访问控制配置

访问控制

如果启用 <Phone-UI-User-Mode> 参数,当电话 GUI 显示菜单项时,GUI 将支持相关参数的用户访问属性。

对于同单个配置参数关联的菜单条目:

  • 如果将参数设置为“ua=na”(“ua”表示“用户访问”)属性,条目将消失。

  • 如果将参数设置为“ua=ro”属性,条目将变为只读且不可编辑。

对于同多个配置参数关联的菜单条目:

  • 如果将所有相关的参数设置为“ua=na”属性,条目将消失。

管理员帐户和用户帐户

Cisco IP 电话固件提供特定的管理员和用户帐户。 这些帐户提供特定的登录权限。 管理员帐户名为 admin;用户帐户名为 user。 帐户名称无法更改。

管理员帐户给予服务提供商或增值经销商 (VAR) 配置访问 Cisco IP 电话的权限。 用户帐户给予设备最终用户有限且可配置的控制权。

可使用密码对用户管理员帐户分别进行保护。 如果服务提供商设置管理员帐户密码,当您单击管理员登录时,系统会提示您。 如果密码尚不存在,屏幕将刷新并显示管理参数。 管理员帐户和用户帐户均未分配任何默认密码。 只有管理员帐户可以分配或更改密码。

管理员帐户可查看和修改所有 Web 配置文件参数,包括可供用户登录的 Web 参数。 Cisco IP 电话系统管理员可使用授权文件进一步限制用户帐户可查看和修改的参数。

用户帐户使用的配置参数可在 Cisco IP 电话上配置。 可禁用用户对电话 Web 用户界面的访问权限。

用户访问属性

用户帐户可以使用用户访问 (ua) 属性控制更改访问权限。 如果未指定 ua 属性,则现有用户访问设置会保留。 此属性不影响管理员帐户的访问。

ua 属性必须具有下列值之一:

  • na — 无法访问

  • ro — 只读

  • rw — 读取和写入

    必须将 ua 选项的值置于双引号内。

下例解释了 ua 属性: 

<flat-profile>
			<SIP_TOS_DiffServ_Value_1_ ua=”na”/>
 		<Dial_Plan_1_ ua=”ro”/>	
			<Dial_Plan_2_ ua=”rw”/>
<Station_Name ua=“rw”>Travel Agent 1</Station_Name></flat-profile>

用户首选项属性

user-pref 属性允许您设置一些用户首选值,以便为用户提供无缝体验。 用户可从电话或电话管理网页进行进一步更改。 用户修改的任何参数都会被标记为用户修改,属性为 um。 用户所做的任何更改都将被保留。 user-pref 属性可在配置过程中使用随配置文件规则参数一起提供的 XML 配置进行更新。

user-pref 属性并非必需。 但是,如果存在,则必须具有下列值之一:

  • Y - 表示尊重用户在配置期间要包括的更改。 它还指定要在用户未修改的情况下设置管理员设置的值。

  • N - 表示遵循通过XML配置提供的管理员设置值。 如果不包含 user-pref 属性,则它的效果与将其值设置为“n”相同。

以下示例说明了 user-pref 属性: 

<flat-profile>
	<Display_Brightness ua="rw" user-pref="y">5</Display_Brightness>
</flat-profile>

如果用户修改了数值,则会以 um ="y" 的形式跟踪更改。 使用 um 进行配置时无法更新 um 属性,而且从电话拉取的 XML 配置中可以看到该属性。

下例解释了 um 属性。 

<flat-profile>
	<Display_Brightness ua="rw" user-pref="y" um="y">5</Display_Brightness>
</flat-profile>

