管理タスクの分散

この章は、次の項で構成されています。

ユーザ アカウントを使用する作業

電子メールゲートウェイには、ユーザアカウントを追加する方法が 2 つあります。 電子メールゲートウェイ自体でユーザアカウントを作成する方法と、LDAP または RADIUS ディレクトリなどの独自の中央認証システムを使用してユーザ認証を有効にする方法です。ユーザと外部認証ソースへの接続を管理するには、GUI で [システム管理(System Administration)] > [ユーザ(Users)] ページを使用します(または、CLI で userconfig コマンドを使用します)。ユーザを認証するために外部ディレクトリを使用することについては、外部認証を参照してください。

システムのデフォルトのユーザ アカウントである admin はすべての管理権限を持っています。admin ユーザ アカウントは削除できませんが、パスフレーズを変更してアカウントをロックすることはできます。

新しいユーザ アカウントを作成する場合は、そのユーザを定義済みのユーザ ロールまたはカスタム ユーザ ロールに割り当てます。各ロールには、システム内での異なるレベルの権限が含まれます。

電子メールゲートウェイで作成できる各ユーザアカウントの数に制限はありませんが、システムで予約されている名前でユーザアカウントを作成することはできません。たとえば、「operator」や「root」という名前のユーザ アカウントは作成できません。

ユーザの役割

表 1. ユーザ ロールの一覧

ユーザ ロール

説明

admin

admin ユーザはシステムのデフォルト ユーザ アカウントであり、すべての管理権限を持っています。便宜上、admin ユーザ アカウントをここに記載しましたが、これはユーザ ロールを使用して割り当てることはできず、パスワードの変更以外、編集や削除もできません。

resetconfig コマンドと revert コマンドを発行できるのは、admin ユーザだけです。

管理者

Administrator ロールを持つユーザ アカウントはシステムのすべての設定に対する完全なアクセス権を持っています。ただし、resetconfig コマンドと revert コマンドにアクセスできるのは admin ユーザだけです。

(注)  

 
AsyncOS は、GUI から 電子メールゲートウェイを同時に設定する複数の管理者をサポートしません。

専門技術者

Technician ロールを持つユーザアカウントは、システムのアップグレード、 電子メールゲートウェイの再起動、ライセンスキーの管理を実行できます。また、専門技術者は、 電子メールゲートウェイをアップグレードするために以下の処理も実行できます。

  • 電子メールの配信および受信の一時停止。
  • ワークキューとリスナーのステータスの表示。
  • 設定ファイルの保存および電子メール送信。
  • セーフリストとブロックリストのバックアップ。専門技術者はこれらのリストを復元できません。
  • クラスタからの 電子メールゲートウェイの接続解除。
  • Cisco テクニカル サポートへのリモート サービス アクセスの有効化または無効化。
  • サポート要求の申請。

オペレータ

Operator ロールを持つユーザ アカウントは次のことができません。

  • ユーザ アカウントの作成または編集。
  • resetconfig コマンドの発行。
  • 電子メールゲートウェイのアップグレード。
  • systemsetup コマンドの発行またはシステム設定ウィザードの実行。
  • adminaccessconfig コマンドの発行。
  • 隔離機能の実行(作成、編集、削除、および隔離の中央集中を含む)。
  • ユーザ名とパスフレーズ以外の LDAP サーバ プロファイル設定の変更(LDAP が外部認証に対して有効になっている場合)。

これら以外は、Administrator ロールと同じ権限を持ちます。

ゲスト

Guest ロールを持つユーザ アカウントはステータス情報とレポートだけを参照できます。Guest ロールを持つユーザは、アクセスが隔離でイネーブルの場合、隔離エリア内のメッセージを管理できます。Guest ロールを持つユーザはメッセージ トラッキングにアクセスできません。

オペレータ(読み取り専用)

Read-Only Operator ロールを持つユーザは、設定情報を参照するアクセス権を持っています。Read-Only Operator ロールを持つユーザは、機能の設定方法を確認するために変更を行って送信できますが、保存できません。このロールのユーザは、アクセスが隔離でイネーブルの場合、隔離エリア内のメッセージを管理できます。

このロールのユーザは、以下にはアクセスできません。

  • ファイル システム、FTP、SCP。
  • 作成、編集、削除、または隔離の中央集中の設定。

ヘルプ デスク ユーザ

ヘルプ デスク ユーザ ロールを持つユーザがアクセスできるのは次のものに制限されます。

  • メッセージ トラッキング。
  • 隔離エリア内のメッセージの管理。

このロールを持つユーザは、CLI を含めたこれ以外のシステムにはアクセスできません。このロールのユーザがそのデバイスを管理する前に、各隔離アクセスをイネーブルにする必要があります。

カスタム ユーザ ロール

カスタム ユーザ ロールを持つユーザ アカウントはそのロールに割り当てられている電子メール セキュリティ機能にのみアクセスできます。アクセスできる機能は、DLP ポリシー、電子メール ポリシー、レポート、検疫、ローカル メッセージ トラッキング、暗号化プロファイル、トレースデバッグツール、アクセス ログ サブスクリプション、ロギング API、およびログファイルの任意の組み合わせになります。ユーザは、機能のグローバルなイネーブル化を含むシステム設定機能にアクセスできません。カスタム ユーザ ロールを定義できるのは管理者だけです。詳細については、委任管理のためのカスタム ユーザ ロールの管理を参照してください。

(注)  

 
カスタム ユーザ ロールに割り当てられているユーザは、CLI にアクセスできません。

Cloud ロール

クラウド E メール セキュリティ アプライアンスは、クラウド環境専用に設計された一連のユーザ ロールを使用します。Cloud ユーザ用に定義されているロールの詳細については、Cisco Secure Cloud Email Gateway の管理を参照してください。

上記の表に定義されているロールはすべて GUI と CLI の両方にアクセスできます。ただし、Help Desk User ロールとカスタム ユーザ ロールは GUI にのみアクセスできます。

ユーザを認証するために LDAP ディレクトリを使用する場合は、ユーザ ロールに個々のユーザではなくディレクトリ グループを割り当てます。ユーザ ロールにディレクトリ グループを割り当てると、そのグループの各ユーザはそのユーザ ロールで定義された権限を受け取ります。詳細については、外部認証を参照してください。

関連項目

ユーザの管理

[ユーザ(Users)] ページには、システムの既存のユーザが一覧(ユーザ名、氏名、およびユーザ タイプまたはグループを含む)で表示されます。

[ユーザ(Users)] ページからは、次の操作が行えます。

関連項目

Cisco Secure Cloud Email Gateway の管理

ユーザの追加

はじめる前に

手順

ステップ 1

[システム管理(System Administration)] > [ユーザー(Users)] を選択します。

ステップ 2

[ユーザを追加(Add User)] をクリックします。

ステップ 3

ユーザのログイン名を入力します。一部の単語(「operator」や「root」など)が予約されています。

ステップ 4

ユーザの氏名を入力します。

ステップ 5

定義済みのユーザー ロールまたはカスタム ユーザー ロール(Custom user role)を選択します。

ステップ 6

パスフレーズを入力します。

(注)  

 
ログインパスフレーズを手動で作成することに加えて、電子メールゲートウェイにログインするためのシステム生成パスフレーズも作成できます。

ステップ 7

変更を送信し、保存します。

ユーザの編集

パスフレーズなどを変更するには、この手順を使用します。

手順

ステップ 1

[システム管理(System Administration)] > [ユーザ(Users)] を選択します。

ステップ 2

[ユーザ(Users)] 一覧でユーザの名前をクリックします。

ステップ 3

ユーザに対して変更を行います。

ステップ 4

変更を送信し、保存します。

ユーザにパスフレーズの変更を強制

手順

ステップ 1

[システム管理(System Administration)] > [ユーザ(Users)] を選択します。

ステップ 2

[ユーザ(Users)] 一覧からユーザを選択します。

ステップ 3

[パスフレーズ変更を適用(Enforce Passphrase Change)] をクリックします。

ステップ 4

次回のログイン時または指定した期間(日数)が経過した後にユーザがパスフレーズを変更する必要があるかどうかを選択します。

ステップ 5

(オプション)指定した期間が経過した後にパスフレーズの変更を適用する場合は、パスフレーズの期限切れ後にパスフレーズをリセットするまでの猶予期間(日数)を設定します。

ステップ 6

[OK] をクリックします。

ステップ 7

変更を送信し、保存します。

ユーザの削除

手順

ステップ 1

[ユーザ(Users)] 一覧でユーザの名前に対応するゴミ箱アイコンをクリックします。

ステップ 2

表示される警告ダイアログで [削除(Delete)] をクリックして削除を確認します。

ステップ 3

変更を保存します。

メッセージ トラッキングでの機密情報へのアクセスの制御

機密情報が含まれている可能性のあるメッセージの詳細に対し、管理アクセスを制限することが必要になる場合があります。

  • データ損失防止(DLP)ポリシーに違反するメッセージには、企業の秘密情報、またはクレジット カード番号や医療記録を含む個人情報などの情報が含まれている可能性があります。デフォルトでは、この内容は、 電子メールゲートウェイへのアクセスを持つすべてのユーザが閲覧可能です。
  • アウトブレイク フィルタ、または URL レピュテーションもしくはカテゴリに基づくコンテンツ フィルタによって捕捉される URL も、機密性が高いと見なされる場合があります。デフォルトでは、この内容を閲覧できるのは、管理者特権を持つユーザのみです。

この機密性の高い内容は、メッセージ トラッキング結果に表示されたメッセージの [メッセージの詳細(Message Details)] ページにある専用のタブに表示されます。

これらのタブとその内容は、管理ユーザに対し、そのユーザ ロールに基づいて非表示にできます。ただし、管理者ロールを持つユーザに対してこの機密性の高い内容を非表示にするオプションはありますが、管理者ロールを持つユーザ(クラウド管理者ユーザを含む)は、これらの権限を変更できるため、機密性の高い情報をいつでも閲覧することができます。

はじめる前に

これらの機能の前提条件を満たしていることを確認します。メッセージ トラッキングの URL 詳細の表示を参照してください。

手順

ステップ 1

[システム管理(System Administration)] > [ユーザ(Users)] ページに移動します。

ステップ 2

[メッセージトラッキング内の機密情報へのアクセス(Access to Sensitive Information in Message Tracking)] で、[設定の編集(Edit Settings)] をクリックします。

