アクセス制御設定

アクセス制御

<Phone-UI-User-Mode> パラメータが有効の場合、電話機の GUI では、GUI がメニュー項目を表す場合、関連パラメータのユーザーアクセス属性が考慮されます。

単一の設定パラメータに関連付けられているメニュー エントリの場合

  • パラメータを「ua=na」(「ua」は「ユーザ アクセス」を表す)属性でプロビジョニングすると、エントリは表示されなくなります。

  • パラメータを「ua=ro」属性でプロビジョニングすると、エントリは読み取り専用となり、編集できなくなります。

複数の設定パラメータに関連付けられているメニュー エントリの場合

  • すべての関連パラメータを「ua=na」属性でプロビジョニングすると、エントリは表示されなくなります。

管理者アカウントとユーザ アカウント

Cisco IP 電話 ファームウェアは、特定の管理者アカウントとユーザ アカウントを提供します。 これらのアカウントは特定のログイン権限を提供します。 管理者アカウント名は admin で、ユーザ アカウント名は user です。 これらのアカウント名は変更できません。

admin アカウントでは、サービス プロバイダーまたは付加価値リセラー(VAR)の設定アクセスが Cisco IP 電話に に提供されます。 user アカウントでは、限定的な設定可能制御がデバイスのエンド ユーザに提供されます。

user アカウントと admin アカウントは個別にパスワードで保護することができます。 サービス プロバイダーが管理者アカウント パスワードを設定した場合は、[管理ログイン(Admin Login)]をクリックしたときに、その入力が求められます。 パスワードがまだ存在しない場合は、画面が更新され、管理パラメータが表示されます。 デフォルトのパスワードは管理者アカウントとユーザ アカウントのどちらにも割り当てられません。 管理者アカウントは管理者とユーザの両方のパスワードを割り当てたり変更したりできますが、ユーザ アカウントは自身のパスワードのみを変更できます。

管理者アカウントは、ユーザ ログインに使用可能な Web パラメータを含むすべての Web プロファイル パラメータを表示して変更できます。 Cisco IP 電話システム管理者は、ユーザ アカウントがプロビジョニング プロファイルを使用して表示および変更できるパラメータをさらに制限することができます。

ユーザ アカウントが使用可能な設定パラメータは Cisco IP 電話 上で設定できます。 電話機の Web ユーザ インターフェイスへのユーザ アクセスは無効にすることができます。

ユーザ アクセス属性

ユーザ アクセス(ua)属性制御は、ユーザ アカウントによるアクセスを変更するために使用する場合があります。 ua 属性を指定しない場合、既存のユーザ アクセス設定が保持されます。 この属性は、管理者アカウントによるアクセスに影響しません。

ua 属性が存在する場合、次のいずれかの値が必要です。

  • na:アクセスなし

  • ro:読み取り専用

  • rw:読み取りと書き込み

    ua オプションの値は二重引用符で囲む必要があります。

次の例は、ua 属性を示しています。 

<flat-profile>
			<SIP_TOS_DiffServ_Value_1_ ua=”na”/>
 		<Dial_Plan_1_ ua=”ro”/>	
			<Dial_Plan_2_ ua=”rw”/>
<Station_Name ua=“rw”>Travel Agent 1</Station_Name></flat-profile>

ユーザー設定属性

user-pref 属性を使用すると、ユーザが好む値を設定して、シームレスなユーザエクスペリエンスを提供することができます。 ユーザは電話または電話の管理ウェブページからさらに変更を加えることができます。 ユーザーが変更したパラメータは、um 属性で「ユーザーによる変更」としてマークされます。 ユーザによる変更は保持されます。 user-pref 属性は、 プロファイルルール パラメータで提供される XML 設定を使用して、プロビジョニング中に更新することができます。

user-pref 属性は必須ではありません。 ですが、属性が存在する場合、次のいずれかの値が必要です。

  • y:設定中にユーザーが加えた変更を反映することを示します。 また、ユーザーが変更していない場合は、管理者が設定した値を設定することも指定します。

  • n—XML 構成を通じて提供される管理者設定値を尊重することを示します。 user-pref 属性が含まれていない場合、値を「n」に設定したのと同じ効果があります。

user-pref 属性の例: 

<flat-profile>
	<Display_Brightness ua="rw" user-pref="y">5</Display_Brightness>
</flat-profile>

ユーザが値を変更すると、その変更は um ="y"として追跡されます。 um 属性は、um を使ったプロビジョニングでは更新できません。それは電話から引き出された XML 設定で見ることができます。

次の例は、um 属性を示しています。 

<flat-profile>
	<Display_Brightness ua="rw" user-pref="y" um="y">5</Display_Brightness>
</flat-profile>

