この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章では、ユーザにシステムへのアクセスを許可する前にユーザのログイン クレデンシャルを認証する Cisco Unified Communications Manager のクレデンシャル ポリシーについて説明します。 ユーザ アカウントを保護するには、失敗したログイン試行、ロックアウト期間、パスワード有効期間、およびパスワード要件に関する設定を Cisco Unified Communications Manager の管理ページで指定します。 これらの認証規則によって、クレデンシャル ポリシーが構成されます。
クレデンシャル ポリシーの適用対象は、アプリケーション ユーザとエンド ユーザです。 管理者は、パスワード ポリシーをエンド ユーザとアプリケーション ユーザに割り当て、暗証番号ポリシーをエンド ユーザに割り当てます。 これらのグループのポリシー割り当ては、[クレデンシャルポリシーのデフォルトの設定(Credential Policy Default Configuration)] に一覧表示されます。
インストール時に、 Cisco Unified Communications Manager によって、ユーザ グループに静的なデフォルト クレデンシャル ポリシーが割り当てられます。 デフォルト クレデンシャルは提供されません。 Cisco Unified Communications Manager の管理ページの [クレデンシャルポリシーのデフォルトの設定(Credential Policy Default Configuration)] ウィンドウには、新しいデフォルト ポリシーを割り当てたり、ユーザの新しいデフォルト クレデンシャルやクレデンシャル要件を設定したりするためのオプションが用意されています。
(注) |
空(ヌル)のクレデンシャルはサポートされません。 システムで LDAP 認証を使用している場合は、インストール直後にエンド ユーザのデフォルト クレデンシャルを設定する必要があります。設定しないと、ログインが失敗します。 |
Cisco Unified Communications Manager データベースに新しいユーザを追加すると、デフォルト ポリシーが割り当てられます。 [ユーザの設定(User Configuration)] ウィンドウにある [クレデンシャルの編集(Edit Credential)] ボタンを使用して、割り当てられたポリシーを変更したり、ユーザ認証イベントを管理したりできます。
Cisco Unified Communications Manager は、システム アクセスを許可する前に、ユーザのログイン クレデンシャルを認証します。 ユーザ アカウントを保護するには、失敗したログイン試行、ロックアウト期間、パスワード有効期間、およびパスワード要件に関する設定を Cisco Unified Communications Manager の管理ページで指定します。 これらの認証規則によって、クレデンシャル ポリシーが構成されます。
クレデンシャル ポリシーの適用対象は、アプリケーション ユーザとエンド ユーザです。 管理者は、パスワード ポリシーをエンド ユーザとアプリケーション ユーザに割り当て、暗証番号ポリシーをエンド ユーザに割り当てます。 これらのグループのポリシー割り当ては、[クレデンシャルポリシーのデフォルトの設定(Credential Policy Default Configuration)] に一覧表示されます。
インストール時に、 Cisco Unified Communications Manager によって、ユーザ グループに静的なデフォルト クレデンシャル ポリシーが割り当てられます。 デフォルト クレデンシャルは提供されません。 Cisco Unified Communications Manager の管理ページの [クレデンシャルポリシーのデフォルトの設定(Credential Policy Default Configuration)] ウィンドウには、新しいデフォルト ポリシーを割り当てたり、ユーザの新しいデフォルト クレデンシャルやクレデンシャル要件を設定したりするためのオプションが用意されています。
(注) |
空(ヌル)のクレデンシャルはサポートされません。 システムで LDAP 認証を使用している場合は、インストール直後にエンド ユーザのデフォルト クレデンシャルを設定する必要があります。設定しないと、ログインが失敗します。 |
Cisco Unified Communications Manager データベースに新しいユーザを追加すると、デフォルト ポリシーが割り当てられます。 [ユーザの設定(User Configuration)] ウィンドウにある [クレデンシャルの編集(Edit Credential)] ボタンを使用して、割り当てられたポリシーを変更したり、ユーザ認証イベントを管理したりできます。
Cisco Unified Communications Manager の認証機能は、ユーザの認証、クレデンシャル情報の更新、ユーザ イベントとエラーの追跡およびロギング、クレデンシャルの変更履歴の記録、およびデータ保管のためのユーザ クレデンシャルのエンコード/デコード(または暗号化/復号化)を行います。
