ユーザーアカウント

ユーザーアカウントについて

Expressway には、通常の操作用に 2 種類のユーザーアカウントがあります。

  • 管理者アカウント - Expressway を設定するために使用されます。

  • FindMe アカウント - 企業内の個人が FindMe プロファイルを設定するために使用します。 (Expressway が FindMe データを提供するために TMS Provisioning Extension サービス を使用している場合、Expressway 経由の FindMe アカウント構成は適用されません。)

アカウント認証

Expressway へのアクセスを許可する前に、管理者アカウントと FindMe アカウントを認証する必要があります。

Expressway は、ローカルでアカウントを認証することも、LDAP (現在は Windows Active Directory がサポートされています) を使用してリモート ディレクトリ サービスに対して認証することも、ローカル アカウントとリモート管理アカウントの組み合わせを使用して認証することもできます。 リモート オプションを使用すると、企業内のすべての Expressway のディレクトリ サービスに管理グループを設定できるため、各 Expressway に個別のアカウントを持つ必要がなくなります。

リモート認証の設定の詳細については、「 LDAP を使用したリモート アカウント認証の構成 」を参照してください。

管理者または FindMe アカウントの認証にリモート ソースを使用する場合は、Expressway を次のように設定する必要もあります。

  • 適切な LDAP サーバ接続設定。

  • 対応するグループ名と一致する管理者グループおよび/または FindMe グループが、この Expressway への管理者および FindMe アクセスを管理するためにリモート ディレクトリ サービスにすでに設定されています (「管理者グループの設定」および「ユーザーグループの設定」を参照)。

Expressway は、証明書ベースの認証を使用するように設定することもできます。 証明書ベースの認証の構成 これは通常、Expressway が高度に安全な環境に導入される場合に必要になります。

パスワードの複雑さ

ローカルで管理されるパスワードの複雑さの要件は、 パスワード セキュリティ ページ (ユーザ > パスワード セキュリティ) から指定できます。

すべてのパスワードとユーザ名は大文字と小文字が区別されます。

アカウントの種類

管理者アカウント

管理者アカウントは、Expressway を構成するために使用されます。

Expressway には、完全な読み取り/書き込みアクセス権を持つデフォルトの admin ローカル管理者アカウントがあります。 これは、ウェブインターフェイス、API、または CLI を使用して Expressway にアクセスするために使用できます。


(注)  

リモートのみの認証ソースが使用されている場合、デフォルトの管理者アカウントを使用して Expressway にアクセスすることはできません。

ウェブおよび API インターフェイスのみを使用して、Expressway にアクセスするために使用できる追加のローカル管理者アカウントを作成することができます。

リモートで管理される管理者アカウントは、Web インターフェイス、API インターフェイス、または CLI を使用して Expressway にアクセスするためにも使用できます。

1 つの管理者アカウントを緊急アカウントとして設定できます。 この特別なアカウントは、リモート認証が不可能な場合に、ローカル認証が無効な場合でも Expressway へのアクセスを許可します。

構成ログ

構成ログ には、Web インターフェイスを使用して行われたすべてのログイン試行と構成の変更が記録され、監査証跡として使用できます。 これは、管理者アカウントが複数ある場合に特に便利です。

複数の管理セッション

複数の管理者セッションを同時に実行できます。 これらのセッションでは、Web インターフェイス、コマンド ライン インターフェイス、またはその両方の組み合わせが使用される可能性があります。 各管理者セッションで同じ構成設定を変更しようとすると、1 つのセッションで行われた変更によって別のセッションで行われた変更が上書きされることに注意してください。

セッション制限とタイムアウト

「ネットワーク サービス」で説明されているように、アカウント セッションの制限と非アクティブ タイムアウトを設定できます

ログイン履歴ページ(高度なアカウントセキュリティ)

システムが高度なアカウント セキュリティ モードになっている場合は、ログイン後すぐに ログイン履歴 ページが表示されます。このページには、現在ログインしているアカウントの最近のアクティビティが表示されます。

FindMe アカウント

FindMe アカウントは、企業内の個人が FindMe ID を通じて連絡を取ることができるデバイスと場所を構成するために使用されます。

各 FindMe アカウントには、ユーザ名とパスワードを使用してアクセスします。

  • リモート FindMe アカウント認証を選択した場合、Expressway 管理者は、リモート ディレクトリ サービス内の対応するグループ名と一致するように FindMe グループを設定する必要があります。


    (注)  

    ユーザ名とパスワードの詳細のみがリモートで管理されます。

  • FindMe ID、デバイス、場所など、FindMe アカウントのその他のすべてのプロパティは、ローカル Expressway データベースに保存されます。

FindMe アカウントの詳細とそれに関連付けられた FindMe デバイスおよび場所の定義の詳細については、「 FindMe アカウントの構成 」セクションを参照してください。

多数の FindMe アカウントをプロビジョニングする必要がある場合は、Cisco TMS を使用することをお勧めします。 FindMe およびユーザ アカウントの設定の詳細については、 『Cisco TMS Provisioning Extension 導入ガイド』 を参照してください。

ルートアカウント

Expressway は、Expressway オペレーティング システムにログインするために使用できるルート アカウントを提供します。 root アカウントは通常の操作では使用しないでください。特に、このアカウントを使用してシステム構成を実行しないでください。 代わりに管理者アカウントを使用してください。

詳細については、 ルート アカウントの使用 セクションを参照してください。


注意    

X8.9 以前の admin および root アカウントのデフォルトのパスワードはよく知られています。 これらのアカウントには強力なパスワードを使用する必要があります。 新しいシステムが X8.9 以降の場合、起動時にデフォルト以外のパスワードを入力する必要があります。

