Cisco Unity セキュリティ ガイド Microsoft Exchange版 Release 5.x
Cisco Unity アプリケーションの認証
Cisco Unity アプリケーションの認証
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

Cisco Unity アプリケーションの認証

Cisco Unity システム管理およびステータス モニタで使用する認証方式の決定

Cisco Unity システム管理およびステータス モニタを使用する場合の統合 Windows 認証の動作

Cisco Unity システム管理およびステータス モニタで統合 Windows 認証を使用する場合の利点と欠点

Cisco Unity システム管理およびステータス モニタを使用する場合の Anonymous 認証の動作

Cisco Unity システム管理およびステータス モニタで Anonymous 認証を使用する場合の利点と欠点

Cisco Unity システム管理およびステータス モニタで統合 Windows 認証を使用するための IIS の設定

Cisco Unity システム管理およびステータス モニタで Anonymous 認証を使用するための IIS の設定

Cisco Unity システム管理およびステータス モニタへのアクセスを保護するためのベスト プラクティス

Cisco Personal Communications Assistant(PCA)認証の動作の概要

Cisco PCA へのアクセスを保護するためのベスト プラクティス

拡張電話セキュリティを提供するかどうかの決定

拡張電話セキュリティを使用するための Cisco Unity カンバセーションの設定

Cisco Unity アプリケーションの認証

Cisco Unity の各アプリケーションは、ユーザ資格を認証する方法をそれぞれが独自に備えています。各アプリケーションで使用されている方式を理解することは、Cisco Unity のユーザ データとメッセージを不正アクセスから保護するための重要なステップです。この章では、Cisco Unity システム管理、ステータス モニタ、Cisco Personal Communications Assistant(PCA)、および Cisco Unity カンバセーション(いわゆる TUI)でそれぞれ使用されている認証方式に関係する、潜在的なセキュリティの問題について説明します。各アプリケーションでどのように認証が行われるかを理解すると、次の項目の判断に役立ちます。

Cisco Unity システム管理およびステータス モニタで、統合 Windows 認証と Anonymous 認証のどちらを使用するか。

SSL を使用してクライアント/サーバ接続を保護するように Cisco PCA を設定するかどうか。

2 ファクタ ユーザ認証として知られる安全なログオン方法を使用して、電話セキュリティを強化するように Cisco Unity カンバセーションを設定するかどうか。

これらの判断に役立つ情報および必要な作業の手順については、次の項を参照してください。

「Cisco Unity システム管理およびステータス モニタで使用する認証方式の決定」

「Cisco Unity システム管理およびステータス モニタで統合 Windows 認証を使用するための IIS の設定」

「Cisco Unity システム管理およびステータス モニタで Anonymous 認証を使用するための IIS の設定」

「Cisco Unity システム管理およびステータス モニタへのアクセスを保護するためのベスト プラクティス」

「Cisco Personal Communications Assistant(PCA)認証の動作の概要」

「Cisco PCA へのアクセスを保護するためのベスト プラクティス」

「拡張電話セキュリティを提供するかどうかの決定」

「拡張電話セキュリティを使用するための Cisco Unity カンバセーションの設定」

Cisco Unity システム管理およびステータス モニタで使用する認証方式の決定

Cisco Unity では、管理者が Cisco Unity システム管理およびステータス モニタにアクセスするには、名前とパスワードを使用して事前に ID の認証を受ける必要があります。デフォルトでは、これらの 2 つのアプリケーションで統合 Windows 認証方式(以前に NTLM 認証または Windows NT チャレンジ/レスポンス認証と呼ばれていたもの)を使用してユーザ名とパスワードを認証するように IIS が設定されています。インストール中に、Cisco Unity システム管理およびステータス モニタで Anonymous 認証方式を代わりに使用するように IIS を設定するかどうかについて、インストーラが決定します。

Cisco Unity システム管理およびステータス モニタで使用される認証方式は、いつでも変更できます。変更の前に、次の作業を行います。

1. 各認証方式がどのように機能するかについて、確実に理解します。次の各項を参照してください。

「Cisco Unity システム管理およびステータス モニタを使用する場合の統合 Windows 認証の動作」

「Cisco Unity システム管理およびステータス モニタを使用する場合の Anonymous 認証の動作」

2. 統合 Windows 認証と Anonymous 認証の利点と欠点を評価します。詳細については、Microsoft の Web サイトを参照してください。また、次の各項を参照してください。

「Cisco Unity システム管理およびステータス モニタで統合 Windows 認証を使用する場合の利点と欠点」

「Cisco Unity システム管理およびステータス モニタで Anonymous 認証を使用する場合の利点と欠点」

3. 変更の内容をネットワーク管理者と協議し、選択する方式が組織の既存の認証スキームと合致していること、サイトのセキュリティの問題を解決できることを確認します。

Cisco Unity システム管理およびステータス モニタを使用する場合の統合 Windows 認証の動作

Cisco Unity システム管理で統合 Windows 認証を使用するように IIS が設定されている場合、Cisco Unity はユーザを認証しません。代わりに、ユーザ ID は Windows によって次の手順で検証されます(ステータス モニタのユーザを認証する場合も、同じプロセスが使用されます)。