ステップ 3

機密情報のタイプごとに、データへのアクセス権を付与するロールを選択します。

メッセージ トラッキングにアクセスできないカスタム ロールはこの情報を見ることができないため、表示されません。

ステップ 4

変更を送信し、保存します。

次のタスク

関連項目

Cisco Secure Cloud Email Gateway の管理

Cisco Secure Cloud Email Gateway サービスを管理する場合、シスコのセキュリティエキスパートによって実行される一定の管理タスク、およびユーザ組織のメンバーが実行できる管理タスクがあります。組織内の Cisco Secure Cloud Email Gateway ユーザのニーズを満たすために、 Cisco Secure Cloud Email Gateway サービスには以下のクラウドベースのロールが含まれています。

表 2. Cloud ユーザー ロールの一覧

クラウド ユーザー ロール

説明

クラウド管理者

Cloud Administrator ロールは、 Cisco Secure Cloud Email Gateway 用に作成された特別な管理者ロールです。クラウド管理者のロールに固有の特定の管理タスクにアクセスできるように設計されています。このロールには、オンプレミスの Administrator と同じ多くの権限が付与されていますが、デバイスのシャットダウン、インストールの実行、またはデバイスのアップデートなど、Cisco Secure Cloud Email Gateway サービスの適切な実行を妨げる可能性があるアクティビティは制限されています。

複数のユーザを Cloud Administrator ロールに割り当てることができます。デフォルトでは、プロビジョニング時に少なくとも 1 人のユーザにこのロールが割り当てられます。

(注)  

 
クラウド管理者は、CLI にアクセスできる唯一のクラウド ユーザー ロールです。他のクラウド ユーザは GUI にのみアクセスできます。

詳細については、Cloud Administratorを参照してください。

Cloud Operator

Cloud Operator のユーザ アカウントには限定された管理権限があります。このユーザは、メール ポリシー、DLP ポリシー、レポート、メッセージ トラッキング、デバッグ トレース機能、およびスパム検疫とシステム検疫に対するすべてのアクセス権限を持ちます。

IronPort スパム検疫とシステム検疫へのアクセス権限は、このロールを持つユーザがそれらの検疫を管理する前にイネーブルにする必要があります。

詳細については、Cloud Operatorを参照してください。

Cloud DLP Admin

その機能が DLP ポリシーを管理することである Cloud ユーザのユーザ アカウントです。このユーザは、DLP ポリシーの管理に対するすべてのアクセス権限を持ちます。

詳細については、Cloud DLP Adminを参照してください。

クラウド ヘルプ デスク

Cloud Help Desk ユーザ用のユーザ アカウントです。このユーザは、メッセージ トラッキング、およびスパム検疫とシステム検疫に対するすべてのアクセス権限を持ちます。

IronPort スパム検疫とシステム検疫へのアクセス権限は、このロールを持つユーザがそれらの検疫を管理する前にイネーブルにする必要があります。

詳細については、クラウド ヘルプ デスクを参照してください。

クラウド ゲスト

レポートを実行する、または IronPort スパム検疫およびシステム検疫にアクセスすることがある Cloud ゲスト用のユーザ アカウントです。このユーザは、レポーティングと検疫に対するすべてのアクセス権限を持ちます。

IronPort スパム検疫とシステム検疫へのアクセス権限は、このロールを持つユーザがそれらの検疫を管理する前にイネーブルにする必要があります。

詳細については、クラウド ゲストを参照してください。

カスタム ユーザ ロール

カスタム ユーザ ロールを持つユーザ アカウントはそのロールに割り当てられている電子メール セキュリティ機能にのみアクセスできます。アクセスできる機能は、DLP ポリシー、電子メール ポリシー、レポート、隔離、ローカル メッセージ トラッキング、暗号化プロファイル、およびトレース デバッグ ツールの任意の組み合わせになります。このユーザはシステム設定機能にはアクセスできません。カスタム ユーザー ロールを定義できるのはクラウド管理者だけです。詳細については、委任管理のためのカスタム ユーザ ロールの管理を参照してください。

Cloud Administrator

Cloud Administrator ロールは、組織のメンバーが Cisco Secure Cloud Email Gateway サービスの一部の管理機能を実行できるように設計されていますが、シスコ電子メール セキュリティ エキスパートによって処理されるタスクを妨げないように管理権限は制限されています。

シスコ電子メール セキュリティ エキスパートは、ネットワーク インターフェイスの変更の実施、セキュリティ サービス アップデート設定の変更、デバイスの起動とシャットダウン、クラスタの管理、および設定のメンテナンスとアップデートに対する責任を負います。

Cloud Administrator ロールが付与されているユーザ アカウントは、以下の管理タスクを実行できます。

  • Cloud Administrator ロールに属するユーザの作成または変更

  • 権限が限定されているカスタム ユーザ ロールの作成および変更

  • パスワードの作成およびリセット(パスワード ポリシーの変更はしない)

  • ユーザ管理(新規ユーザの作成やアカウントのロックとロック解除など)

  • レポートへのアクセスとレポートの実行、およびメッセージの追跡

  • メール ポリシーとコンテンツ フィルタの作成

  • DLP ポリシーの作成および変更

  • トレース デバッグ ツールの実行

  • 暗号化プロファイルの設定および変更

  • システム検疫および IronPort スパム検疫へのアクセス

  • セーフリスト/ブロックリスト ファイルの保存、変更、およびロード

Cloud Administrator ロールは、以下の選択された管理タスクのグループの実行は制限されています。

  • ネットワーク インターフェイス設定(ルートと証明書を含む)の変更

  • デバイスのシャットダウンおよび再起動

  • デバイスへのソフトウェア アップグレードの適用

  • クラスタリングのディセーブル、クラスタに対するデバイスの追加または削除

  • 管理者の作成または削除

  • セキュリティ サービス アップデート設定の変更

  • コンフィギュレーション ファイルのロードまたはコンフィギュレーションのリセット

  • 外部認証設定の変更

  • スケジュール設定されたレポート設定の変更

  • アラート設定の変更

  • パスワード強度の設定などのパスワード アカウント ポリシーの変更

  • システム設定ウィザードの実行

外部認証を使用している場合、ユーザのグループをクラウド管理者ロールにマップすると、そのユーザにクラウド管理者の権限が割り当てられます。

Cloud Operator

Cloud Operator ロールは、メール ポリシー、DLP ポリシー、レポート、メッセージ トラッキング、デバッグ トレース機能、およびスパム検疫とシステム検疫に対するすべてのアクセス権限を持ちます。

Operator ロールは Cloud Administrator ロールと同じ多くの権限を持つように設計されていますが、以下のアクティビティは制限されています。

  • ユーザー アカウントの作成または編集。

  • 一部検疫機能の実行(検疫の作成および削除を含む)。

Cloud DLP Admin

Cloud DLP Admin ロールは、DLP ポリシーに対するすべてのアクセス権限をユーザに付与するように設計されています。このユーザには、 電子メールゲートウェイのすべての DLP ポリシーに対する完全なアクセス権限があります(新規ポリシーの作成を含む)。DLP マネージャは DLP Policy Manager 内の DLP ポリシーの順序を変更することもできます。

データ損失の防止の詳細については、データ損失の防止を参照してください。

クラウド ヘルプ デスク

Cloud Help Desk ロールは、エンドユーザをサポートするために、メッセージ トラッキング、およびスパム検疫とシステム検疫に対するすべてのアクセス権限をユーザに付与するように設計されています。Cloud Help Desk ユーザは、割り当てられた検疫に対するアクション(メッセージの解放または削除など)を表示および実行できますが、検疫のサイズ、保存期間などの検疫の設定は変更できません。また、検疫の作成や削除もできません。

クラウド ゲスト

このアカウントは、情報を追跡したいが、必ずしもインフラストラクチャの設定を変更する必要はないユーザ向けに設計されています。Cloud Guest アカウントは、レポーティング、およびシステム検疫とスパム検疫に対するすべてのアクセス権限を持ちます。Cloud Guest ユーザは、割り当てられた検疫に対するアクション(メッセージの解放または削除など)を表示および実行できますが、検疫のサイズ、保存期間などの検疫の設定は変更できません。また、検疫の作成や削除もできません。

IronPort スパム検疫とシステム検疫へのアクセス権限は、このロールを持つユーザがそれらの検疫を管理する前にイネーブルにする必要があります。

委任管理のためのカスタム ユーザ ロールの管理

カスタム ユーザ ロールを設計し、組織内でのそれぞれのロールに一致した特定の責任をユーザに委任することができます。委任管理者は、それぞれが責任を負う電子メール セキュリティ機能にのみアクセスでき、それぞれのロールに関連しないシステム設定機能にはアクセスできません。委任管理を行うことで、 電子メールゲートウェイの電子メールセキュリティ機能に対するユーザのアクセスを、定義済みの Administrator、Operator、および Help Desk User ロールより柔軟に制御できるようになります。

たとえば、 電子メールゲートウェイの特定ドメインの電子メールポリシーの管理に関与しているユーザがいる場合に、それらのユーザに、定義済みの Administrator および Operator ロールで付与されるシステム管理やセキュリティサービスの設定機能にはアクセスさせたくないことがあります。それぞれのユーザに管理するメール ポリシーへのアクセス権限、およびそれらのポリシーで処理されるメッセージを管理するために使用できる他の電子メール セキュリティ機能(メッセージ トラッキングやポリシー隔離など)を付与できるメール ポリシー管理者用のカスタム ユーザ ロールを作成できます。

GUI で [システム管理(System Administration)] > [ユーザの役割(User Roles)] ページを使用して(または、CLI で userconfig -> role コマンドを使用して)、カスタム ユーザ ロールを定義し、それぞれが責任を負う電子メール セキュリティ機能(メール ポリシー、DLP ポリシー、電子メール レポート、および隔離など)を管理します。委任管理者が管理できる電子メール セキュリティ機能の一覧については、アクセス権限の割り当てを参照してください。カスタム ロールは、[システム管理(System Administration)] > [ユーザ(Users)] ページを使用して、ローカル ユーザ アカウントを追加または編集するときにも作成できます。詳細については、ユーザ アカウント追加時のカスタム ユーザ ロールの定義を参照してください。

カスタム ユーザ ロールを作成する際には、そのロールの責任が他の委任管理者の責任と重複しすぎないようにする必要があります。たとえば、複数の委任管理者が同じコンテンツ フィルタに対する責任を持ち、そのコンテンツ フィルタを異なるメール ポリシーで使用する場合、1 人の委任管理者がそのフィルタに加えた変更により、他の委任管理者が管理しているメール ポリシーに意図せぬ悪影響を及ぼすことがあります。

カスタム ユーザ ロールを作成すると、他のユーザ ロールと同様にローカル ユーザと外部認証グループをそのカスタム ユーザ ロールに割り当てることができます。詳細については、ユーザ アカウントを使用する作業を参照してください。カスタム ロールに割り当てられているユーザは CLI にアクセスできないことに注意してください。

