Cisco Unity Express ボイスメールおよび自動受付 CLI アドミニストレータ ガイド(3.0 およびそれ以降 のバージョン)
認証、許可、およびアカウンティングの設定
認証、許可、およびアカウンティングの設定
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

認証、許可、およびアカウンティングの設定

概要

アカウンティング サーバの設定

AAA アカウンティング設定の指定

認証サーバの設定

AAA 認証設定の指定

AAA ポリシーの設定

認証フェールオーバー

到達不能フェールオーバー

認証および許可の動作を制御するポリシーの指定

特権の設定

設定例

特権の作成とカスタマイズ

アカウンティング イベント ログの設定

アカウンティング イベント ログの設定

コンソール認証の設定

コンソール接続を認証に依存させるかどうかの指定

認証、許可、およびアカウンティングの設定

この章では、次の手順について説明します。

「アカウンティング サーバの設定」

「認証サーバの設定」

「AAA ポリシーの設定」

「特権の設定」

「アカウンティング イベント ログの設定」

「コンソール認証の設定」

概要

リリース 7.0 では、Authentication, Authorization, and Accounting(AAA; 認証、許可、およびアカウンティング)に関する一連の新しい機能が提供されています。これらの機能は、事前定義済みの特権をグループに割り当てることによって制限付きのサービスにアクセス可能なユーザを決定する機能など、以前のリリースで利用できるようになった認証および許可の機能を強化したものです。

リリース 7.0 では、新しい特権の作成および既存の特権のカスタマイズを行ってから、以前のリリースで行った方法と同じように、それらの特権をグループに割り当てることができます。

さらに、リリース 7.0 には次の新しい AAA 機能も含まれています。

AAA アカウンティング情報のログを記録する機能。この機能を使用すると、設定の変更内容の監査、セキュリティの維持、リソースの正確な割り当て、およびリソースの使用についての請求先の特定を簡単に行うことができます。

認証用にリモート RADIUS サーバを使用する機能。

アカウンティング サーバおよび認証サーバ用にフェールオーバー機能を設定する機能。

AAA 機能を設定するには、次の手順を使用します。

「アカウンティング サーバの設定」

「認証サーバの設定」

「AAA ポリシーの設定」

「特権の設定」

「アカウンティング イベント ログの設定」

「コンソール認証の設定」

アカウンティング サーバの設定

AAA アカウンティング サーバは、最大で 2 つ設定できます。アカウンティング サーバを 2 つ設定すると、自動フェールオーバー機能を使用できます。この機能を使用すると、1 番目のサーバが到達不能な場合、アカウンティング情報は 2 番目のサーバに送信されます。両方のアカウンティング サーバが到達不能な場合は、どちらかのサーバが使用可能になるまで、アカウンティング レコードがキャッシュされます。キャッシュがフルになる前にどちらのサーバにも到達できない場合は、新しいパケット用の空き領域を確保するために、最も古いアカウンティング パケットが削除されます。

AAA アカウンティング サーバの設定は AAA 認証サーバとは完全に独立しているため、AAA アカウンティング サーバは、AAA 認証サーバと同じマシンにも別のマシンにも設定できます。

syslog サーバを使用している場合は AAA の設定による影響がないため、既存のユーザ インターフェイスが引き続き使用されます。RADIUS サーバが AAA アカウンティング情報を syslog サーバに送信すると、そのアカウント情報が単一の文字列に正規化されてから記録されます。syslog サーバが定義されていない場合、AAA アカウンティング ログは Cisco Unity Express 上でローカルに実行されている syslog サーバによって記録されます。

アカウンティング サーバには、サーバへのログインに使用する次の情報を設定できます。

サーバの IP アドレスまたは DNS 名

使用するポート番号

暗号化共有秘密およびセキュリティ資格

ログインの再試行回数

ログイン タイムアウトの長さ


) サポート対象は RADIUS サーバだけです。


AAA アカウンティング設定の指定

概略手順

1. config t

2. aaa accounting server remote

3. address address [ port port] secret secret

4. address address [ port port] credentials hidden cred

5. retries number

6. timeout seconds

7. end

8. show aaa accounting service

詳細手順

 

 
コマンドまたは操作
目的

ステップ 1

config t

 

se-10-0-0-0# config t

設定モードを開始します。

ステップ 2

aaa accounting server remote

 

se-10-0-0-0(config)# aaa accounting server remote

AAA アカウンティング サブモードを開始して、AAA アカウンティング サーバを設定できるようにします。

ステップ 3

address address [ port port] secret secret

 

se-10-0-0-0(config)# address 10.2.2.10 prt 1808 secret ezsecret

AAA アカウンティング サーバのアクセス パラメータを定義します。

ステップ 4

address address [ port port] credentials hidden cred

 

se-10-0-0-0(config)# address 10.2.2.10 port 1808 credentials hidden "EugxIjn3MbL3WgUZUdUb90nfGW
TYHfmPSd8ZZNgd+Y9J3xlk2B35j0nfGWTYHfmPSd8ZZNgd+Y9J3xlk2B35j0nfGWTYHfmPSd8ZZNgd+Y9J3xlk2B35j0nfGWTYHfmP"