1. Cisco Unity のユーザが Internet Explorer を起動して、Cisco Unity システム管理 Web サイトを参照しようとします。

2. Internet Explorer は、Cisco Unity システム管理のホーム ページを IIS から取得しようとします。

3. IIS は、ユーザを認証できないことを通知します。

4. Internet Explorer は、ユーザ名とパスワードの入力を求めるように設定されている場合、ダイアログボックスを表示して、ユーザが Active Directory アカウントの資格を入力するまで待機します。ユーザが資格を入力すると、Internet Explorer は Cisco Unity システム管理 Web ページを再度取得しようとしますが、今度は、この Active Directory アカウントに関係する暗号化されたメッセージ(ユーザがダイアログボックスで入力した資格に基づいたもの)も IIS に送信します。

ユーザ名とパスワードの入力を求めるように Internet Explorer が設定されていない場合、Internet Explorer は Cisco Unity システム管理 Web ページを再度取得しようとしますが、今度は、この Active Directory アカウントに関係する暗号化されたメッセージ(ユーザが Windows へのログオン時に入力した資格に基づいたもの)も IIS に送信します。

いずれのシナリオでも、認証に Windows チャレンジ/レスポンスを利用しているため、ユーザのパスワード(またはパスワードを表現する何らかのデータ)はネットワーク経由で送信されません。

5. Windows が Active Directory ユーザの ID を確認できた場合は、IIS がユーザ名とドメイン名を Cisco Unity に送信し、このプロセスはステップ 6. から続行されます。

Windows が Active Directory ユーザの ID を検証できない場合(ユーザが、信頼されていないドメインにログオンした場合など)、Internet Explorer はユーザにユーザ名とパスワードの入力を求めます。この場合も、資格はネットワーク経由で送信されません。代わりに、ダイアログボックスで入力された資格に基づいた、Active Directory アカウントに関係する暗号化されたメッセージが IIS に送信されます。

認証が発生した場合、このプロセスはステップ 6. から続行されます。ただし、Windows がここでもユーザを認証できない場合は、ドメイン アカウントが未知であるために Web サイトへのアクセスが拒否されたことを示すメッセージが Internet Explorer に表示されます。

6. Cisco Unity は、ユーザの認証に使用される Active Directory アカウントに関連付けられたユーザ アカウントが存在していること、および Cisco Unity システム管理にアクセスするための COS 権限をそのユーザ アカウントが持っていることを確認します。

ユーザ アカウントが存在し、適切な COS 権限を持っている場合は、Cisco Unity システム管理 Web サイトの最初のページがブラウザに表示されます。

ユーザ アカウントが存在しない場合、または適切な COS 権限を持っていない場合は、Cisco Unity システム管理 Web サイトを表示するための許可をユーザが持っていないことを示す Web ページが表示されます。

Cisco Unity システム管理およびステータス モニタで統合 Windows 認証を使用する場合の利点と欠点

統合 Windows 認証を使用する場合の利点と欠点の一覧については、表8-1 を参照してください。

 

表8-1 Cisco Unity システム管理およびステータス モニタで統合 Windows 認証を使用する場合の利点と欠点

利点
欠点

Cisco Unity システム管理およびステータス モニタでは、統合 Windows 認証を使用することをお勧めします。

ユーザの資格が、ネットワークを経由して送信されません。Internet Explorer および Windows では、代わりにチャレンジ/レスポンス メカニズムを使用してユーザが認証されます。

追加の設定が必要ありません。統合 Windows 認証は IIS のデフォルトです。

Windows は、信頼していないドメインにユーザがログオンしている場合、ユーザの ID を検証できません。したがって、Cisco Unity システム管理へのユーザ アクセスを拒否します(この問題を解決するには、ユーザ名とパスワードの入力を求めるように各ユーザのブラウザを設定して、Cisco Unity サーバが配置されているドメインの適切な資格をユーザが入力できるようにします。または、ドメイン間に信頼関係を確立します)。

ユーザは、Cisco Unity システム管理に別ドメインからログオンしている場合、電話機を Media Master の録音再生デバイスとして使用しようとしたとき、その都度資格を再入力するように求められます。

Cisco Unity システム管理およびステータス モニタを使用する場合の Anonymous 認証の動作

Cisco Unity システム管理で Anonymous 認証を使用するように IIS が設定されている場合は、次の手順に示すように、ユーザが Cisco Unity のログオン ページで入力する資格が認証の対象になります(ステータス モニタのユーザを認証する場合も、同じプロセスが使用されます)。

