強制認証コード

強制認証コードに関する情報

強制承認コードの概要

Cisco Unified CME 8.5 では、強制承認コード (FAC) 機能を通じてコール アクセスとコール アカウンティングを管理できます。 FAC 機能は、特定の発信者が発信できる通話の種類を規制し、通話を発信する前に発信者に有効な認証コードを電話機に入力するよう強制します。 FAC を使用すると、非フリーダイヤル番号や長距離番号にダイヤルした発信者を追跡したり、会計や請求の目的で使用したりできます。

Cisco Unified CME および Cisco Voice Gateways では、デバイスとエンドポイントは異なる LPCOR(論理パーティション制限クラス)グループに論理的に分割されます。 たとえば、強制承認コードネットワークの概要 に示すように、IP 電話、アナログ電話、PSTN トランク、および IP (h323/SIP) トランクは、voice lpcor custom モードでは次のように 5 つの LPCOR グループに分割されます。

  • voice lpcor custom

  • グループ 10 マネージャー

  • グループ 11 ローカルユーザ

  • グループ 12 リモートユーザ

  • グループ 13 PSTN トランク

  • グループ 14 IP トランク

図 1. 強制承認コードネットワークの概要


各グループに対して、ルーティング エンドポイントの LPCOR グループ ポリシーが拡張され、FAC によって制限される個々の LPCOR グループからの着信コールが定義されます。 宛先への LPCOR グループ コールは、有効な FAC が入力された場合にのみ受け入れられます。 ルーティングエンドポイントの FAC サービスは、LPCOR グループポリシーで定義された service fac を通じて有効になります。 詳細については、LPCOR グループで強制承認コード (FAC) を有効にする を参照してください。

PSTNTrunk LPCOR グループに適用可能なグループ ポリシー ルールは次のとおりです。

  • LocalUser グループまたは RemoteUser グループのいずれかから通話が開始される場合は、PSTNTrunk によって FAC が要求されます。

  • マネージャー グループからのすべての通話は、制限なく PSTNTrunk に終了できます。

  • IPTrunk または PSTNTrunk グループからの着信コールはすべて拒否され、PSTNTrunk グループで終了します。

LPCOR グループの設定および LPCOR グループをさまざまなデバイス タイプに関連付ける方法については、通話制限規制を参照してください。

FAC コールフロー

通話先に定義された LPCOR ポリシーに基づいて、着信通話には FAC が必要です。 認証が完了すると、成功または失敗のステータスと収集された FAC 番号が通話詳細レコード (CDR) に保存されます。

通話は、新しい組み込みアプリケーション認証パッケージによって処理されます。このパッケージは、最初に発信者にユーザー名(数字)を入力するためのユーザープロンプトを再生し、次にアプリケーションは発信者にパスワード(数字)を入力するためのパスワードプロンプトを再生します。 収集されたユーザ名とパスワードの数字は FAC に使用されます 承認パッケージのパラメータを定義する

FAC 認証が成功すると、同じ宛先への発信コール設定が継続されます。 FAC 認証が失敗した場合、通話は次の宛先に転送されます。 次の宛先で FAC サービスが有効になっていて、その通話に対して有効な FAC ステータスが保存されていない場合は、その通話に対して FAC 操作が呼び出されます。

FAC ブロックが原因で失敗した通話は、LPCOR Q.850 切断原因コードで切断されます。 通話に対して FAC が呼び出されると、認証数字と認証ステータス情報が通話アクティブレコードまたは通話履歴レコードによって収集されます。 FAC 情報は、 show call active voice コマンドと show call history voice コマンドを通じて取得できます。

強制認証コード仕様

通話認証に使用する承認コードは、次の仕様に従う必要があります。

  • 認証コードは数字 (0 ~ 9) の形式である必要があります。

  • 次のいずれかの条件が発生した場合、数字収集操作を完了する必要があります。

    • 最大桁数の数字が収集される

    • 数字入力がタイムアウトする

    • 終端数字が入力される

数字の収集が完了すると、AAA ログイン認証設定を使用して、外部 Radius サーバ、Cisco Unified CME、または Cisco Voice Gateway によって認証が行われます。 AAA ログイン認証方法の詳細については、「 認証の設定」を参照してください。

ローカルの Cisco Unified CME または Cisco Voice Gateway によって認証が行われる場合、収集された承認コード桁を認証するには、 username ac-code password 0 password コマンドが必要です。

FAC データは CDR および新しい AAA fac-digits および fac-status 属性を介して保存され、CDR STOP レコードがサポートされます。 この CDR STOP レコードは、ファイル アカウンティング、RADIUS または Syslog アカウンティングの目的に合わせてフォーマットされています。