パスワードセキュリティの設定

パスワード セキュリティ ページ (ユーザ > パスワード セキュリティ) では、 ローカル アカウントのパスワードが受け入れられる前に、最低限の複雑さのレベルを満たす必要があるかどうかを制御します。

  • [厳格なパスワードを強制する][オン]に設定されている場合、対象となるアカウントに対してその後に設定されるすべてのパスワードは、厳格なパスワードを構成する次のルールに準拠する必要があります。

  • 「厳格なパスワードを強制する」「オフ」に設定されている場合、パスワードに対する追加のチェックは行われません。 デフォルトは[Off]です。

生成されるパスフレーズのエントロピーの最小ビット数もこのページで 0 ~ 255 の範囲で設定できます (デフォルトは 6)。


(注)  

この設定に関係なく、管理者アカウントに空のパスワードを設定することはできません。

厳格なパスワードの範囲

厳格なパスワードを強制する 設定は、Expressway 自体で管理されているローカル アカウントにのみ適用されます。

  • ローカル管理者アカウント

  • ローカル FindMe ユーザ アカウント

  • ローカル認証データベースの資格情報(他のデバイスが Expressway で認証する必要があるときに使用される有効なユーザ名とパスワードのリスト)

これは、LDAP/リモートで保存された管理者や FindMe の認証情報など、Expressway で使用されるその他のパスワードには影響しません。


(注)  

すべてのパスワードとユーザ名は大文字と小文字が区別されます。

厳格なパスワードのための設定不可能なルール

[厳格なパスワードを強制する][オン]に設定されている場合は、次のパスワード ルールが常に適用され、構成することはできません。

  • 同じ文字の複数の出現は避けてください(連続しない出現はチェックされます)

  • "abc""123 のような 3 文字以上の連続文字は避けてください。"

  • 辞書の単語や逆順に並べた単語は避ける

  • "risetovotesir" のような回文は避けてください。

管理者アカウント、ローカル認証データベース、および FindMe ユーザーのパスワードを作成または変更するときに、[厳格なパスワードポリシーを適用する]オンになっていて、パスワードがユーザー名と同じ文字を順番通りまたは逆順 (小文字または大文字) で使用している場合、ページの上部にエラーメッセージが表示されます。

厳格なパスワードに関する設定可能なルール

パスワード ポリシーの次のプロパティを構成できます。

「カスタム禁止パスワード辞書を有効にする」オンに設定されている場合、カスタム禁止パスワード辞書を使用して厳密なパスワードチェックを実行できます。

「カスタム禁止パスワード辞書を有効にする(Enable custom forbidden password dictionary)」「オフ」に設定されている場合、厳密なパスワード チェックを実行するときにカスタム辞書は使用されません。 デフォルトは オフです。

  • 長さは少なくとも 6 文字の ASCII 文字である必要がありますが、最大 255 文字まで可能です (デフォルトは 15)

  • 数字の桁数 [0-9] は 0 から 255 までです (デフォルトは 2)

  • 大文字の数 [A-Z] は 0 から 255 までです (デフォルトは 2)

  • 小文字 [a-z] の数は 0 から 255 までです(デフォルトは 2)

  • 特殊文字の数(7 ビット ASCII の印刷可能な文字、たとえば(スペース)、@、$など)は 0〜255(デフォルトは 2)です。

  • 連続して繰り返される文字の数は 1 から 255 まで指定できます (デフォルトの 0 ではチェックが無効になるため、連続して繰り返される文字はデフォルトで許可されます。パスワードに連続して繰り返される文字が含まれないようにするには、1 に設定します)

  • 文字クラスの最小数は 0 ~ 4 です (デフォルトの 0 ではチェックが無効になります)。 文字クラスは、数字、小文字、大文字、特殊文字です。

    必要な文字クラスの数とクラスあたりの文字数の間に優先順位の影響が生じる場合があります。

    たとえば、各クラスの文字を 2 つずつというデフォルトの要件のままにしておくと、4 つの文字クラスが必要であるという暗黙のルールが存在します。 この場合、 文字クラスの最小数 の設定は無関係です。 または、文字クラスの最小数を 2 に設定し、各クラスに必要な文字の最小数を 0 に設定すると、2 つの任意のクラスの文字を含むパスワードで十分になります (他の条件を満たしていると仮定)。

パスワードの暗号化

Expressway で設定されたすべてのパスワードは、暗号化またはハッシュされた形式で安全に保存されます。 これは、ユーザ名とパスワードが関連付けられている以下の項目に適用されます。

  • デフォルトの admin管理者 アカウント

  • 追加の管理者アカウント

  • ローカル認証データベースの資格情報(他のデバイスが Expressway で認証する必要があるときに使用される有効なユーザ名とパスワードのリスト)

  • 送信接続資格情報(別のシステムで認証が必要な場合に Expressway によって使用されます)

  • LDAP サーバー (Expressway が LDAP サーバーにバインドするときに使用)

ローカル管理者アカウントのパスワードは SHA512 を使用してハッシュされます。 その他のパスワードは暗号化された形式で保存されます。

Web インターフェースと CLI の比較

Web インターフェイスを使用してパスワードを入力または表示すると、入力している文字の代わりにプレースホルダー文字が表示されます。

コマンドライン インターフェイスを使用してパスワードを入力する場合は、パスワードをプレーンテキストで入力します。 ただし、コマンドを実行すると、パスワードは {cipher} プレフィックスが付いた暗号化された形式で表示されます。 次に例を示します。

xConfiguration 認証パスワード: "{cipher}xcy6k+4NgB025vYEgoEXXw=="