1. Cisco Unity のユーザが Internet Explorer を起動して、Cisco Unity システム管理 Web サイトを参照しようとします。

2. Internet Explorer は、Cisco Unity システム管理のホーム ページを IIS から取得しようとします。

3. IIS は、IUSR_<コンピュータ名> アカウントの特権に基づいて Cisco Unity へのアクセスを許可します(このアカウントは、IIS が Anonymous 認証で使用するデフォルトの匿名アカウントです)。

4. Cisco Unity は、Cisco Unity のログオン ページをブラウザに表示します。

5. ログオン ページで、Active Directory アカウントの資格を入力するように求められます( 表8-2 を参照)。

 

表8-2 Windows 資格を入力するための Cisco Unity のログオン ページ

フィールド名
説明

[ユーザ名]

各自の Cisco Unity ユーザ アカウントに関連付けられている Active Directory アカウントのエイリアスを入力します(たとえば、tcampbell やフル パスの tcampbell@<ドメイン名> を入力します)。

フル パスを入力した場合は、[ドメイン]フィールドに値を入力する必要がなくなります。

[パスワード]

Active Directory アカウントのパスワードを入力します。

[ドメイン]

[ユーザ名]フィールドにフル パスを入力しない場合は、Active Directory アカウントが配置されているドメインの名前を入力します。フル パスを入力した場合は、このフィールドを空白のままにすることができます。

6. Internet Explorer が、資格をクリア テキストで Cisco Unity に送信します(このセキュリティ リスクを回避するには、SSL を使用するように Cisco Unity を設定します)。

7. Cisco Unity が、Windows から送信された資格の認証を要求します。

8. Cisco Unity が Windows 資格を認証できる場合は、ユーザ認証に使用される Active Directory アカウントに関連付けられたユーザ アカウントが存在すること、およびそのユーザ アカウントが適切な COS 権限を持っていることを Cisco Unity が確認します。ユーザ アカウントが存在し、適切な COS 権限を持っている場合は、Cisco Unity システム管理 Web サイトの最初のページがブラウザに表示されます。

Windows 資格を認証できない場合、ユーザ アカウントが存在しない場合、または適切な COS 権限を持っていない場合は、Cisco Unity システム管理 Web サイトを表示するための許可をユーザが持っていないことを示す Web ページが表示されます。

Cisco Unity システム管理およびステータス モニタで Anonymous 認証を使用する場合の利点と欠点

Anonymous 認証を使用する場合の利点と欠点の一覧については、表8-3 を参照してください。

 

表8-3 Cisco Unity システム管理およびステータス モニタで Anonymous 認証を使用する場合の利点と欠点

利点
欠点

管理者は、ユーザ名とパスワードの入力を求めるように各ユーザのブラウザを設定する必要がなく、ドメイン間に信頼関係を確立する必要もありません。ユーザは、Cisco Unity システム管理に別ドメインからログオンする場合、Cisco Unity サーバが配置されているドメインの適切な資格を Cisco Unity のログオン ページで入力します。

ユーザは、Cisco Unity システム管理に別ドメインからログオンしている場合、電話機を Media Master の録音再生デバイスとして使用しようとしたときに、その都度資格を再入力するように求められません。

Cisco Unity システム管理およびステータス モニタでは、統合 Windows 認証を使用することをお勧めします。

ユーザが Cisco Unity のログオン ページで資格を入力すると、その資格はネットワークを経由してクリア テキストで送信されます(この問題を解決するには、SSL を使用するように Cisco Unity を設定します)。

Anonymous 認証を使用するようにシステムを設定する必要があります。IIS のデフォルトは統合 Windows 認証です。

Cisco Unity システム管理およびステータス モニタで統合 Windows 認証を使用するための IIS の設定

該当する手順を実行して、Cisco Unity システム管理およびステータス モニタで統合 Windows 認証方式が使用されるように IIS を設定します(この方式がデフォルトです)。

「Cisco Unity システム管理およびステータス モニタで統合 Windows 認証を使用するように IIS を設定する(Windows Server 2003)」

「Cisco Unity システム管理およびステータス モニタで統合 Windows 認証を使用するように IIS を設定する(Windows 2000 Server)」

Cisco Unity システム管理およびステータス モニタで統合 Windows 認証を使用するように IIS を設定する(Windows Server 2003)


ステップ 1 Windows の[スタート]メニューで、 [管理ツール] >[インターネット インフォメーション サービス (IIS) マネージャ] をクリックします。

ステップ 2 [インターネット インフォメーション サービス (IIS) マネージャ]の左ペインで、 [Web サイト] >[既定の Web サイト] を展開します。