通話種別ごとの FAC 要件

表 1 さまざまな種類の通話に対する FAC サポートを示します。

表 1. さまざまな種類の通話に対する FAC サポート

通話の種類

さまざまな通話における FAC の動作

基本通話

A が B に電話をかけます。B は A に FAC を入力するよう要求します。 A が有効な FAC を入力した場合にのみ、A は B にルーティングされます。

すべてのコールの転送、話中転送

A (FAC なし) が B に電話をかけると、A の通話は C に転送されます。

  • B が C への不在転送または話中転送を有効にする場合、FAC は必要ありません。

  • A が C に転送される場合、A で FAC が必要です。

無応答時転送

A (FAC なし) が B に電話をかけ、A (FAC あり) が C に電話をかける場合:

A が B に電話する:

  • A が B に電話するときには FAC は必要ありません。

A は C への無応答転送 (CFNA) です。

  • A が C に転送される場合、A で FAC が必要です。

通話転送(ブラインド)

B が C と A に電話をかけ、A が C に電話をかける場合、FAC が必要です。

例:

A が B に電話します。B が電話に出ます。 B は C へのブラインド転送通話を開始します。A は FAC を入力するように求められます。 有効な FAC が A によって入力された場合にのみ、A は C にルーティングされます。

通話転送(相談)

アラート状態で転送完了

  1. B が C に電話する場合 FAC が必要です。A が C に電話する場合 FAC は必要ありません。

    例:

    1. A が B に電話します。B が電話に出て、C への相談転送を開始します。

    2. B は FAC を入力するように求められますが、FAC が完了しないと B は通話転送を完了できません。

    3. 有効な FAC が入力されると、B (転送コール) が C に転送されます。 転送コールがまだ C で鳴っている間に、B は転送を完了します。その後、A は C に転送されます。

  2. B が C に電話をかけ、A が C に電話をかける場合、FAC が必要です。

    例:

    1. A が B に電話します。B が電話に出て、C への相談転送を開始します。

    2. B は FAC を入力するように求められますが、FAC が完了しないと B は通話転送を完了できません。

    3. A には FAC は必要ありません。その後、A は C に転送されます。

  3. B が C に電話する場合、FAC は必要ありませんが、A が C に電話する場合は FAC が必要です。

    例:

    1. A が B に電話をかけ、B が電話に出ます。

    2. B は C への相談転送を開始し、転送を完了します。

    3. A には FAC は必要ありません。A は C に転送されます。

接続状態で転送が完了します

  1. A が C に電話するときは FAC が必要です。

    例:

    1. A が B に電話し、B が電話に出て C への相談転送を開始します。

    2. C が転送コールに応答し、B が転送を完了します。

    3. A に接続するために FAC は必要なく(コール転送が完了しているため、ローカルヘアピン コールを含む)、A は C に接続されています。

電話会議(ソフトウェア/アドホック)

  1. 通話が会議接続に参加した場合、FAC は呼び出されません。

  2. A と C、B と C の間には FAC が必要です。

    例:

    1. A が B に電話をかけ、B が電話に出て C との電話会議を開始します。

    2. B は有効な承認コードを入力し、C にルーティングされます。

    3. C が電話会議に応答し、会議が完了します。

    4. A への接続には FAC は必要ありません。A は会議接続に参加します。

ミートミー会議

  1. 発信者が MeetMe 会議に参加するために FAC は呼び出されません。

  2. A と C、B と C の間には FAC が必要です。

    例:

    1. 最初に C がミートミー会議に参加します。

    2. B が同じミートミー会議に参加する場合、FAC は必要ありません。

    3. C も同じミートミー会議に参加する場合、FAC は必要ありません。

コールパークと取得

  1. パークされた通話に対して FAC は呼び出されません。

  2. C が A に電話する場合は FAC が必要です。

    例:

    1. A が B に電話をかけ、B が電話に出て、発信者を保留します。

    2. C はパークされた通話 (A) を取得し、C に到達するために FAC は必要なく、C は A に接続されます。

コールパークの復元

  1. A が D に電話する場合は FAC が必要です。

    例:

    1. A が B に電話をかけ、B が電話に出て、発信者を保留します。

    2. パークされたコール (A) はコール パーク スロットからタイムアウトし、D に転送されます。

    3. D には FAC は必要なく、パークされた通話 (A) は D で鳴ります。

グループ ピックアップ

  1. 発信者がグループ通話に応答した場合、FAC は提供されません。

  2. C が A に電話する場合は FAC が必要です。

    例:

    1. A が B に電話をかけ、B の電話が鳴り、C が A の電話に出ようとします。

    2. C には FAC は必要なく、C は A に接続されます。

単一番号リダイレクト(SNR)