システムは常に、アプリケーション ユーザのパスワードとエンド ユーザの暗証番号を Cisco Unified Communications Manager データベースと照合して認証します。 システムは、エンド ユーザのパスワードを社内ディレクトリまたは Cisco Unified Communications Manager データベースと照合して認証できます。
システムが社内ディレクトリと同期されている場合は、 Cisco Unified Communications Manager の認証機能または LDAP によって、このパスワードを認証できます。
LDAP 認証が有効になっている場合、 Cisco Unified Communications Manager の管理ページで設定されているユーザのパスワードとクレデンシャル ポリシーは適用されません。 これらのデフォルトは、ディレクトリ同期(DirSync サービス)で作成されたユーザに適用されます。
LDAP 認証が無効になっている場合、システムはユーザ クレデンシャルを Cisco Unified Communications Manager データベースと照合して認証します。 このオプションを使用すると、管理者はクレデンシャル ポリシーの割り当て、認証イベントの管理、およびパスワードの管理を行うことができます。 エンド ユーザは、電話機のユーザ ページでパスワードと暗証番号を変更できます。
LDAP 認証の詳細については、ディレクトリの概要を参照してください。
クレデンシャル ポリシーは、OS ユーザや CLI ユーザには適用されません。 これらの管理者は、OS がサポートしている標準のパスワード検証手順を使用します。 OS のログイン手順については、『 Cisco Unified Communications Operating System Administration Guide』を参照してください。
パフォーマンスを向上させるために、管理者は、エンタープライズ パラメータ "Enable Caching" を [True] に設定できます。 このパラメータを使用すると、 Cisco Unified Communications Manager は、キャッシュされたクレデンシャルを最大 2 分間使用できます。 これにより、ログイン要求が発行されるたびに Cisco Unified Communications Manager がデータベース検索を実行したり、ストアド プロシージャを呼び出したりする必要がなくなるため、システムの効率が向上します。 関連付けられたクレデンシャル ポリシーは、キャッシュの有効期間が切れるまで適用されません。
この設定は、ユーザ認証を呼び出すすべての Java アプリケーションに適用されます。 このエンタープライズ パラメータを [False] に設定すると、キャッシュがオフになり、キャッシュされたクレデンシャルが認証に使用されなくなります。 LDAP 認証では、この設定は無視されます。 クレデンシャルのキャッシュを実行する場合は、ユーザごとに、ごくわずかな追加メモリが必要になります。
一括管理ツール(BAT)を使用すると、管理者は BAT ユーザ テンプレートで、ユーザのグループに共通のクレデンシャル パラメータ(パスワードや PIN など)を定義できます。 ユーザ テンプレートを初めて作成するときは、すべてのユーザに静的なデフォルト クレデンシャル ポリシーが割り当てられます。
Cisco Unified Communications Manager の Java テレフォニー アプリケーション プログラミング インターフェイス(JTAPI)およびテレフォニー アプリケーション プログラミング インターフェイス(TAPI)は、アプリケーション ユーザに関連付けるクレデンシャル ポリシーをサポートしています。クレデンシャル ポリシーを適用するには、パスワード有効期間、暗証番号有効期間、およびロックアウト戻りコードに対応できるアプリケーションを作成する必要があります。
アプリケーションは、どの認証モデルを使用するかにかかわらず、API を使用し、データベースまたは社内ディレクトリと照合して認証を実行します。
ユーザがデータベース内に設定されると、ユーザ クレデンシャルの履歴がデータベースに格納されます。ユーザは、クレデンシャルを変更するように求められたとき、以前と同じクレデンシャルを入力することはできません。
管理者は、ユーザの [クレデンシャル設定(Credential Configuration)] ページでユーザ認証アクティビティをモニタし、管理することができます。このページにアクセスするには、[ユーザの設定(User Configuration)] ウィンドウの [クレデンシャルの編集(Edit Credentials)] ボタンを使用します。 最後のハック試行時刻、失敗したログイン試行の回数など、最新の認証結果が表示されます。
詳細については、ディレクトリの概要を参照してください。
システムは、次のクレデンシャル ポリシー イベントのログ ファイル エントリを作成します。
(注) |
エンド ユーザのパスワードに対して LDAP 認証を使用している場合、LDAP が追跡するのは認証の成否だけです。 |