AAA アカウンティング サーバのアクセス パラメータを定義します。

ステップ 5

retries number

 

se-10-0-0-0(config)# retries 6

アカウンティング要求が失敗するまでに AAA アカウンティング要求を再試行する最大回数を指定します。

ステップ 6

timeout seconds

 

se-10-0-0-0(config)# timeout 24

AAA アカウンティング要求に対する応答がないと見なすまでの待機時間を指定します。

ステップ 7

end

 

se-10-0-0-0(config)# end

特権 EXEC モードに戻ります。

ステップ 8

show aaa accounting service

 
se-10-0-0-0# show aaa accounting service

(オプション)AAA アカウンティング サーバの設定を表示します。

show aaa accounting service コマンドのサンプル出力を次に示します。

se-10-0-0-0# show aaa accounting service
AAA Accounting Service Configuration
Accounting: Enabled
Address: 192.168.1.101 Port: 1813 Credentials: EugxIjn3MbL3WgUZUdUb90nfGWTYHfmPSd8ZZNgd+Y9J3xlk2B35j0nfGWTYHfmPSd8ZZNgd+Y9J3xlk2B35j0nfGWTYHfmPSd8ZZNgd+Y9J3xlk2B35j0nfGWTYHfmP
Address: 192.168.1.100 Port: 1813 Credentials: EugxIjn3MbL3WgUZUdUb90nfGWTYHfmPSd8ZZNgd+Y9J3xlk2B35j0nfGWTYHfmPSd8ZZNgd+Y9J3xlk2B35j0nfGWTYHfmPSd8ZZNgd+Y9J3xlk2B35j0nfGWTYHfmP
Timeout: 5 (sec)
Retries: 3
 

認証サーバの設定

AAA 認証の設定手順には、次の 2 つがあります。

AAA 認証サーバの接続パラメータを設定する

認証サーバとローカル認証データベースのどちらに対して先にクエリーを実行するかを設定する

この項では、1 つ目の手順だけを説明します。2 つ目の手順については、「AAA ポリシーの設定」で説明します。

AAA 認証サーバには、サーバへのログインに使用する次の情報を設定できます。

サーバの IP アドレスまたは DNS 名

使用するポート番号

暗号化共有秘密およびセキュリティ資格

ログインの再試行回数

ログイン タイムアウトの長さ


) RADIUS サーバの暗号化情報の保護を促進するには、実行コンフィギュレーションを表示して、この情報を確認する必要があります。


AAA 認証設定の指定

概略手順

1. config t

2. aaa authentication server remote

3. address address [ port port] secret secret

4. address address [ port port] credentials hidden cred

5. retries number

6. timeout seconds

7. end

詳細手順

 

 
コマンドまたは操作
目的

ステップ 1

config t

 

se-10-0-0-0# config t

設定モードを開始します。

ステップ 2

aaa authentication server remote

 

se-10-0-0-0(config)# aaa authentication server remote

AAA 認証サブモードを開始して、AAA 認証サーバを設定できるようにします。

ステップ 3

address address [ port port] secret secret

 

se-10-0-0-0(config)# address 10.2.2.10 port 1808 secret ezsecret

AAA 認証サーバのアクセス パラメータを定義します。

ステップ 4

address address [ port port] credentials hidden cred

 

se-10-0-0-0(config)# address 10.2.2.10 port 1808 credentials hidden "EugxIjn3MbL3WgUZUdUb90nfGW
TYHfmPSd8ZZNgd+Y9J3xlk2B35j0nfGWTYHfmPSd8ZZNgd+Y9J3xlk2B35j0nfGWTYHfmPSd8ZZNgd+Y9J3xlk2B35j0nfGWTYHfmP"

AAA 認証サーバのアクセス パラメータを定義します。

ステップ 5

retries number

 

se-10-0-0-0(config)# retries 6

認証要求が失敗するまでに AAA 認証要求を再試行する最大回数を指定します。

ステップ 6

timeout seconds

 

se-10-0-0-0(config)# timeout 24

AAA 認証要求に対する応答がないと見なすまでの待機時間を指定します。

ステップ 7

end

 

se-10-0-0-0(config)# end

特権 EXEC モードに戻ります。

AAA ポリシーの設定

AAA ポリシーでは、認証サーバのオプションとして設定できるフェールオーバー機能を指定します。フェールオーバー機能は、次の 2 つのタイプから選択できます。

認証フェールオーバー

到達不能フェールオーバー

これらのフェールオーバー方法を組み合せて使用することもできます。

認証フェールオーバー

認証フェールオーバー機能を使用すると、ローカル データベース用に加え、ユーザ ログイン認証用として、リモート RADIUS サーバを必要に応じて使用できるようになります。この項の手順では、認証を解決する順序を設定します。認証は、次のように設定できます。