FAC は SNR コールではサポートされません。

サードパーティ通話コントロール(3pcc)

FAC は、3 者間通話制御 (3pcc) 発信通話ではサポートされません。

パラレルハントグループ

FAC はパラレル ハント グループではサポートされません。

ウィスパーインターコム

FAC はウィスパー インターコム通話ではサポートされません。

強制認証コードの設定

LPCOR グループで強制承認コード (FAC) を有効にする


制約事項

認証された FAC データは通話ログに保存され、そこから承認コードが収集されます。 コール転送またはブラインド転送のコール シナリオで SIP 通知機能により新しいコールがトリガーされると、同じ発信者が FAC 認証のために再度認証コードを入力する必要があります。


警告

FAC PIN コードは一意である必要があり、内線番号と同じであってはなりません。 Cisco Unified CME、Cisco Unified SRST、および Cisco Voice Gateways は、収集された FAC pin code が内線番号と一致するかどうかを検証しません。

始める前に

手順の概要

  1. 有効化
  2. configure terminal
  3. voice lpcor enable
  4. voice lpcor custom
  5. group number lpcor-group
  6. exit
  7. voice lpcor policylpcor-group
  8. acceptlpcor-groupfac
  9. service fac
  10. end

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

有効化

例:

Router> enable

特権 EXEC モードを有効にします。

  • プロンプトが表示されたらパスワードを入力してください。

ステップ 2

configure terminal

例:

Router# configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 3

voice lpcor enable

例:


Router(config)# voice lpcor enable

Cisco Unified CME ルータで LPCOR 機能を有効にします。

ステップ 4

voice lpcor custom

例:

Router(config)# voice lpcor custom

Cisco Unified CME ルータ上の LPCOR リソース グループの名前と数を定義します。

ステップ 5

group number lpcor-group

例:


Router(cfg-lpcor-custom)#group 10 Manager
Router(cfg-lpcor-custom)#group 11 LocalUser
Router(cfg-lpcor-custom)#group 12 RemoteUser
Router(cfg-lpcor-custom)#group 13 PSTNTrunk
Router(cfg-lpcor-custom)#group 14 IPTrunk

LPCOR リソース グループをカスタム リソース リストに追加します。

  • number :LPCOR エントリのグループ番号。 範囲は 1 ~ 64 です

  • lpcor-group :LPCOR リソース グループを識別する文字列。

ステップ 6

exit

例:

Router(conf-voi-serv)# exit

音声サービス設定モードを終了します。

ステップ 7

voice lpcor policylpcor-group

例:


Router(cfg-lpcor-custom)#group 10 Manager
Router(cfg-lpcor-custom)#group 11 LocalUser
Router(cfg-lpcor-custom)#group 12 RemoteUser
Router(cfg-lpcor-custom)#group 13 PSTNTrunk
Router(cfg-lpcor-custom)#group 14 IPTrunk

リソース グループの LPCOR ポリシーを作成します。

  • lpcor-group :手順 5 で定義したリソース グループの名前。

ステップ 8

acceptlpcor-groupfac

例:


Router(cfg-lpcor-policy)# accept PSTNTrunk fac
Router(cfg-lpcor-policy)# accept Manager fac

LPCOR ポリシーが指定されたリソース グループに関連付けられたコールを受け入れることを許可します。

  • デフォルト: 他のグループからの通話は拒否され、同じリソース グループからの通話は受け入れられます。

  • fac:通話が宛先にルーティングされる前に発信者が入力する必要がある有効な強制承認コード。

  • このポリシーで呼び出しを受け入れるリソース グループごとにこのコマンドを繰り返します。

ステップ 9

service fac

例:

Router(cfg-lpcor-policy)#service fac

LPCOR グループの強制認証コード サービスを有効にします。

  • デフォルト:service fac コマンドの 'no' 形式は、LPCOR グループ ポリシーのデフォルト設定です。

ステップ 10

end

例:

Router(config-ephone)# end

特権 EXEC モードに戻ります。

例: 

Router# show voice lpcor policy
voice lpcor policy PSTNTrunk (group 13):
service fac is enabled
  ( accept     ) Manager (group 10)
  ( reject     ) LocalUser (group 11)
  ( reject     ) RemoteUser (group 12)
  ( accept     ) PSTNTrunk (group 13)
		( reject     ) IPTrunk (group 14)

承認パッケージのパラメータを定義する

ユーザ名とパスワードに必要なパラメータを定義するには、次の手順に従います。

手順の概要

  1. 有効化
  2. configure terminal
  3. application
  4. パッケージ認証
  5. param passwd
  6. param user-prompt filename
  7. param passwd-prompt filename
  8. param max-retries
  9. param term-digit
  10. param abort-digit
  11. param max-digits
  12. exit

