この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
[Cisco Unified CM の管理(Cisco Unified Communications Manager Administration)] では、SIP トランクに対するセキュリティ関連の設定がグループ化され、1 つのセキュリティ プロファイルを複数の SIP トランクに割り当てることができます。セキュリティ関連の設定には、デバイスのセキュリティ モード、ダイジェスト認証、着信転送タイプや発信転送タイプの設定などがあります。[トランクの設定(Trunk Configuration)] ウィンドウでセキュリティ プロファイルを選択する際に、構成済みの設定を SIP トランクに適用します。
Cisco Unified Communications Manager をインストールすると、自動登録用の事前に定義された非セキュアの SIP トランク セキュリティ プロファイルが提供されます。SIP トランクのセキュリティ機能を有効にするには、新しいセキュリティ プロファイルを設定して、SIP トランクに適用します。トランクがセキュリティをサポートしていない場合は、非セキュア プロファイルを選択します。
Cisco Unified Communications Manager Administrationで SIP トランク セキュリティ プロファイルを設定する際には以下の情報を考慮してください。
SIP トランクを設定するときは、[トランクの設定(Trunk Configuration)] ウィンドウでセキュリティ プロファイルを選択します。デバイスがセキュリティをサポートしていない場合は、非セキュア プロファイルを選択します。
現在デバイスに割り当てられているセキュリティ プロファイルは削除できません。
SIP トランクに割り当てられているセキュリティ プロファイルの設定を変更すると、再構成した設定が、そのプロファイルを割り当てられているすべての SIP トランクに適用されます。
デバイスに割り当てられているセキュリティ ファイルの名前を変更できます。古いプロファイル名および設定を割り当てられている SIP トランクは、新しいプロファイル名および設定を受け入れます。
Cisco Unified Communications Manager 5.0 以降のアップグレード前にデバイス セキュリティ モードを設定すると、Cisco Unified Communications Manager は、SIP トランクのプロファイルを作成し、プロファイルをデバイスに適用します。
| ステップ 1 | を選択します。 [検索と一覧表示(Find and List)] ウィンドウが表示されます。このウィンドウには、アクティブな(以前の)クエリーのレコードも表示されることがあります。 | ||
| ステップ 2 | データベースのすべてのレコードを検索するには、ダイアログボックスが空であることを確認して、ステップ 3 に進みます。 レコードをフィルタリングまたは検索するには、次の手順を実行します。 | ||
| ステップ 3 | [検索(Find)] をクリックします。 条件を満たしているレコードがすべて表示されます。1 ページあたりの項目の表示件数を変更するには、[ページあたりの行数(Rows per Page)] ドロップダウン リスト ボックスで別の値を選択します。 | ||
| ステップ 4 | 表示されるレコードのリストから、表示するレコードへのリンクをクリックします。
ウィンドウに選択した項目が表示されます。 |
| ステップ 1 | [Cisco Unified CM の管理(Cisco Unified Communications Manager Administration)] で、 を選択します。 |
| ステップ 2 | 次のいずれかの作業を実行します。 |
| ステップ 3 | 表 1 に示すように、適切な設定を入力します。 |
| ステップ 4 | [保存(Save)] をクリックします。 |
セキュリティ プロファイルを作成した後、それをトランクに適用します。
SIP トランクにダイジェスト認証を設定した場合は、トランクの [SIP レルム(SIP Realm)] ウィンドウと、その SIP トランクを介して接続されるアプリケーションの [アプリケーション ユーザ(Application User)] ウィンドウで、ダイジェスト信用証明書を設定する必要があります(まだ設定していない場合)。
SIP トランクを介して接続されるアプリケーションに対してアプリケーションレベルの許可(認証)を有効にした場合は、[アプリケーション ユーザ(Application User)] ウィンドウで、そのアプリケーションに許可される方式を設定する必要があります(まだ設定していない場合)。
次の表は、SIP トランクのセキュリティ プロファイルの設定を示します。
|
セキュリティ プロファイルの名前を入力します。新しいプロファイルを保存すると、[トランクの設定(Trunk Configuration)] ウィンドウで [SIP トランク セキュリティ プロファイル(SIP Trunk Security Profile)] ドロップダウン リスト ボックスに名前が表示されます。 |
|||||
|
セキュリティ プロファイルの説明を入力します。説明には、任意の言語で最大 50 文字を指定できますが、二重引用符(")、パーセント記号(%)、アンパサンド(&)、バックスラッシュ(\)、山カッコ(<>)は使用できません。 |
|||||