ローカル データベースだけを使用する

リモート サーバだけを使用する

ローカル データベース、リモート サーバの順に使用する

リモート サーバ、ローカル データベースの順に使用する

ローカル認証とリモート認証の両方を使用する場合は、リモート RADIUS AAA サーバから取得したユーザ属性をローカル ユーザ データベースにある同じユーザ名の属性とマージするかどうかを設定することもできます。


) 認証フェールオーバー機能には、次の制限があります。

RADIUS サーバによる認証は、GUI または CLI インターフェイスにアクセスする場合に限り使用できます。この認証では、ユーザ ID とパスワードだけが必要です。TUI、VVE、AvT、および IMAP インターフェイスの認証では、ローカル データベースしか使用できません。したがって、アクセスを取得するには、TUI、VVE、AvT、および IMAP インターフェイスのユーザをローカルに設定する必要があります。自動受付インターフェイスはユーザに依存しないため、認証は必要ありません。

ローカル システムとリモート サーバの間では、ログイン情報は同期されません。セキュリティ機能(パスワードの有効期限など)は、Cisco Unity Express と RADIUS サーバ用に個別に設定する必要があります。また、RADIUS サーバでセキュリティ イベント(パスワードの期限切れ、アカウント ロックアウトなど)が発生しても、Cisco Unity Express ユーザに対してプロンプトは表示されません。逆の場合も同様です。


 

到達不能フェールオーバー

到達不能フェールオーバーは、RADIUS サーバだけで使用されます。この機能を使用すると、RADIUS サーバへのアクセスに使用できるアドレスを最大で 2 つ設定できるようになります。

Cisco Unity Express が RADIUS サーバを使用してユーザの認証を試行するとき、次の場合に通知メッセージがユーザに送信されます。

RADIUS サーバに到達できない

RADIUS サーバでユーザの認証に失敗した

この例の認証は、まずリモート サーバによって実行され、次にローカル データベースによって実行されます。また、リモート RADIUS サーバには、アドレスが 2 つ設定されています。

この例は、認証時に実行される可能性があるイベント シーケンスです。

1. Cisco Unity Express は、1 番目のリモート RADIUS サーバへの接続を試行します。

2. 1 番目の RADIUS サーバが応答しない場合、またはユーザの認証資格を受け入れない場合、Cisco Unity Express は 2 番目のリモート RADIUS サーバへの接続を試行します。

3. 2 番目の RADIUS サーバが応答しない場合、またはユーザの認証資格を受け入れない場合、ユーザは対応するエラー メッセージを受け取り、Cisco Unity Express はローカル データベースへの接続を試行します。

4. ローカル データベースがユーザの認証資格を受け入れない場合、ユーザはエラー メッセージを受け取ります。

認証および許可の動作を制御するポリシーの指定

概略手順

1. config t

2. aaa policy system

3. authentication-order {remote [local] | local [remote]}

4. authorization merge-attributes

5. end

6. show aaa policy

詳細手順

 

 
コマンドまたは操作
目的

ステップ 1

config t

 

se-10-0-0-0# config t

設定モードを開始します。

ステップ 2

aaa policy system

 

se-10-0-0-0(config)# aaa policy system

AAA 認証サブモードを開始して、認証および許可の動作を制御するポリシーを指定できるようにします。

ステップ 3

authentication-order { remote [ local ]| local [ remote ]}

 

se-10-0-0-0(config)# authentication-order remote local

認証サーバとローカル認証データベースに対してクエリーを実行する順序を指定します。

ステップ 4

authorization merge-attributes

 

se-10-0-0-0(config)# authentication-order remote local

リモート RADIUS AAA サーバから取得したユーザ属性をローカル ユーザ データベースにある同じユーザ名の属性とマージするかどうかを指定します。

ステップ 5

end

 

se-10-0-0-0(config)# end

特権 EXEC モードに戻ります。

ステップ 6

show aaa accounting policy

 
se-10-0-0-0# show aaa policy

(オプション)AAA ポリシー設定を表示します。

show aaa policy コマンドのサンプル出力を次に示します。

se-10-0-0-0# show aaa policy
authentication-order local
merge-attributes enable
preferred-server remote

特権の設定

Cisco Unity Express ソフトウェアには、グループへの割り当てが可能な事前定義済みの特権がいくつか用意されています。7.0 以降では、独自の特権を作成したり、事前定義済みの特権を変更したりすることもできます。

特権をグループに割り当てると、そのグループのすべてのメンバーに特権が付与されます。Administrator グループは、ソフトウェア初期化プロセスにより、管理者として指定されたインポート済みユーザから自動的に作成されます。

