管理アカウントとサービスアカウントのセキュリティ保護

管理アカウントとサービスアカウントのセキュリティ保護

はじめに

この章では、アカウントのセキュリティ保護に関連する潜在的なセキュリティ問題、実行する必要があるアクションに関する情報、決定に役立つ推奨事項、意思決定の影響、そして多くの場合のベストプラクティスについて説明します。

Cisco Unity Connection 管理アカウントについて

Cisco Unity Connection サーバーには 2 種類の管理アカウントがあります。 表 4-1 は、2 種類のアカウントの目的と相違点をまとめたものです。

表 1. Unity Connection サーバーの管理アカウント

オペレーティング システム管理アカウント

アプリケーション管理アカウント

アカウントはアクセスに使用されます

  • Cisco Unified オペレーティング システム管理

  • Disaster Recovery System

  • コマンドラインインターフェース

  • Cisco Unity Connection 管理

  • Cisco Unified Serviceability

  • Cisco Unity Connection Serviceability

  • Real-Time Monitoring Tool

最初のアカウントが作成されます

インストール時に管理者 ID とパスワードを指定すると

インストール時にアプリケーションのユーザー名とパスワードを指定すると、

アカウント名を変更する方法

サポート対象外

Cisco Unity Connection Administration の使用。

注意    

 
utils reset_ui_administrator_name コマンドを使用してアカウント名を変更しないでください。変更すると、Unity Connection が正しく機能しなくなります。

アカウントのパスワードを変更する方法

set password CLI コマンドを使用する

  • Cisco Unity Connection 管理の使用

  • utils cuc reset password CLI コマンドを使用する

    注意    

     
    utils reset_ui_administrator_password コマンドを使用してアカウント名を変更しないでください。変更すると、Unity Connection が正しく機能しなくなります。

追加アカウントを作成する方法

set account CLI コマンドを使用する

Cisco Unity Connection 管理の使用

注意    

 
set account コマンドを使用して追加のアカウントを作成しないでください。そうしないと、Unity Connection が正しく機能しません。

最初のアカウント以外のアカウントを削除する方法

CLI コマンド「 delete account 」を使用する

Cisco Unity Connection 管理の使用

注意    

 
delete account コマンドを使用してアカウントを削除しないでください。削除すると、Unity Connection が正しく機能しなくなります。

管理者アカウントを一覧表示する方法

show account CLI コマンドを使用します。

Cisco Unity Connection 管理の使用

LDAP ユーザーアカウントと統合可能

未対応

対応

Cisco Unity Connection Administration へのアクセスに使用するアカウントのベスト プラクティス

Cisco Unity Connection Administration は、ほとんどの管理タスクを実行するために使用する Web アプリケーションです。 管理アカウントを使用すると、Connection Administration にアクセスして、管理アカウントに割り当てられているロールに応じて、Cisco Unity Connection が個々のユーザー(またはユーザー グループ)に対してどのように動作するかを定義したり、システム スケジュールを設定したり、通話管理オプションを設定したり、その他の重要なデータに変更を加えたりすることができます。 サイトが複数の Unity Connection サーバーで構成されている場合、1 台のサーバー上の Connection Administration へのアクセスに使用されるアカウントは、ネットワーク上の他のサーバー上の Connection Administration でも認証され、アクセスできる可能性があります。 Connection Administration へのアクセスを保護するには、次のベストプラクティスを考慮してください。

ベストプラクティス: アプリケーション管理アカウントの使用を制限する

Unity Connection を管理する目的で特別に Unity Connection ユーザーアカウントを作成するまでは、デフォルトの管理者アカウントに関連付けられた資格情報を使用して Cisco Unity Connection Administration にサインインします。 デフォルトの管理者アカウントは、Unity Connection のインストール時に、インストール時に指定したアプリケーション ユーザーのユーザー名とパスワードを使用して作成されます。 デフォルトの管理者アカウントは、システム管理者ロールに自動的に割り当てられ、Connection Administration への完全なシステムアクセス権が付与されます。 つまり、管理アカウントは Connection Administration のすべてのページにアクセスできるだけでなく、すべての Connection Administration ページに対する読み取り、編集、作成、削除、実行の権限も持っています。 このため、この高度な権限を持つアカウントの使用は、1 人またはごく少数のユーザーに制限する必要があります。