パスワードの最大長

各パスワードの種類ごとに、入力できるプレーンテキスト文字の最大数を以下の表に示します。

パスワードの種類

最大長

管理者アカウント

1024

その他のローカル管理者アカウント

1024

ローカルデータベース認証資格情報

128

アウトバンド接続のクレデンシャル

128

LDAPサーバ

60

FindMe アカウント

1024

(注)  

パスワードを暗号化して保存すると、元のプレーンテキスト バージョンよりも多くの文字が使用されます。

禁止パスワード辞書


(注)  
禁止パスワード辞書を設定していない場合は、クリックすると警告メッセージが表示されます。 
この Expressway は現在、カスタムの禁止パスワード辞書を使用するように構成されていません。

禁止パスワード辞書のダウンロード

手順

ステップ 1

[ユーザー(Users)] > [禁止パスワード(Forbidden password)]に移動します。

ステップ 2

[辞書をダウンロード] をクリックして、現在のバージョンの辞書をローカル ドライブにダウンロードします。

禁止パスワード辞書のアップロード


(注)  

  • .txt ファイルのみがサポートされます。

  • ファイルのアップロードプロセスを安全に保つために、/tmp/ パスに沿ってファイルをアップロードする必要があります。

    たとえば、次のコマンドを考えてみましょう。 

    xcommand Passworddictionarywrite

    パスの先頭に /tmp/ を使用します: 

    xcommand Passworddictionarywrite /tmp/random_file

    /tmp/ が指定されていない場合は、次のエラーメッセージが表示されます。 

    PasswordDictionaryWriteCommandError: 禁止されたパスワード辞書ファイルのパスは /tmp/ で始まる必要があります

手順

ステップ 1

[ユーザー(Users)] > [禁止パスワード(Forbidden password)]に移動します。

ステップ 2

[Choose File]をクリックします。

ステップ 3

ローカルドライブからアップロードする辞書ファイルを選択し、 「辞書をアップロード」 をクリックします。

結果: 新しい辞書がアップロードされ、アプリケーションに統合されます。

禁止パスワード辞書の更新

手順

ステップ 1

[ユーザー(Users)] > [禁止パスワード(Forbidden password)]に移動します。

ステップ 2

[辞書をダウンロード(Download dictionary)] をクリックします。

辞書の現在のバージョンをダウンロードし、必要な変更を加えます。

ステップ 3

[ファイルを選択] をクリックし、更新されたファイルを選択します。

ステップ 4

辞書をアップロードをクリックします。

更新された辞書がアップロードされ、アプリケーションに統合されます。

パスフレーズの生成

パスフレーズを生成すると、パスワードよりも長く、単語間にスペースが含まれるランダムで安全なパスフレーズが生成されます。これにより、文字、数字、記号の難解な連続がなく、セキュリティが強化され、使いやすさが向上します。 権限のないユーザによる復号化を防ぎます。 生成されるパスフレーズのデフォルトの長さは 64 です。

手順

ステップ 1

[メンテナンス(Maintenance)] > [ツール(Tools)] > [パスフレーズ生成(Generate Passphrase)]に移動します。

ステップ 2

新しい 生成されたパスフレーズ が表示されます。

管理者アカウントの構成

管理者アカウント ページ (ユーザ > 管理者アカウント) には、Expressway 上のすべてのローカル管理者アカウントが一覧表示されます。

通常、ローカル管理者アカウントは、Web インターフェイスまたは API インターフェイス上の Expressway にアクセスするために使用されますが、CLI へのアクセスは許可されません。

このページでは次のことができます:

  • 新しい管理者アカウントを作成する

  • 管理者パスワードを変更する

  • アカウントのアクセスレベルを変更します: 読み取り/書き込み読み取り専用、または 監査人

  • アカウントのアクセス範囲を変更します: Web アクセスAPI アクセス、またはその両方

  • 個々の管理者アカウントまたは複数の管理者アカウントを削除、有効化、無効化する

  • 緊急アカウントを指定する

管理者アカウントの詳細の編集

デフォルトの管理者アカウントと追加のローカル管理者アカウントの詳細を編集できます。

手順

ステップ 1

[ユーザー(Users)] > [管理者アカウント(Administrator accounts)]に移動します。

ステップ 2

関連する管理者アカウントの [アクション] の下で、 [ユーザの編集] をクリックします。

新しいページが表示され、パスワードを除く、選択した管理者アカウントのすべてのフィールドを編集できます。

パスワードの変更

手順

ステップ 1

[ユーザー(Users)] > [管理者アカウント(Administrator accounts)]に移動します。

ステップ 2

関連する管理者アカウントの [アクション(Actions)] の下にある、[パスワードの変更(Change password)] をクリックします。

新しいページが表示され、選択した管理者アカウントのパスワードを変更できます。

ステップ 3

[関連タスク(Related tasks)] セクションに移動し、[パスフレーズの生成(Generate passphrase)] をクリックします。

新しいパスフレーズが [生成されたパスフレーズ] ページに表示されます。

ステップ 4

[新しいパスワード(New password)] フィールドと [新しいパスワードの確認(Confirm new password)] フィールドのテキストボックスに新しく生成されたパスフレーズを入力するか、コピーして貼り付けます。

ステップ 5

パスワード変更プロセスを承認するには、 現在のパスワード を入力してください。

ステップ 6

[保存(Save)] をクリックします。

パスワードが正常に変更されました 」というメッセージが表示されます。

管理者アカウントとフィールド参照について

このデフォルトのローカル管理者 "admin" アカウントには完全な読み取り/書き込みアクセス権があり、ウェブ UI、API インターフェイス、または CLI を使用して Expressway にアクセスできます。