特権の作成または変更を行う場合は、その特権によって許可された操作を追加または削除します。操作には、許可する CLI コマンドと GUI 機能を定義します。特権に操作を追加することに加え、特権を別の特権の入れ子として設定することもできます。入れ子にされた特権を使用して設定された特権には、入れ子にされた特権用に設定された操作がすべて含まれます。

計画プロセスの一環として、次の項目について決定する必要があります。

会社用に作成するユーザ特権のカテゴリ数

ユーザが各特権を使用して実行できる機能

ユーザに付与する特権を決定したら、次の手順を実行します。

1. 事前定義済みの特権を調べて、それらの中に各カテゴリのユーザに付与しようとしている権限と同じようなものがあるかどうかを確認します。

2. 各カテゴリのユーザが実行できる操作を指定することによって、各カテゴリに対して個別の特権を設定します。必要に応じて、事前定義済みの特権を使用します(特権の作成とカスタマイズを参照)。

3. 各カテゴリのユーザ特権用にグループを作成して、各ユーザ グループに適切な特権を割り当てます( グループの追加と変更を参照)。

4. ユーザを適切なグループに追加します。


ヒント 各手順で使用するコマンドの例については、「設定例」を参照してください。



) Superuser 特権は変更できません。


表 9 に、Cisco Unity Express ソフトウェアに用意されている事前定義済みの特権と、それらに関連付けられている操作を示します。 表 10 に、特権に追加できる使用可能なすべての操作を示します。


) 7.0 では、manage-users と manage-passwords の 2 つの新しい権限が追加されました。


特権リストを表示するには、Cisco Unity Express EXEC モードで show privileges コマンドを使用します。特定の特権の詳細情報を表示するには、 show privilege detail コマンドを使用します。


) ユーザ独自のデータにアクセスする際には、特権は不要です。ユーザのデータは、主にボイスメール アプリケーションに関連付けられます。このデータには、次のユーザ情報が含まれます。

言語(ユーザのボイスメールボックス用に設定されます)

パスワード

PIN

ユーザが所有するグループへのメンバーシップ

ユーザが所有するグループの所有権

通知プロファイル

カスケード設定

個人用ボイスメールのゼロアウト番号

ボイスメールのグリーティング タイプ

ボイスメールの再生チュートリアル フラグ

ユーザが所有するパブリック同報リスト

プライベート同報リスト


 

 

表 9 特権

特権
説明
操作

Superuser

無制限のシステム アクセスが付与されます。

すべて

Manageprompts

この特権を持つユーザは、AvT プロンプト管理にアクセスできますが、その他の管理機能にはアクセスできません。

prompt.modify、system.debug

Broadcast

この特権を持つユーザは、ネットワーク全体にブロードキャスト メッセージを送信できます。

broadcast.local、broadcast.remote、system.debug

Local-Broadcast

この特権を持つユーザは、ローカル ネットワーク上のユーザだけにブロードキャスト メッセージを送信できます。

broadcast.local、system.debug

ManagePublicList

この特権を持つユーザは、パブリック同報リストを作成および変更できます。

voicemail.lists.public、system.debug

ViewPrivateList

この特権を持つユーザは、別のユーザのプライベート同報リストを参照できます。ただし、そのプライベート リストは変更または削除できません。

voicemail.lists.private.view

Vm-Imap

この特権を持つユーザは、IMAP 機能にアクセスできます。

voicemail.imap.user

ViewHistorical
Reports

この特権を持つユーザは、履歴レポートを参照できます。

report.historical

ViewRealTime
Reports

この特権を持つユーザは、リアルタイム レポートを参照できます。

report.realtime

manage-users

この特権を持つユーザは、ユーザの作成、変更、および削除を実行できます。

user.configuration、user.pin、user.password、user.mailbox、user.notification、user.remote、group.configuration、system.debug

manage-passwords

この特権を持つユーザは、ユーザ パスワードおよび PIN の作成、変更、および削除を実行できます。

user.pin、user.password、system.debug

 

表 10 操作

操作
説明

broadcast.local

ブロードキャスト メッセージを作成して、ローカル ロケーションに送信します。ブロードキャスト メッセージの削除またはスケジュール変更を行います。

broadcast.remote

ブロードキャスト メッセージを作成して、リモート ロケーションおよびローカル ロケーションに送信します。

call.control

Cisco Unified CME(SIP)および Cisco Unified Communications Manager(JTAPI)を設定します。

group.configuration

グループの作成、変更、および削除を行います。

network.location

ネットワーク ロケーション、ネットワーク ロケーションのキャッシング、および NDR/DDR 設定の作成、変更、および削除を行います。

prompt.modify

AA スクリプト用のシステム プロンプトの作成、変更、および削除を行います。また、CLI のプロンプトのアップロードおよびダウンロードも行います。

report.historical.manage

履歴レポートの設定および生成を行います。また、 copy コマンドを使用して、Cisco Unity Express からデータを収集します。

report.historical.view

履歴レポートを表示します。

report.realtime

リアルタイム レポートの実行および表示を行います。

report.voicemail

ボイスメール レポートの実行および表示を行います。

restriction.tables

規制テーブルの作成、変更、および削除を行います。

script.modify

システム AA スクリプトの作成、変更、および削除を行います。また、CLI および Editor Express のスクリプトのアップロードおよびダウンロードも行います。

security.aaa

AAA サービス設定の設定および表示を行います。

security.access

暗号キーの定義など、データの暗号化に関するシステム レベルのセキュリティを設定します。

(注) また、システムをリロードするための権限の設定も行います。

security.configuration

システムのパスワード/PIN および次のポリシーに関する設定を行います。

有効期限

ロックアウト(一時的および無期限)