工場出荷時の状態へリセットすると、um および user-pref 属性でマークされたすべての設定がクリアされます。

プロビジョニング中、任意のパラメータに attribute user-pref="n" が追加されている場合、構成の適用後にパラメータの attribute user-pref が "n" に更新され、 um 属性が消去されます。

電話機 ウェブインターフェイスへのアクセス

電話機のファームウェアには、一部のパラメータへのエンドユーザ アクセスを制限する機能があります。 ファームウェアは、管理者アカウントまたはユーザ アカウントにサインインするための特定の権限を提供します。 それぞれ、個別にパスワードで保護することができます。

  • 管理者アカウント:すべての管理 Web サーバ パラメータへのフル アクセスを許可します。

  • ユーザ アカウント:管理 Web サーバ パラメータのサブセットにアクセスすることができます。

サービス プロバイダーが設定ユーティリティへのアクセスを無効にしている場合は、続行する前にサービス プロバイダーに問い合わせてください。

手順

ステップ 1

コンピュータが電話機と通信できることを確認します。 使用中の VPN はありません。

ステップ 2

Web ブラウザを起動します。

ステップ 3

Web ブラウザのアドレス バーに、電話機の IP アドレスを入力します。

  • ユーザーのアクセス先:http://<ip address>
  • 管理者のアクセス先:http://<ip address>/admin/advanced
  • 管理者のアクセス先:http://<ip address>[管理者ログイン(Admin Login)] をクリックし、[詳細(advanced)] をクリックします。

例:https://10.64.84.147/admin

ステップ 4

(任意) 管理者パスワードとユーザパスワードを設定するように求められたら、次の手順を実行します。

(注)  

 

電話機の初期登録(Out-Of-Box)前、または工場出荷時設定へのリセットを実行する前に、パスワードを設定することが必須です。

  1. パスワードの設定 ページで、次のパラメータを入力します。

    • 管理者の新しいパスワード: 管理者アカウントの新しいパスワードを入力します。

    • 管理者パスワードの確認: 確認のため、新しい管理者パスワードをもう一度入力します。

    • ユーザの新しいパスワード: ユーザ アカウントの新しいパスワードを入力します。

    • ユーザパスワードの確認: 確認のため、新しいユーザパスワードをもう一度入力します。

    有効なパスワードは、 大文字、小文字、数字、および特殊文字の4つのうち3つを使用し、 8 ~ 127 文字以内である必要があります。 使用できる特殊文字は / . です。 @ : ; = ? - _ & % + * ~ ` < > , ! ^ ' " | # $ \ ( ) { } [ ]. スペースは許可されていません。

  2. 変更を加えたら、 [送信] をクリックして設定を適用します。

ステップ 5

プロンプトが表示されたら、パスワードを入力します。

デフォルトで HTTPS を有効にする

電話管理ウェブページにデフォルトでアクセスするには、HTTPS を有効にする必要があります。

  • [プロトコルの有効化(Enable Protocol)]HTTPS および [Web サーバーポート(Web Server Port)]443 に値を設定し、電話を工場出荷時の状態にリセットします。 工場出荷時の状態へのリセット後、両方の値は変更されないまま残り、ユーザーが http://<ip address> または http://<ip address>:80 で電話管理のウェブページにアクセスする場合、HTTPS がデフォルトとして設定されている場合、URL は https://<ip address>:443 にリダイレクトされます。

  • 電話がファームウェアリリース 12.0(3) にアップグレードし、パラメータの値を変更しても、URL はデフォルトで https://phone IP:443 にリダイレクトされ、電話管理ウェブページにアクセスします。

  • 工場出荷時の状態へのリセット後、[ウェブサーバーポート(Web Server Port)]80 および [プロトコルの有効化(Enable Protocol)]HTTP に変更した場合、ユーザーは、http://phone IP:80 で電話管理のウェブページにアクセスできませんが、https://phone IP:80 でページにアクセスできます。

  • 電話がファームウェアリリース 12.0(3) にアップグレードされた場合、ユーザーは https プロトコルを使用することによってのみ、電話管理のウェブページにアクセスできます。

始める前に

手順

ステップ 1

[音声(Voice)] > [システム(System)] を選択します。

ステップ 2

[システム設定(System Configuration)] セクションで、[プロトコルの有効化(Enable Protocol)] パラメータを HTTPS および [ウェブサーバーポート(Web Server Port)] パラメータを 443 に設定します。

このパラメータは、電話機の設定ファイル(cfg.xml)のパラメータでも有効にできます。

<Enable_Protocol ua="na">Https</Enable_Protocol>

<Web_Server_Port ua="na">443</Web_Server_Port>

ステップ 3

[すべての変更の送信(Submit All Changes)]をクリックします。

電話機の設定へのアクセスを制御する

電話機のウェブページまたは電話画面で、設定パラメータへのアクセスを許可またはブロックするために電話機を設定できます。 アクセス制御のパラメータを使用して、次の操作を実行できます。