イベント メッセージには、常に "ims-auth" という文字列と、認証を試行しているユーザ ID が含まれます。
Cisco Unified リアルタイム監視ツールを使用して、ログ ファイルを表示できます。 記録されたイベントを収集して、レポートにすることもできます。
目次
この章では、ユーザにシステムへのアクセスを許可する前にユーザのログイン クレデンシャルを認証する Cisco Unified Communications Manager のクレデンシャル ポリシーについて説明します。 ユーザ アカウントを保護するには、失敗したログイン試行、ロックアウト期間、パスワード有効期間、およびパスワード要件に関する設定を Cisco Unified Communications Manager の管理ページで指定します。 これらの認証規則によって、クレデンシャル ポリシーが構成されます。
クレデンシャル ポリシーの適用対象は、アプリケーション ユーザとエンド ユーザです。 管理者は、パスワード ポリシーをエンド ユーザとアプリケーション ユーザに割り当て、暗証番号ポリシーをエンド ユーザに割り当てます。 これらのグループのポリシー割り当ては、[クレデンシャルポリシーのデフォルトの設定(Credential Policy Default Configuration)] に一覧表示されます。
インストール時に、 Cisco Unified Communications Manager によって、ユーザ グループに静的なデフォルト クレデンシャル ポリシーが割り当てられます。 デフォルト クレデンシャルは提供されません。 Cisco Unified Communications Manager の管理ページの [クレデンシャルポリシーのデフォルトの設定(Credential Policy Default Configuration)] ウィンドウには、新しいデフォルト ポリシーを割り当てたり、ユーザの新しいデフォルト クレデンシャルやクレデンシャル要件を設定したりするためのオプションが用意されています。
(注)
空(ヌル)のクレデンシャルはサポートされません。 システムで LDAP 認証を使用している場合は、インストール直後にエンド ユーザのデフォルト クレデンシャルを設定する必要があります。設定しないと、ログインが失敗します。
Cisco Unified Communications Manager データベースに新しいユーザを追加すると、デフォルト ポリシーが割り当てられます。 [ユーザの設定(User Configuration)] ウィンドウにある [クレデンシャルの編集(Edit Credential)] ボタンを使用して、割り当てられたポリシーを変更したり、ユーザ認証イベントを管理したりできます。
クレデンシャル ポリシーの設定
手順Cisco Unified Communications Manager は、システム アクセスを許可する前に、ユーザのログイン クレデンシャルを認証します。 ユーザ アカウントを保護するには、失敗したログイン試行、ロックアウト期間、パスワード有効期間、およびパスワード要件に関する設定を Cisco Unified Communications Manager の管理ページで指定します。 これらの認証規則によって、クレデンシャル ポリシーが構成されます。
クレデンシャル ポリシーの適用対象は、アプリケーション ユーザとエンド ユーザです。 管理者は、パスワード ポリシーをエンド ユーザとアプリケーション ユーザに割り当て、暗証番号ポリシーをエンド ユーザに割り当てます。 これらのグループのポリシー割り当ては、[クレデンシャルポリシーのデフォルトの設定(Credential Policy Default Configuration)] に一覧表示されます。
インストール時に、 Cisco Unified Communications Manager によって、ユーザ グループに静的なデフォルト クレデンシャル ポリシーが割り当てられます。 デフォルト クレデンシャルは提供されません。 Cisco Unified Communications Manager の管理ページの [クレデンシャルポリシーのデフォルトの設定(Credential Policy Default Configuration)] ウィンドウには、新しいデフォルト ポリシーを割り当てたり、ユーザの新しいデフォルト クレデンシャルやクレデンシャル要件を設定したりするためのオプションが用意されています。
(注)
空(ヌル)のクレデンシャルはサポートされません。 システムで LDAP 認証を使用している場合は、インストール直後にエンド ユーザのデフォルト クレデンシャルを設定する必要があります。設定しないと、ログインが失敗します。
Cisco Unified Communications Manager データベースに新しいユーザを追加すると、デフォルト ポリシーが割り当てられます。 [ユーザの設定(User Configuration)] ウィンドウにある [クレデンシャルの編集(Edit Credential)] ボタンを使用して、割り当てられたポリシーを変更したり、ユーザ認証イベントを管理したりできます。
クレデンシャル ポリシーおよび認証
