- このマニュアルについて
- 概要
- Cisco IP テレフォニーの概要
- システム コンフィギュレー ションの概要
- Multilevel Administration Access
- システム レベルのコンフィギュ レーション設定
- クラスタ化
- 冗長化
- コール アドミッション制御
- Cisco TFTP
- デバイスのサポート
- サービス
- 自動登録
- パーティションおよびコール検 索スペース
- Time-of-Day ルーティング
- ルート プランの概要
- アプリケーション ダイヤル規 則の概要
- ディレクトリの概要
- ユーザ ディレクトリ情報の管理
- メディア リソースの管理
- Annunciator
- Conference Bridge
- トランスコーダ
- 保留音楽
- メディア終端ポイント
- トランスコーディング、会議 、 および MTP 用の Cisco DSP リ ソース
- ボイスメールの Cisco CallManager への接続性
- SMDI ボイスメールの統合
- Cisco Unity メッセージングの 統合
- Cisco DPA の統合
- コール パーク
- コール ピックアップおよびグ ループ コール ピックアップ
- Cisco IP Phone サービス
- Cisco CallManager エクステン ション モビリティ機能および 電話機へのログイン機能
- Cisco CallManager Attendant Console
- Cisco IP Manager Assistant
- Cisco CallManager 音声ゲート ウェイの概要
- IP テレフォニー プロトコルの 概要
- セッション開始プロトコル (SIP)の概要
- Cisco CallManager トランク タイプの概要
- Cisco IP Phone
- ビデオ テレフォニーの概要
- コンピュータ テレフォニー統合
- Cisco ATA 186 および Cisco ATA 188
- 管理ツールの概要
- 管理アカウントとパスワード
- 索引
Cisco CallManager システム ガイド Release 4.1(2)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2012年2月24日
章のタイトル: Multilevel Administration Access
Multilevel Administration Access
Multilevel administration accessは、Cisco CallManager Administration に対して複数のセキュリティ レベルを提供します。この手法により、選択されたユーザ グループに必要な特権だけを与えることが可能になり、特定ユーザ グループ内のユーザが実行できる設定機能を制限します。
multilevel administration access が使用可能になる前は、Cisco CallManager 設定に対して読み取りおよび書き込みアクセス権のある管理者であれば、Cisco
CallManager Administration および Cisco CallManager Serviceability からアクセス可能なデータベース要素およびディレクトリ要素の一部またはすべてを変更することができました。ユーザはマウスを数回クリックしてアクセスする必要がないデータを誤って変更することにより、意図せずにシステム全体を使用不可にしてしまう場合がありました。
次のトピックを使用して multilevel administration access を説明します。
•
「主な機能」
• 「ログイン認証」
• 「機能グループ」
• 「参考情報」
主な機能
Multilevel administration accessは、Cisco CallManager Administration に対して複数のセキュリティ レベルを提供します。Cisco CallManager Administration 機能には、機能グループがあります。各機能グループは、さまざまなユーザ グループに対して異なるアクセス レベル(アクセス権なし、読み取り専用アクセス、およびフル アクセスなど)を持つことができます。また、Multilevel administration access によって、ユーザ ログインの監査ログが提供され、Cisco CallManager 設定データに対するアクセスおよび変更が可能になります。
ログイン認証
multilevel administration access が使用可能になる前は、Cisco CallManager 管理者はローカル NT 管理アカウントを使用してログインしました。multilevel administration access を使用すると、Lightweight Directory Access Protocol(LDAP)に保管されたディレクトリのユーザ名およびパスワードによって基本的なログイン認証が提供されます。Multilevel administration access は CCMAdministrator という定義済みのスーパーユーザを作成します。
Windows レジストリは CCMAdministrator のユーザ ID および暗号化されたパスワードを保管します。したがって、ディレクトリが使用できない場合でも、CCMAdministrator はログインして対応策をとることができます。ユーザがブラウザに URL を入力して直接アクセスしようとすると、まずユーザを認証するためのログイン ウィンドウが表示されます。