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

有効化

例:

Router> enable

特権 EXEC モードを有効にします。

  • プロンプトが表示されたらパスワードを入力してください。

ステップ 2

configure terminal

例:

Router# configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 3

application

例:


Router(config)#application
Router(config-app)#

アプリケーション構成モードに入ります。

ステップ 4

パッケージ認証

例:

Router(config-app)#package auth

パッケージ認証構成モードに入ります。

ステップ 5

param passwd

例:

Router(config-app)#package param passwd 12345

(任意)認証用の事前定義パスワードを定義する文字列。

(注)  

 

param passwd コマンドでパスワードの数字が事前定義されている場合、パスワードの数字の収集はオプションです。

ステップ 6

param user-prompt filename

例:

Router(config-app-param)#param user-prompt flash:en_bacd_enter_dest.au

FAC 認証のパッケージ承認に必要なユーザ名パラメータを入力できます。

  • user-promptfilename :発信者に認証用の有効なユーザ名(数字)を入力するよう要求する音声プロンプトを再生します。

ステップ 7

param passwd-prompt filename

例:

Router(config-app-param)#param passwd-prompt flash:en_welcome.au

FAC 認証のパッケージ承認に必要なパスワード パラメータを入力できます。

  • passwd-prompt filename — 発信者に認証用の有効なパスワード(数字)を入力するよう要求する音声プロンプトを再生します。

ステップ 8

param max-retries

例:

Router(config-app-param)#param max-retries 0

アカウントまたはパスワードを再入力する試行回数を指定します。

  • max-entries — 値の範囲は 0 ~ 10 で、デフォルト値は 0 です。

ステップ 9

param term-digit

例:

Router(config-app-param)#param term-digit #

アカウントまたはパスワードの数字コレクションを終了する数字を指定します。

ステップ 10

param abort-digit

例:

Router(config-app-param)#param abort-digit *

ユーザ名またはパスワードの数字入力を中止する数字を指定します。 既定値は *です。

ステップ 11

param max-digits

例:

Router(config-app-param)#param max-digits 32

ユーザ名またはパスワードの最大桁数です。 有効な値の範囲: 1 - 32。デフォルト値は 32 です。

ステップ 12

exit

例:

Router(conf-app-param)# exit

パッケージ認証パラメータ設定モードを終了します。

強制認証コードの設定例

強制認証コードの設定例

このセクションでは、強制認証コードの設定例を示します。 


!
gw-accounting aaa
!
aaa new-model
!
aaa authentication login default local
aaa authentication login h323 local
aaa authorization exec h323 local
aaa authorization network h323 local
!
aaa session-id common
!
voice lpcor enable
voice lpcor custom
group 11 LocalUser
group 12 AnalogPhone
!
voice lpcor policy LocalUser
service fac
accept LocalUser fac
accept AnalogPhone fac
!
voice lpcor policy AnalogPhone
service fac
accept LocalUser fac
accept AnalogPhone fac
!
application
package auth
 param passwd-prompt flash:en_bacd_welcome.au
 param passwd 54321
 param user-prompt flash:en_bacd_enter_dest.au
 param term-digit #
 param abort-digit *
 param max-digits 32
!
username 786 password 0 54321
!
voice-port 0/1/0
station-id name Phone1
station-id number 1235
caller-id enable
!
voice-port 0/1/1
lpcor incoming AnalogPhone
lpcor outgoing AnalogPhone
!
dial-peer voice 11 pots
destination-pattern 99329
port 0/1/1
!
ephone-dn  102  dual-line
number 786786
label HussainFAC
!
!
ephone  102
lpcor type local
lpcor incoming LocalUser
lpcor outgoing LocalUser
device-security-mode none
mac-address 0005.9A3C.7A00
type CIPC
button  1:102

強制認証コードの機能情報

次の表は、このモジュールで説明されている機能に関するリリース情報を示しています。 この表には、特定のソフトウェア リリース トレインで特定の機能のサポートを導入したソフトウェア リリースのみが記載されています。 特に明記されていない限り、そのソフトウェア リリース トレインの後続リリースでもその機能がサポートされます。

Cisco Feature Navigator を使用して、プラットフォームのサポートと Cisco ソフトウェア イメージのサポートに関する情報を検索します。 Cisco Feature Navigator にアクセスするには、https://cfnng.cisco.com/に進みます。 Cisco.com のアカウントは必要ありません。
表 2. 強制認証コードの機能情報

機能名

Cisco Unified CME バージョン

変更

強制認証コード

8.5

FAC 機能を導入しました。