この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
[Cisco Unified Communications Manager Administration] では、SIP トランクに対するセキュリティ関連の設定がグループ化され、1 つのセキュリティ プロファイルを複数の SIP トランクに割り当てることができます。セキュリティ関連の設定には、デバイス セキュリティ モード、ダイジェスト認証、着信転送タイプや発信転送タイプの設定などがあります。[Trunk Configuration] ウィンドウでセキュリティ プロファイルを選択する際に、構成済みの設定を SIP トランクに適用します。
Cisco Unified Communications Manager をインストールすると、自動登録用の事前に定義された非セキュアな SIP トランク セキュリティ プロファイルが提供されます。SIP トランクのセキュリティ機能を有効にするには、新しいセキュリティ プロファイルを設定して、SIP トランクに適用します。トランクがセキュリティをサポートしない場合は、非セキュア プロファイルを選択してください。
[Cisco Unified Communications Manager Administration] で SIP トランク セキュリティ プロファイルを設定する際には以下の情報を考慮してください。
SIP トランクを設定するときは、[Trunk Configuration] ウィンドウでセキュリティ プロファイルを選択する必要があります。デバイスがセキュリティをサポートしていない場合は、非セキュア プロファイルを選択します。
現在デバイスに割り当てられているセキュリティ プロファイルは削除できません。
SIP トランクに割り当てられているセキュリティ プロファイルの設定を変更すると、再設定された設定が、そのプロファイルが割り当てられているすべての SIP トランクに適用されます。
デバイスに割り当てられているセキュリティ ファイルの名前を変更できます。古いプロファイル名および設定が割り当てられている SIP トランクは、新しいプロファイル名および設定を受け入れます。
Cisco Unified Communications Manager 5.0 以降のアップグレード前にデバイス セキュリティ モードを設定していた場合、Cisco Unified Communications Manager は SIP トランクのプロファイルを作成し、そのプロファイルをデバイスに適用します。
ステップ 1 | の順に選択します。 [Find and List] ウィンドウが表示されます。このウィンドウには、アクティブな(以前の)照会のレコードも表示されることがあります。 | ||
ステップ 2 | データベース内のレコードをすべて表示するには、ダイアログボックスを空欄のままにして、ステップ 3 に進みます。 レコードをフィルタまたは検索するには、次の手順を実行します。 | ||
ステップ 3 | [Find] をクリックします。 条件を満たしているレコードがすべて表示されます。1 ページあたりの項目の表示件数を変更するには、[Rows per Page] ドロップダウン リスト ボックスで別の値を選択します。 | ||
ステップ 4 | 表示されるレコードのリストから、表示するレコードへのリンクをクリックします。
ウィンドウに選択した項目が表示されます。 |
ステップ 1 | [Cisco Unified Communications Manager Administration] で、 を選択します。 |
ステップ 2 | 次のいずれかの作業を実行します。 |
ステップ 3 | 表 1 に示すように、適切な設定を入力します。 |
ステップ 4 | [Save] をクリックします。 |
セキュリティ プロファイルを作成した後、それをトランクに適用します。
SIP トランクにダイジェスト認証を設定した場合は、トランクの [SIP Realm] ウィンドウと、その SIP トランクを介して接続されるアプリケーションの [Application User] ウィンドウで、ダイジェスト クレデンシャルを設定する必要があります(まだ設定していない場合)。
SIP トランクを介して接続されるアプリケーションに対してアプリケーションレベルの許可(認証)を有効にした場合は、[Application User] ウィンドウで、そのアプリケーションに許可される方式を設定する必要があります(まだ設定していない場合)。
次の表は、SIP トランク セキュリティ プロファイルの設定を示します。
セキュリティ プロファイルの名前を入力します。新しいプロファイルを保存すると、[Trunk Configuration] ウィンドウの [SIP Trunk Security Profile] ドロップダウン リスト ボックスにその名前が表示されます。 |
|||||
セキュリティ プロファイルの説明を入力します。説明には、任意の言語で最大 50 文字を指定できますが、二重引用符(")、パーセント記号(%)、アンパサンド(&)、バックスラッシュ(\)、山カッコ(<>)は使用できません。 |
|||||
ドロップダウン リスト ボックスから、次のいずれかのオプションを選択します。
|
|||||
[Device Security Mode] が [Non Secure] の場合、転送タイプは TCP+UDP になります。 [Device Security Mode] が [Authenticated] または [Encrypted] の場合、転送タイプは TLS になります。
|
|||||
ドロップダウン リスト ボックスから適切な発信転送モードを選択します。 [Device Security Mode] が [Non Secure] の場合、TCP または UDP を選択します。 [Device Security Mode] が [Authenticated] または [Encrypted] の場合、転送タイプは TLS になります。
|
|||||
ダイジェスト認証を有効にする場合に、このチェックボックスをオンにします。このチェックボックスをオンにすると、Cisco Unified Communications Manager はトランクからのすべての SIP 要求に対してチャレンジを行います。 ダイジェスト認証ではデバイス認証、整合性、機密性は提供されません。これらの機能を使用するには、セキュリティ モードとして [Authenticated] または [Encrypted] を選択します。
|
|||||
ナンス値が有効な分数(秒単位)を入力します。デフォルト値は 600(10 分)です。この時間が経過すると、Cisco Unified Communications Manager は新しい値を生成します。
|
|||||
このフィールドは、着信転送タイプおよび発信転送タイプに TLS を設定した場合に適用されます。 デバイス認証では、SIP トランク デバイスの X.509 証明書のサブジェクト名を入力します。Cisco Unified Communications Manager クラスタがある場合、または TLS ピアに SRV ルックアップを使用する場合は、単一のトランクは複数のホストに解決されることがあります。このように解決された場合、トランクに複数の X.509 サブジェクト名が設定されます。X.509 のサブジェクト名が複数存在する場合、スペース、カンマ、セミコロン、コロンのいずれかを入力して名前を区切ります。