|
ドロップダウン リスト ボックスから、次のオプションのいずれかを選択します。
|
|||||
|
[デバイス セキュリティ モード(Device Security Mode)] が [非セキュア(Non Secure)] の場合、TCP+UDP では [転送タイプ(Transport Type)] を指定します。 [デバイス セキュリティ モード(Device Security Mode)] が [認証済(Authenticated)] または [暗号化(Encrypted)] である場合、TLS では [転送タイプ(Transport Type)] を指定します。
|
|||||
|
ドロップダウン リスト ボックスから適切な発信転送モードを選択します。 [デバイス セキュリティ モード(Device Security Mode)] が [非セキュア(Non Secure)] である場合、TCP または UDP を選択します。 [デバイス セキュリティ モード(Device Security Mode)] が [認証済(Authenticated)] または [暗号化(Encrypted)] である場合、TLS では [転送タイプ(Transport Type)] を指定します。
|
|||||
|
ダイジェスト認証を有効にする場合に、このチェックボックスをオンにします。このチェックボックスをオンにすると、 Cisco Unified Communications Manager はトランクからのすべての SIP 要求をチャレンジします。 ダイジェスト認証は、デバイス認証、整合性、および機密性を提供しません。これらの機能を使用するには、[認証済(Authenticated)] または [暗号化(Encrypted)] のセキュリティ モードを選択します。
|
|||||
|
ナンス値が有効な分数(秒単位)を入力します。デフォルト値は 600(10 分)です。この期限が切れると、Cisco Unified Communications Manager は新しい値を生成します。
|
|||||
|
このフィールドは、着信および発信転送タイプの TLS を設定する場合に適用します。 デバイス認証には、SIP トランク デバイスの X.509 証明書のサブジェクト名を入力します。 Cisco Unified Communications Manager クラスタがあるか、または TLS ピアに SRV ルックアップを使用すると、単一のトランクは複数のホストに分割され、トランクで複数の X.509 サブジェクト名が発生します。X.509 のサブジェクト名が複数存在する場合、スペース、カンマ、セミコロン、コロンのいずれかを入力して名前を区切ります。
|
|||||
|
着信ポートを選択します。0 ~ 65535 の範囲で一意のポート番号を入力します。着信 TCP および UDP SIP メッセージ用のデフォルト ポート値は 5060 です。着信 TLS メッセージ用の SIP のセキュア ポートのデフォルト ポート値は 5061 です。入力した値は、このプロファイルを使用するすべての SIP トランクに適用されます。
|
|||||
|
アプリケーション レベルの認証は、SIP トランクを介して接続されるアプリケーションに適用されます。 このチェックボックスをオンにする場合、 [ダイジェスト認証有効化(Enable Digest Authentication)] チェックボックスもオンにして、トランクのダイジェスト認証を設定する必要があります。Cisco Unified Communications Manager は許可されているアプリケーション方式を確認する前に、SIP アプリケーション ユーザを認証します。 アプリケーション レベルの許可を有効にすると、トランク レベルの認証が最初に発生してからアプリケーション レベルの許可が発生するため、 Cisco Unified Communications Manager は [アプリケーション ユーザ設定(Application User Configuration)] ウィンドウで SIP アプリケーション ユーザに認証されたメソッドより先に、(このセキュリティ プロファイル内の)トランクに対して承認されたメソッドをチェックします。
|
|||||
|
Cisco Unified Communications Manager が SIP トランク経由でのプレゼンスのサブスクリプション要求を許可するようにするには、このチェックボックスをオンにします。 [アプリケーション レベルの認証の有効化(Enable Application Level Authorization)] チェックボックスをオンにしたら、 [アプリケーション ユーザ設定(Application User Configuration)] ウィンドウに移動し、この機能を認証されたアプリケーション ユーザの [プレゼンス サブスクリプションを承認(Accept Presence Subscription)] チェックボックスをオンにします。 アプリケーション レベルの認証が有効になっている場合で、[プレゼンス サブスクリプションを承認(Accept Presence Subscription)] のチェックボックスをアプリケーション ユーザ用にはオンにしてトランク用にはオンにしない場合、403 エラー メッセージがトランクに接続された SIP ユーザ エージェントに送信されます。 |
|||||
|
