Unified Messaging 構成でのCisco Unity インス トール ガイド(フェールオーバー構成)
8.x での Cisco Unity Administrator の認証 の設定
8.x での Cisco Unity Administrator の認証の設定
発行日;2012/02/01 | 英語版ドキュメント(2010/02/10 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

8.x での Cisco Unity Administrator の認証の設定

8.x で に使用する認証方式の決定

8.x で に使用可能な認証方式

統合 Windows 認証が 8x で と連動する仕組み

匿名認証が 8x で と連動する仕組み

およびステータス モニタが 8.x で匿名認証を使用するための IIS の構成

8.x での Cisco Unity Administrator の認証の設定

この章では、記載されている順序で次のタスクを実行します。


) タスク 1. は、フェールオーバー ペアにインストールする最初のサーバについてのみ実行します。


1. Cisco Unity Administrator に使用する認証方式を決めます。「8.x で Cisco Unity Administrator に使用する認証方式の決定」を参照してください。

2. 必要に応じて、Cisco Unity Administrator およびステータス モニタが匿名認証方式を使用するように IIS を構成します「Cisco Unity Administrator およびステータス モニタが 8.x で匿名認証を使用するための IIS の構成」を参照してください。

この章に記載されているタスクが完了したら、 第 1 章「Cisco Unity 8.x をインストールする際の必須タスクの概要」 に戻り、Cisco Unity システムのインストールを続行します。


) ここに挙げられているタスクは、『Cisco Unity インストール ガイド』および Cisco Unity のその他の資料に記載されている詳細な手順を参照しています。資料に記載されている指示に従って、正しくインストールしてください。


8.x で Cisco Unity Administrator に使用する認証方式の決定

Cisco Unity Administrator は、管理タスクの大部分を実行するのに使用する Web サイトです。たとえば、システム スケジュールの決定、個々の加入者の設定の指定(または、加入者テンプレートを使用した、加入者 グループ用の設定の指定)、通話管理計画の実装などを行います。

Cisco Unity Administrator にアクセスするには、Cisco Unity で、管理者の ID を名前とパスワードで認証する必要があります。Cisco Unity Administrator にどの IIS 認証方式を使用するかを選択できます (選択した認証方式は、Cisco Unity のステータス モニタにも適用されます)。


) Cisco Unity を管理するために Cisco Unity の加入者アカウントを作成するまで、Cisco Unity のインストール時に選択した管理アカウントと関連付けられた Windows 資格情報を使用して Cisco Unity Administrator にログオンする必要があります。


次の 3 つの項では、使用可能な認証方式とその仕組みについて説明します。

「8.x で Cisco Unity Administrator に使用可能な認証方式」

「統合 Windows 認証が 8x で Cisco Unity Administrator と連動する仕組み」

「匿名認証が 8x で Cisco Unity Administrator と連動する仕組み」

8.x で Cisco Unity Administrator に使用可能な認証方式

デフォルトでは、IIS は、Cisco Unity Administrator で統合 Windows 認証(以前の Windows NT Challenge/Response (NTLM)認証)を使用してユーザ名とパスワードを認証するように構成されています。必要に応じて、Cisco Unity Administrator で匿名認証方式を使用するように IIS を構成することもできます。

使用する認証方式を決定するには、まずネットワーク管理者と相談して、組織の既存の認証スキーマに対応し、サイトのセキュリティ上の考慮事項に対処できる認証方式を確認します。さらに、それぞれの認証方式を Cisco Unity Administrator で使用した場合の、 表 10-1 および 表 10-2 に示すメリットとデメリットを検討します。

統合 Windows 認証または匿名認証方式を使用した場合のメリットとデメリットに関する一般的な情報については、Microsoft 社の Web サイトを参照してください。

表 10-1 は、Cisco Unity Administrator で統合 Windows 認証を使用した場合のメリットとデメリットを示しています。

 