ステップ 3 [SAWeb] を右クリックし、 [プロパティ] をクリックします。

ステップ 4 [SaWeb のプロパティ]ダイアログボックスの [ディレクトリ セキュリティ] タブをクリックします。

ステップ 5 [認証とアクセス制御]セクションで、 [編集] をクリックします。

ステップ 6 [認証方法]ダイアログボックスで、 [匿名アクセスを有効にする] チェックボックスをオフにします。

ステップ 7 [統合 Windows 認証] チェックボックスをオンにします。

ステップ 8 [OK] をクリックして[認証方法]ダイアログボックスを閉じます。

ステップ 9 [OK] をクリックして[SaWeb のプロパティ]ダイアログボックスを閉じます。

ステップ 10 次の仮想ディレクトリごとに、ステップ 3ステップ 9 を繰り返します。

Status

StatusXml

Web


 

Cisco Unity システム管理およびステータス モニタで統合 Windows 認証を使用するように IIS を設定する(Windows 2000 Server)


ステップ 1 Cisco Unity サーバの Windows の[スタート]メニューで、 [プログラム] >[管理ツール] >[インターネット サービス マネージャ] をクリックします。

ステップ 2 [インターネット インフォメーション サービス]ウィンドウで、 [<システム名>] をダブルクリックして展開します。

ステップ 3 [既定の Web サイト]で、 [Web] を右クリックし、 [プロパティ] をクリックします。

ステップ 4 [Web のプロパティ]ダイアログボックスで、認証方式を設定します。

a. [ディレクトリ セキュリティ] タブをクリックします。

b. [匿名アクセスと認証コントロール]で、 [編集] をクリックします。

c. [認証方法]ダイアログボックスで、 [匿名アクセス] チェックボックスをオフにします。

d. [統合 Windows 認証] チェックボックスをオンにします。

e. [OK] をクリックして[認証方法]ダイアログボックスを閉じます。

f. [OK] をクリックして[Web のプロパティ]ダイアログボックスを閉じます。

ステップ 5 [既定の Web サイト]で、 [SAWeb] を右クリックし、 [プロパティ] をクリックします。

ステップ 6 ステップ 4 を繰り返して、SAWeb に対する認証方式を設定します。

ステップ 7 [既定の Web サイト]で、 [Status] を右クリックし、 [プロパティ] をクリックします。

ステップ 8 ステップ 4 を繰り返して、Status に対する認証方式を設定します。

ステップ 9 [既定の Web サイト]で、 [AvXML] をクリックします。

ステップ 10 AvXML ディレクトリで、 [AvXML.dll] を右クリックし、 [プロパティ] をクリックします。

ステップ 11 ステップ 4 を繰り返して、AvXML に対する認証方式を設定します。

ステップ 12 [インターネット インフォメーション サービス] ウィンドウを閉じます。


 

Cisco Unity システム管理およびステータス モニタで Anonymous 認証を使用するための IIS の設定

該当する手順を実行して、Cisco Unity システム管理およびステータス モニタで Anonymous 認証方式が使用されるように IIS を設定します。

「Cisco Unity システム管理およびステータス モニタで Anonymous 認証を使用するように IIS を設定する(Windows Server 2003)」

「Cisco Unity システム管理およびステータス モニタで Anonymous 認証を使用するように IIS を設定する(Windows 2000 Server)」

Cisco Unity システム管理およびステータス モニタで Anonymous 認証を使用するように IIS を設定する(Windows Server 2003)


ステップ 1 Windows の[スタート]メニューで、 [管理ツール] >[インターネット インフォメーション サービス (IIS) マネージャ] をクリックします。

ステップ 2 左ペインで、 [アプリケーション プール] を右クリックし、 [プロパティ] をクリックします。

ステップ 3 [アプリケーション プールのプロパティ]ダイアログボックスの [識別] タブをクリックします。

ステップ 4 [定義済み]リストの [Local System] をクリックします。

ステップ 5 [OK] をクリックして[アプリケーション プールのプロパティ]ダイアログボックスを閉じます。

ステップ 6 IIS マネージャのメッセージ ボックスで、 [はい] をクリックして、このアプリケーション プールを Local System として実行することを確定します。

ステップ 7 [インターネット インフォメーション サービス (IIS) マネージャ]の左ペインで、 [Web サイト] >[既定の Web サイト] を展開します。

ステップ 8 [SAWeb] を右クリックし、 [プロパティ] をクリックします。

ステップ 9 [SaWeb のプロパティ]ダイアログボックスの [ディレクトリ セキュリティ] タブをクリックします。

ステップ 10 [認証とアクセス制御]セクションで、 [編集] をクリックします。

ステップ 11 [認証方法]ダイアログボックスで、 [匿名アクセスを有効にする] チェックボックスをオンにします。

ステップ 12 [統合 Windows 認証] チェックボックスをオフにします。

ステップ 13 [OK] をクリックして[認証方法]ダイアログボックスを閉じます。

ステップ 14 [OK] をクリックして[SaWeb のプロパティ]ダイアログボックスを閉じます。

ステップ 15 次の仮想ディレクトリごとに、ステップ 8ステップ 14 を繰り返します。

Status

StatusXml

Web


 