Cisco Unified Communications Manager の認証機能は、ユーザの認証、クレデンシャル情報の更新、ユーザ イベントとエラーの追跡およびロギング、クレデンシャルの変更履歴の記録、およびデータ保管のためのユーザ クレデンシャルのエンコード/デコード(または暗号化/復号化)を行います。
システムは常に、アプリケーション ユーザのパスワードとエンド ユーザの暗証番号を Cisco Unified Communications Manager データベースと照合して認証します。 システムは、エンド ユーザのパスワードを社内ディレクトリまたは Cisco Unified Communications Manager データベースと照合して認証できます。
システムが社内ディレクトリと同期されている場合は、 Cisco Unified Communications Manager の認証機能または LDAP によって、このパスワードを認証できます。
LDAP 認証が有効になっている場合、 Cisco Unified Communications Manager の管理ページで設定されているユーザのパスワードとクレデンシャル ポリシーは適用されません。 これらのデフォルトは、ディレクトリ同期(DirSync サービス)で作成されたユーザに適用されます。
LDAP 認証が無効になっている場合、システムはユーザ クレデンシャルを Cisco Unified Communications Manager データベースと照合して認証します。 このオプションを使用すると、管理者はクレデンシャル ポリシーの割り当て、認証イベントの管理、およびパスワードの管理を行うことができます。 エンド ユーザは、電話機のユーザ ページでパスワードと暗証番号を変更できます。
LDAP 認証の詳細については、ディレクトリの概要を参照してください。
クレデンシャル ポリシーは、OS ユーザや CLI ユーザには適用されません。 これらの管理者は、OS がサポートしている標準のパスワード検証手順を使用します。 OS のログイン手順については、『 Cisco Unified Communications Operating System Administration Guide』を参照してください。
クレデンシャルのキャッシュ
パフォーマンスを向上させるために、管理者は、エンタープライズ パラメータ "Enable Caching" を [True] に設定できます。 このパラメータを使用すると、 Cisco Unified Communications Manager は、キャッシュされたクレデンシャルを最大 2 分間使用できます。 これにより、ログイン要求が発行されるたびに Cisco Unified Communications Manager がデータベース検索を実行したり、ストアド プロシージャを呼び出したりする必要がなくなるため、システムの効率が向上します。 関連付けられたクレデンシャル ポリシーは、キャッシュの有効期間が切れるまで適用されません。
この設定は、ユーザ認証を呼び出すすべての Java アプリケーションに適用されます。 このエンタープライズ パラメータを [False] に設定すると、キャッシュがオフになり、キャッシュされたクレデンシャルが認証に使用されなくなります。 LDAP 認証では、この設定は無視されます。 クレデンシャルのキャッシュを実行する場合は、ユーザごとに、ごくわずかな追加メモリが必要になります。
JTAPI/TAPI のサポート
Cisco Unified Communications Manager の Java テレフォニー アプリケーション プログラミング インターフェイス(JTAPI)およびテレフォニー アプリケーション プログラミング インターフェイス(TAPI)は、アプリケーション ユーザに関連付けるクレデンシャル ポリシーをサポートしています。クレデンシャル ポリシーを適用するには、パスワード有効期間、暗証番号有効期間、およびロックアウト戻りコードに対応できるアプリケーションを作成する必要があります。
アプリケーションは、どの認証モデルを使用するかにかかわらず、API を使用し、データベースまたは社内ディレクトリと照合して認証を実行します。
認証イベント
管理者は、ユーザの [クレデンシャル設定(Credential Configuration)] ページでユーザ認証アクティビティをモニタし、管理することができます。このページにアクセスするには、[ユーザの設定(User Configuration)] ウィンドウの [クレデンシャルの編集(Edit Credentials)] ボタンを使用します。 最後のハック試行時刻、失敗したログイン試行の回数など、最新の認証結果が表示されます。
詳細については、ディレクトリの概要を参照してください。
システムは、次のクレデンシャル ポリシー イベントのログ ファイル エントリを作成します。
(注)
エンド ユーザのパスワードに対して LDAP 認証を使用している場合、LDAP が追跡するのは認証の成否だけです。
イベント メッセージには、常に "ims-auth" という文字列と、認証を試行しているユーザ ID が含まれます。
Cisco Unified リアルタイム監視ツールを使用して、ログ ファイルを表示できます。 記録されたイベントを収集して、レポートにすることもできます。