Cisco Unified Communications Manager が SIP トランク経由での非インバイト、ダイアログ外参照の受信要求を受け入れるようにするには、このチェックボックスをオンにします。 [アプリケーション レベルの許可の有効化(Enable Application Level Authorization)] チェックボックスをオンにしたら、[アプリケーション ユーザ設定(Application User Configuration)] ウィンドウに移動し、このメソッドで認証されたすべてのアプリケーション ユーザ用の [ダイアログ外参照の許可(Accept Out-of-Dialog refer)] チェックボックスをオンにします。 |
|||||
|
Cisco Unified Communications Manager が SIP トランクを経由する受信非インバイト メッセージ、未承諾通知メッセージを受け入れるようにするには、このチェックボックスをオンにします。 [アプリケーション レベルの認証の有効化(Enable Application Level Authorization)] チェックボックスをオンにしたら、[アプリケーション ユーザ設定(Application User Configuration)] ウィンドウに移動し、このメソッドに承認されたすべてのアプリケーション ユーザの [未承認通知を承認(Accept Unsolicited Notification)] チェックボックスをオンにします。 |
|||||
|
Cisco Unified Communications Manager が既存の SIP ダイアログに代わる新規の SIP ダイアログを許可するようにするには、このチェックボックスをオンにします。 [アプリケーション レベルの認証の有効化(Enable Application Level Authorization)] チェックボックスをオンにしたら、[アプリケーション ユーザ設定(Application User Configuration)] ウィンドウに移動し、このメソッドに承認されたすべてのアプリケーション ユーザの [ヘッダー置換を承認(Accept Header Replacement)] チェックボックスをオンにします。 |
|||||
|
Cisco Unified Communications Manager が関連付けられた SIP トランクからの発信のセキュリティ アイコン ステータスを SIP ピアに送信するようにするには、このチェックボックスをオンにします。 |
|||||
|
[SIP V.150アウトバウンドSDPオファーのフィルタリング(SIP V.150 Outbound SDP Offer Filtering)] |
ドロップダウン リスト ボックスから、次のフィルタ処理オプションのいずれかを選択します。
|
||||
|
[SIP V.150アウトバウンドSDPオファーのフィルタリング(SIP V.150 Outbound SDP Offer Filtering)] |
ドロップダウン リスト ボックスから、次のフィルタ処理オプションのいずれかを選択します。
|
[トランク設定(Trunk Configuration)] ウィンドウでトランクに SIP トランク セキュリティ プロファイルを適用します。デバイスにセキュリティ プロファイルを適用するには、次の手順を実行します。
SIP トランクにダイジェスト認証を有効にしたプロファイルを適用した場合は、[SIP レルム(SIP Realm)] ウィンドウでダイジェスト クレデンシャルを設定する必要があります。
アプリケーション レベルの認証を有効にしたプロファイルを適用した場合は、[アプリケーション ユーザ(Application User)] ウィンドウでダイジェスト クレデンシャルと、適切な認証方法を設定する必要があります(まだ設定していない場合)。
SIP トランクを設定変更が行われた SIP トランク セキュリティ プロファイルと同期させるには、次の手順を実行します。作業によるサービスの中断をできるだけ抑えて設定を適用します。(たとえば、影響を受けるデバイスの一部では、リセットまたは再起動が不要な場合があります。)
このセクションでは、Cisco Unified Communications Manager データベースから SIP トランク セキュリティ プロファイルを削除する方法について説明します。
Cisco Unified Communications Manager の管理(Cisco Unified Communications Manager Administration)からセキュリティ プロファイルを削除する前に、デバイスに別のプロファイルを適用するか、プロファイルを使用するすべてのデバイスを削除する必要があります。プロファイルを使用しているデバイスを検索するには、[SIP トランクのセキュリティ プロファイル設定(SIP Trunk Security Profile Configuration)] ウィンドウの [関連リンク(Related Links)] ドロップダウン リスト ボックスで [依存の記録(Dependency Records)] を選択し、[Go] をクリックします。
依存の記録機能がシステムで有効でない場合は、依存記録の概要ウィンドウには依存の記録を有効にするために必要な手順が表示されます。また、依存の記録機能に関連して CPU 負荷が高くなることについての情報も表示されます。依存関係レコードの詳細は、『System Configuration Guide for Cisco Unified Communications Manager』を参照してください。
フィードバック