GUI による Cisco Unity Express 8.6 の設定
認証、認可、アカウンティングの設定
認証、認可、アカウンティングの設定
発行日;2012/05/08 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

認証、認可、アカウンティングの設定

AAA 認証サーバの設定

認証の順序について

認証フェールオーバーについて

到達不能フェールオーバーについて

認証シーケンスの例

AAA 認証サーバの接続パラメータの設定

認証と認可の動作を制御するポリシーの指定

AAA アカウンティング サーバの設定

概要

AAA アカウンティング イベント ロギング

AAA アカウンティング サーバの設定

アカウンティング イベント ロギングの設定

認証、認可、アカウンティングの設定

この章では、次の手順について説明します。

AAA 認証サーバの設定

認証と認可の動作を制御するポリシーの指定

AAA アカウンティング サーバの設定

AAA 認証サーバの設定

AAA 認証の設定手順には、次の 2 つがあります。

AAA 認証サーバの接続パラメータを設定する

認証サーバとローカル認証データベースのどちらに対して先にクエリーを実行するかを設定する


) RADIUS サーバの暗号化情報の保護を促進するには、実行コンフィギュレーションを表示して、この情報を確認する必要があります。


認証の順序について

認証フェールオーバーについて

到達不能フェールオーバーについて

認証シーケンスの例

AAA 認証サーバの接続パラメータの設定

認証の順序について

AAA ポリシーでは、認証サーバに任意で設定できるフェールオーバー機能を指定できます。次の 2 つのタイプのフェールオーバー機能を、別々に、または組み合わせて、使用できます。

認証フェールオーバー

到達不能フェールオーバー

認証フェールオーバーについて

認証フェールオーバー機能を使用すると、ユーザ ログイン認証のために、ローカル データベースに加え、任意でリモート RADIUS サーバを使用できるようになります。この項の手順では、認証が解決される順序が設定されます。次のシステムを使用するよう、認証を設定できます。

ローカル データベースのみ

リモート サーバのみ

最初にローカル データベース、次にリモート サーバ

最初にリモート サーバ、次にローカル データベース

ローカル認証とリモート認証の両方を使用する場合、リモート RADIUS AAA サーバから取得されるユーザ属性を、同じユーザ名のローカル ユーザ データベースで見つかった属性とマージするかどうかも、設定できます。


) 認証フェールオーバー機能には、次の制限があります。

RADIUS サーバでの認証は、GUI または CLI インターフェイスへのアクセス時にのみ使用可能で、ユーザ ID およびパスワードのみが必要です。TUI、VVE、AvT、および IMAP インターフェイスの認証では、ローカル データベースしか使用できません。したがって、アクセスするために、TUI、VVE、AvT、および IMAP インターフェイスのユーザはローカルで設定する必要があります。自動受付インターフェイスは、ユーザに依存しないため、認証は不要です。

ログイン情報は、ローカル システムとリモート サーバとの間では同期がとられません。したがって、次の点に注意してください。

セキュリティ機能(パスワードの有効期限など)は、Cisco Unity Express と RADIUS サーバ用に個別に設定する必要があります。

パスワードの期限切れまたはアカウントのロックアウトなどのセキュリティ イベントが RADIUS サーバで発生した場合、Cisco Unity Express ユーザに対しては、プロンプトは表示されません。

パスワードの期限切れまたはアカウントのロックアウトなどのセキュリティ イベントが Cisco Unity Express で発生した場合、RADIUS サーバのユーザに対しては、プロンプトは表示されません。


 

到達不能フェールオーバーについて

到達不能フェールオーバー機能は、RADIUS サーバでのみ使用されます。この機能を使用すると、RADIUS サーバへのアクセスに使用できる最大 2 つのアドレスを設定できます。

Cisco Unity Express によって RADIUS サーバでのユーザの認証が試行されると、RADIUS サーバに到達できないかユーザの認証に失敗した場合、ユーザに通知するためにメッセージが送信されます。

認証シーケンスの例

この例では、認証は、まず、リモート サーバによって実行され、次に、ローカル データベースによって実行されます。また、2 つのアドレスが、リモート RADIUS サーバに対して設定されます。

イベントのこのシーケンスは、次の例の認証中に発生する可能性があります。

1. Cisco Unity Express は、1 番目のリモート RADIUS サーバへの接続を試行します。

2. 1 番目の RADIUS サーバが応答しない場合、またはユーザの認証クレデンシャルを受け入れない場合、Cisco Unity Express は 2 番目のリモート RADIUS サーバへの接続を試行します。

3. 2 番目の RADIUS サーバが応答しない場合、またはユーザの認証クレデンシャルを受け入れない場合、ユーザは対応するエラー メッセージを受け取り、Cisco Unity Express はローカル データベースへの接続を試行します。

4. ローカル データベースで、ユーザの認証クレデンシャルが受け付けられない場合、ユーザはエラー メッセージを受信します。

AAA 認証サーバの接続パラメータの設定

手順


ステップ 1 [設定(Configure)] > [AAA] > [認証(Authentication)] を選択します。

[AAA 認証サーバ設定(AAA Authentication Server Configuration)] ウィンドウが表示されます。

ステップ 2 プライマリ サーバの適切なフィールドに次の情報を入力し、任意で、セカンダリ サーバの適切なフィールドにも入力します。

サーバの IP アドレスまたは DNS 名

使用するポート番号

暗号化共有秘密およびセキュリティ資格

ログイン再試行の回数

ログイン タイムアウトの長さ

ステップ 3 [適用(Apply)] をクリックします。

ステップ 4 [OK] をクリックして変更を保存します。


 

