送信された資格の認証を要求します。プロセスはステップ 10. に進みます。

9. Cisco Unity が Domino 資格を認証できる場合、Cisco Unity は、ユーザの認証に使用する Domino Person ドキュメントに関連付けられているユーザ アカウントが存在することを確認するとともに、そのユーザ アカウントが適切な COS 権限を保持していることを確認します。プロセスはステップ 11. に進みます。

資格を認証できない場合、Cisco Unity は、Cisco Unity システム管理 Web サイトを閲覧するための許可をユーザが保持していないことを示す Web ページを表示します。

10. Cisco Unity が Windows 資格を認証できる場合、Cisco Unity は、ユーザの認証に使用する Windows ドメイン アカウントに関連付けられているユーザ アカウントが存在することを確認するとともに、そのユーザ アカウントが Cisco Unity システム管理にアクセスするための COS 権限を保持していることを確認します。プロセスはステップ 11. に進みます。

資格を認証できない場合、Cisco Unity は、Cisco Unity システム管理 Web サイトを閲覧するための許可をユーザが保持していないことを示す Web ページを表示します。

11. ユーザ アカウントが存在し、適切な COS 権限を保持している場合、Cisco Unity は Cisco Unity システム管理 Web サイトの最初のページをブラウザに表示します。

ユーザ アカウントが存在しない場合や適切な COS 権限を保持していない場合、Cisco Unity は、Cisco Unity システム管理 Web サイトを閲覧するための許可をユーザが保持していないことを示す Web ページを表示します。

Cisco Unity システム管理とステータス モニタで Anonymous 認証を使用するための IIS の設定


) Cisco Unity システム管理で統合 Windows 認証方式を使用するよう決定した場合は、この項を省略してください。


ここでは、2 つの手順について説明します。Cisco Unity サーバが Windows Server 2003 または Windows 2000 Server のどちらを実行しているかに応じて、該当する手順を実行します。

Cisco Unity システム管理とステータス モニタで Anonymous 認証を使用するように IIS を設定する(Windows Server 2003)


ステップ 1 Windows の[スタート]メニューで、 [管理ツール] >[インターネット インフォメーション サービス (IIS) マネージャ] をクリックします。

ステップ 2 左ペインで、 [アプリケーション プール] を右クリックし、 [プロパティ] をクリックします。

ステップ 3 [アプリケーション プールのプロパティ]ダイアログボックスで、 [識別] タブをクリックします。

ステップ 4 [定義済み]リストで、 [Local System] をクリックします。

ステップ 5 [OK] をクリックし、[アプリケーション プールのプロパティ]ダイアログボックスを閉じます。

ステップ 6 [IIS マネージャ]メッセージ ボックスで、 [はい] をクリックして、このアプリケーション プールをローカル システムとして実行することを確認します。

ステップ 7 [インターネット インフォメーション サービス (IIS) マネージャ]の左ペインで、 [Web サイト] >[既定の Web サイト] を展開します。

ステップ 8 [SAWeb] を右クリックし、 [プロパティ] をクリックします。

ステップ 9 [SAWeb のプロパティ]ダイアログボックスの [ディレクトリ セキュリティ] タブをクリックします。

ステップ 10 [認証とアクセス制御]セクションで、 [編集] をクリックします。

ステップ 11 [認証方法]ダイアログボックスで、 [匿名アクセスを有効にする] チェックボックスをオンにします。

ステップ 12 [統合 Windows 認証] チェックボックスをオフにします。

ステップ 13 [OK] をクリックして[認証方法]ダイアログボックスを閉じます。

ステップ 14 [OK] をクリックし、[SAWeb のプロパティ]ダイアログボックスを閉じます。

ステップ 15 次の仮想ディレクトリのそれぞれに対して、ステップ 8ステップ 14 を繰り返します。

Status

StatusXml

Web

ステップ 16 左ペインで、 [StatusXml] をクリックします。

ステップ 17 右ペインで、 AvXml.dll を右クリックし、 [プロパティ] をクリックします。

ステップ 18 [AvXml.dll のプロパティ]ダイアログボックスの [ファイル セキュリティ] タブをクリックします。

ステップ 19 [認証とアクセス制御]セクションで、 [編集] をクリックします。

ステップ 20 [認証方法]ダイアログボックスで、 [匿名アクセスを有効にする] チェックボックスをオンにします。

ステップ 21 [統合 Windows 認証] チェックボックスをオフにします。

ステップ 22 [OK] をクリックして[認証方法]ダイアログボックスを閉じます。

ステップ 23 [OK] をクリックして[AvXml.dll のプロパティ]ダイアログボックスを閉じます。

ステップ 24 インターネット インフォメーション サービス(IIS)マネージャを閉じます。


 

Cisco Unity システム管理とステータス モニタで Anonymous 認証を使用するように IIS を設定する(Windows 2000 Server)


ステップ 1 Cisco Unity サーバで、Windows の[スタート]メニューから [プログラム] >[管理ツール] > [インターネット サービス マネージャ] をクリックします。

ステップ 2 [インターネット インフォメーション サービス]ウィンドウで、 [<システム名>] をダブルクリックして展開します。

ステップ 3 [既定の Web サイト]の [Web] を右クリックし、 [プロパティ] をクリックします。

ステップ 4 プロパティ ダイアログボックスで、Web ディレクトリの認証方式を設定します。

a. [ディレクトリ セキュリティ] タブをクリックします。

b. [匿名アクセスおよび認証コントロール]の [編集] をクリックします。

c. [認証方法]ダイアログボックスで、 [匿名アクセス] チェックボックスをオンにします。

d. [統合 Windows 認証] チェックボックスをオフにします。

e. [OK] をクリックして[認証方法]ダイアログボックスを閉じます。

f. [OK] をクリックし、プロパティ ダイアログボックスを閉じます。

ステップ 5 [既定の Web サイト]の [SAWeb] を右クリックし、 [プロパティ] をクリックします。

ステップ 6 ステップ 4 を繰り返して、SAWeb ディレクトリの認証方式を設定します。

ステップ 7 [既定の Web サイト]の [Status] を右クリックし、 [プロパティ] をクリックします。

ステップ 8 ステップ 4 を繰り返して、Status ディレクトリの認証方式を設定します。

ステップ 9 [既定の Web サイト]で、 [AvXML] をクリックします。

ステップ 10 AvXML ディレクトリで、 AvXML.dll を右クリックし、 [プロパティ] をクリックします。

ステップ 11 ステップ 4 を繰り返して、AvXML.dll の認証方式を設定します。

ステップ 12 [インターネット インフォメーション サービス]ウィンドウを閉じます。