Cisco Unity システム管理およびステータス モニタで Anonymous 認証を使用するように IIS を設定する(Windows 2000 Server)


ステップ 1 Cisco Unity サーバの Windows の[スタート]メニューで、 [プログラム] >[管理ツール] > [インターネット サービス マネージャ] をクリックします。

ステップ 2 [インターネット インフォメーション サービス]ウィンドウで、 [<システム名>] をダブルクリックして展開します。

ステップ 3 [既定の Web サイト]で、 [Web] を右クリックし、 [プロパティ] をクリックします。

ステップ 4 [プロパティ]ダイアログボックスで、Web ディレクトリに対する認証方式を設定します。

a. [ディレクトリ セキュリティ] タブをクリックします。

b. [匿名アクセスと認証コントロール]で、 [編集] をクリックします。

c. [認証方法]ダイアログボックスで、 [匿名アクセス] チェックボックスをオンにします。

d. [統合 Windows 認証] チェックボックスをオフにします。

e. [OK] をクリックして[認証方法]ダイアログボックスを閉じます。

f. [OK] をクリックして[プロパティ]ダイアログボックスを閉じます。

ステップ 5 [既定の Web サイト]で、 [SAWeb] を右クリックし、 [プロパティ] をクリックします。

ステップ 6 ステップ 4 を繰り返して、SAWeb ディレクトリに対する認証方式を設定します。

ステップ 7 [既定の Web サイト]で、 [Status] を右クリックし、 [プロパティ] をクリックします。

ステップ 8 ステップ 4 を繰り返して、Status ディレクトリに対する認証方式を設定します。

ステップ 9 [既定の Web サイト]で、 [AvXML] をクリックします。

ステップ 10 AvXML ディレクトリで、 [AvXML.dll] を右クリックし、 [プロパティ] をクリックします。

ステップ 11 ステップ 4 を繰り返して、AvXML.dll に対する認証方式を設定します。

ステップ 12 [インターネット インフォメーション サービス]ウィンドウを閉じます。


 

Cisco Unity システム管理およびステータス モニタへのアクセスを保護するためのベスト プラクティス

Cisco Unity システム管理およびステータス モニタで使用する認証方式を決定した後は、次のベスト プラクティスを実施して、ユーザ データとシステム データに対する不正アクセスの防止をさらに強化することを検討してください。

ベスト プラクティス:常に名前とパスワードの入力を求める(統合 Windows 認証)

Cisco Unity システム管理で統合 Windows 認証方式を使用する場合、Cisco Unity システム管理にアクセスしたときに名前とパスワードの入力を求められないようにシステムを設定できます。このように設定できるのは、Internet Explorer がユーザ名とパスワードの入力を求めるように設定されておらず、管理者が管理者アカウントまたは適切な Active Directory アカウントのいずれかを使用して、信頼されているドメイン内の Windows にログオンする場合です。ベスト プラクティスとして、ユーザ名とパスワードの入力を求めるようにブラウザを設定するか、不在の間はワークステーションをロックすることをお勧めします。

ベスト プラクティス:ユーザ資格をクリア テキストで送信しない(Anonymous 認証のみ)

デフォルトでは、ユーザが Cisco Unity システム管理およびステータス モニタにログオンするとき、ユーザの資格はネットワークを経由して Cisco Unity にクリア テキストで送信されます。また、ユーザが Cisco Unity システム管理のページに入力する情報も暗号化されません。セキュリティを強化するには、SSL を使用するように Cisco Unity を設定します。 「クライアントとサーバの接続を保護するための SSL の使用方法」 の章を参照してください。

ベスト プラクティス:管理者に対してユーザ資格の入力を要求する(Anonymous 認証のみ)

Anonymous 認証を使用するように Cisco Unity システム管理を設定している場合、Cisco Unity システム管理の[認証]ページの設定を使用して、ログオン ページで次のオプションをユーザに提供するかどうかを指定できます。

[ユーザ名の保存]

[パスワードの保存]

[ドメインの保存]

管理者が、Cisco Unity がユーザ名、パスワード、またはドメインを保存するように指定した場合、ユーザは、次に Cisco Unity システム管理にログオンするときにそれらを入力する必要はありません。ログオン ページのフィールドには情報が自動的に入力され、資格は、暗号化された cookie としてユーザ ワークステーションに保存されます。

セキュリティ上の理由から、上記のオプションはデフォルトではログオン ページに表示されません。組織によっては、このデフォルト状態のままにすることもできます。

ベスト プラクティス:アカウントの原則を確認する

ユーザが Cisco Unity システム管理およびステータス モニタを使用するときに適用されるアカウントの原則を参照して、次の項目が適切に定義されていることを確認します。