このアカウントのユーザー名は admin(すべて小文字)です。


(注)  

現在、組み込みの admin ユーザーのみが CLI にアクセスできます。 14.0.1 以降では、複数の管理者アカウントとグループが CLI にアクセスできます。 管理者ユーザーが、ユーザー インターフェイスを通じてこのアクセスを提供できます。 同様に、管理者ユーザは CLI と REST API 間のアクセスを切り替えることもできます。

X8.9 より前のデフォルトのパスワードは TANDBERG (すべて大文字) でした。 X8.9 以降、新しいシステムは起動時に安全なインストール ウィザードを実行するため、システムがネットワークに接続される前に新しいパスワードを入力できます。

admin を削除、名前変更、無効化することはできません。また、 読み取り/書き込みからアクセス レベルを変更することもできませんが、Web アクセスと API アクセスを無効にすることはできます。

システムを X8.9 より前のバージョンからアップグレードした場合は、パスワードを変更する必要がある場合があります。 特に IP 経由の管理が有効になっている場合は、強力なパスワードを選択してください。

admin アカウントのパスワードを忘れた場合は、読み取り/書き込みアクセス権を持つ別の管理者アカウントとしてログインし、 admin アカウントのパスワードを変更できます。 他の管理者アカウントがない場合、またはそれらのパスワードも忘れてしまった場合でも、Expressway に物理的にアクセスできる場合は、 admin アカウントのパスワードをリセットできます。 詳細については、「 忘れたパスワードのリセット 」を参照してください。

管理者アカウントフィールドリファレンス

フィールド

説明

使用上のヒント

名前

管理者アカウントのユーザ名。

"root" などの名前は予約されています。 ローカル管理者アカウントのユーザ名では大文字と小文字が区別されます。

アクセスレベル

管理者アカウントのアクセス レベル:

読み取り/書き込み: すべての構成情報を表示および変更できます。 これにより、デフォルトの 管理者 アカウントと同じ権限が付与されます。

読み取り専用: ステータスと構成情報の表示のみが可能で、変更はできません。 アップグレード ページなど、一部のページは読み取り専用アカウントに対してブロックされています。

監査担当者: イベント ログ構成ログネットワーク ログアラーム 、および 概要 ページのみにアクセスできます。

デフォルト: 読み書き可能

現在ログインしているユーザのアクセス権限は、各 Web ページの下部にあるシステム情報バーに表示されます。

デフォルトの 管理者 アカウントのアクセス レベルは、 読み取り/書き込みから変更できません。

パスワード

この管理者が Expressway にログインするために使用するパスワード。

Expressway 上のすべてのパスワードは暗号化されているため、ここではプレースホルダー文字のみが表示されます。

パスワードを入力すると、 パスワード フィールドの横にあるバーの色が変わり、パスワードの複雑さが示されます。 パスワード セキュリティ ページ (ユーザ > パスワード セキュリティ) で、ローカル管理者パスワードの複雑さの要件を構成できます。

空のパスワードを設定することはできません。

(注)  

 

管理者アカウント、ローカル認証データベース、および FindMe ユーザーのパスワードを作成または変更するときに、"[厳格なパスワードポリシーを適用する]" がオンになっていて、パスワードがユーザー名と同じ文字を順番通りまたは逆順 (小文字または大文字) で使用している場合、ページの上部にエラーメッセージが表示されます。

新しいパスワード

アカウントの新しいパスワードを入力してください。

このフィールドはパスワードを変更するときにのみ表示されます。

パスワードの確認

アカウントのパスワードを再入力してください。

このフィールドは、アカウントを作成するとき、またはパスワードを変更するときにのみ表示されます。

緊急アカウント

このアカウントを緊急アカウントとして使用するには、 はい を選択します。

読み取り/書き込みアクセスと Web アクセスを持つ有効なローカル管理者アカウントを使用する必要があります。

緊急アカウントは 1 つだけ持つことができます。このアカウントを使用すると、ローカル認証が許可されていない場合でも Expressway にアクセスできます。

このアカウントの目的は、リモート認証が利用できない場合にシステムからロックアウトされることを回避することです。

Web アクセス(Web Access)

このアカウントが Web インターフェイスを使用してシステムにログインできるかどうかを選択します。

デフォルト: はい

パスワードの強制リセット

「はい」を選択した場合、新しいユーザはログイン時に新しいパスワードを作成する必要があります。

デフォルト: [いいえ(No)]

API アクセス

このアカウントがアプリケーション プログラミング インターフェイス (API) を使用してシステムの状態と構成にアクセスできるようにするかどうかを選択します。

デフォルト: はい

これは、Cisco TMS などのシステムによる XML および REST API へのアクセスを制御します。

状態

アカウントが 有効無効かを選択します。 無効なアカウントはシステムにアクセスできません。

現在のパスワード

システムで変更の承認が必要な場合は、ここで現在のパスワードを入力してください。

セキュリティを強化するために、システムでは、管理者がアカウントを作成したりパスワードを変更したりするときに、自身のパスワードを入力する必要があります。

アクティブな管理者セッションの表示

アクティブな管理者セッション ページ (ユーザ > アクティブな管理者セッション) には、現在この Expressway にログインしているすべての管理者アカウントが一覧表示されます。