  • 構成を作成するときに、ユーザ アカウントが利用できる設定パラメータを指定します。

  • 管理ウェブサーバーへのアクセスを有効または無効にします。

  • 電話画面のメニューへのユーザアクセスを有効または無効にします。

  • ユーザに対して表示される [パスワードの設定(Set Password)]画面をバイパスします。

  • 電話が再同期、アップグレード、または回線1の SIP 登録のためにアクセスするインターネットドメインを制限します。

XML(cfg.xml)コードを使用して電話機構成ファイルのパラメータを設定することもできます。 各パラメータを設定するには、アクセス制御パラメータの文字列のシンタックスを参照してください。

始める前に

電話管理の Web ページにアクセスします。 電話機 ウェブインターフェイスへのアクセスを参照してください。

手順

ステップ 1

[音声(Voice)] > [システム(System)]をクリックします。

ステップ 2

システム設定 セクションで、アクセス制御パラメータ表に定義されているとおりにパラメーターを構成します。

ステップ 3

すべての変更を送信 をクリックして変更を適用します。

アクセス制御パラメータ

次の表で、電話機のウェブインターフェイスの [音声(Voice)] > システム(System)] タブの下にある [システム設定(System Configuration)] セクションにおける、アクセス制御パラメータの機能と使用方法を定義します。 また、パラメータを設定するために、XML コードを含む電話設定ファイルに追加される文字列のシンタックスも定義します。

表 1. アクセス制御パラメータ

パラメータ名

説明とデフォルト値

[Webサーバの有効化(Enable Web Server)]

電話のウェブインターフェイスへのアクセスを有効または無効にします。 このパラメータを [はい(Yes)] に設定すると、ユーザまたは管理者が電話機のウェブインターフェイスにアクセスできるようになります。 それ以外の場合は、このフィールドを [いいえ(No)] に設定します。 [いいえ(No)] に設定すると、電話機のウェブインターフェイスにアクセスできなくなります。

次のいずれかを実行します。

  • XML (cfg.xml)を使用した電話機の設定ファイルでは、次の形式で文字列を入力します。

    <Enable_Web_Server ua="na">可</Enable_Web_Server>

  • 電話機のウェブインターフェイスで、アクセスを許可するには [はい(Yes)] に設定します。

有効値: はい(Yes)| いいえ(No)

デフォルト:はい(Yes)

[Web管理アクセスの有効化(Enable Web Admin Access)]

電話機の管理ページへのアクセスを許可またはブロックします。

http://<phone_IP>/admin

[いいえ(No)] に設定すると、管理者用のウェブページは利用できません。 ユーザーのウェブページのみアクセスできます。

(注)  

 

アクセスがブロックされた後に再度管理ウェブページへのアクセスを許可する場合は、電話機から工場出荷時の状態にリセットする必要があります。

次のいずれかを実行します。

  • XML (cfg.xml)を使用した電話機の設定ファイルでは、次の形式で文字列を入力します。

    <Enable_Web_Admin_Access ua="na">可</Enable_Web_Admin_Access>

  • 電話機のウェブインターフェイスで、アクセスを許可するにはこのパラメータを [はい(Yes)] に設定します。 それ以外の場合は、このフィールドを [いいえ(No)] に設定します。

有効値: はい(Yes)| いいえ(No)

デフォルト:はい(Yes)

Admin パスワード

電話機の管理ウェブページにアクセスするためのパスワードを設定したり、変更したりすることができます。

Admin パスワードパラメータは、電話機の管理ウェブページでのみ使用できます。

有効なパスワードは、 大文字、小文字、数字、および特殊文字の4つのうち3つを使用し、 8 ~ 127 文字以内である必要があります。 使用できる特殊文字は / . です。 @ : ; = ? - _ & % + * ~ ` < > , ! ^ ' " | # $ \ ( ) { } [ ]. スペースは許可されていません。

次のいずれかを実行します。

  • XML(cfg.xml)を使用する電話機の設定ファイルに、次の形式で文字列を入力します。<Admin_Password ua="na">P0ssw0rd_tes89</Admin_Password>

  • 電話機のウェブインターフェイスで、管理者のアクセス用のパスワードを入力します。

デフォルト:空

ユーザパスワード

電話機画面にある電話機のウェブインターフェイスやメニューにアクセスするためのパスワードを、ユーザ自身または電話機のユーザが設定または変更できるようにします。

電話画面のメニュー アプリケーション > デバイス管理 > パスワード設定で、ユーザパスワードを設定したり変更したりすることもできます。

電話の Web インターフェイスから設定する場合、有効なパスワードには、大文字、小文字、数字、特殊文字の 4 種類のうち 3 種類を含む 8 〜 127 文字が含まれている必要があります。 使用できる特殊文字は / . です。 @ : ; = ? - _ & % + * ~ ` < > , ! ^ ' " | # $ \ ( ) { } [ ]. スペースは許可されていません。