(注) Multilevel administration access は、Cisco CallManager(CCM)Administration、CCM Serviceability、CCM Trace Analysis、CCM Trace Collection Tool、Real Time Monitoring Tool(RTMT)、Admin Serviceability Tool(AST)、および Serviceability SOAP アプリケーションに認証機能を提供します。MLA が使用可能な場合、ログイン機能は、CCMAdministrator、または、MLA ユーザ グループに所属するその他の LDAP ユーザに対してだけ動作します。
(注) multilevel administration access が使用可能な状態で Cisco CallManager 3.3(x) または Cisco CallManager 3.2(x) から Cisco CallManager 4.1(x) にアップグレードした場合、スーパーユーザ CCMAdministrator のパスワードはリセットされます。アップグレードの最後に、新しい CCMAdministrator パスワードがメッセージ ボックスに表示されます。このパスワードを使用し、パスワードを固有の値に変更してください。
Cisco CallManager 4.1(x) のインストールが、MLA を使用できない以前のバージョンからのアップグレードである場合には、Enable MultiLevelAdmin エンタープライズ パラメータを変更して multilevel administration access を使用可能にします。「MLA エンタープライズ パラメータ」の「Enable MultiLevelAdmin」を参照してください。
機能グループ
機能グループは Cisco CallManager システム管理機能を集めたものです。各機能グループを構成する Web ページは、すべて共通の管理メニューに属しています。機能グループには、デフォルトの機能グループである標準機能グループと、カスタム機能グループという 2 つのタイプがあります。標準機能グループは、multilevel administration access のインストールの一部として作成されます。ユーザはカスタム機能グループを定義することができます。
(注) すべての標準機能グループはインストール時に作成されます。標準機能グループは変更も削除もできません。
インストール時に次の標準機能グループがシステムによって作成されます。
機能グループの全リストについては、「標準ユーザ グループおよび標準機能グループ」を参照してください。
ユーザ グループ
ユーザ グループとは、アクセス特権レベルをユーザ グループ内のメンバーに割り当てるために、グループ化された Cisco CallManager ユーザの集まりです。
あらかじめ定義されたさまざまな名前のユーザ グループがありますが、インストール時にはどのグループにもメンバーが割り当てられません。Cisco CallManager スーパーユーザか、またはユーザ グループ設定にアクセスできるユーザが、これらのグループにユーザを追加して、そのユーザ グループにアクセス権を設定する必要があります。スーパーユーザ、またはユーザ グループ設定にアクセスできるユーザは、必要に応じて追加の名前付きユーザ グループを設定することができます。
(注) SuperUserGroup は、すべての名前付き機能グループに対するフル アクセス権限を常に持つ名前付きユーザ グループです。このユーザ グループは削除できません。このグループに対してはユーザの追加および削除だけが可能です。
(注) CCMAdministrator は CCMAdministrator が SuperUserGroup のメンバーではない場合も、常にスーパーユーザを表します。
(注) インストール時に作成される標準ユーザ グループは削除することができます。ただし、SuperUserGroup は削除できません。
ユーザ グループの全リストについては、「標準ユーザ グループおよび標準機能グループ」を参照してください。
ユーザ グループのアクセス特権
機能グループにアクセスするため、次のアクセス特権のいずれかが名前付きユーザ グループに適用されます。
各機能グループにアクセスするために、これらの特権レベルのいずれかが各ユーザ グループに割り当てられます。アクセス特権によって次の特権が指定されます。
• アクセス特権 No Access は、この特権が特定機能グループに定義されているユーザ グループ内のユーザが、その機能グループに属するすべてのページについて表示も変更もできないことを指定する。アクセス特権 No Access を持つユーザには、機能グループ内のページへのアクセス権がありません。
• アクセス特権 Read Only は、この特権が特定機能グループに定義されているユーザ グループ内のユーザが、その機能グループに属するページを表示することだけはできるが、ページの変更はできないことを指定する。アクセス特権 Read Only は、機能グループ内のページへのアクセスを読み取り操作に限定します。 Insert 、 Delete 、 Update および Reset などのボタンは、データベースおよびディレクトリ データが変更されないようにするため、グレー表示されます。