関連項目

[アカウント権限(Account Privileges)] ページ

委任管理者が 電子メールゲートウェイにログインすると、[アカウント権限(Account Privileges)] ページに委任管理者が責任を持つセキュリティ機能へのリンク、およびそれぞれのアクセス権限についての簡単な説明が表示されます。委任管理者は、[オプション(Options)] メニューで [アカウント権限(Account Privileges)] を選択することでこのページに戻ることができます。委任管理者は、Web ページの上部にあるメニューを使用して、管理する機能にアクセスすることもできます。

次の図は、メール ポリシー、電子メール レポーティング、メッセージ トラッキング、および隔離にアクセスできる委任管理者の [アカウント権限(Account Privileges)] ページを示しています。

図 1. 委任管理者の [アカウント権限(Account Privileges)] ページ


次の図は、メールポリシー、Advanced Malware Protection、電子メールレポーティング、メッセージトラッキング、および隔離にアクセスできる委任管理者の [アカウント権限(Account Privileges)] ページを示しています。

図 2. 委任管理者の [アカウント権限(Account Privileges)] ページ

アクセス権限の割り当て

カスタム ユーザ ロールを作成する場合、委任管理者が責任を負うセキュリティ機能へのアクセス レベルを定義します。

委任管理者が管理できるセキュリティ機能は以下のとおりです。

  • 送受信のメールポリシーとコンテンツフィルタ。

  • データ損失防止(DLP)ポリシー

  • AMP の設定

  • 電子メールレポーティング

  • メッセージ トラッキング

  • トレースデバッグツール

  • スパム、ポリシー、ウイルス、およびアウトブレイク隔離

  • Cisco Email Encryption プロファイル

  • ログ サブスクリプション(Log Subscription)

カスタム ユーザ ロールのアクセス レベルを定義したら、委任管理者が責任を負うことになる具体的なメール ポリシー、コンテンツ フィルタ、DLP ポリシー、隔離、または暗号化プロファイルを割り当てる必要があります。

たとえば、異なる DLP ポリシーに対して責任を負う 2 つの異なる DLP ポリシー管理者ロールを作成できます。1 つのロールは企業の秘密保持や許容範囲での使用に関する DLP 違反にのみ責任を負い、他のロールはプライバシー保護に関する DLP 違反に責任を負うようにできます。DLP ポリシーへのアクセスに加えて、これらのカスタム ユーザ ロールにはメッセージ データのトラッキング、隔離とレポートの表示に対する権限を割り当てることもできます。それらのロールは、メッセージ トラッキングの使用において責任を負うポリシーに関連する DLP 違反を検索できます。

カスタム ユーザ ロールに割り当てることができる責任については、[ユーザの役割(User Roles)] ページの [代表管理者用のカスタムのユーザ役割(Custom User Roles for Delegated Administration)] テーブル内の割り当て済み権限のリンクをクリックして確認できます。カスタム ユーザ ロールの責任のアップデート を参照してください。

関連項目

メール ポリシーとコンテンツ フィルタ

メールポリシーとコンテンツフィルタのアクセス権限では、 電子メールゲートウェイ上の送受信メールポリシーとコンテンツフィルタへの委任管理者のアクセスレベルを定義します。特定のメール ポリシーとコンテンツ フィルタをカスタム ユーザー ロールに割り当て、そのロールに属する委任管理者、および Operator と Administrator だけがメール ポリシーとコンテンツ フィルタを管理できるようにすることができます。

このアクセス権限を持つすべての委任管理者は、デフォルトの送受信メール ポリシーを表示できますが、すべてのアクセス権限を持っている場合のみそれらのポリシーを編集できます。

アクセス権限を持つすべての委任管理者は、それぞれのメール ポリシーで使用する新しいコンテンツ フィルタを作成できます。委任管理者が作成したコンテンツ フィルタは、そのカスタム ユーザー ロールに割り当てられているの他の委任管理者が使用できます。いずれのカスタム ユーザー ロールにも割り当てられていないコンテンツ フィルタはパブリックであり、メール ポリシーのアクセス権限を持つすべての委任管理者が表示できます。Operator や Administrator が作成したコンテンツ フィルタは、デフォルトでパブリックです。委任管理者は、それぞれのカスタム ユーザー ロールに割り当てられているメール ポリシーの既存のコンテンツ フィルタはすべてイネーブルまたはディセーブルにできますが、パブリック コンテンツ フィルタは変更も削除もできません。

委任管理者が自分のポリシー以外のメール ポリシーで使用されているコンテンツ フィルタを削除した場合、またはそのコンテンツ フィルタが他のカスタム ユーザー ロールに割り当てられている場合、AsyncOS はそのコンテンツ フィルタをシステムから削除しません。代わりに、AsyncOS はそのカスタム ユーザー ロールからコンテンツ フィルタのリンクを解除し、委任管理者のメール ポリシーから削除します。そのコンテンツ フィルタは、他のカスタム ユーザー ロールとメール ポリシーでは引き続き使用可能です。

委任管理者は、それぞれのコンテンツ フィルタで任意のテキスト リソースやディクショナリを使用できますが、GUI で [テキスト リソース(Text Resources)] ページや [ディクショナリ(Dictionaries)] ページにアクセスして、それらを表示または変更することはできません。委任管理者は、新しいテキスト リソースやディクショナリを作成することもできません。

送信メール ポリシーの場合、委任管理者は DLP ポリシーをイネーブルまたはディセーブルできますが、DLP ポリシーの権限も持っている場合を除き、DLP の設定をカスタマイズすることはできません。

メール ポリシーとコンテンツ フィルタ用の以下のアクセス レベルのいずれかをカスタム ユーザー ロールに割り当てることができます。

  • アクセスなし(No access):委任管理者は、 電子メールゲートウェイのメールポリシーとコンテンツフィルタを表示も編集もできません。
  • 割り当てられた隔離を表示、割り当てられた隔離を編集(View assigned, edit assigned):委任管理者はカスタム ユーザー ロールに割り当てられているメール ポリシーとコンテンツ フィルタを表示および編集でき、新しいコンテンツ フィルタを作成できます。委任管理者は、ポリシーのスパム対策、ウイルス対策、およびアウトブレイク フィルタの設定を編集できます。委任管理者はポリシーに対してそれぞれのコンテンツ フィルタをイネーブルにでき、責任があるものかどうかに関係なく、そのポリシーに割り当てられている既存のコンテンツ フィルタをディセーブルにできます。委任管理者はメール ポリシーの名前、その送信者、受信者、またはグループを変更することはできません。委任管理者は、それぞれのカスタム ユーザー ロールに割り当てられているメール ポリシーのコンテンツ フィルタの順序を変更できます。
  • すべてを表示、割り当てられた隔離を編集(View all, edit assigned):委任管理者は、 電子メールゲートウェイのすべてのメールポリシーとコンテンツフィルタを表示できますが、そのカスタムユーザロールに割り当てられているもののみ編集できます。

すべてを表示、すべてを編集(フルアクセス)(View all, edit all (full access)):委任管理者は、 電子メールゲートウェイのすべてのメールポリシーとコンテンツフィルタ(デフォルトのメールポリシーを含む)に対するすべてのアクセス権限を持ち、新しいメールポリシーを作成できます。委任管理者は、すべてのメール ポリシーの送信者、受信者、およびグループを変更できます。メール ポリシーの順序を変更することもできます。

[ユーザーの役割(User Roles)] ページの [電子メールセキュリティ マネージャ(Email Security Manager)] または [代表管理者用のカスタムのユーザー役割(Custom User Roles for Delegated Administration)] テーブルを使用して、個々のメール ポリシーとコンテンツ フィルタをカスタム ユーザー ロールに割り当てることができます。

[代表管理者用のカスタムのユーザ役割(Custom User Roles for Delegated Administration)] テーブルを使用したメール ポリシーとコンテンツ フィルタの割り当ての詳細については、カスタム ユーザ ロールの責任のアップデートを参照してください。

DLP ポリシー

DLP ポリシーのアクセス権限では、 電子メールゲートウェイの DLP Policy Manager を介した DLP ポリシーへの委任管理者のアクセスレベルを定義します。DLP ポリシーを特定のカスタム ユーザ ロールに割り当て、オペレータと管理者に加えて、委任管理者にそれらのポリシーを管理させることができます。DLP アクセス権を持つ委任管理者は、データ消失防止の Global Settings ページから DLP 設定ファイルをエクスポートできます。

委任管理者がメール ポリシー権限も保持している場合は、 DLP ポリシーをカスタマイズできます。委任管理者は、それぞれの DLP ポリシーの任意のカスタム DLP ディクショナリを使用できますが、カスタム DLP ディクショナリは表示も変更もできません。

DLP ポリシー用の以下のアクセス レベルのいずれかをカスタム ユーザ ロールに割り当てることができます。

  • アクセスなし(No access):委任管理者は 電子メールゲートウェイの DLP ポリシーを表示も編集もできません。
  • 割り当てられた隔離を表示(View assigned)、割り当てられた隔離を編集(edit assigned):委任管理者は DLP Policy Manager を使用して、カスタム ユーザ ロールに割り当てられている DLP ポリシーを表示および編集できます。委任管理者は、DLP Policy Manager 内の DLP ポリシーの名前変更も順序変更もできません。委任管理者は DLP 設定をエクスポートできます。
  • すべてを表示(View all)、割り当てられた隔離を編集(edit assigned):委任管理者はカスタム ユーザ ロールに割り当てられている DLP ポリシーを表示および編集できます。委任管理者は DLP 設定をエクスポートできます。委任管理者は、そのカスタム ユーザ ロールに割り当てられていない DLP ポリシーをすべて表示できますが、編集することはできません。委任管理者は、DLP Policy Manager 内の DLP ポリシーの順序変更やポリシー名の変更はできません。
  • すべてを表示、すべてを編集(フルアクセス)(View all, edit all (full access)):委任管理者は、 電子メールゲートウェイのすべての DLP ポリシーに対するすべてのフルアクセス権限を持ち、新しいポリシーを作成することもできます。委任管理者は、DLP Policy Manager 内の DLP ポリシーの順序を変更できます。 電子メールゲートウェイで使用する DLP モードは変更できません。

[ユーザの役割(User Roles)] ページの [DLPポリシーマネージャ(DLP Policy Manager)] または [代表管理者用のカスタムのユーザ役割(Custom User Roles for Delegated Administration)] テーブルを使用して、個々の DLP ポリシーをカスタム ユーザ ロールに割り当てることができます。