電話画面から設定する場合、有効なパスワードは、大文字、小文字、数字、特殊文字の 4 種類のうち 3 種類を含む 4 〜 127 文字で構成されている必要があります。 使用できる特殊文字は / . です。 @ : ; = ? - _ & % + * ~ ` < > , ! ^ ' " | # $ \ ( ) { } [ ].

設定ファイル (cfg.xml) では、User_Passwordパラメータを使用して、最初の起動時またはファクトリリセット後にプロンプトされる パスワードの設定画面をバイパスできます。 詳細については、[パスワードの設定(Set Password)] 画面のバイパス を参照してください。

デフォルト:空

[電話UIユーザモード(Phone-UI-User-Mode)]

このパラメーターは、設定ファイル(cfg.xml)内の要素タグに付加された(ua)属性にアクセスするユーザーでのみ機能します。 電話機の画面で、電話機のユーザが確認できるパラメータを制限できます。

[はい(Yes)] に設定すると、ua属性を使用して 電話画面メニュー上の特定のパラメータへのユーザアクセスを制御できます。 [いいえ(No)] に設定すると、ua属性は機能しません。

ua属性のオプションは、「na」、「ro」、および「rw」です。 「na」として指定されたパラメータは電話機の画面に表示されません。 「ro」として指定されたパラメータはユーザによる編集ができません。 「rw」として指定されたパラメータはユーザによる編集が可能です。

次のいずれかを実行します。

  • XML (cfg.xml)を使用した電話機の設定ファイルでは、次の形式で文字列を入力します。

    <Phone-UI-User-Mode ua="na">不可</Phone-UI-User-Mode>

  • 電話機のウェブインターフェイスで、電話機の設定ファイルで [はい(Yes)] に設定し、目的のパラメータのua属性を設定します。

例: 

<Phone-UI-User-Mode ua="na">Yes</Phone-UI-User-Mode>
<Enable_VLAN ua="ro">Yes</Enable_VLAN>
<Preferred_Audio_Device ua="rw">Headset</Preferred_Audio_Device>
<Block_ANC_Setting ua="na">Yes</Block_ANC_Setting>

この例の設定では、ユーザは、

  • 電話画面のメニューでは、VLAN (Enable_VLAN) の設定を表示できますが、変更できません。

  • 優先オーディオデバイスの設定 (Preferred_Audio_Device) を変更できます。

  • 電話画面でメニュー項目ブロック匿名コール (Block_ANC_Setting) を表示できません。

有効値: はい(Yes)| いいえ(No)

デフォルト:[いいえ(No)]

ユーザパスワードプロンプト

ユーザパスワードセットアップ画面でプロンプトを表示するかどうかを制御します。

次のいずれかを実行します。

  • XML (cfg.xml)を使用した電話機の設定ファイルでは、次の形式で文字列を入力します。

    <User_Password_Prompt ua="na">可</User_Password_Prompt>

  • 電話機のウェブインターフェイスで、ユーザがプロンプトを使用できるようにするには [はい(Yes)] に設定します。

有効値:はい(Yes)|いいえ(No)

デフォルト:はい(Yes)

[パスワードの設定(Set Password)] 画面のバイパス

次のプロビジョニング アクションに基づいて、最初の起動時または初期設定へのリセット後に、電話機の [パスワードの設定(Set Password)] 画面をバイパスできます。

  • DHCP の設定

  • EDOS の設定

  • 電話機の XML 設定ファイルを使用したユーザ パスワードの設定。

ユーザパスワードが設定されると、[パスワードの設定 (set password)] 画面が表示されなくなります。

手順

ステップ 1

テキスト エディタまたは XML エディタで電話機のcfg.xml ファイルを編集します。

ステップ 2

次のいずれかのオプションを使用して <User_Password> タグを挿入します。

  • パスワードなし(開始タグと終了タグ)<User_Password></User_Password>
  • パスワード値(4 ~ 127 文字)<User_Password >Abc123</User_Password>
  • パスワードなし(開始タグのみ)<User_Password />

ステップ 3

変更内容をcfg.xmlファイルに保存します。

初回起動時または工場出荷時のリセット後に パスワードの設定 画面が表示されません。 パスワードを指定した場合、ユーザは電話機のウェブインターフェイスまたは電話画面のメニューにアクセスするときにパスワードの入力を求められます。