履歴

長さ

services.configuration

システム サービス(DNS、NTP クロック、SMTP、SNMP、ファックス ゲートウェイ、Cisco UMG、ホスト名、ドメイン、インターフェイス(カウンタ)、およびシステム デフォルト言語)を設定します。

(注) また、システムをリロードするための権限の設定も行います。

services.manage

DNS キャッシュや ping の消去など、設定に関連しないシステム レベルのサービス コマンド。

site.configuration

Cisco UMG で使用するサイトの作成、変更、または削除を行います。

software.install

システム ソフトウェアまたはアドオン(言語やライセンスなど)のインストール、アップグレード、または検証を行います。

(注) また、システムをリロードするための権限の設定も行います。

spokenname.modify

リモート ロケーション、リモート ユーザ、およびパブリック同報リストの音声名の作成、変更、および削除を行います。また、音声名のコピーも行います。

system.application

システム アプリケーション(ボイスメール、自動受付、プロンプト管理など)の設定を行います。

system.backup

バックアップを設定します。

system.calendar

システムのスケジュールおよび休日の作成、変更、および削除を行います。

system.debug

トレース データおよびデバッグ データの収集および設定を行います。コア ファイルやログ ファイルなどのデータのコピーも行います。

system.documents

TIFF ドキュメント、汎用ドキュメント、およびテンプレート ドキュメントを管理します。

system.numbers

ボイスメール、AA、AvT、および IVR のコールイン番号の作成、変更、および削除を行います。SIP トリガー、JTAPI トリガー、および HTTP トリガーに対する各操作も行います。

system.sessions

他のユーザのボイスメール セッション(VVE、SIP、または JTAPI)を終了します。また、ロックされたメールボックスをロック解除します。

system.view

システムの設定を表示します。

user.configuration

ユーザおよびグループの作成、変更、および削除を行います。次の各項目の設定も行います。

名および姓

ニックネーム

表示名

言語

user.mailbox

ユーザまたはグループのボイスメールボックスの作成、変更、および削除を行います。

user.notification

他のユーザの通知プロファイルおよびカスケード プロファイルの設定または変更を行います。

user.password

他のユーザのパスワードの作成、設定、または削除を行います。

user.pin

他のユーザの PIN の作成、設定、または削除を行います。

user.remote

リモート ユーザの作成、変更、および削除を行います。

voicemail.configuration

次のシステム レベルのボイスメール機能を設定します。

メールボックス

ファックス

通知およびカスケード

ユーザ以外のオプション

ブロードキャスト

TUI 設定

ライブ レコード

Live Reply

IMAP

VVE

voicemail.imap.user

IMAP クライアントを介して、個人用ボイスメールを管理します。

voicemail.mwi

電話機のメッセージ ウェイティング インジケータのリセットおよび更新を行います。SIP MWI 配信を設定します。

voicemail.lists.private

他のユーザのプライベート ボイスメール リストの作成、変更、および削除を行います。

voicemail.lists.public

パブリック ボイスメール同報リストの作成、変更、および削除を行います。

voicemail.lists.private.view

(GUI に限る)他のユーザのプライベート ボイスメール リストを表示します。

webapp.modify

Web アプリケーションを Cisco Unity Express 上に展開します。

webapp.control

Web アプリケーションの起動、停止、または再起動を行います。

設定例

この例では、ある会社が 2 つのレベルのセキュリティ管理を使用したセキュリティ構成を必要としているとします。レベルを 2 つにすることにより、管理者は次の操作を実行できます。

1 つ目のレベルでは、ユーザが自分のパスワードを忘れた場合や、何度もログイン試行に失敗したことによりアカウントがロックされた場合でも、セキュリティ管理者は、システムによってロックされたユーザのパスワードおよび PIN をリセットできます。このレベルをパスワード リセットと呼びます。