恢复出厂设置会清除所有标记为 umuser-pref 属性的配置。

在设置期间,对于任何参数,如果添加了属性 user-pref=“n”,则在应用配置后,参数的属性 user-pref 将更新为“n”,而 um 属性也会被清除。

访问电话 Web 界面

电话固件提供了可限制最终用户访问某些参数的机制。 固件提供了登录到管理员帐户或用户帐户的特定权限。 每一个可以单独受密码保护。

  • 管理员帐户 — 可完全访问所有管理 Web 服务器参数

  • 用户帐户 — 可访问部分管理 web 服务器参数

如果您的服务提供商禁用了对配置实用程序的访问权限,请联系服务提供商后再继续。

过程

步骤 1

确保计算机可以与电话通信。 未使用 VPN。

步骤 2

启动 Web 浏览器。

步骤 3

在 Web 浏览器的地址栏中,输入电话的 IP 地址。

  • 用户访问:http://<ip address>
  • 管理员访问:http://<ip address>/admin/advanced
  • 管理员访问:http://<ip address>,单击管理员登录并单击高级

例如,https://10.64.84.147/admin

步骤 4

出现提示时,输入密码。

默认启用 HTTPS

您必须默认启用 Https 才能访问电话管理网页。

  • 您将启用协议的值设置为 Https,将 Web 服务器端口设置为 443,然后将电话恢复出厂设置。 恢复出厂设置后,这两个值保持不变,如果您的用户要使用 http://<ip address>http://<ip address>:80 访问电话管理网页,则当 HTTPS 设置为默认值时,URL 将重定向到 https://<ip address>:443

  • 如果电话升级到固件版本 12.0 (3),并且您更改了参数值,则默认情况下 URL 仍将重定向到 https://phone IP:443 以访问电话管理网页。

  • 恢复出厂设置后,如果您将 Web 服务器端口更改为 80,并将启用协议更改为 Https,则用户无法访问使用 http://phone IP:80 访问电话管理网页,但可以使用 https://phone IP:80 访问此页面。

  • 如果电话升级到固件版本 12.0 (3),则用户只能使用 https 协议访问电话管理网页。

开始之前

过程

步骤 1

选择语音 > 系统

步骤 2

系统配置部分中,将启用协议参数设置为 Https,并将 Web 服务器端口参数设置为 443

您还可以在电话配置文件 (cfg.xml) 中启用参数。

<Enable_Protocol ua="na">Https</Enable_Protocol>

<Web_Server_Port ua="na">443</Web_Server_Port>

步骤 3

单击 Submit All Changes

控制对电话设置的访问

您可以将电话配置为允许或阻止访问电话网页或电话屏幕上的配置参数。 通过访问控制参数,您可以:

  • 表示创建配置时,哪些配置参数可供用户帐户使用。

  • 启用或禁用用户对管理 web 服务器的访问。

  • 启用或禁用用户对电话屏幕菜单的访问。

  • 为用户绕过设置密码屏幕。

  • 限制电话因为线路 1 的重新同步、升级或 SIP 注册而访问的 Internet 域。

您还可以使用 XML(cfg.xml) 代码配置电话配置文件中的参数。 要配置各个参数,请参阅访问控制参数中的字符串语法。

开始之前

访问电话管理网页。 请参阅:访问电话 Web 界面

过程

步骤 1

单击语音 > 系统

步骤 2

System Configuration 部分,如 访问控制参数表中所述配置参数。

步骤 3

单击提交所有更改以应用更改。

访问控制参数

下表定义了电话 Web 界面中语音 > 系统选项卡下系统配置部分中访问控制参数的功能和用法。 它还定义了电话配置文件 (cfg.xml) 中添加的字符串的语法,其中包含用于配置参数的 XML 代码。

表 1. 访问控制参数

参数名称

描述和默认值

Enable Web Server

启用或禁用对电话 Web 界面的访问。 将此参数设置为 Yes 以允许用户或管理员访问电话 Web 界面。 否则,将其设置为。 如果设置为 No,将无法访问电话 Web 界面。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <Enable_Web_Server ua="na">是</Enable_Web_Server>

  • 在电话 Web 界面中,选择 Yes 将允许访问。

允许的值:是|否

默认值:Yes。

Enable Web Admin Access

允许或阻止对电话管理页面的访问:

http://<phone_IP>/admin

当设置为时,将无法访问“管理员”网页。 只有用户的网页是可访问的。

 