ログイン時間、セッション タイプ、IP アドレスとポート、この Expressway に最後にアクセスした時間など、セッションの詳細が表示されます。

必要なセッションを選択し、 [セッションを終了] をクリックすると、アクティブな Web セッションを終了できます。

セッション タイムアウト 値が 0 に設定されている場合、このページに多数のセッションが表示されることがあります。 これは通常、管理者が Expressway からログアウトせずにブラウザを閉じてセッションを終了した場合に発生します。

LDAP を使用したリモート アカウント認証の構成

LDAP 構成 ページ (ユーザ > LDAP 構成) は、管理者アカウントの認証用にリモート ディレクトリ サービスへの LDAP 接続を構成するために使用されます。


(注)  

Expressway は、リモート認証用に Microsoft Active Directory の LDAP インターフェースをサポートしています。Okta などの他の LDAP インターフェースは現在サポートされていない構成です。

設定可能なオプションは次のとおりです。

フィールド

説明

使用上のヒント

リモート アカウント認証: このセクションでは、リモート アカウント認証に LDAP の使用を有効または無効にすることができます。

管理者認証ソース

管理者のログイン資格情報が認証される場所を定義します。

ローカルのみ: 資格情報は、システムに保存されているローカル データベースに対して検証されます。

リモートのみ: 資格情報は外部資格情報ディレクトリに対して検証されます。

両方: 資格情報は最初にシステムに保存されているローカル データベースに対して検証され、一致するアカウントが見つからない場合は代わりに外部資格情報ディレクトリが使用されます。

デフォルトは ローカルのみです。

両方では、ローカルで定義されたアカウントを引き続き使用できます。 これは、LDAP サーバとの接続または認証の問題をトラブルシューティングするときに役立ちます。

リモートのみの 認証が使用されている場合、デフォルトの admin アカウントを含む、ローカルに構成された管理者アカウントを使用してログインすることはできません。

(注)  

 

Expressway が Cisco TMS によって管理されている場合は、 リモートのみ を使用しないでください。

LDAP サーバ構成: このセクションでは、LDAP サーバへの接続の詳細を指定します。

Expressway は、LDAP サーバでユーザを検索するために、 distinguishedName という名前の属性を探します。

(注)  

 

LDAP サーバのユーザ レコードに distinguishedName という有効な属性があることを確認します。

FQDN アドレス解決

LDAP サーバのアドレスを解決する方法を定義します。

SRV レコード: DNS SRV レコードの検索。

アドレス レコード: DNS A または AAAA レコードの検索。

IP アドレス: IP アドレスを直接入力します。

デフォルトは アドレスレコードです。

SRV レコードを使用する場合は、 _ldap._tcp.<domain> レコード が標準の LDAP ポート 389 を使用していることを確認してください。Expressway は、LDAP の他のポート番号をサポートしていません。

SRV で LDAPS を使用するには、AD サーバが STARTTLS 拡張機能をサポートしている必要があります。 (ポート 636 を使用して LDAPS を実行する場合は、FQDN 解決にアドレス レコードを使用し、ポート 636 に直接接続する必要があります。)

SRV 検索は _ldap._tcp レコードを対象としています。 複数のサーバが返される場合、各 SRV レコードの優先度と重みによって、サーバが使用される順序が決まります。

ホスト名ドメイン

または

サーバーアドレス

サーバ アドレスの指定方法は、 FQDN アドレス解決 設定によって異なります。

SRV レコード : サーバ アドレスの ドメイン 部分のみが必要です。

アドレスレコード: ホスト名ドメインを入力します。 これらは結合され、DNS アドレス レコードの検索に必要な完全なサーバ アドレスが提供されます。

IP アドレス: サーバ アドレス が IP アドレスとして直接入力されます。

TLS を使用する場合、ここで入力したアドレスは、LDAP サーバによって提示された証明書に含まれる CN (共通名) と一致する必要があります。

Port

ログイン アカウント認証のために LDAP クエリを実行するときに LDAP サーバで使用する IP ポート。 通常、安全でない接続では 389 が使用され、安全な接続では 636 が使用されます。

デフォルト: 389

範囲: 1~65534

Expressway は、LDAP 暗号化接続に対して 636 または 3269 以外のポートをサポートします。

暗号化

LDAP サーバへの接続が暗号化されるかどうかを決定します。

  • オフ: 暗号化は使用されません。

  • TLS: LDAP サーバへの接続に TLS 暗号化を使用します。

  • STARTTLS: TCP ポート経由で TLS 暗号化が使用されます。

デフォルトは TLSです。

詳細については、 「最小 TLS バージョンと暗号スイートの構成」 を参照してください。

TLS が有効になっている場合、AD サーバの証明書は、Expressway の信頼された CA 証明書ファイル内の認証局によって署名されている必要があります。

「TLS の CA 証明書ファイルをアップロード」「関連タスク」 セクション内)をクリックして、 「信頼された CA 証明書リストの管理」 ページに移動します。

証明書失効リスト(CRL)のチェック

LDAP サーバとの TLS 接続を形成するときに証明書失効リスト (CRL) をチェックするかどうかを指定します。

なし: CRL チェックは実行されません。

ピア: LDAP サーバの証明書を発行した CA に関連付けられた CRL のみがチェックされます。

すべて: LDAP サーバの証明書を発行した CA の信頼された証明書チェーン内のすべての CRL がチェックされます。

デフォルトは なしです。

失効リストを使用している場合は、必要な CRL データも CA 証明書ファイル内に含める必要があります。

認証設定: このセクションでは、LDAP サーバにバインドするときに使用する Expressway の認証資格情報を指定します。

バインド DN

LDAP サーバにバインドするときに Expressway によって使用される識別名 (大文字と小文字は区別されません)。

DN を cn=、ou=、dc= の順序で指定することが重要です。

(注)  