表 10-1 Cisco Unity Administrator での統合 Windows 認証の使用

メリット
デメリット

ユーザ資格情報がネットワーク経由で送られません。その代わりに、Internet Explorer および Windows が Challenge/Response メカニズムを使用してユーザを認証します。

デフォルトでは、Cisco Unity Administrator が統合 Windows 認証方式を使用するように IIS がすでに構成されています。

ユーザが信頼済みでないドメインにログオンしている場合、Windows ではユーザの ID を検証できません。この問題を解決するには、それぞれの加入者のブラウザをユーザ名とパスワードを指定するように構成して、Cisco Unity サーバが置かれたドメイン用の資格情報を加入者が入力できるようにします。または、ドメイン全体で信頼を確立します。

加入者が別のドメインから Cisco Unity Administrator にログオンした場合、加入者は、メディア マスターの録音および再生用デバイスとして電話を使用するたびに、資格情報を再入力するように求められます。

表 10-2 は、Cisco Unity Administrator で匿名認証を使用した場合のメリットとデメリットを示しています。

 

表 10-2 Cisco Unity Administrator での匿名認証の使用

メリット
デメリット

加入者が別のドメインから Cisco Unity Administrator にログオンするときに、Cisco Unity のログオン ページで、Cisco Unity サーバが置かれたドメイン用の資格情報を入力できます。そのため、ユーザ名とパスワードの入力を求めるようにそれぞれの加入者のブラウザを構成したり、ドメイン全体で信頼を確立したりする必要がありません。

加入者が別のドメインから Cisco Unity Administrator にログオンした場合でも、加入者は、メディア マスターの録音および再生用デバイスとして電話を使用するたびに資格情報を再入力するように求められることがありません。

加入者が Windows ドメイン アカウントの資格情報を Cisco Unity のログオン ページで入力すると、その資格情報がクリア テキストでネットワーク経由で送られます。この問題を解決するには、SSL を使用するように Cisco Unity を設定します。

デフォルトでは、Cisco Unity Administrator が匿名認証方式を使用するように IIS が構成されません。独自に構成する必要があります。

統合 Windows 認証が 8x で Cisco Unity Administrator と連動する仕組み

Cisco Unity Administrator が統合 Windows 認証を使用するように IIS が構成されている場合、Cisco Unity ではユーザの認証が行われません。その代わりに、ユーザの ID が Windows によって検証されます。

1. Cisco Unity の加入者が Internet Explorer を起動し、Cisco Unity Administrator の Web サイトの閲覧を試みます。

2. Internet Explorer では、Cisco Unity Administrator のホーム ページを IIS から取得しようとします。

3. IIS から、ユーザを認証できないことが示されます。

4. ユーザ名とパスワードの入力を求めるように Internet Explorer が構成されている場合は、ダイアログ ボックスが表示され、加入者が Windows ドメイン アカウントの資格情報を入力するのを待ちます。加入者が資格情報を入力すると、Internet Explorer で Cisco Unity Administrator の Web ページの取得が再度試みられます。ただし、このときには、加入者が入力した資格情報に基づいて、Windows ドメイン アカウントに関する暗号化されたメッセージが IIS に送られます。

ユーザ名とパスワードの入力を求めるように Internet Explorer が構成されていない場合、Internet Explorer では Cisco Unity Administrator の Web ページの取得が再度試みられます。ただし、このときには、加入者が Windows へのログオン時に入力した資格情報に基づいて、Windows ドメイン アカウントに関する暗号化されたメッセージが IIS に送られます。

どちらの場合も、ユーザのパスワード(またはパスワードのその他の表現)は、ネットワーク経由では送られません。これは、認証が Windows の Challenge/Response メカニズムによるものであるためです。