如果要在访问被阻止后再次允许访问管理网页,则需要从电话执行工厂重置。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <Enable_Web_Admin_Access ua="na">是</Enable_Web_Admin_Access>

  • 在电话 Web 界面中,将此参数设置为 Yes 以允许访问。 否则,将其设置为

允许的值:是|否

默认值:Yes

管理员密码

允许您设置或更改电话管理网页的访问密码。

Admin Password 参数仅适用于电话管理网页。

有效密码必须包含 4 到 127 个字符,字符类型涉及以下四类中的三种:大写字母、小写字母、数字和特殊字符。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:<Admin_Password ua="na">P0ssw0rd_tes89</Admin_Password>

  • 在电话 Web 界面中,输入管理员访问密码。

默认值:空

User Password

允许您或电话用户设置或者更改用于访问电话 Web 界面以及电话屏幕菜单的密码。

您也可以从电话屏幕菜单应用程序 > 设备管理 > 设置密码设置或更改用户密码。

有效密码必须包含 4 到 127 个字符,字符类型涉及以下四类中的三种:大写字母、小写字母、数字和特殊字符。

在配置文件 (cfg.xml) 中,您可以使用 User_Password 参数绕过在第一次启动或恢复出厂时提示的设置密码屏幕。 有关详细信息,请参阅:绕过设置密码屏幕

默认值:空

Phone-UI-User-Mode

此参数仅适用于用户访问附加到配置文件 (cfg.xml) 中的元素标签的 (ua) 属性。 您可以限制电话用户在电话屏幕上看到的参数。

如果设置为 Yes,可以使用 ua 属性来控制用户对电话屏幕菜单上特定参数的访问。 如果设置为 No,则 ua 属性无法正常发挥作用。

ua 属性的选项包括 "na"、"ro" 和 "rw"。 指定为 "na" 的参数不会在电话屏幕上显示。 用户不可编辑指定为 "ro" 的参数。 用户可编辑指定为 "rw" 的参数。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <Phone-UI-User-Mode ua="na">否</Phone-UI-User-Mode>

  • 在电话 Web 界面中,设置为,然后在电话配置文件中设置所需参数的 ua 属性。

示例:

<Phone-UI-User-Mode ua="na">Yes</Phone-UI-User-Mode>
<Enable_VLAN ua="ro">Yes</Enable_VLAN>
<Preferred_Audio_Device ua="rw">Headset</Preferred_Audio_Device>
<Block_ANC_Setting ua="na">Yes</Block_ANC_Setting>

完成示例中的设置之后,用户:

  • 可以在电话屏幕菜单上看到但无法更改 VLAN (Enable_VLAN) 设置

  • 可以更改首选音频设备 (Preferred_Audio_Device) 的设置

  • 在电话屏幕上看不到菜单项阻止匿名呼叫 (Block_ANC_Setting)。

允许的值:是|否

默认值:No

User Password Prompt

控制用户密码设置屏幕是否会提示。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <User_Password_Prompt ua="na">是</User_Password_Prompt>

  • 在电话 Web 界面中,设置为 Yes 可让系统提示用户。

允许的值:是|否

默认值:Yes

绕过设置密码屏幕

固件版本 11.2.3 和更高版本中不提供此功能。

基于以下配置操作,第一次启动时或恢复出厂设置后,您可以跳过电话设置密码屏幕:

  • DHCP 配置

  • EDOS 配置

  • 在电话 XML 配置文件中配置用户密码

配置用户密码后,“设置密码”屏幕不会显示。

过程

步骤 1

在文本编辑器或 XML 编辑器中编辑电话 cfg.xml 文件。

步骤 2

使用下列选项之一,插入 <User_Password> 标记。

  • 无密码(开始和结束标签)<User_Password></User_Password>
  • 密码值(4-127 个字符) - <User_Password >Abc123</User_Password>
  • 无密码(仅限开始标记)<User_Password />

步骤 3

将更改保存到 cfg.xml 文件。

设置密码屏幕在第一次启动时或恢复出厂设置后不显示。 如果指定了密码,则在访问电话 Web 界面或电话屏幕菜单时,系统会提示用户输入密码。