DLP ポリシーや DLP Policy Manager の詳細については、データ損失の防止を参照してください。

[代表管理者用のカスタムのユーザ役割(Custom User Roles for Delegated Administration)] の一覧を使用して DLP ポリシーを割り当てる方法の詳細については、カスタム ユーザ ロールの責任のアップデートを参照してください。

AMP の設定

AMP の設定のアクセス権限は、次の権限に対する委任された管理者のアクセスレベルを定義します。

  • [セキュリティサービス(Security Services)] > [ファイルレピュテーションと分析(File Reputation and Analysis)] をクリックします。

  • AMP レポート:Cisco Advanced Malware Protection(AMP レピュテーション)、ファイル分析、AMP 判定更新(ファイルレトロスペクション)、およびメールボックスの自動修復

  • ファイル分析の隔離

  • メッセージ トラッキング

管理者は、電子メールレポーティング用の以下のアクセスレベルのいずれかをカスタムユーザーロールに割り当てることができます。

  • アクセスなし:委任された管理者は、AMP の設定にアクセスできません。

  • フルアクセス:委任された管理者は、AMP の設定に完全にアクセスできます。委任された管理者は、AMP の設定、AMP レポート、ファイル分析隔離、およびメッセージトラッキングにアクセスできます。

ファイルレピュテーションと分析の詳細については、ファイル レピュテーション フィルタリングとファイル分析を参照してください。

[代表管理者用のカスタムのユーザーロール(Custom User Roles for Delegated Administration)] 一覧を使用して AMP の設定にアクセスを付与する方法の詳細については、カスタム ユーザ ロールの責任のアップデートを参照してください。

電子メール レポーティング

電子メール レポーティングのアクセス権限では、カスタム ユーザ ロールのメール ポリシー、コンテンツ フィルタ、および DLP ポリシーへのアクセス権限に従い、委任管理者が表示できるレポートと [電子メール セキュリティ モニタ(Email Security Monitor)] ページを定義します。それらのレポートは割り当てられているポリシーに対してフィルタリングされていません。委任管理者は、自分が責任を負っていないメールと DLP ポリシーのレポートを表示できます。

電子メール レポーティング用の以下のアクセス レベルのいずれかをカスタム ユーザ ロールに割り当てることができます。

  • アクセスなし(No access):委任管理者は、 電子メールゲートウェイのレポートを表示できません。
  • 関連するレポートを表示(View relevant reports):委任管理者は、[電子メール セキュリティ モニタ(Email Security Monitor)] ページにあるそれぞれのメール ポリシー、コンテンツ フィルタ、および DLP ポリシーのアクセス権限に関連するレポートを表示できます。メール ポリシーとコンテンツ フィルタのアクセス権限がある委任管理者は、以下の [電子メール セキュリティ モニタ(Email Security Monitor)] ページを表示できます。
    • 概要
    • 受信メール
    • 送信先
    • [送信者(Outgoing Senders)]
    • [内部ユーザ(Internal Users)]
    • コンテンツ フィルタ
    • ウイルス アウトブレイク(Virus Outbreaks)
    • ウイルスの種類

    • アーカイブ レポート(Archived Reports)

    DLP ポリシーのアクセス権限がある委任管理者は、以下の [電子メール セキュリティ モニタ(Email Security Monitor)] ページを表示できます。

    • 概要
    • DLP インシデント(DLP Incidents)
    • アーカイブ レポート(Archived Reports)
  • すべてのレポートを表示(View all reports):委任管理者は、 電子メールゲートウェイのすべてのレポートと [電子メールセキュリティモニタ(Email Security Monitor)] ページを表示できます。

電子メール レポーティングと [電子メール セキュリティ モニタ(Email Security Monitor)] の詳細については、電子メール セキュリティ モニタの使用方法の章を参照してください。

メッセージ トラッキング

メッセージ トラッキングのアクセス権限では、カスタム ユーザ ロールに割り当てられている委任管理者がメッセージ トラッキングへのアクセス権限を持つかどうかを定義します。メッセージ トラッキングには、[システム管理(System Administration)] > [ユーザ(Users)] ページで [DLP トラッキング ポリシー(DLP Tracking Policies)] オプションがイネーブルになっていて、カスタム ユーザ ロールに DLP ポリシーのアクセス権限もある場合に、組織の DLP ポリシー違反となる可能性があるメッセージの内容も含まれます。

委任管理者はそれぞれに割り当てられている DLP ポリシーに対する DLP 違反のみ検索できます。

メッセージ トラッキングの詳細については、メッセージ トラッキングを参照してください。

委任管理者に、メッセージ トラッキング内の一致した DLP の内容を表示するためのアクセスを許可する方法の詳細については、メッセージ トラッキングでの機密情報へのアクセスの制御を参照してください。

トレース

トレースのアクセス権限では、カスタム ユーザー ロールに割り当てられている委任管理者がトレースを使用して、システムを介したメッセージ フローをデバッグできるかどうかを定義します。アクセス権限がある委任管理者は、トレースを実行して、生成されるすべての出力を表示できます。トレース結果は、委任管理者のメールまたは DLP ポリシー権限に基づきフィルタリングはされません。

トレースの使用方法の詳細については、テスト メッセージを使用したメール フローのデバッグ:トレースを参照してください。

隔離

隔離のアクセス権限では、委任管理者が割り当てられた隔離を管理できるかどうかを定義します。委任管理者は、割り当てられた隔離内の任意のメッセージを表示して、メッセージの解放や削除などのアクションを実行できますが、隔離の設定(サイズ、保存期間など)の変更、検疫の作成または削除はできません。

[モニタ(Monitor)] > [隔離(Quarantines)] ページまたは [ユーザの役割(User Roles)] ページの [代表管理者用のカスタムのユーザ役割(Custom User Roles for Delegated Administration)] テーブルを使用して、任意の隔離をカスタム ユーザ ロールに割り当てることができます。

管理ユーザに隔離管理タスクを割り当てる方法については、メッセージ処理タスクの他のユーザへの割り当てについてスパム隔離への管理ユーザ アクセスの設定を参照してください。

[代表管理者用のカスタムのユーザ役割(Custom User Roles for Delegated Administration)] 一覧を使用して隔離を割り当てる方法の詳細については、カスタム ユーザ ロールの責任のアップデートを参照してください。

暗号化プロファイル

暗号化プロファイルのアクセス権限では、委任管理者がコンテンツ フィルタまたは DLP ポリシーの編集時に、それぞれのカスタム ユーザ ロールに割り当てられている暗号化プロファイルを使用できるかどうかを定義します。暗号化プロファイルは、メールまたは DLP ポリシーのアクセス権限があるカスタム ユーザ ロールにのみ割り当てることができます。カスタム ロールに割り当てられない暗号化プロファイルは、メールまたは DLP ポリシー権限を持つすべての委任管理者が使用できます。委任管理者はいずれの暗号化プロファイルも表示または変更できません。

暗号化プロファイルは、[セキュリティ サービス(Security Services)] > [IronPort メール暗号化(IronPort Email Encryption)] ページを使用して暗号化プロファイルを作成または編集するときに割り当てることができます。

ログ サブスクリプション(Log Subscription)

ログ サブスクリプション アクセス権限は、カスタムユーザロールに割り当てられた委任管理者がログサブスクリプションまたはロギング API にアクセスしてログファイルを表示またはダウンロードできるかどうかを定義します。

カスタム ユーザー ロールの定義

GUI で [ユーザの役割(User Roles)] ページを使用して(または CLI で userconfig -> role コマンドを使用して)、新しいユーザ ロールを定義し、そのロールのアクセス権限を割り当てます。[ユーザの役割(User Roles)] ページには、 電子メールゲートウェイの既存のすべてのカスタムユーザロールと各ロールのアクセス権限が表示されます。

手順

ステップ 1

[システム管理(System Administration)] > [User Roles(ユーザの役割)] を選択します。

ステップ 2

[ユーザ役割の追加(Add User Role)] をクリックします。

ステップ 3

ユーザー ロールの名前を入力します。

ステップ 4

ユーザ ロールの説明とその権限を入力します。

ステップ 5

ユーザ ロールのアクセス権限を選択します。(各タイプのアクセス権限の詳細については、アクセス権限の割り当てを参照してください)。

ステップ 6

変更を送信し、保存します。

ユーザ アカウント追加時のカスタム ユーザ ロールの定義

電子メールゲートウェイに対してローカルユーザアカウントの追加または編集を行う際に、新しいカスタムユーザロールを作成できます。

ユーザ アカウントの追加の詳細については、ユーザの管理を参照してください。

手順

ステップ 1

[システム管理(System Administration)] > [ユーザ(Users)] ページに移動します。

ステップ 2

[ユーザの追加(Add User)] をクリックします。

ステップ 3

ユーザ アカウント作成時には、[カスタム役割(Custom Roles)] を選択します。

ステップ 4

[役割を追加(Add Role)] を選択します。

ステップ 5

新しいロールの名前を入力します。

ステップ 6

新しいユーザ アカウントを送信します。

AsyncOS により、新しいユーザ アカウントとカスタム ユーザ ロールが追加されたという通知が表示されます。

ステップ 7

[システム管理(System Administration)] > [ユーザの役割(User Roles)] ページに移動します。

ステップ 8

[代表管理者用のカスタムのユーザ役割(Custom User Roles for Delegated Administration)] テーブルでカスタム ユーザ ロールの名前をクリックします。

ステップ 9

ユーザ ロールの説明とその権限を入力します。

ステップ 10

ユーザ ロールのアクセス権限を選択します。(各タイプのアクセス権限の詳細については、アクセス権限の割り当てを参照してください)。

ステップ 11

変更を送信し、保存します。

カスタム ユーザ ロールの責任のアップデート

手順

ステップ 1

[システム管理(System Administration)] > [ユーザの役割(User Roles)] ページに移動します。

ステップ 2

アップデートするカスタム ユーザ ロールのアクセス権限の名前をクリックします。

AsyncOS により、 電子メールゲートウェイで使用可能なすべてのメールポリシー、コンテンツフィルタ、DLP ポリシー、または隔離の一覧、およびその他すべての割り当て済みカスタムユーザロールの名前が表示されます。

ステップ 3

委任管理者に責任を割り当てるメール ポリシー、コンテンツ フィルタ、DLP ポリシー、または隔離を選択します。

ステップ 4

変更を送信し、保存します。

カスタム ユーザー ロールの編集

手順

ステップ 1

[システム管理(System Administration)] > [ユーザの役割(User Roles)] ページに移動します。

ステップ 2

[代表管理者用のカスタムのユーザ役割(Custom User Roles for Delegated Administration)] 一覧でユーザ ロールの名前をクリックします。