デフォルトの管理者アカウントの代わりに、各ユーザーが実行する管理タスクに応じて、権限の少ないロールに割り当てられた追加の管理アカウントを作成できます。


(注)  
次のアプリケーションユーザー名は、エラーが発生するため使用しないでください。

  • CCMSysUser

  • WDSysUser

  • CCMQRTSysUser

  • IPMASysUser

  • WDSecureSysUser

  • CCMQRTSecureSysUser

  • IPMASecureSysUser

  • TabSyncSysUser

  • CUCService

ベストプラクティス: ロールを使用して、Cisco Unity Connection Administration への異なるレベルのアクセスを提供する

Cisco Unity Connection Administration へのアクセスを保護するためにロールの割り当てを変更する場合は、次のベスト プラクティスを考慮してください。

  • デフォルトの管理者アカウントの役割の割り当てを変更しないでください。 代わりに、Connection Administration への適切なレベルのアクセス権を提供する追加の管理ユーザー アカウントを作成してください。 たとえば、管理ユーザー アカウントをユーザー管理者ロールに割り当てると、管理者はユーザー アカウント設定を管理し、すべてのユーザー管理機能にアクセスできるようになります。 または、管理ユーザー アカウントをヘルプ デスク管理者ロールに割り当てて、管理者がユーザーのパスワードと PIN をリセットしたり、ユーザー アカウントのロックを解除したり、ユーザー設定ページを表示したりできるようにすることもできます。

  • さまざまなレベルのアクセスを提供するロールに割り当てられる追加の管理ユーザー テンプレートを作成します。 デフォルトでは、管理者ユーザー テンプレートはシステム管理者ロールに割り当てられます。 管理者ユーザー テンプレートから作成されたすべての管理ユーザー アカウントはシステム管理者ロールに割り当てられ、管理者には Unity Connection のすべての管理機能へのフル アクセス権が付与されます。 管理ユーザーのアカウントを作成する場合は、この管理者テンプレートを控えめに使用してください。

  • デフォルトでは、ボイスメール ユーザー テンプレートはどのロールにも割り当てられておらず、どの管理ロールにも割り当てられません。 代わりに、このテンプレートを使用して、メールボックスを持つエンド ユーザーのアカウントを作成します。 (メールボックスを持つエンド ユーザーに割り当てる必要がある唯一のロールは、グリーティング管理者ロールです。このロールの唯一の「管理」機能は、Cisco Unity グリーティング管理者にアクセスすることです。これにより、ユーザーは電話でコール ハンドラーの録音されたグリーティングを管理できます。)

ベストプラクティス: ボイスメールボックスと Cisco Unity Connection 管理へのアクセスに異なるアカウントを使用する

Cisco Unity Connection 管理者は、Cisco Personal Communications Assistant(PCA)または電話インターフェイスへのログインに使用するアカウントと同じアカウントを使用して Cisco Unity Connection Administration にアクセスしないことを推奨します。

ユニファイド メッセージング サービス アカウントのセキュリティ保護

Cisco Unity Connection のユニファイド メッセージングを構成する場合は、Unity Connection が Exchange との通信に使用する 1 つ以上の Active Directory アカウントを作成します。 Exchange メールボックスにアクセスする権限を持つ他の Active Directory アカウントと同様に、このアカウントを使用すると、アカウント名とパスワードを知っているすべてのユーザーがメールを読んだり、音声メッセージを聞いたり、メッセージを送信したり削除したりできます。 アカウントには Exchange における広範な権限がないため、たとえば Exchange サーバーを再起動するために使用することはできません。

アカウントを保護するために、大文字、小文字、数字、特殊文字を含む長いパスワード (20 文字以上) を設定することをお勧めします。 パスワードは AES 128 ビット暗号化で暗号化され、Unity Connection データベースに保存されます。 データベースにはルート アクセスでのみアクセスでき、ルート アクセスは Cisco TAC の支援を受けた場合にのみ利用できます。

アカウントを無効にしないでください。無効にすると、Unity Connection は Exchange メールボックスにアクセスするためにそのアカウントを使用できなくなります。

ファイルの整合性の確保

Unity Connection では、Cisco Unity Connection Administration や Cisco Unity Connection Serviceability などのさまざまなインターフェイスからダウンロードできるファイルの整合性を管理者が保証できるため、セキュリティが強化されています。 ファイルの整合性を検証するために、Unity Connection はすべてのダウンロード ファイルに対して SHA-512 チェックサム値を提供します。 たとえば、Cisco Unified Real-Time Monitoring Tool プラグインの SHA-512 チェックサム値は、[プラグインの検索] ページの [説明] フィールドに表示されます。

ファイルの整合性を確保するために、管理者はファイルをダウンロードし、オンラインで利用可能な外部ツールを使用してファイルのチェックサムを生成できます。 次に、表示されたチェックサムをダウンロードしたファイルのチェックサムと比較します。 ファイルの両方のチェックサムが同じであれば、ダウンロード ファイルにエラーがないことを意味します。