 

LDAP ユーザに付与する権限は最小限に抑えるようにしてください。

名前に含まれる特殊文字は、LDAP 標準 (RFC 4514) に従って、バックスラッシュでエスケープする必要があります。 名前間の区切り文字をエスケープしないでください。

バインド アカウントは通常、特別な権限を持たない読み取り専用アカウントです。

バインドパスワード

LDAP サーバにバインドするときに Expressway によって使用されるパスワード (大文字と小文字が区別されます)。

プレーンテキストの最大長は 60 文字で、その後暗号化されます。

SASL

LDAP サーバにバインドするときに使用する SASL (Simple Authentication and Security Layer) メカニズム。

なし: メカニズムは使用されません。

DIGEST-MD5: DIGEST-MD5 メカニズムが使用されます。

デフォルトは DIGEST-MD5です。

会社のポリシーで定められている場合は、Simple Authentication and Security Layer を有効にします。

バインドユーザー名

Expressway が LDAP サーバにログインするために使用するアカウントのユーザ名 (大文字と小文字が区別されます)。

SASL が有効な場合にのみ必要です。

これを sAMAccountName、つまり Security Access Manager アカウント名 (AD ではアカウントのユーザ ログオン名) に設定します。

ディレクトリ構成: このセクションでは、アカウント名とグループ名を検索するときに使用する基本識別名を指定します。

アカウントのベース DN

データベース構造内でユーザ アカウントの検索を開始する識別名の ou= および dc= の定義 (大文字と小文字は区別されません)。

DN を ou=、次に dc= の順序で指定することが重要です。

アカウントおよびグループのベース DN は、dc レベル以下にする必要があります (必要に応じて、すべての dc= 値と ou= 値を含めます)。 LDAP 認証ではサブ dc アカウントは調査されず、下位の ou= および cn= レベルのみが調査されます。

グループのベース DN

データベース構造内でグループの検索を開始する識別名の ou= および dc= の定義 (大文字と小文字は区別されません)。

DN を ou=、次に dc= の順序で指定することが重要です。

グループのベース DN が指定されていない場合は、グループとアカウントの両方にアカウントのベース DN が使用されます。

ネストされたサブグループの検索深度

LDAP 検索のグループの深さを制限するために使用されます。

最適な検索パフォーマンスを得るには、リモート管理者の最上位グループを Expressway の (管理者) グループとして定義し、検索の深さを "1" に設定します。

すべてのメンバーの検索をスキップ

認証検索プロセス中に管理者グループのメンバー検索を無効または有効にするために使用されます。 デフォルトは "はい" - メンバー検索をスキップします。

構成されたグループのメンバー数が比較的多い場合は、この設定を "はい" のままにしておくことをお勧めします。 ただし、構成されたグループのメンバーが比較的少ない展開の場合、これを "いいえ" (メンバー検索を行う) に設定すると、認証の遅延が短縮される可能性があります。

LDAP サーバの接続ステータスの確認

LDAP サーバへの接続ステータスがページの下部に表示されます。

状態 = 利用可能

エラーメッセージは表示されません。

状態 = 失敗

次のエラー メッセージが表示される場合があります。

エラーメッセージ

理由/解決策

DNS は逆引きができません

SASL 認証には逆 DNS ルックアップが必要です。

(注)  

 

逆引き参照を容易にするには、ドメインを 152.50.10.in-addr.arpa (アドレスのサブネットは 10.50.152.0/24) の形式で指定し、アドレスにターゲット DNS サーバを指定します。 これにより、サブネット内のすべての要求が、デフォルトのサーバではなくターゲット DNS サーバに送信されます。

DNS が LDAP サーバのアドレスを解決できません

有効な DNS サーバが設定されていることを確認し、LDAP サーバ アドレスのスペルを確認します。

LDAP サーバへの接続に失敗しました。 サーバのアドレスとポートを確認する

LDAP サーバの詳細が正しいことを確認してください。

TLS 接続のセットアップに失敗しました。 CA 証明書を確認する

TLS には CA 証明書、秘密鍵、およびサーバ証明書が必要です。

サーバへの接続に失敗しました。 返されたコード<return code>

その他の非特異的な問題。

アカウントのベース DN が無効です

アカウントのベース DNを確認してください。現在の値は、LDAP ディレクトリの有効な部分を記述していません。

無効なサーバ名または DNS エラー

LDAP サーバ名の DNS 解決が失敗しています。

無効なバインド資格情報

バインド DNバインド パスワードを確認してください。SASL が DIGEST-MD5 に設定されている場合、 None に設定する必要があるにもかかわらず、このエラーが表示されることもあります。

無効なバインド DN

バインド DN を確認してください。現在の値は、LDAP ディレクトリの有効なアカウントを表していません。

バインド DN の長さが 74 文字以上である場合、この失敗状態が誤って報告される可能性があります。 実際に障害が発生しているかどうかを確認するには、有効なグループ名を使用して Expressway に管理者グループを設定します。Expressway が"保存済み"と報告した場合、問題はありません(Expressway は指定されたグループが見つかるかどうかを確認します)。 グループが見つからないと報告された場合は、 バインド DN が間違っているか、グループが間違っているか、またはその他の構成項目のいずれかが間違っている可能性があります。

CA 証明書がインストールされていません

TLS には CA 証明書、秘密鍵、およびサーバ証明書が必要です。

構成を取得できません

LDAP サーバ情報が欠落しているか、正しくない可能性があります。

管理者グループの設定

管理者グループ ページ (ユーザ > 管理者グループ) には、Expressway で設定されているすべての管理者グループが一覧表示され、グループを追加、編集、削除できます。