2 つ目のレベルでは、セキュリティ管理者は次の操作を行うことにより、システム保護者としての役割を果たすことができます。

パスワード エージング、アカウント ロックアウト、暗号化、認証、許可、およびアカウンティングなどの問題に対して適切なセキュリティ ポリシーを実装する

セキュリティ関連の詳細事項やタスクに伴う負荷がエンド ユーザにかかりすぎないようにしながら、ボイスメール メッセージやその他のデータを攻撃者から保護する

正規のユーザだけがアクセスできるようにシステムを監視する

正規のユーザが抱えている、システムへのアクセスに伴う問題のトラブルシューティングを行う

ユーザが自分のパスワードを忘れた場合や、何度もログイン試行に失敗したことによりアカウントがロックされた場合に、システムによってロックされたユーザのパスワードおよび PIN をリセットする

このレベルをシステム保護と呼びます。

「特権の設定」で説明した一般的な計画手順と設定手順を利用する場合に、この例のセキュリティ管理レベルを設定すると、次のような結果になります。

次の各項目が決定されます。

会社用に作成するユーザ特権のレベル数またはカテゴリ数

ユーザが各特権を使用して実行できる機能

上記のように、パスワード リセットとシステム保護と呼ばれる 2 つのレベルが生成されます。

事前定義済みの特権を調べて、それらの中に各セキュリティ レベルに付与しようとしている権限と同じようなものがあるかどうかを確認すると、次のことがわかります。

manage-passwords という名前の事前定義済みの特権は、システムによってロックされたユーザを救済するのに必要な権限をすべて備えているため、パスワード リセットという名前のセキュリティ レベル用に使用できます。

また、 manage-passwords 特権は、システム保護という名前のセキュリティ レベルに必要な権限のサブセットを備えている、ユーザの要件に最も合致した事前定義済みの特権です。ただし、システム保護者としての役割を果たすには、追加の操作として security.access security.aaa security.password security.pi n、 system.debug 、および system.view を含める必要があります。詳細については、表 10を参照してください。

事前定義済みの特権 manage-passwords を含めて、前述の操作を追加することにより、システム保護セキュリティ レベル用の特権を設定するには、次のコマンドを使用します。

se-10-0-0-0(config)# privilege guardian-privilege create
se-10-0-0-0(config)# privilege guardian-privilege member manage-passwords
se-10-0-0-0(config)# privilege guardian-privilege operation security.access
se-10-0-0-0(config)# privilege guardian-privilege operation security.aaa
se-10-0-0-0(config)# privilege guardian-privilege operation security.password
se-10-0-0-0(config)# privilege guardian-privilege operation security.pin
se-10-0-0-0(config)# privilege guardian-privilege operation system.debug
se-10-0-0-0(config)# privilege guardian-privilege operation system.view

) 事前定義済みの特権 manage-passwords を使用できるので、パスワード リセット セキュリティ レベル用の特権を設定する必要はありません。


password-reset という名前の新しいグループを作成して、 manage-passwords という名前の特権をそのグループに割り当てるには、次のコマンドを使用します。

se-10-0-0-0(config)# groupname password-reset create
se-10-0-0-0(config)# groupname password-reset privilege manage-passwords
 

system-guardian という名前の新しいグループを作成して、 guardian-privilege という名前の特権を割り当てるには、次のコマンドを使用します。

se-10-0-0-0(config)# groupname system-guardian create
se-10-0-0-0(config)# groupname system-guardian privilege guardian-privilege
 

新しいグループに適切なユーザを割り当てて、そのユーザにロールを関連付けます。たとえば、Bob と Ned にパスワード リセット セキュリティ管理レベルの特権を付与し、Ann にシステム保護セキュリティ管理レベルの特権を付与する場合、次のコマンドを使用します。

se-10-0-0-0(config)# groupname password-reset member bob
se-10-0-0-0(config)# groupname password-reset member ned
se-10-0-0-0(config)# groupname system-guardian member ann
 

これで、この例の設定は完了です。次のコマンドで設定を確認できます。

show group detail groupname password-reset expanded コマンドのサンプル出力を次に示します。

se-10-0-0-0# show group detail groupname password-reset expanded
Groupname: password-reset
Full Name: password-reset
Description:
Email:
Epage:
 
Group Members: <none>
User Members: bob ned
Group Owners: <none>
User Owners: <none>
Privileges: manage-passwords
 

show group detail groupname system-guardian expanded コマンドのサンプル出力を次に示します。

se-10-0-0-0# show group detail groupname system-guardian expanded
Groupname: system-guardian
Full Name: system-guardian
Description:
Email:
Epage:
 
Group Members: <none>
User Members: ann
Group Owners: <none>
User Owners: <none>
Privileges: guardian-privilege
 

show privilege detail manage-passwords expanded コマンドのサンプル出力を次に示します。

se-10-0-0-0# show privilege detail manage-passwords expanded
Privilege: manage-passwords
Description: Privilege to reset user passwords
 
Privilege Members: <none>
Operations: system.debug user.password user.pin
 

show privilege detail guardian-privilege expanded コマンドのサンプル出力を次に示します。

se-10-0-0-0# show privilege detail guardian-privilege expanded
Privilege: guardian-privilege
Description:
 