5. Windows が Windows ドメイン ユーザの ID を確認できる場合、IIS はユーザとドメイン名を Cisco Unity に送り、処理は手順 6. に進みます。

Windows が Windows ドメイン ユーザの ID を確認できない場合(加入者が信頼済みでないドメインにログオンした場合など)、Internet Explorer でユーザ名とパスワードの入力が求められます。この場合も、資格情報はネットワーク経由では送られません。その代わりに、Internet Explorer が IIS に、ダイアログボックスに入力された資格情報に基づいて Windows ドメイン アカウントに関する暗号化されたメッセージを送ります。それでも Windows がユーザを認証できない場合、Internet Explorer では、ドメイン アカウントが不明なために Web サイトへのアクセスが拒否されたことを示すメッセージが表示されます。

6. Cisco Unity では、加入者の認証に使用された Windows ドメイン アカウントと関連付けられた加入者アカウントが存在し、その加入者アカウントに Cisco Unity Administrator へのアクセスを許可する COS 権限があることを確認します。

7. 加入者アカウントが存在し、そのアカウントに適切な COS 権限がある場合、Cisco Unity は Cisco Unity Administrator の Web サイトの最初のページをブラウザに表示します。

加入者アカウントが存在しないか、適切な COS 権限がない場合、Cisco Unity は、その加入者が Cisco Unity Administrator の Web サイトを閲覧する権限を持っていないことを示す Web ページを表示します。

匿名認証が 8x で Cisco Unity Administrator と連動する仕組み

Cisco Unity Administrator が匿名認証を使用するように IIS が構成されている場合、Cisco Unity では、加入者が Cisco Unity のログオン ページで入力した資格情報が認証されます。

1. Cisco Unity の加入者が Internet Explorer を起動し、Cisco Unity Administrator の Web サイトの閲覧を試みます。

2. Internet Explorer では、Cisco Unity Administrator のホーム ページを IIS から取得しようとします。

3. IIS では、IUSR_[コンピュータ名] アカウントの権限に基づいて、Cisco Unity へのアクセスを許可します (これは、IIS が匿名認証にデフォルトで使用する匿名アカウントです)。

4. Cisco Unity は、Cisco Unity のログオン ページをブラウザに表示します。

5. このログオンページでは、 表 10-3 に示す Windows ドメイン アカウントの資格情報を入力するように、加入者に求めます。

 

表 10-3 Cisco Unity ログオン ページ (Windows 認証用)

フィールド名
説明

ユーザ名(User Name)

加入者は、自分の Cisco Unity 加入者アカウントと関連付けられた Windows ドメイン アカウントのエイリアスを入力する必要があります (たとえば、tcampbell、またはフル パスで tcampbell@<ドメイン名> と入力できます)。

エイリアスにフル パスを入力した場合、ドメイン フィールドに入力する必要はありません。

パスワード(Password)

加入者は、自分の Windows ドメイン アカウントのパスワードを入力する必要があります。

ドメイン(Domain)

加入者は、ユーザ名のフィールドでフル パスのエイリアスを入力した場合を除き、自分の Windows ドメイン アカウントがあるドメインの名前を入力する必要があります。フル パスのエイリアスを入力した場合は、このフィールドを空のままにすることができます。

6. Internet Explorer では、資格情報がクリア テキストで Cisco Unity に送られます (セキュリティに与える問題を解決するには、SSL を使用するように Cisco Unity を設定します)。

7. Cisco Unity は、Windows からの資格情報の認証を求めます。

8. Cisco Unity が Windows 資格情報を認証できると、Cisco Unity は次に、加入者の認証に使用された Windows ドメイン アカウントと関連付けられた加入者アカウントが存在し、その加入者アカウントに Cisco Unity Administrator へのアクセスを許可する COS 権限があることを確認します。処理は手順 9. に進みます。

資格情報を認証できない場合、Cisco Unity は、その加入者が Cisco Unity Administrator の Web サイトを閲覧する権限を持っていないことを示す Web ページを表示します。

9. 加入者アカウントが存在し、そのアカウントに適切な COS 権限がある場合 Cisco Unity は、Cisco Unity Administrator の Web サイトの最初のページをブラウザに表示します。