ユーザがログオンしようとして、不正なパスワードを繰り返し入力した場合の処置

ログオン試行の失敗を許容する回数(この回数に達した時点で、当該のユーザ アカウントを使用して Cisco Unity システム管理およびステータス モニタにアクセスすることを禁止)

ユーザをロックアウトする期間

アカウントの原則は、認証方式に応じて Windows または Cisco Unity システム管理で設定します。詳細および推奨設定については、「Cisco Unity システム管理へのアクセスに関するアカウントの原則の定義」を参照してください。

ベスト プラクティス:ブラウザを開いたまま放置できる時間を制限する

ブラウザを開いたままで放置できる時間の長さは、インターネット インフォメーション サービス(IIS)で指定する[セッションのタイムアウト]制限値で制御します。この時間が経過すると、ユーザは自動的にログオフ状態になります。ブラウザのセッションがタイムアウトした場合は、ブラウザの表示をリフレッシュして、Cisco Unity システム管理に再度ログオンする必要があります。

Cisco Unity システム管理で使用されている認証方式に応じて、IIS のタイムアウト値を次のように設定します。

Cisco Unity システム管理で Anonymous 認証方式を使用する場合は、IIS のセッション タイムアウト値を Cisco Unity システム管理で設定できます。

Cisco Unity システム管理で統合 Windows 認証方式を使用する場合は、セッション制限値を IIS で直接設定する必要があります。

Cisco Personal Communications Assistant(PCA)認証の動作の概要

Cisco Unity は、アプリケーション レベルでの認証を通じて Cisco Personal Communications Assistant(PCA)へのアクセスをユーザに許可します。つまり、IIS は Cisco PCA で Anonymous 認証が使用されるように設定されるため、Cisco Unity では、ユーザが Cisco PCA にログオンするときに入力する資格が認証の対象になります。Cisco Unity システム管理とは異なり、Cisco PCA で使用される認証方式は変更できないことに注意してください。

Cisco Unity は、ユーザが Cisco Unity のログオン ページで入力する資格を次の手順で認証します。

1. Cisco Unity のユーザが Internet Explorer を起動して、Cisco PCA Web サイトを参照しようとします。

2. Internet Explorer は、Cisco PCA のホーム ページを IIS から取得しようとします。

3. IIS は、IUSR_<コンピュータ名> アカウントの特権に基づいて Cisco Unity へのアクセスを許可します(このアカウントは、IIS が Anonymous 認証で使用するデフォルトの匿名アカウントです)。

4. Cisco Unity は、Cisco Unity のログオン ページをブラウザに表示します。

5. ログオン ページで、Active Directory アカウントの資格を入力するように求められます( 表8-4 を参照)。

 

表8-4 Windows 資格を入力するための Cisco Unity のログオン ページ

フィールド名
説明

[ユーザ名]

各自の Cisco Unity ユーザ アカウントに関連付けられている Active Directory アカウントのエイリアスを入力します(たとえば、tcampbell やフル パスの tcampbell@<ドメイン名> を入力します)。

フル パスを入力した場合は、[ドメイン]フィールドに値を入力する必要がなくなります。

[パスワード]

Active Directory アカウントのパスワードを入力します。

[ドメイン]

[ユーザ名]フィールドにフル パスを入力しない場合は、Active Directory アカウントが配置されているドメインの名前を入力します。フル パスを入力した場合は、このフィールドを空白のままにすることができます。

 

6. Internet Explorer が、資格をクリア テキストで Cisco Unity に送信します(このセキュリティ リスクを回避するには、SSL を使用するように Cisco Unity を設定します)。

7. Cisco Unity が、Active Directory から送信された資格の認証を要求します。

8. Cisco Unity が Active Directory 資格を認証できる場合は、ユーザ認証に使用される Active
Directory アカウントに関連付けられたユーザ アカウントが存在すること、およびそのユーザ アカウントが適切な COS 権限を持っていることを Cisco Unity が確認します。ユーザ アカウントが存在し、適切な COS 権限を持っている場合は、Cisco PCA Web サイトの最初のページがブラウザに表示されます。

Active Directory 資格を認証できない場合、ユーザ アカウントが存在しない場合、または適切な COS 権限を持っていない場合は、Cisco PCA Web サイトを表示するための許可がユーザにないことを示す Web ページが表示されます。

Cisco PCA へのアクセスを保護するためのベスト プラクティス

ユーザ データおよびメッセージへの Cisco PCA を通じた不正アクセスを防止するには、次のベスト プラクティスの実施を検討してください。

ベスト プラクティス:ユーザ資格をクリア テキストで送信しない

デフォルトでは、ユーザが Cisco PCA にログオンするとき、ユーザの資格はネットワークを経由して Cisco Unity にクリア テキストで送信されます。また、ユーザが Cisco PCA のページに入力する情報も暗号化されません。セキュリティを強化するには、SSL を使用するように Cisco Unity を設定します。 「クライアントとサーバの接続を保護するための SSL の使用方法」 の章を参照してください。