Privilege Members: manage-passwords
Operations: security.aaa security.access security.password security.pin
system.debug system.view
manage-passwords:system.debug user.password user.pin

特権の作成とカスタマイズ

概略手順

1. config t

2. privilege privilege-name create

3. privilege privilege-name description string

4. privilege privilege-name operation operation-name

5. privilege privilege-name member privilege-name2

6. end

7. show operations

8. show operation detail operation-name

9. show privileges

10. show privilege detail privilege-name

詳細手順

 

 
コマンドまたは操作
目的

ステップ 1

config t

 

se-10-0-0-0# config t

設定モードを開始します。

ステップ 2

privilege privilege-name create

 

se-10-0-0-0(config)# privilege security-privilege create

新しい特権を作成します。

privilege-name :新規または既存の特権の識別および設定に使用するラベル

ステップ 3

privilege privilege-name [ description string ]

 

se-10-0-0-0(config)# privilege security-privilege description administer of system security

(オプション)特権に説明を割り当てます。

string :特権に追加する説明。

ステップ 4

privilege privilege-name operation operation-name

 

se-10-0-0-0(config)# privilege security-privilege operation security.configuration

(オプション)特権に操作を割り当てます。

operation-name :特権に関連付ける操作。

ステップ 5

privilege privilege-name member privilege-name2

 

se-10-0-0-0(config)# privilege security-privilege include manage-users

(オプション)この特権に別の特権を含めます(入れ子にします)。

privilege-name2 :この特権に含める(入れ子にする)特権。

ステップ 6

end

 

se-10-0-0-0(config)# end

特権 EXEC モードに戻ります。

ステップ 7

show operations

 
se-10-0-0-0# show operations

(オプション)すべての操作に関する情報を表示します。

ステップ 8

show operation detail operation-name

 
se-10-0-0-0# show operation detail security.configuration

(オプション)指定した操作に関する情報を表示します。

operation-name :新規または既存の操作の識別および設定に使用するラベル

ステップ 9

show privileges

 
se-10-0-0-0# show privilege

(オプション)すべての特権に関する情報を表示します。

ステップ 10

show privilege detail privilege-name

 
se-10-0-0-0# show privilege detail sales_vp

(オプション)指定した特権に関する情報を表示します。

privilege-name :新規または既存の特権の識別および設定に使用するラベル

show operations コマンドのサンプル出力を次に示します。

se-10-0-0-0# show operations
show operations
broadcast.local
broadcast.remote
call.control
database.enterprise
group.configuration
network.location
prompt.modify
report.historical.manage
report.historical.view
report.realtime
report.voicemail
restriction.tables
script.modify
security.aaa
security.access
security.password
security.pin
services.configuration
services.exec
services.manage
site.configuration
software.install
spokenname.modify
system.application
system.backup
system.calendar
system.configuration
system.debug
system.documents
system.numbers
system.sessions
system.view
user.configuration
user.mailbox
user.notification
user.password
user.pin
user.remote
user.supervisor
voicemail.configuration
voicemail.imap.user
voicemail.lists.private.view
voicemail.lists.public
voicemail.mwi
webapp.control
webapp.modify
 
46 total operation(s)
 
 

show operation detail コマンドのサンプル出力を次に示します。

se-10-0-0-0# show operation detail user.password
Operation: user.password
Description: Set and reset passwords for other users
CLI:
config-user-password
exec-configure-terminal
exec-copy-running-config-startup-config
exec-show-user-auth
exec-user-password
exec-write
 
6 total command(s)
 

show privileges コマンドのサンプル出力を次に示します。

se-10-0-0-0# show privileges
ManagePrompt
ManagePublicList
ViewHistoricalReports
ViewPrivateList
ViewRealTimeReports
broadcast
local-broadcast
manage-password
manage-users
superuser
vm-imap
 
11 total privilege(s)
 
 

show privilege detail コマンドのサンプル出力を次に示します。

se-10-0-0-0# show privilege detail ManagePrompt
Privilege: ManagePrompt
Description: Privilege to create, modify, or delete system prompts
Privilege Members: user1, user2
Operations: prompt.modify system.debug

アカウンティング イベント ログの設定

AAA アカウンティング ログには、次の処理を簡単に実行できる情報が含まれています。

設定の変更内容の監査

セキュリティの維持

リソースの正確な割り当て

リソースの使用についての請求先の特定

AAA アカウンティングを設定すると、次のタイプのイベント ログを記録できます。

ログイン:CLI、GUI、TUI、VVE へのアクセスなど、ログインが必要な場合のすべての形式のシステム アクセス(IMAP 以外)。

ログアウト:CLI、GUI、TUI、VVE へのアクセスなど、ログインが必要な場合のすべての形式のログアウト前のシステム アクセス(IMAP 以外)。

失敗したログイン:CLI、GUI、TUI、VVE へのアクセスなど、ログインが必要な場合のすべての形式のシステム アクセス(IMAP 以外)において失敗したログイン試行。