|
|||||
着信ポートを選択します。0 ~ 65535 の範囲で一意のポート番号を入力します。着信 TCP および UDP SIP メッセージ用のデフォルト ポート値は 5060 です。着信 TLS メッセージ用の SIP セキュア ポートのデフォルト ポート値は 5061 です。入力した値は、このプロファイルを使用するすべての SIP トランクに適用されます。
|
|||||
アプリケーション レベルの認証は、SIP トランクを介して接続されるアプリケーションに適用されます。 このチェックボックスをオンにする場合、[Enable Digest Authentication] チェックボックスもオンにして、トランクのダイジェスト認証を設定する必要があります。Cisco Unified Communications Manager は許可されているアプリケーション方式を確認する前に、SIP アプリケーション ユーザを認証します。 アプリケーション レベルの許可が有効な場合、トランク レベルの許可が最初に発生してからアプリケーション レベルの許可が発生するため、Cisco Unified Communications Manager は [Application User Configuration] ウィンドウで SIP アプリケーション ユーザに対して許可されたメソッドより先に、(このセキュリティ プロファイル内の)トランクに対して許可されたメソッドをチェックします。
|
|||||
Cisco Unified Communications Manager が SIP トランク経由でのプレゼンス サブスクリプション要求を受け入れるようにするには、このチェックボックスをオンにします。 [Enable Application Level Authorization] チェックボックスをオンにしたら、[Application User Configuration] ウィンドウに移動し、この機能について許可するすべてのアプリケーション ユーザの [Accept Presence Subscription] チェックボックスをオンにします。 アプリケーション レベルの許可が有効になっている場合に、アプリケーション ユーザの [Accept Presence Subscription] チェックボックスをオンにし、トランクのこのチェックボックスをオンにしない場合、トランクに接続された SIP ユーザ エージェントに 403 エラー メッセージが送信されます。 |
|||||
Cisco Unified Communications Manager が SIP トランク経由で着信する非 INVITE、Out-of-Dialog REFER 要求を受け入れるようにするには、このチェックボックスをオンにします。 [Enable Application Level Authorization] チェックボックスをオンにしたら、[Application User Configuration] ウィンドウに移動し、このメソッドについて許可するすべてのアプリケーション ユーザの [Accept Out-of-Dialog refer] チェックボックスをオンにします。 |
|||||
Cisco Unified Communications Manager が SIP トランク経由で着信する非 INVITE、Unsolicited NOTIFY メッセージを受け入れるようにするには、このチェックボックスをオンにします。 [Enable Application Level Authorization] チェックボックスをオンにしたら、[Application User Configuration] ウィンドウに移動し、このメソッドについて許可するすべてのアプリケーション ユーザの [Accept Unsolicited Notification] チェックボックスをオンにします。 |
|||||
Cisco Unified Communications Manager が既存の SIP ダイアログに代わる新規の SIP ダイアログを許可するようにするには、このチェックボックスをオンにします。 [Enable Application Level Authorization] チェックボックスをオンにしたら、[Application User Configuration] ウィンドウに移動し、このメソッドについて許可するすべてのアプリケーション ユーザの [Accept Header Replacement] チェックボックスをオンにします。 |
|||||
Cisco Unified Communications Manager が関連付けられた SIP トランクからのコールのセキュリティ アイコン ステータスを SIP ピアに送信するようにするには、このチェックボックスをオンにします。 |
|||||
[SIP V.150 Outbound SDP Offer Filtering] |
ドロップダウン リスト ボックスから、次のフィルタ処理オプションのいずれかを選択します。
|
||||
ドロップダウン リスト ボックスから、次のフィルタ処理オプションのいずれかを選択します。
|
[Trunk Configuration] ウィンドウでトランクに SIP トランク セキュリティ プロファイルを適用します。デバイスにセキュリティ プロファイルを適用するには、次の手順を実行します。
ダイジェスト認証を有効にしたプロファイルを SIP トランクに適用した場合は、[SIP Realm] ウィンドウでダイジェスト クレデンシャルを設定する必要があります。
アプリケーション レベルの認証を有効にしたプロファイルを適用した場合は、[Application User] ウィンドウでダイジェスト クレデンシャルと、適切な認証方法を設定する必要があります(まだ設定していない場合)。
設定変更が行われた SIP トランク セキュリティ プロファイルと SIP トランクを同期させるには、次の手順を実行します。この手順では、最小限の割り込みで未適用の設定が適用されます。(たとえば、影響を受けるデバイスの一部では、リセットまたは再起動が不要な場合があります。)
この項では、Cisco Unified Communications Manager データベースから SIP トランク セキュリティ プロファイルを削除する方法について説明します。
[Cisco Unified Communications Manager Administration] からセキュリティ プロファイルを削除する前に、デバイスに別のプロファイルを適用するか、そのプロファイルを使用するすべてのデバイスを削除する必要があります。プロファイルを使用しているデバイスを検索するには、[SIP Trunk Security Profile Configuration] ウィンドウの [Related Links] ドロップダウン リスト ボックスで [Dependency Records] を選択し、[Go] をクリックします。
依存関係レコード機能がシステムで有効でない場合は、依存関係レコード概要ウィンドウに、依存関係レコードを有効にするために実行できる操作が表示されます。また、依存関係レコード機能に関連して CPU 負荷が高くなることについての情報も表示されます。依存関係レコードの詳細は、『System Configuration Guide for Cisco Unified Communications Manager』を参照してください。