ステップ 3

ユーザー ロールに変更を加えます。

ステップ 4

変更を送信し、保存します。

カスタム ユーザ ロールの複製

同様のアクセス権限がある複数のカスタム ユーザ ロールを作成し、異なるユーザのセットに異なる責任を割り当てたいことがあります。たとえば、 電子メールゲートウェイが複数ドメインのメッセージを処理する場合、同様のアクセス権限だが、ドメインに基づく異なるメールポリシーに対する権限であるカスタムユーザロールを作成することができます。こうすることで、委任管理者は、他の委任管理者の責任を妨げることなくそれぞれのドメインのメール ポリシーを管理できます。

手順

ステップ 1

[システム管理(System Administration)] > [ユーザの役割(User Roles)] ページに移動します。

ステップ 2

[代表管理者用のカスタムのユーザ役割(Custom User Roles for Delegated Administration)] 一覧で、複製するユーザ ロールに対応する複製アイコンをクリックします。

ステップ 3

カスタム ユーザ ロールの名前を変更します。

ステップ 4

新しいカスタム ユーザ ロールに必要なすべてのアクセス権限の変更を行います。

ステップ 5

変更を送信し、保存します。

カスタム ユーザー ロールの削除

カスタムロールが削除されると、ユーザは未割り当て状態になり、 電子メールゲートウェイにアクセスできなくなります。複数の個人に割り当てられたカスタム ユーザー ロールを削除すると、警告メッセージを受信しません。削除したカスタム ユーザー ロールに割り当てられていたすべてのユーザーを再割り当てする必要があります。

手順

ステップ 1

[システム管理(System Administration)] > [ユーザの役割(User Roles)] ページに移動します。

ステップ 2

[代表管理者用のカスタムのユーザ役割(Custom User Roles for Delegated Administration)] 一覧で、削除するユーザ ロールに対応するゴミ箱のアイコンをクリックします。

ステップ 3

表示される警告ダイアログで [削除(Delete)] をクリックして削除を確認します。

ステップ 4

変更を保存します。

パスフレーズ

パスフレーズの変更

管理ユーザは GUI の最上部にある [オプション(Options)] > [パスフレーズの変更(Change Passphrase)] リンクを使用して自分のパスフレーズを変更できます。

新しいパスフレーズを送信するとすぐにログアウトされ、ログイン画面が表示されます。

CLI で、passphrase コマンドまたは passwd コマンドを使用してパスフレーズを変更します。「admin」ユーザー アカウントのパスフレーズを忘れた場合は、パスフレーズをリセットするためにカスタマー サポート プロバイダーにご連絡ください。


(注)  
ログインパスフレーズを手動で作成することに加えて、電子メールゲートウェイにログインするためのシステム生成パスフレーズも作成できます。

passphrase コマンドでは、セキュリティのために古いパスフレーズの入力が必要です。


(注)  
パスフレーズの変更はすぐに有効になり、変更の確定は必要ではありません。

ユーザ アカウントのロックおよびロック解除

ユーザアカウントのロックは、ローカルユーザが電子メールゲートウェイにログインするのを防止します。ユーザ アカウントは、次のいずれかの場合にロックされることがあります。

  • AsyncOS は、ユーザが [ローカルユーザアカウントとパスフレーズの設定(Local User Account & Passphrase Settings)] セクションで定義されている失敗ログイン試行の最大回数を超えた場合にユーザ アカウントをロックします。
  • 管理者は、[システム管理(System Administration)] > [ユーザ(Users)] ページを使用して、セキュリティ目的でユーザ アカウントを手動でロックできます。

[ユーザ役割の編集(Edit User)] ページでユーザ アカウントを表示すると、AsyncOS によりユーザ アカウントがロックされた理由が表示されます。

ユーザ アカウントをロック解除するには、[ユーザ(Users)] 一覧でユーザ名をクリックしてユーザ アカウントを開き、[アカウントのロック解除(Unlock Account)] をクリックします。

ローカル ユーザ アカウントを手動でロックするには、[ユーザ(Users)] 一覧でユーザ名をクリックしてユーザ アカウントを開き、[アカウントのロック(Lock Account)] をクリックします。AsyncOS は、ユーザが電子メールゲートウェイにログインできなくなるというメッセージを表示し、継続するかどうかを問い合わせてきます。

ユーザが設定した試行回数を超えた後でログインに失敗した場合、すべてのローカル ユーザ アカウントをロックするように設定することもできます。詳細については、制限的なユーザ アカウントとパスフレーズの設定値の構成を参照してください。


(注)  
admin アカウントをロックした場合は、シリアル コンソール ポートへのシリアル通信接続経由で admin としてログインしてロック解除するしかありません。admin ユーザは、admin アカウントがロックされた場合でも、シリアルコンソールポートを使用して常に電子メールゲートウェイにアクセスできます。シリアルコンソールポートを使用して電子メールゲートウェイにアクセスする方法の詳細については、電子メールゲートウェイへの接続を参照してください。

制限的なユーザ アカウントとパスフレーズの設定値の構成

ユーザ アカウントとパスフレーズの制限を定義して、組織全体にパスフレーズ ポリシーを強制的に適用することができます。ユーザアカウントとパスフレーズの制限は、 電子メールゲートウェイに定義されたローカルユーザに適用されます。次の設定値を設定できます。

  • ユーザ アカウントのロック。ユーザのアカウントがロックアウトされる失敗ログインの試行回数を定義できます。
  • パスフレーズ存続期間のルール。ログイン後にユーザがパスフレーズの変更を要求されるまでの、パスフレーズの存続期間を定義できます。
  • パスフレーズのルール。任意指定の文字や必須の文字など、ユーザが選択できるパスフレーズの種類を定義できます。

ユーザ アカウントとパスフレーズの制限は、[システム管理(System Administration)] > [ユーザ(Users)] ページの [ローカル ユーザ アカウントとパスフレーズの設定(Local User Account & Passphrase Settings)] セクションで定義します。

Cloud ユーザ アカウント

Cloud ユーザ アカウントには、Cloud Administrator が変更できない事前設定済みのパスワード設定があります。Cloud ユーザには以下のパスワード設定が設定されています。

  • ユーザは初回ログイン時にパスワードを変更する必要があります。

  • ユーザは 6 か月ごとにパスワードを変更する必要があります。

  • パスワードは最低 8 文字で指定し、大文字(A ~ Z)を 1 文字、小文字(a ~ z)を 1 文字、数値(1 ~ 9)を 1 文字、特殊文字(@#$% など)を 1 文字含める必要があります。

手順

ステップ 1

[システム管理(System Administration)] > [ユーザ(Users)] を選択します。

ステップ 2

[ローカル ユーザ アカウントとパスフレーズの設定(Local User Account & Passphrase Settings)] セクションまでページを下にスクロールします。

ステップ 3

[設定の編集(Edit Settings)] をクリックします。

ステップ 4

次の説明に従って設定を行います。

設定

説明

[ユーザ アカウントのロック(User Account Lock)]

ユーザが正常にログインできない場合に、ユーザ アカウントをロックするかどうかを決定します。アカウントをロックすることになる失敗ログイン試行の回数を指定します。1 から 60 までの任意の数を入力できます。デフォルトは 5 です。

アカウントのロックを設定する場合は、ログインを試みているユーザに表示するメッセージを入力します。テキストは 7 ビット ASCII 文字を使用して入力します。このメッセージは、管理者によってロックされているユーザが正しいパスフレーズをアカウントに入力するときだけ表示されます。このメッセージは、ログイン試行の失敗によってロックされたアカウントには表示されません。

ユーザ アカウントがロックされた場合、管理者は GUI で [ユーザの編集(Edit User)] ページを使用するか、userconfig CLI コマンドを使用してロックを解除できます。

失敗したログインの試行は、ユーザが接続しているマシンや、接続のタイプ(SSH または HTTP など)に関係なく、ユーザ別に追跡されます。ユーザがログインに成功すると、失敗ログイン試行の回数は 0 にリセットされます。

失敗ログイン試行の最大回数に達したためにユーザ アカウントがロックアウトされると、管理者にアラートが送信されます。このアラートは「Info」重大度レベルに設定されます。

(注)  

 
個々のユーザ アカウントを手動でロックすることもできます。詳細については、ユーザ アカウントのロックおよびロック解除を参照してください。

パスフレーズのリセット

次から選択できます。

  • 管理者がユーザのパスフレーズを変更した後に、ユーザに強制的にパスフレーズを変更させます。
  • 指定した期間が経過した後で、ユーザにパスフレーズを強制的に変更させます。ユーザによるパスフレーズの変更が必要になるまでの、パスフレーズの有効日数を入力します。1 から 366 までの任意の数を入力できます。デフォルトは 90 です。この場合、任意に次を選択できます。
    • 近日中のパスフレーズ期限に関する通知を表示します。これを行うには、ユーザに通知する期限切れまでの日数を入力します。
    • パスフレーズの期限切れ後、パスフレーズをリセットするまでの猶予期間(指定した日数)を設定できます。これを行うには、日数を入力します。

猶予期間を設定する場合、指定した期間内にパスフレーズが変更されなければ、ユーザ アカウントはロックされます。猶予期間を設定しない場合、パスフレーズの期限切れ後、いつでもパスフレーズを変更できます。

(注)  

 
ユーザ アカウントがパスフレーズ チャレンジの代わりに SSH キーを使用している場合でも、パスフレーズ リセット ルールが適用されます。SSH キーを使用しているユーザ アカウントが期限切れになった場合、ユーザは古いパスフレーズを入力するか、アカウントに関連付けられているキーを変更するためにパスフレーズを手動で変更するよう管理者に依頼する必要があります。詳細については、セキュア シェル(SSH)キーの管理を参照してください。

パスフレーズ ルール:

<number> 文字以上にする必要があります。

パスフレーズに含める最小文字数を入力します。

0 ~ 128 の範囲内の任意の数を入力してください。

デフォルトは 8 文字です。

パスフレーズには、ここで指定した数以上の文字を使用できます。

パスフレーズ ルール:

数字(0~9)が1文字以上必要です。

パスフレーズに数字を少なくとも 1 文字含める必要があるかどうかを選択します。

パスフレーズ ルール:

特殊文字が1文字以上必要です。

パスフレーズに 1 文字以上の特殊文字を含める必要があるかどうかを決定します。パスフレーズには、次の特殊文字を使用できます。

~ ? ! @ # $ % ^ and * - _+ =

\ | / [ ] ( ) < > { } ` ' " ; : , 。

パスフレーズ ルール:

ユーザ名とその変化形をパスフレーズとして使用することはできません。

関連付けられているユーザ名またはユーザ名のバリエーションと同じパスフレーズが認められるかどうかを選択します。ユーザ名のバリエーションが禁止されている場合、以下のルールがパスフレーズに適用されます。

  • パスフレーズは、大文字と小文字の違いがあってもユーザ名とは同じにできません。
  • パスフレーズは、大文字と小文字の違いがあってもユーザ名を反転したものとは同じにできません。
  • パスフレーズは、以下の文字を置き換えた、ユーザ名または反転したユーザ名とは同じにできません。
    • 「a」の代わりに「@」または「4」
    • 「e」を「3」に置換
    • 「i」を「|」、「!」、または「1」に置換
    • 「o」を「0」に置換
    • 「s」を「$」または「5」に置換
    • 「t」を「+」または「7」に置換

パスフレーズ ルール:

直近 <number> 個のパスフレーズを再使用することはできません。

ユーザがパスフレーズを強制的に変更させられる場合に、ユーザが最近使用したパスフレーズの選択を認めるかどうかを選択します。最近のパスフレーズの再使用を認めない場合は、再使用を禁止する最近のパスフレーズの数を入力します。

1 から 15 までの任意の数を入力できます。デフォルトは 3 です。

パスフレーズ ルール:

パスフレーズで許可しない単語の一覧

パスフレーズでの使用を禁止する単語のリストを作成できます。

このファイルは、許可しない単語ごとに行を分けたテキスト ファイルにします。forbidden_password_words.txt という名前でファイルを保存し、SCP や FTP を使用してアプライアンスにファイルをアップロードします。

この制限を選択しても単語のリストをアップロードしないと、この制限は無視されます。

パスフレーズの強度

管理者またはユーザが新しいパスフレーズを入力するときに、パスフレーズ強度インジケータを表示できます。

この設定によって強固なパスフレーズが作成されるわけではありません。この設定は、入力したパスフレーズの推測されやすさを示すだけです。

インジケータを表示する対象ロールを選択します。次に、選択したロールごとにゼロより大きい数字を入力します。数値が大きいほど、強固なパスフレーズとして登録されるパスフレーズの実現が困難になります。この設定に最大値はありません。

例:

  • 30 と入力した場合は、少なくとも 1 つの大文字と小文字、数字、特殊文字を含む 8 文字のパスフレーズが強力なパスフレーズとして登録されます。
  • 18 と入力した場合は、すべて小文字で数字と特殊文字を含まない 8 文字のパスフレーズが強力なパスフレーズとして登録されます。

パスフレーズの強度は対数目盛で測定されます。評価は、NIST SP 800-63 付則 A の定義に準拠する、米国国立標準技術研究所のエントロピー ルールに基づいています。

一般的に、強固なパスフレーズは以下のような特徴を備えています。

  • 長い。
  • 大文字、小文字、数字、および特殊文字を含む。
  • あらゆる言語の辞書にある語を含まない。

これらの特徴を備えたパスフレーズを適用するには、このページの他の設定を使用します。

ステップ 5

変更を送信し、保存します。

次のタスク

[パスフレーズで使用禁止の単語リスト(List of words to disallow in passphrases)] を選択した場合は、前述したテキスト ファイルを作成してアップロードします。

外部認証

ネットワークの LDAP または RADIUS ディレクトリにユーザ情報を保存する場合は、外部ディレクトリを使用して 電子メールゲートウェイにログインするユーザを認証するよう 電子メールゲートウェイを設定できます。認証のために外部ディレクトリを使用するよう 電子メールゲートウェイを設定するには、GUI で [システム管理(System Administration)] > [ユーザー(Users)] ページを使用するか、CLI で userconfig コマンドと external サブコマンドを使用します。

外部認証がイネーブルの状態でユーザが 電子メールゲートウェイにログインすると、 電子メールゲートウェイは最初に、ユーザがシステム定義の「admin」アカウントであるかどうかを確認します。ユーザがシステム定義の「admin」アカウントでない場合、 電子メールゲートウェイは最初に設定された外部サーバをチェックして、ユーザがそこで定義されたかどうかを確認します。 電子メールゲートウェイが最初の外部サーバに接続できなければ、 電子メールゲートウェイは一覧の次の外部サーバをチェックします。

LDAP サーバの場合は、ユーザが外部サーバで認証に失敗すると、 電子メールゲートウェイはここで定義されたローカルユーザとしてユーザを認証しようとします。そのユーザが外部サーバまたは 電子メールゲートウェイに存在しない場合、またはユーザが間違ったパスフレーズを入力した場合は、 電子メールゲートウェイへのアクセスが拒否されます。

外部 RADIUS サーバに接続できなければ、一覧の次のサーバが試行されます。すべてのサーバに接続できない場合、 電子メールゲートウェイはここで定義されたローカルユーザとしてユーザを認証しようとします。ただし、外部 RADIUS サーバが何らかの理由(パスフレーズ間違いやユーザ未登録など)でユーザを拒否すると、 電子メールゲートウェイへのアクセスは拒否されます。

関連項目

LDAP 認証のイネーブル化

ユーザを認証するために LDAP ディレクトリを使用する以外に、LDAP グループを Cisco ユーザ ロールに割り当てることができます。たとえば、IT グループのユーザを管理者ユーザ ロールに割り当てたり、Support グループのユーザをヘルプ デスク ユーザ ロールに割り当てたりできます。1 人のユーザが複数の LDAP グループに属しており、それぞれユーザ ロールが異なる場合は、最も限定的なロールのアクセス許可が AsyncOS によってそのユーザに付与されます。たとえば、ユーザが Operator 権限を持つグループと Help Desk User 権限を持つグループに属する場合、AsyncOS はユーザに Help Desk User ロールの権限を割り当てます。


(注)  
外部ユーザが自分の LDAP グループのユーザロールを変更する場合は、 電子メールゲートウェイからログアウトして再度ログインする必要があります。これにより、そのユーザに新しいロールの権限が付与されます。

はじめる前に

LDAP サーバの LDAP サーバ プロファイルおよび外部認証クエリーを定義します。詳細については、LDAP クエリを参照してください。

手順

ステップ 1

[システム管理(System Administration)] > [ユーザ(Users)] を選択します。

ステップ 2

[Web 認証(Web Authentication)] セクションまでスクロールします。

ステップ 3

[有効(Enable)] をクリックします。

ステップ 4

[外部認証を有効にする(Enable External Authentication)] チェックボックスをオンにします。

ステップ 5

認証タイプとして [LDAP] を選択します。

ステップ 6

Web ユーザ インターフェイスで、外部認証クレデンシャルを保存する時間を入力します。

ステップ 7

ユーザを認証する LDAP 外部認証クエリーを選択します。

ステップ 8

タイムアウトするまで 電子メールゲートウェイがサーバからの応答を待つ時間を秒単位で入力します。

ステップ 9

電子メールゲートウェイで認証する LDAP ディレクトリからのグループ名を入力し、グループのユーザに対するロールを選択します。

ステップ 10

また、[行の追加(Add Row)] をクリックして別のディレクトリ グループを追加することもできます。 電子メールゲートウェイが認証する各ディレクトリグループに対してステップ 9 とステップ 10 を繰り返します。

ステップ 11

変更を送信し、保存します。

RADIUS 認証の有効化

ユーザの認証に RADIUS ディレクトリを使用し、ユーザのグループを Cisco ロールに割り当てることもできます。RADIUS サーバは CLASS 属性をサポートする必要があります(AsyncOS は RADIUS ディレクトリのユーザーを Cisco ユーザー ロールに割り当てるために CLASS 属性を使用します)。AsyncOS は、RADIUS サーバと通信するために Password Authentication Protocol(PAP; パスワード認証プロトコル)と Challenge Handshake Authentication Protocol(CHAP; チャレンジ ハンドシェイク認証プロトコル)の 2 つの認証プロトコルをサポートします。

RADIUS ユーザーを Cisco ユーザー ロールに割り当てるには、最初に RADIUS サーバで <radius-group> という文字列値を使用して CLASS 属性を設定します(これは Cisco ユーザー ロールにマップされます)。CLASS 属性には文字、数字、およびダッシュを含めることができますが、先頭にダッシュを使用することはできません。AsyncOS は CLASS 属性で複数の値をサポートしません。CLASS 属性またはマップされていない CLASS 属性がないグループに属する RADIUS ユーザは、 電子メールゲートウェイにログインできません。

電子メールゲートウェイが RADIUS サーバと通信できない場合、ユーザは 電子メールゲートウェイのローカルユーザアカウントでログインできます。


(注)  
外部ユーザが RADIUS グループのユーザ ロールを変更する場合は、アプライアンスからログアウトして再びログインする必要があります。このユーザは新しいロールの権限を持ちます。
手順

ステップ 1

[システム管理(System Administration)] > [ユーザー(Users)] ページで、[有効(Enable)] をクリックします。

ステップ 2

すでに有効になっていない場合は、[外部認証を有効にする(Enable External Authentication)] オプションをオンにします。

ステップ 3

RADIUS サーバのホスト名を入力します。

ステップ 4

RADIUS サーバのポート番号を入力します。デフォルトのポート番号は 1812 です。

ステップ 5

RADIUS サーバの共有秘密パスワードを入力します。

ステップ 6

タイムアウトするまで 電子メールゲートウェイがサーバからの応答を待つ時間を秒単位で入力します。

ステップ 7

(オプション)[行を追加(Add Row)] をクリックして別の RADIUS サーバを追加します。各 RADIUS サーバについて、3 ~ 6 のステップを繰り返します。

(注)  

 
最大 10 個の RADIUS サーバを追加できます。

ステップ 8

RADIUS サーバに再度問い合わせ、「External Authentication Cache Timeout」フィールドで再認証するまで、AsyncOS が外部認証クレデンシャルを保存する秒数を入力します。デフォルトはゼロ(0)です。

(注)  

 
RADIUS サーバがワンタイム パスワード(たとえば、トークンから作成されるパスワード)を使用する場合、ゼロ(0)を入力します。値をゼロに設定すると、AsyncOS は、現在のセッション中に認証のために RADIUS サーバに再アクセスしません。

(注)  

 
キャッシュタイムアウト値は、0 ~ 86400 の範囲の整数(単位:秒)である必要があります。推奨される最大キャッシュタイムアウト値は 3600 です。

ステップ 9

グループ マッピングの設定

設定

説明

外部認証されたユーザを複数のローカル ロールにマッピング。

AsyncOS は、RADIUS CLASS 属性に基づいて、RADIUS ユーザを 電子メールゲートウェイロールに割り当てます。CLASS 属性の要件:

  • 3 文字以上
  • 253 文字以下
  • コロン、カンマ、または改行文字なし
  • 各 RADIUS ユーザに対し 1 つ以上のマップ済み CLASS 属性(この設定を使用する場合、AsyncOS は、マップ済み CLASS 属性のない RADIUS ユーザへのアクセスを拒否します)。

複数の CLASS 属性のある RADIUS ユーザの場合、AsyncOS は最も制限されたロールを割り当てます。たとえば、Operator ロールにマッピングされている CLASS 属性と、Read-Only Operator ロールにマッピングされている CLASS 属性の 2 つが RADIUS ユーザにある場合、AsyncOS は、Operator ロールよりも制限された Read-Only Operator ロールに RADIUS ユーザを割り当てます。

次の 電子メールゲートウェイロールは、制限の少ないものから順番に並べられています。

  • admin
  • 管理者(Administrator)
  • 専門技術者
  • Operator cloudadmin
  • Read-only Operator
  • ヘルプ デスク ユーザ
  • ゲスト

外部認証されたすべてのユーザを管理ロールにマップします。

AsyncOS は RADIUS ユーザを Administrator ロールに割り当てます。

ステップ 10

Administrator ロールまたは異なる 電子メール ゲートウェイ ユーザー ロール タイプにすべての外部認証されたユーザーをマッピングするかを選択します。

ステップ 11

異なるロールタイプにユーザをマッピングする場合、[グループ名(Group Name)] または [ディレクトリ(Directory)] フィールドの RADIUS CLASS 属性に定義されているようにグループ名を入力し、[ロール(Role)] フィールドから 電子メール ゲートウェイ ロール タイプを選択します。[行を追加(Add Row)] をクリックして、さらにロール マッピングを追加できます。

ユーザー ロール タイプの詳細については、ユーザ アカウントを使用する作業を参照してください。

ステップ 12

変更を送信し、保存します。

SAML 認証の有効化

SAML を使用したシングル サインオンを有効化し、ユーザを認証してユーザのグループをシスコのルールに割り当てることができます。

始める前に

サービス プロバイダーおよび ID プロバイダーの設定を含む SAML プロファイルが設定済みである必要があります。「電子メールゲートウェイでの SSO の設定方法」を参照してください。

手順

ステップ 1

[システム管理(System Administration)] > [ユーザー(Users)] に移動します。

ステップ 2

[Web 認証(Web Authentication)] セクションまでスクロールします。

ステップ 3

[有効(Enable)] をクリックします。

ステップ 4

[外部認証を有効にする(Enable External Authentication)] チェックボックスをオンにします。

ステップ 5

ドロップダウンリストから、認証タイプとして [SAML] を選択します。

ステップ 6

(オプション)[外部認証属性名マップ(External Authentication Attribute Name Map)] フィールドに、グループ マッピングから検索する属性名を入力します。

属性名は、SAML 応答をリレーするために ID プロバイダーに対して設定する属性によって異なります。 電子メールゲートウェイは、[グループマッピング(Group Mapping)] フィールドに設定した属性に照らし、SAML 応答からの属性名の一致するエントリを検索します。これは省略可能であり、設定しない場合、 電子メールゲートウェイは、SAML 応答内に存在するすべての属性の一致するエントリを、[グループマッピング(Group Mapping)] フィールドに設定された値と照らして検索します。

ステップ 7

[グループマッピング(Group Mapping)] フィールドに、事前定義済みまたはカスタムのユーザ ロールに基づいて SAML ディレクトリで定義されているグループ名属性を入力します。[行の追加(Add Row)] をクリックして複数のロール マッピングを追加できます。

グループ マッピングには、グループ属性を含める必要があります。「未指定のグループ(Unspecified Groups)」属性を追加して、SAML アサーションまたは応答を認証できます。

ユーザ ロール タイプの詳細については、ユーザ アカウントを使用する作業を参照してください。

(注)  

 

[グループマッピング(Group Mapping)] の属性は、大文字と小文字が区別されます。正しい結果が返されるようにするには、正確に一致している必要があります。

ステップ 8

変更を送信し、保存します。
次のタスク

SAML 外部認証を有効にした後は、 電子メールゲートウェイのログインページにある [シングルサインオンを使用(Use Single Sign On)] リンクを使用し、ユーザ名を入力して 電子メールゲートウェイにログインできます。

電子メールゲートウェイへのアクセスの設定

AsyncOS では、電子メールゲートウェイへのユーザのアクセス権管理を、管理者が制御できます。これを使用して、Web UI セッションのタイムアウトや、ユーザと組織のプロキシサーバから電子メールゲートウェイへのアクセス元となる IP アドレスを指定する、アクセスリストなどを管理できます。

関連項目

IP ベースのネットワーク アクセスの設定

アプライアンスに直接接続するユーザおよび逆プロキシで接続するユーザ(リモートユーザに逆プロキシを使用する組織の場合)のアクセスリストを作成して、電子メールゲートウェイにアクセスするユーザの IP アドレスを制御できます。

関連項目

直接接続

電子メールゲートウェイに接続可能なマシンの IP アドレス、サブネット、または CIDR アドレスを指定できます。ユーザは、アクセスリストの IP アドレスを持つすべてのマシンから、電子メールゲートウェイにアクセスできます。リストに含まれていないアドレスから電子メールゲートウェイに接続しようとするユーザのアクセスは拒否されます。

プロキシ経由の接続

リモートユーザのマシンと電子メールゲートウェイの間で逆プロキシサーバが使用される組織のネットワークの場合、AsyncOS では電子メールゲートウェイに接続可能なプロキシの IP アドレスを含むアクセスリストを作成できます。

逆プロキシを使用している場合でも、AsyncOS は、ユーザ接続が許可されている IP アドレスのリストと照合して、リモート ユーザのマシンの IP アドレスを検証します。リモートユーザの IP アドレスを電子メールゲートウェイに送信するには、プロキシで x-forwarded-for HTTP ヘッダーを電子メールゲートウェイへの接続要求に含める必要があります。

x-forwarded-for ヘッダーは RFC 非準拠の HTTP ヘッダーであり、次の形式になります。

x-forwarded-for: client-ip, proxy1, proxy2,... CRLF .

このヘッダーの値はカンマ区切りの IP アドレスのリストです。左端のアドレスがリモート ユーザー マシンのアドレスで、その後に、接続要求を転送した一連の各プロキシのアドレスが続きます(ヘッダー名は設定可能です)。電子メールゲートウェイは、ヘッダーのリモートユーザの IP アドレスおよび接続プロキシの IP アドレスを、アクセスリストで許可されたユーザ IP アドレスやプロキシ IP アドレスと照合します。


(注)  
AsyncOS は x-forwarded-for ヘッダーでは IPv4 アドレスだけをサポートします。

ネットワーク アクセスを制限する際の重要な注意事項

注意:次のいずれかの条件が true の場合、ネットワークアクセスの変更を送信して確定した後、電子メールゲートウェイにアクセスできなくなることがあります。

  • [特定の接続のみを許可(Only Allow Specific Connections)] を選択し、現在のマシン(クラスタ化環境内の PC、電子メールゲートウェイ、または Cisco Secure Manager Email and Web Gateway など)の IP アドレスがリストに含まれない場合。
  • [特定のプロキシ経由接続のみを許可(Only Allow Specific Connections Through Proxy)] を選択し、現在電子メールゲートウェイに接続されているプロキシの IP アドレスがプロキシリストに存在せず、許可されている IP アドレスのリストに送信元 IP ヘッダーの値が存在しない場合。
  • [特定の直接接続またはプロキシ経由接続のみを許可(Only Allow Specific Connections Directly or Through Proxy)] を選択し、

    • 許可されている IP アドレスのリストに送信元 IP ヘッダーの値が存在しない場合

      または

    • 許可されている IP アドレスのリストに送信元 IP ヘッダーの値が存在せず、電子メールゲートウェイに接続されたプロキシの IP アドレスが許可されているプロキシのリストに存在しない場合。

アクセス リストの作成

ネットワーク アクセス リストは、GUI または adminaccessconfig > ipaccess CLI コマンドを使用して作成できます。

はじめる前に

ネットワークアクセスの設定を変更後、電子メールゲートウェイからロックアウトされないようにします。ネットワーク アクセスを制限する際の重要な注意事項を参照してください。

手順

ステップ 1

[システム管理(System Administration)] > [Network Access(ネットワーク アクセス)] を選択します。

ステップ 2

[設定の編集(Edit Settings)] をクリックします。

ステップ 3

アクセス リストの制御モードを選択します。

オプション

説明

すべてを許可(Allow All)

このモードでは、電子メールゲートウェイへのすべての接続が許可されます。

これが操作のデフォルト モードです。

特定の接続のみを許可(Only Allow Specific Connections)

このモードは、ユーザの IP アドレスが、アクセスリストに含まれている IP アドレス、IP 範囲、または CIDR 範囲と一致する場合に、ユーザの電子メールゲートウェイへの接続を許可します。

特定のプロキシ経由接続のみを許可(Only Allow Specific Connections Through Proxy)

このモードは、次の条件を満たせば、逆プロキシ経由で電子メールゲートウェイへの接続を許可します。

  • 接続プロキシの IP アドレスが、アクセス リストの [プロキシサーバのIPアドレス(IP Address of Proxy Server)] フィールドに含まれている。
  • プロキシの接続要求に x-forwarded-header HTTP ヘッダーが記載されている。
  • x-forwarded-header の値が空ではない。
  • リモート ユーザの IP アドレスが x-forwarded-header に含まれ、それがアクセス リスト内のユーザに対して定義された IP アドレス、IP 範囲、または CIDR 範囲と一致する。

特定の直接またはプロキシ経由接続のみを許可(Only Allow Specific Connections Directly or Through Proxy)

このモードは、アクセスリストに含まれる IP アドレス、IP 範囲、CIDR 範囲のいずれかにユーザの IP アドレスが一致すれば、電子メールゲートウェイへの逆プロキシ経由接続または直接接続を許可します。プロキシ経由接続の条件は、[特定のプロキシ経由接続のみを許可(Only Allow Specific Connections Through Proxy)] モードと同じです。

ステップ 4

電子メールゲートウェイへの接続を許可するユーザの IP アドレスを入力します。

IP アドレス、IP アドレス範囲または CIDR 範囲を入力できます。複数のエントリを指定する場合は、カンマで区切ります。

ステップ 5

プロキシ経由接続が許可されている場合は、次の情報を入力します。

  1. 電子メールゲートウェイへの接続を許可するプロキシの IP アドレス。複数のエントリを指定する場合は、カンマで区切ります。

  2. プロキシが電子メールゲートウェイに送信する発信元の IP ヘッダーの名前。これには、リモートユーザマシンの IP アドレスと、要求を転送したプロキシサーバの IP アドレスが含まれます。デフォルトのヘッダー名は x-forwarded-for です。