管理者グループは、 リモート アカウント認証 が有効になっている場合にのみ適用されます。

Expressway Web インターフェイスにログインすると、資格情報がリモート ディレクトリ サービスに対して認証され、所属するグループに関連付けられたアクセス権が割り当てられます。 管理者アカウントが複数のグループに属している場合は、最高レベルの権限が割り当てられます。


(注)  

LDAP ユーザは、グループに CLI アクセスを設定している場合、CLI を使用して Expressway にログインできるようになりました。

設定可能なオプションは次のとおりです。

フィールド

説明

使用上のヒント

名前

管理者グループの名前。

次の文字を含めることはできません。

/ \ [ ] : ; | = , + * ? > < @ "

Expressway で定義されたグループ名は、この Expressway への管理者アクセスを管理するためにリモート ディレクトリ サービスで設定されたグループ名と一致する必要があります。

アクセスレベル

管理者グループのメンバーに付与されるアクセス レベル:

読み取り/書き込み: すべての構成情報を表示および変更できます。 これにより、デフォルトの 管理者 アカウントと同じ権限が付与されます。

読み取り専用: ステータスと構成情報の表示のみが可能で、変更はできません。 アップグレード ページなど、一部のページは読み取り専用アカウントに対してブロックされています。

監査担当者: イベント ログ、構成ログネットワーク ログアラーム 、および 概要 ページのみにアクセスできます。

なし: アクセスは許可されません。

デフォルト: 読み書き可能

管理者が複数のグループに属している場合、その管理者には、属するすべてのグループの各アクセス設定に対する最高レベルの権限が割り当てられます (無効な状態のグループは無視されます)。 詳細については、以下の「 複数のグループに属するアカウントのアクセス レベルの決定 」を参照してください。

Web アクセス(Web Access)

このグループのメンバーが Web インターフェイスを使用してシステムにログインできるかどうかを決定します。

デフォルト: はい

API アクセス

このグループのメンバーがアプリケーション プログラミング インターフェイス (API) を使用してシステムの状態と構成にアクセスできるかどうかを決定します。

デフォルト: はい

これは、Cisco TMS などのシステムによる XML および REST API へのアクセスを制御します。

状態

グループが有効か無効かを示します。 無効化されたグループのメンバーはアクセスが拒否されます。

管理者アカウントが複数の管理者グループに属していて、 有効無効 の両方の状態が組み合わされている場合、そのアクセスは 有効になります。

複数のグループに属するアカウントのアクセスレベルの決定

管理者が異なるアクセス レベルを持つグループに属している場合は、最高レベルのアクセスが付与されます。 無効な状態にあるグループは無視されます。

たとえば、次のグループが設定されている場合:

グループ名

アクセスレベル

Web アクセス(Web Access)

API アクセス

管理者かんりしゃ

読み書き可能

-

-

リージョン A

読み取り専用(Read-only)

対応

-

リージョン B

読み取り専用(Read-only)

-

対応

リージョン C

読み取り専用(Read-only)

対応

対応

次の表は、これらのグループの 1 つ以上に属するアカウントに付与されるアクセス権限の例を示しています。

所属していたグループ

付与されたアクセス権限

管理者 および リージョン A

Web インターフェースへの読み取り/書き込みアクセスは可能だが、API アクセスは不可

管理者 および リージョン B

API インターフェースへの読み取り/書き込みアクセスは可能ですが、Web インターフェースへのアクセスはできません。

管理者リージョン C

Web および API インターフェースへの読み取り/書き込みアクセス

地域 A のみ

ウェブインターフェースへの読み取り専用アクセスと API アクセスなし

忘れたパスワードのリセット

デフォルトの管理者アカウント、または読み取り/書き込みアクセス権を持つその他の管理者アカウントで Expressway にログインすると、任意のアカウントパスワードをリセットできます。 これが不可能な場合は、コンソールから admin または root のパスワードをリセットできます。


(注)  

パスワードをリセットしても、保存されている構成とデータは影響を受けません。

Web インターフェース経由で管理者アカウントのパスワードを変更する

デフォルトの管理者アカウントと追加のローカル管理者アカウントのパスワードを変更できます。

手順

ステップ 1

[ユーザー(Users)] > [管理者アカウント(Administrator accounts)]に移動します。

ステップ 2

関連する管理者アカウントの [アクション] の下で、 [パスワードの変更] をクリックします

新しいページが表示され、選択した管理者のパスワードを変更できます。

ステップ 3

新しいパスワードを入力して確認します。

(注)  

 

パスワードの変更を承認するには、現在ログインしている管理者アカウントのパスワードも入力する必要があります。

シリアル接続によるルートまたは管理者パスワードのリセット

ハードウェア Expressway では、次のようにして admin または root のパスワードをリセットします。

手順

ステップ 1

シリアル ケーブルを使用して PC を Expressway に接続します。 シリアル ポート/コンソール アクセスは、通常は無効になっている場合でも、再起動後 1 分間は常に有効になります。

ステップ 2

Expressway を再起動します。

ステップ 3

ユーザー名 pwrec を使用して PC からログインします。 パスワードは必要ありません。

ステップ 4

管理者アカウントの認証ソースが リモート に設定されている場合は、設定を 両方 に変更するオプションが提供されます。これにより、ローカル管理者アカウントがシステムにアクセスできるようになります。