ベスト プラクティス:ユーザに対してユーザ資格の入力を要求する

Cisco Unity システム管理の[認証]ページの設定を使用して、Cisco PCA のログオン ページで次のオプションをユーザに提供するかどうかを指定できます。

[ユーザ名の保存]

[パスワードの保存]

[ドメインの保存]

管理者が、Cisco Unity がユーザ名、パスワード、またはドメインを保存するように指定した場合、ユーザは、次に Cisco PCA にログオンするときにそれらを入力する必要はありません。ログオン ページのフィールドには情報が自動的に入力され、資格は、暗号化された cookie としてユーザ ワークステーションに保存されます。上記のオプションは、デフォルトではログオン ページに表示されません。セキュリティ上の理由から、組織によってはこのデフォルト状態のままにすることもできます。ただし、デフォルトのままにした場合、Cisco PCA のログオン ページにもオプションが表示されないことに注意してください。Cisco PCA を使用するユーザが Cisco Unity に資格を保存するかどうかを指定できないようにすることによって、サポート デスクから情報を求められる回数が増える場合があります。

ベスト プラクティス:アカウントの原則を確認する

ユーザが Cisco PCA を使用するときに適用されるアカウントの原則を参照して、次の項目が適切に定義されていることを確認します。

ユーザが空白パスワードを使用できるかどうか

ユーザがログオンしようとして、不正なパスワードを繰り返し入力した場合の処置

ログオン試行の失敗を許容する回数(この回数に達した時点で、当該のユーザ アカウントを使用して Cisco PCA にアクセスすることを禁止)

ユーザをロックアウトする期間

詳細および推奨設定については、「Cisco PCA へのアクセスに関するアカウントの原則の定義」を参照してください。

ベスト プラクティス:ブラウザにセキュリティ警告が表示されないようにする

組織で SSL を使用するように Cisco Unity を設定した場合、証明書をグループ ポリシーに追加してドメイン内の全ユーザの信頼されたルート ストアに証明書を配布していないとき、またはユーザに対して、各自のコンピュータ上の信頼されたルート ストアに証明書を追加する方法を通知していないときは、ユーザが、Cisco PCA にアクセスするたびに表示されるセキュリティ警告について疑問を抱く場合があります。警告を無視して Cisco PCA を使用してもよいこと、無視してもコンピュータやネットワークに対する悪影響は一切ないことをユーザに伝えます。

ブラウザにセキュリティ警告が表示されないようにするには、「信頼されたルート ストアへのルート証明書の配布」を参照してください。

拡張電話セキュリティを提供するかどうかの決定

ユーザが Cisco Unity カンバセーション(つまり TUI)にアクセスするときに、2 ファクタ ユーザ認証と呼ばれる業界標準の安全なログオン方式を必ず使用するように Cisco Unity を設定できます。Cisco Unity は、この方式の拡張電話セキュリティを RSA SecurID システムを利用して提供します。

RSA SecurID システムは、RSA SecurID オーセンティケータ、RSA ACE/Server、および RSA ACE/Agent という 3 つの主要コンポーネントで構成されます。

RSA SecurID システムを使用する場合、各 Cisco Unity ユーザに RSA SecurID オーセンティケータが割り当てられます(RSA では、ハードウェア、ソフトウェア、およびスマート カードの形式でオーセンティケータが提供されます)。オーセンティケータは、各ユーザ固有の予測不能な数値(セキュア ID またはトークンコードと呼ばれます)を 60 秒ごとに新しく生成し、表示します。オーセンティケータを所持する各ユーザは、ACE/Server 上にユーザ アカウントを持っている必要があります。ユーザ アカウントには、RSA のエイリアスと PIN、およびユーザ オーセンティケータに関する情報が保持されます。ACE/Server は、ユーザ アカウントの情報を使用して、ユーザ オーセンティケータと同じセキュア ID を生成します。

ユーザは、Cisco Unity に電話でログオンする場合、通常と同様に各自の Cisco Unity ID (通常は内線番号)を入力します。次に、パスワードの代わりにパスコードを入力します。このコードは、ユーザの PIN と、ユーザのオーセンティケータに表示されるセキュア ID を組み合せたものです。Cisco Unity は、この ID を使用してユーザの RSA エイリアスを検索し、Cisco Unity サーバにインストールされた ACE/Agent に RSA エイリアスとパスコードを送信します。ACE/Agent は、RSA エイリアスとパスコードを暗号化して ACE/Server に送信します。ACE/Server は、ユーザ アカウントを検索し、アカウントに格納されている情報を使用してパスコードを検証します。次に、ACE/Server がコードを ACE/Agent に返し、ACE/Agent はそのコードを Cisco Unity に送信します。 表8-5 に、戻りコードの意味を示します。