ステップ 6

変更を送信および確定後に電子メールゲートウェイからロックアウトされる変更が構成されていないことを確認します。

ステップ 7

変更を送信し、保存します。

セッション タイムアウトの設定

Web UI セッション タイムアウトの設定

AsyncOS が、電子メールゲートウェイの Web UI から非アクティブなユーザをログアウトするまでの時間を指定できます。この Web UI セッション タイムアウトは以下に適用されます。

  • すべてのユーザ(管理者を含む)
  • HTTP セッションおよび HTTPS セッション
  • Cisco スパム隔離

AsyncOS によってユーザがログアウトされると、電子メールゲートウェイはユーザの Web ブラウザをログインページにリダイレクトします。

手順

ステップ 1

[システム管理(System Administration)] > [Network Access(ネットワーク アクセス)] を選択します。

ステップ 2

[設定の編集(Edit Settings)] をクリックします。

ステップ 3

ログアウトまでにユーザを非アクティブにできる分数を [Web UI 非アクティブ タイムアウト(Web UI Inactivity Timeout)] フィールドに入力します。5 ~ 1440 分のタイムアウト期間を定義できます。

ステップ 4

変更を送信し、保存します。

次のタスク

また、CLI で adminaccessconfig コマンドを使用して Web UI セッション タイムアウトを設定することもできます。『CLI Reference Guide for AsyncOS for Cisco Secure Email Gateway』を参照してください。

CLI セッション タイムアウトの設定

AsyncOS が、電子メールゲートウェイの CLI から非アクティブなユーザをログアウトするまでの時間を指定できます。以下に CLI セッション タイムアウトが適用されます。

  • すべてのユーザ(管理者を含む)
  • セキュア シェル(SSH)、SCP、および直接シリアル接続を使用している接続のみ

(注)  
CLI セッション タイムアウト時に未確定の設定変更は失われます。設定を変更したらすぐに確定してください。
手順

ステップ 1

[システム管理(System Administration)] > [Network Access(ネットワーク アクセス)] を選択します。

ステップ 2

[設定の編集(Edit Settings)] をクリックします。

ステップ 3

[CLI 非アクティブ タイムアウト(CLI Inactivity Timeout)] フィールドに、ログアウトされるまでにユーザを非アクティブにできる分数を入力します。5 ~ 1440 分のタイムアウト期間を定義できます。

ステップ 4

変更を送信し、保存します。

次のタスク

また、CLI で adminaccessconfig コマンドを使用して CLI セッション タイムアウトを設定することもできます。『CLI Reference Guide for AsyncOS for Cisco Secure Email Gateway』を参照してください。

管理ユーザへのメッセージの表示

ログイン前のメッセージの表示

ユーザが SSH、FTP、または Web UI から電子メールゲートウェイにログインしようとする前にメッセージを表示するように電子メールゲートウェイを設定できます。ログイン バナーは、ログイン プロンプトの上に表示されるカスタマイズ可能なテキストです。ログインバナーを使用して、内部のセキュリティ情報または電子メールゲートウェイのベストプラクティスに関する説明を表示できます。たとえば、許可しない電子メールゲートウェイの使用を禁止する簡単な注意文言を作成したり、ユーザが電子メールゲートウェイに対して行った変更を確認する企業の権利に関する詳細な警告を作成したりできます。

CLI の adminaccessconfig > banner コマンドを使用して、ログイン バナーを作成します。ログイン バナーは、80 x 25 のコンソールに収まるように最大 2000 文字になっています。ログインバナーは、電子メールゲートウェイの /data/pub/configuration ディレクトリにあるファイルからインポートできます。バナーを作成したら、変更内容を確定します。

ログイン後のメッセージの表示

ユーザが SSH、FTP、または Web UI を使用して電子メールゲートウェイに正常にログインした後に、ウェルカムバナーを表示するように AsyncOS を設定できます。ウェルカムバナーを使用して、内部のセキュリティ情報または電子メールゲートウェイのベストプラクティスに関する説明を表示できます。

CLI で adminaccessconfig > welcome コマンドを使用して、ウェルカム バナーを作成します。ウェルカム バナーの最大長は 1600 文字です。

ウェルカムバナーは、電子メールゲートウェイの /data/pub/configuration ディレクトリにあるファイルからインポートできます。バナーを作成したら、変更内容を確定します。

詳細については、『CLI Reference Guide for AsyncOS for Cisco Secure Email Gateway』を参照してください。

セキュア シェル(SSH)キーの管理

sshconfig コマンドを使用して、次の操作を実行します。

  • システムで設定されたユーザ アカウント(admin アカウントを含む)の authorized_keys ファイルにセキュア シェル(SSH)公開ユーザ キーを追加したり、それらのキーを削除したりできます。これにより、パスフレーズ チャレンジではなく SSH キーを使用してユーザ アカウントを認証できるようになります。
  • 次の SSH サーバの設定を編集できます。
    • 公開キー認証アルゴリズム
    • 暗号アルゴリズム
    • KEX アルゴリズム
    • MAC メソッド

(注)  

電子メールゲートウェイから他のホストマシンへのログファイルの SCP プッシュを実行する場合に使用されるホストキーを設定するには、logconfig -> hostkeyconfig を使用します。詳細については、ログを参照してください。

hostkeyconfig を使用すると、リモートホストのキーをスキャンし、電子メールゲートウェイに追加できます。

関連項目

例:新しい公開キーのインストール

次の例では、管理者アカウントの新規公開キーをインストールします。 


mail.example.com> sshconfig
Choose the operation you want to perform:
- SSHD - Edit SSH server settings.
- USERKEY - Edit SSH User Key settings
[]> userkey
Currently installed keys for admin:
Choose the operation you want to perform:
- NEW - Add a new key.
- USER - Switch to a different user to edit.
[]> new
Please enter the public SSH key for authorization.
Press enter on a blank line to finish.
[-paste public key for user authentication here-]
Choose the operation you want to perform:
- SSHD - Edit SSH server settings.
- USERKEY - Edit SSH User Key settings
[]>

例:SSH サーバ設定の編集

次に、SSH サーバ設定を編集する方法の例を示します。 

mail1.example.com> sshconfig

Choose the operation you want to perform:
- SSHD - Edit SSH server settings.
- USERKEY - Edit SSH User Key settings
- ACCESS CONTROL - Edit SSH allowed list/blocked list
[]> sshd

ssh server config settings:
Public Key Authentication Algorithms: 
        ssh-rsa
        rsa-sha2-256
        ssh-ed25519
        ecdsa-sha2-nistp256
Cipher Algorithms: 
        aes128-ctr
        aes192-ctr
        aes256-ctr
        aes128-cbc
        aes192-cbc
        aes256-cbc
        aes128-gcm@openssh.com
        chacha20-poly1305@openssh.com
MAC Methods: 
        hmac-sha1
        hmac-sha2-256
KEX Algorithms: 
        diffie-hellman-group14-sha1
        ecdh-sha2-nistp256
        ecdh-sha2-nistp384
        ecdh-sha2-nistp521
        curve25519-sha256
        diffie-hellman-group14-sha256
        curve25519-sha256@libssh.org

Choose the operation you want to perform:
- SETUP - Setup SSH server configuration settings
[]> setup

Available Public Key Authentication Algorithms options :
        rsa-sha2-256
        ssh-rsa
        ssh-dss
        ssh-ed25519
        ecdsa-sha2-nistp256
Enter the Public Key Authentication Algorithms do you want to use
[ssh-rsa,rsa-sha2-256, ssh-ed25519,ecdsa-sha2-nistp256]> 

Available Cipher Algorithms options :
        aes128-ctr
        aes192-ctr
        aes256-ctr
        aes128-cbc
        aes192-cbc
        aes256-cbc
        aes128-gcm@openssh.com
        chacha20-poly1305@openssh.com
Enter the Cipher Algorithms do you want to use
[aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc,
 aes128-gcm@openssh.com,chacha20-poly1305@openssh.com]> 

Available MAC Methods options :
        hmac-sha1
        hmac-sha2-256

Enter the MAC Methods do you want to use
[hmac-sha1, hmac-sha2-256]> 

Available KEX Algorithms options :
        diffie-hellman-group14-sha1
        ecdh-sha2-nistp256
        ecdh-sha2-nistp384
        ecdh-sha2-nistp521
        curve25519-sha256
        diffie-hellman-group14-sha256
        curve25519-sha256@libssh.org
Enter the KEX Algorithms do you want to use
[diffie-hellman-group14-sha1,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,
 curve25519-sha256,diffie-hellman-group14-sha256,curve25519-sha256@libssh.org]> 

ssh server config settings:
Public Key Authentication Algorithms: 
        ssh-rsa
        rsa-sha2-256
        ssh-ed25519
        ecdsa-sha2-nistp256
Cipher Algorithms: 
        aes128-ctr
        aes192-ctr
        aes256-ctr
        aes128-cbc
        aes192-cbc
        aes256-cbc
        aes128-gcm@openssh.com
        chacha20-poly1305@openssh.com
MAC Methods: 
        hmac-sha1
        hmac-sha2-256
KEX Algorithms: 
        diffie-hellman-group14-sha1
        ecdh-sha2-nistp256
        ecdh-sha2-nistp384
        ecdh-sha2-nistp521
        curve25519-sha256
        diffie-hellman-group14-sha256
        curve25519-sha256@libssh.org

Choose the operation you want to perform:
- SETUP - Setup SSH server configuration settings
[]>

リモート SSH コマンド実行

CLI では、リモート SSH コマンド実行を使用してコマンドを実行できます。たとえば、電子メールゲートウェイで admin アカウントに対して SSH 公開キーが設定されている場合は、チャレンジされないリモートホストから次のコマンドを実行できます。 

# ssh admin@mail3.example.com status

Enter "status detail" for more information.

Status as of: Mon Jan 20 17:24:15 2003

Last counter reset: Mon Jan 20 17:08:21 2003

System status: online

[rest of command deleted]

管理ユーザー アクセスのモニタリング

目的

操作手順

電子メールゲートウェイについて、アクティブユーザすべてのセッション詳細を表示する

ページ右上で [オプション(Options)] > [アクティブなセッション(Active Sessions)] をクリックします

コマンドライン インターフェイスで、w、whoami および who コマンドを使用します。

電子メールゲートウェイに最近ログインしたユーザを表示します。

また、リモート ホストの IP アドレス、ログイン時間、ログアウト時間、および合計時間も表示する

コマンドライン インターフェイスで last コマンドを使用します。