加入者アカウントが存在しないか、適切な COS 権限がない場合、Cisco Unity は、その加入者が Cisco Unity Administrator の Web サイトを閲覧する権限を持っていないことを示す Web ページを表示します。

Cisco Unity Administrator およびステータス モニタが 8.x で匿名認証を使用するための IIS の構成


Cisco Unity Administrator で統合 Windows 認証を使用する場合は、この項を省略します。


次の手順を実行します。

Cisco Unity Administrator およびステータス モニタが匿名認証を使用するように IIS を構成するには


ステップ 1 Windows の [スタート(Start)] メニューで、[管理ツール(Administrative Tools)] > [インターネット インフォメーション サービス (IIS) マネージャ(Internet Information Services (IIS) Manager)] をクリックします。

ステップ 2 左側のペインで [アプリケーション プール(Application Pools)] を右クリックし、[プロパティ(Properties)] をクリックします。

ステップ 3 [アプリケーション プールのプロパティ(Application Pools Properties)] ダイアログボックスで、[ID(Identity)] タブをクリックします。

ステップ 4 事前定義の一覧で、[ローカル システム(Local System)] をクリックします。

ステップ 5 [OK] をクリックして [アプリケーション プールのプロパティ(Application Pools Properties)] ダイアログボックスを閉じます。

ステップ 6 IIS マネージャのメッセージ ボックスで [はい(Yes)] をクリックして、このアプリケーション プールをローカル システムとして実行することを確認します。

ステップ 7 インターネット インフォメーション サービス(IIS)マネージャの左側のペインで、[Web サイト(Web Sites)] > [デフォルト Web サイト(Default Web Site)] を展開します。

ステップ 8 [SAWeb] を右クリックし、[プロパティ(Properties)] をクリックします。

ステップ 9 [SaWeb のプロパティ(SaWeb Properties)] ダイアログボックスで、[ディレクトリのセキュリティ(Directory Security)] タブをクリックします。

ステップ 10 [認証とアクセス制御(Authentication and Access Control)] セクションで、[編集(Edit)] をクリックします。

ステップ 11 [認証方法(Authentication Methods)] ダイアログボックスで、[匿名アクセスを有効にする(Enable Anonymous Access)] チェックボックスをオンにします。

ステップ 12 [統合 Windows 認証(Integrated Windows Authentication)] チェックボックスをオフにします。

ステップ 13 [OK] をクリックして [認証方法(Authentication Methods)] ダイアログボックスを閉じます。

ステップ 14 [OK] をクリックして [SaWeb のプロパティ(SaWeb Properties)] ダイアログボックスを閉じます。

ステップ 15 次の仮想ディレクトリについて、ステップ 8ステップ 14 を繰り返します。

Status

StatusXml

Web

ステップ 16 左側のペインで、[StatusXml] をクリックします。

ステップ 17 右側のペインで、[AvXml.dll] を右クリックし、[プロパティ(Properties)] をクリックします。

ステップ 18 [AvXml.dll のプロパティ(AvXml.dll Properties)] ダイアログボックスで、[ファイルのセキュリティ(File Security)] タブをクリックします。

ステップ 19 [認証とアクセス制御(Authentication and Access Control)] セクションで、[編集(Edit)] をクリックします。

ステップ 20 [認証方法(Authentication Methods)] ダイアログボックスで、[匿名アクセスを有効にする(Enable Anonymous Access)] チェックボックスをオンにします。

ステップ 21 [統合 Windows 認証(Integrated Windows Authentication)] チェックボックスをオフにします。

ステップ 22 [OK] をクリックして [認証方法(Authentication Methods)] ダイアログボックスを閉じます。

ステップ 23 [OK] をクリックして [AvXml.dll のプロパティ(AvXml.dll Properties)] ダイアログボックスを閉じます。

ステップ 24 インターネット インフォメーション サービス(IIS)マネージャを閉じます。