 

表8-5 ACE/Server の戻りコード

戻りコード
意味

Passcode accepted

Cisco Unity はユーザのログオンを許可します。

Access denied

Cisco Unity は、ユーザに対してパスコードの再入力を求めます(この戻りコードは、ACE/Server が使用不能であることを示している可能性もあります)。

Secure ID expired

Cisco Unity は、ユーザに対して、オーセンティケータに表示される次のセキュア ID を入力するように求めます。

New PIN needed

Cisco Unity は、ユーザに対して新しい PIN の入力を求めます。

ユーザに事前に PIN が割り当てられていない限り、ユーザが初めて Cisco Unity に電話でログオンするときは、パスコードではなくセキュア ID を入力する必要があります(RSA Database Administrator で PIN がクリアされた後に、ユーザが Cisco Unity にログオンする場合も同様です)。カンバセーションでは、新しい PIN の作成プロセスがユーザに案内されます。

拡張電話セキュリティを使用するための Cisco Unity カンバセーションの設定

拡張電話セキュリティを使用するように Cisco Unity カンバセーションを設定するには、まず ACE/Server サーバをインストールし、サイトの Cisco Unity サーバと通信するように設定します。次に、該当するユーザを拡張電話セキュリティが提供されるサービス クラスに割り当てる必要があります。設定プロセスの実行中に、Cisco Unity サーバを再起動する必要があります。

任意のタイミングで、次の手順を実行します。ACE/Server がすでにインストールされ、設定されている場合は、該当しない手順をスキップします。ACE/Server と ACE/Agent の設定、およびユーザ アカウントの作成と保守については、RSA のドキュメントを参照してください。


Cisco Unity のグリーティング管理者を使用するユーザは、RSA SecurID システムを使用できません。


拡張電話セキュリティを使用するように Cisco Unity を設定する


ステップ 1 ACE/Server をインストールし、設定します。Local Access Authentication(Client)コンポーネントと Control Panel Applet コンポーネントだけをインストールします。Web Access Authentication(Server)コンポーネントはインストールしないでください。

ステップ 2 ACE/Server 上で RSA Database Administrator プログラムを使用して、必要なユーザ アカウントを作成します。

PIN 割り当ての設定値を指定するときは、ユーザ作成 PIN だけを指定します。Cisco Unity では、システム生成 PIN をサポートしていません。

ステップ 3 Cisco Unity 上で、拡張電話セキュリティを使用するユーザ全員が含まれたグループを作成します。

ステップ 4 拡張電話セキュリティを使用する Cisco Unity サーバごとに、Agent Host を作成します(フェールオーバーを使用する場合は、プライマリとセカンダリの両方のサーバで必須)。

ステップ 5 [Communications Server] を[Agent Host]タイプとして指定します。

ステップ 6 新しいクライアントの[Group Activation]セクションに、ステップ 3 で作成したグループを追加します。

ステップ 7 Cisco Unity サーバ上で、ACE/Agent をインストールし、ACE/Server 上に作成した Agent Host と連携するように設定します。

ステップ 8 ACE/Agent Test Authentication ユーティリティを使用して、ACE/Server でユーザの認証を受けます。このテスト プログラムを使用してユーザを認証できない場合は、ACE のクライアントとサーバ間で発生している接続の問題を解決します。フェールオーバーを使用する場合は、手動でフェールオーバー状態にして、その状態でもテストを実施します。

ステップ 9 Cisco Unity システム管理で、 [システム] >[コンフィギュレーション] >[設定] ページに移動し、 [RSA RSA 2 ファクター] チェックボックスをオンにします。

ステップ 10 Cisco Unity システム管理 からログオフします。

ステップ 11 Cisco Unity サーバを終了し、再起動します。

ステップ 12 Cisco Unity システム管理で、拡張電話セキュリティを使用するユーザに対して、新しいサービス クラス(COS)を作成するか、既存の COS を変更します。

ステップ 13 該当する COS の[ユーザ] >[サービス クラス] >[プロファイル]ページで、[電話セキュリティ]セクションの [拡張セキュリティ (RSA Two Factor)] をクリックします。

ステップ 14 ユーザを拡張電話セキュリティの COS に割り当てます。

ステップ 15 ユーザの RSA エイリアスがユーザの Exchange エイリアスと異なる場合は、ユーザの[プロファイル]ページに移動し、RSA エイリアスを[拡張セキュリティ ユーザ エイリアス]ボックスに入力します。

ステップ 16 必要に応じて、サイトの Cisco Unity サーバごとにステップ 7ステップ 11 を繰り返します。

ステップ 17 必要なユーザに RSA オーセンティケータを配布します。