認証と認可の動作を制御するポリシーの指定

認証サーバへのログインに使用される情報を設定するには、次の手順を実行します。

手順


ステップ 1 [設定(Configure)] > [AAA] > [認証(Authorization)] を選択します。

[AAA 認可サーバ設定の設定(Configure AAA Authorization Server Configuration)] ウィンドウが表示されます。

ステップ 2 リモート AAA サーバの属性をローカル データベースの属性とマージするかどうかを、選択または選択解除します。

ステップ 3 [適用(Apply)] をクリックします。

ステップ 4 [OK] をクリックして変更を保存します。


 

AAA アカウンティング サーバの設定

この項では、次の項目について説明します。

概要

AAA アカウンティング イベント ロギング

「AAA アカウンティング サーバの設定」

「アカウンティング イベント ロギングの設定」

概要

最大で 2 台の AAA アカウンティング サーバを設定できます。アカウンティング サーバを 2 台設定すると、自動フェールオーバー機能を使用できます。1 台目のサーバが到達不能の場合、アカウンティング情報が 2 台目のサーバに送信されます。両方のアカウンティング サーバが到達不能の場合、サーバが使用可能になるまで、アカウンティング レコードがキャッシュ保存されます。キャッシュがいっぱいになるまでにサーバに到達できない場合、最も古いアカウンティング パケットがドロップされ、新しいパケットのための容量が確保されます。

AAA アカウンティング サーバの設定は、AAA 認証サーバの設定から完全に独立しているため、AAA アカウンティング サーバは、AAA 認証サーバと同じマシンまたは異なるマシンに設定できます。

Syslog サーバを使用する場合、AAA 設定には影響を受けず、既存のユーザ インターフェイスが使用し続けられます。RADIUS サーバから Syslog サーバに AAA アカウンティング情報が送信される場合、記録される前に 1 つの文字列に正規化されます。Syslog サーバが定義されていない場合、Cisco Unity Express でローカルに実行されている Syslog サーバによって、AAA アカウンティング ログが記録されます。


) RADIUS サーバのみがサポートされます。


AAA アカウンティング イベント ロギング

AAA アカウンティング ログには、次の操作を簡単に実行できる情報が含まれています。

設定の変更を監査する。

セキュリティを管理する。

正確にリソースを割り当てる。

リソースの使用の課金先を決定する。

AAA アカウンティングを設定し、次のタイプのイベントのログを記録することができます。

ログイン:CLI、GUI、TUI、VVE へのアクセスなど、ログインが必要な場合のすべての形式のシステム アクセス(IMAP 以外)。

ログアウト:CLI、GUI、TUI、VVE へのアクセスなど、ログインが必要な場合のすべての形式のログアウト前のシステム アクセス(IMAP 以外)。

失敗したログイン:CLI、GUI、TUI、VVE へのアクセスなど、ログインが必要な場合のすべての形式のシステム アクセス(IMAP 以外)において失敗したログイン試行。

コンフィギュレーション モード コマンド:IMAP 以外のインターフェイス(CLI、GUI、TUI、および VVE)を使用して、Cisco Unity Express の設定に対して行われた変更。

EXEC モード コマンド:IMAP 以外のインターフェイス(CLI、GUI、TUI、および VVE)を使用して、Cisco Unity Express EXEC モードで入力されたコマンド。

システム スタートアップ:システム スタートアップ。システムのソフトウェア バージョン、インストール ライセンス、インストール パッケージ、インストール言語などに関する情報も記録されます。

システム シャットダウン:システム シャットダウン。システムのソフトウェア バージョン、インストール ライセンス、インストール パッケージ、インストール言語などに関する情報も記録されます。

IMAP:IMAP システムへのアクセス。

 

実行されるアクションのタイプ固有の情報に加え、次の情報もアカウンティング ログで示されます。

アクションを作成したユーザ

アクションが実行された時刻

アカウンティング レコードがサーバに送信された時刻


) スタートアップ コンフィギュレーションのシステム電源投入時の再実行中には、アカウント ロギングは実行されません。システムの起動時には、startup-config コマンドは記録されません。


AAA アカウンティング サーバの設定

アカウンティング サーバへのログインに使用される情報を設定するには、次の手順を実行します。

手順


ステップ 1 [設定(Configure)] > [AAA] > [アカウンティング(Accounting)] を選択します。

[AAA アカウンティング サーバ設定(AAA Accounting Server Configuration)] ウィンドウが表示されます。

ステップ 2 [アカウンティング有効(Accounting Enabled)] をクリックします。

ステップ 3 プライマリ サーバの適切なフィールドに次の情報を入力し、任意で、セカンダリ サーバの適切なフィールドにも入力します。

サーバの IP アドレスまたは DNS 名

使用するポート番号

暗号化共有秘密およびセキュリティ資格

ログイン再試行の回数

ログイン タイムアウトの長さ

ステップ 4 [適用(Apply)] をクリックします。

ステップ 5 [OK] をクリックして変更を保存します。


 

アカウンティング イベント ロギングの設定

AAA アカウンティングでログを記録するイベント タイプを設定するには、次の手順を実行します。

手順


ステップ 1 [設定(Configure)] > [AAA] > [アカウンティング(Accounting)] を選択します。

[アカウンティング サーバ設定(Accounting Server Configuration)] ウィンドウが表示されます。

ステップ 2 ログに含めるログ イベントを選択し、含めないイベントの選択を解除します。

ステップ 3 [適用(Apply)] をクリックして変更を保存します。