設定モード コマンド:IMAP 以外のインターフェイス(CLI、GUI、TUI、および VVE)を使用して、Cisco Unity Express の設定に対して行われた変更。

EXEC モード コマンド:IMAP 以外のインターフェイス(CLI、GUI、TUI、および VVE)を使用して、Cisco Unity Express EXEC モードで入力されたコマンド。

システム スタートアップ:システム スタートアップ。システムのソフトウェア バージョン、インストール ライセンス、インストール パッケージ、インストール言語などに関する情報も記録されます。

システム シャットダウン:システム シャットダウン。システムのソフトウェア バージョン、インストール ライセンス、インストール パッケージ、インストール言語などに関する情報も記録されます。

IMAP:IMAP システムへのアクセス。

実行した操作のタイプに固有の情報に加えて、アカウンティング ログに次の情報も記録されます。

操作を作成したユーザ

操作が実行された時刻

アカウンティング レコードがサーバに送信された時間

ログ エントリの詳細な内容については、「例」で説明します。


) アカウント ログは、スタートアップ コンフィギュレーションのシステム パワーアップの再生中には記録されません。システム起動時の startup-config コマンドは記録されません。


アカウンティング イベント ログの設定

概略手順

1. config t

2. aaa accounting enable

3. aaa accounting event

4. login

5. logout

6. login-fail

7. config-commands

8. exec-commands

9. system-startup

10. system-shutdown

11. end

12. show aaa accounting event

詳細手順

 

 
コマンドまたは操作
目的

ステップ 1

config t

 

se-10-0-0-0# config t

設定モードを開始します。

ステップ 2

aaa accounting enable

 

se-10-0-0-0(config)# aaa accounting enable

AAA アカウント イベントの記録を有効にします。

ステップ 3

aaa accounting event

 

se-10-0-0-0(config)# aaa accounting event

AAA アカウンティング サブモードを開始して、アカウンティング パケット用のイベント フィルタリングを設定できるようにします。

ステップ 4

login

 

se-10-0-0-0(config)# login

ログインのログを有効にします。

ステップ 5

logout

 

se-10-0-0-0(config)# logout

ログアウトのログを有効にします。

ステップ 6

login-fail

 

se-10-0-0-0(config)# login-fail

失敗したログインのログを有効にします。

ステップ 7

config-commands

 

se-10-0-0-0(config)# config-commands

設定モード コマンドのログを有効にします。

ステップ 8

exec-commands

 

se-10-0-0-0(config)# exec-commands

EXEC モード コマンドのログを有効にします。

ステップ 9

system-startup

 

se-10-0-0-0(config)# system-startup

システム スタートアップのログを有効にします。

ステップ 10

system-shutdown

 

se-10-0-0-0(config)# system-shutdown

システム シャットダウンのログを有効にします。

ステップ 11

end

 

se-10-0-0-0(config)# end

特権 EXEC モードに戻ります。

ステップ 12

show aaa accounting event

se-10-0-0-0# show aaa accounting

(オプション)ログを記録するように指定された AAA アカウンティング イベントを表示します。

show aaa accounting event コマンドのサンプル出力を次に示します。

se-10-0-0-0# show aaa accounting event
Event State Description
login Enabled Log accounting events for successful login
logout Enabled Log accounting events for user logout
login-fail Enabled Log accounting events for failed login attempts
config-commands Enabled Log accounting events for any chanes to configuration
exec-commands Enabled Log accounting events for execution of commands
system-startup Enabled Log accounting events for system startup
system-shutdown Enabled Log accounting events for system shutdown
imap Enabled Log accounting events for all imap events

コンソール認証の設定

デフォルトでは、コンソール認証は無効になっています。そのため、コンソールを使用してシステムにログインするユーザには Superuser 特権が付与されるため、ユーザ名やパスワードを入力せずにログインできます。

したがって、不正アクセスからコンソールを保護するには、次に説明するように、回線設定モードで login コマンドを入力する必要があります。


) コンソールの認証が有効かどうかを確認するには、実行コンフィギュレーションを参照する必要があります。


コンソール接続を認証に依存させるかどうかの指定

概略手順

1. config t

2. line console

3. login

4. end

詳細手順

 

 
コマンドまたは操作
目的

ステップ 1

config t

 

se-10-0-0-0# config t

設定モードを開始します。

ステップ 2

line console

 

se-10-0-0-0(config)# line console

回線設定モードを開始して、コンソール接続を認証に依存させるかどうかを指定できるようにします。

ステップ 3

login

 

se-10-0-0-0(config-line)# line console

コンソール接続を使用したユーザ ログインは、認証に依存させる必要があります。このコマンドの no または default 形式を使用すると、コンソールの認証が無効になります。

ステップ 4

end

 

se-10-0-0-0(config)# end

特権 EXEC モードに戻ります。