ステップ 5

変更するアカウント (root または admin) を選択します。

ステップ 6

新しいパスワードの入力を求められます。

次のタスク

pwrec アカウントは、再起動後 1 分間のみアクティブになります。 その後、パスワードを変更するにはシステムを再起動する必要があります。

vSphere 経由でルートまたは管理者パスワードをリセットする

管理者アカウントまたは root アカウントのパスワードを忘れてしまい、VM (仮想マシン) Expressway を使用している場合は、次の手順に従ってパスワードをリセットできます。

手順

ステップ 1

vSphere クライアントを開きます。

ステップ 2

[コンソールを起動(Launch Console)] リンクをクリックします。

ステップ 3

Expressway を再起動します。

ステップ 4

vSphere コンソールで、ユーザー名 pwrec でログインします。 パスワードは必要ありません。

ステップ 5

プロンプトが表示されたら、パスワードを変更するアカウント (root または管理者アカウントのユーザ名) を選択します。

ステップ 6

新しいパスワードの入力を求められます。

次のタスク

pwrec アカウントは、再起動後 1 分間のみアクティブになります。 その後、パスワードをリセットするにはシステムを再起動する必要があります。

ルートアカウントの使用

Expressway は、Expressway オペレーティング システムにログインするために使用できるルート アカウントを提供します。 このアカウントのユーザー名は root (すべて小文字) です。プロンプトが表示されたら、任意のパスワードを設定してください。 root アカウントにデフォルトのパスワードが設定されている場合、Web インターフェイスと CLI にアラームが表示されます。


(注)  

root アカウントは機密情報へのアクセスを許可する可能性があるため、通常の操作では使用しないでください。特に、このアカウントを使用してシステム構成を実行しないでください。 代わりに管理者アカウントを使用してください。

ルートアカウントのパスワードの変更

手順

ステップ 1

既存のパスワードを使用して、 root として Expressway にログインします。 デフォルトでは、シリアル接続または SSH を使用してのみこれを実行できます。

ステップ 2

コマンド passwd を入力します。

新しいパスワードの入力を求められます。

ステップ 3

新しいパスワードを入力し、プロンプトが表示されたらパスワードを再入力します。

ステップ 4

ルート アカウントからログアウトするには、 exit と入力します。

SSH 経由でルートアカウントにアクセスする


(注)  

  • ルート アカウントには、シリアル接続または SSH 経由でのみアクセスできます。

  • SSH を使用してログインしているときに SSH アクセスを無効にした場合、ログアウトするまで現在のセッションはアクティブなままですが、今後のすべての SSH アクセスは拒否されます。

SSH を使用して、ルート アカウントへのアクセスを有効または無効にすることができます。

手順

ステップ 1

Expressway に root としてログインします。

ステップ 2

次のいずれかのコマンドを入力します。

  • rootaccess --ssh on - SSH を使用したアクセスを有効にする

  • rootaccess --ssh off - SSH を使用したアクセスを無効にする

ステップ 3

ルート アカウントからログアウトするには、 exit と入力します。

Pwrec アカウントのパスワードの設定

X14.0 リリース以降、pwrec アカウントのパスワードはコマンド ライン インターフェイスを通じてのみ設定できます。


重要

パスワードを設定すると、アカウントには常にパスワードが必要になります。 現在、パスワードをリセットする方法はありません。

パスワードを設定するには:

  • SSH 経由または物理アプライアンス経由で root としてログインします

  • "passwd pwrec" を使用してパスワードを設定します。

  • 新しいパスワードを入力し、確認のために再入力するよう求められます。

  • 両方のパスワードが一致する場合、「"passwd: password updated successfully"」と表示されます。

    • パスワードが一致しない場合は、「Sorry", passwords don’t match"」と表示されます。

SSO トークンの管理


(注)  

このページは、 OAuth トークンによる承認 設定によって構成された標準の OAuth トークンに適用されます。 これは、自己記述型 OAuth トークン ( 「OAuth トークンによる認証とリフレッシュ」によって構成される) には適用されません。

  1. 現在 SSO トークンを保持しているユーザーのリストを表示します: 現在 SSO トークンを保持しているユーザーのリストを表示するには、[ユーザー(Users)] > [SSO トークンの保持者(SSO token holders)] に移動します。 このページは、特定のユーザのシングル サインオンに関連する問題のトラブルシューティングに役立ちます。

  2. すべての保有者からトークンを消去: このページを使用して、 すべての保有者からトークンを消去することもできます。 このオプションはユーザにとって混乱を招く可能性があるので、続行する前に必要かどうかを確認してください。 たとえば、セキュリティが侵害されていることがわかっている場合や、内部またはエッジ インフラストラクチャをアップグレードする場合に必要になることがあります。

特定のユーザのトークンを管理する

手順

ステップ 1

[オプション] ユーザー名の部分文字列でフィルタリングして、より短いリストを取得します。

リストにユーザ名が多数ある場合は、リストが長くなると、それぞれ最大 200 のユーザ名を含む複数のページにまたがるため、これが必要になることがあります。

ステップ 2

ユーザ名をクリックすると、そのユーザが保有するトークンの詳細が表示されます。

ユーザの SSO トークン <Username> ページが表示され、そのユーザに発行されたトークンの詳細が一覧表示されます。 詳細には、トークンの発行者と有効期限が含まれます。

ステップ 3

[オプション] ユーザが UC サービスへのアクセスを続行する前にユーザの ID を確認する場合は、 [これらのトークンを削除] をクリックします。

次回、ユーザのクライアントがこの Expressway-C 経由で UC サービスにアクセスしようとすると、クライアントは新しい署名付きリクエストとともに IdP にリダイレクトされます。 ユーザは、Expressway-C に対して ID をアサートできるように、IdP で再認証する必要がある場合があります。 承認された場合、ユーザには新しいトークンが発行されます。