• アクセス特権 Full Access は、この特権が特定機能グループに定義されているユーザ グループ内のユーザが、その機能グループに属するすべてのページを表示および変更できることを指定する。フル アクセス特権を持つユーザは Insert、Delete、Update および Reset などの操作を行うことができ、Cisco CallManager Administration ページおよび Serviceability ページからプロセスやサービスを開始あるいは停止できる管理機能も実行できます。
インストールではデフォルトのアクセス特権が、インストール時に作成される機能グループのユーザ グループに対して割り当てられます。
アクセス ログ
Multilevel administration access はログインを試行した記録の入ったログを生成します。このログには、ユーザ名、グループ名、日付、時刻、および成功または失敗のログイン セッション状況が含まれます。
また、試みたアクセスおよび変更に関するファイル レポートも含まれます。つまり、multilevel administration access は Cisco CallManager システム管理を使用してディレクトリまたはデータベース コンポーネントにアクセスまたは変更を試みた記録を生成します。変更記録には、ユーザ名、日付、時刻、アクセスされたメニュー、変更に使用された Web ページ、および成功または失敗の更新状況が含まれます。
c:\Program Files\Cisco\Trace\MLA の Log ディレクトリの下にあるログ ファイルを検索します。ファイル名は Accessxx.log(xx は数字)です。
その他のデータは ISAPI アクセス許可のログに保管されます。ファイル名は ISAPIFilter*.txt および Permissions*.txt(* はトレース ファイル番号)です。
MLA エンタープライズ パラメータ
Multilevel administration access では次のエンタープライズ パラメータを使用します。
• Effective Access Privileges For Overlapping User Groups
• Effective Access Privileges For Overlapping Functional Groups
User Group Base エンタープライズ パラメータは、multilevel administration access で使用するユーザ グループの基本要素を指定します。
User Group Base エンタープライズ パラメータには次のデフォルト値が含まれます。
• DC Directory で User Group Base パラメータは次のように設定される。ou=MultiLevelAdmin, ou=Admins, <Cisco-base>
• Netscape Directory で User Group Base パラメータは次のように設定される。ou=MultiLevelAdmin, ou=CCN, <Cisco-base>
• Active Directory で User Group Base パラメータは次のように設定される。ou=MultiLevelAdmin, <Cisco-base>
このエンタープライズ パラメータは、Active Directory で作成される Windows グループを使用するように変更することができます。
Administrative User Base エンタープライズ パラメータは、multilevel administration access で使用する管理ユーザの基本要素を指定します。
デフォルトで Administrative User Base エンタープライズ パラメータは、システム プロファイル内で検出されたエンタープライズ ユーザ基本要素に設定されます。このエンタープライズ パラメータは、Active Directory で作成される Windows グループを使用するように変更することができます。
Debug Level エンタープライズ パラメータは、MLA デバッグ ログのデバッグ レベル設定値(None、Trace、または Debug)を指定します。このパラメータを None に設定するとデバッグがオフになり、 Trace に設定するとトレース情報が生成され、 Debug に設定するとデバッグ情報が生成されます。
Debug Level エンタープライズ パラメータのデフォルト値は Trace です。デバッグ ログ ファイルはディレクトリ c:\Program Files\Cisco\Trace\MLA にファイル名 DirAndUI**.log として保管されます。
Effective Access Privileges For Overlapping User Groups
Effective Access Privileges For Overlapping User Groups エンタープライズ パラメータは、複数のユーザ グループに所属し競合する特権を持つユーザのアクセス レベルを決定します。
このエンタープライズ パラメータは次の値に設定することができます。
• Maximum:有効な特権は、重複するすべてのユーザ グループで最大限の特権になる。
• Minimum:有効な特権は、重複するすべてのユーザ グループで最小限の特権になる。
Effective Access Privileges For Overlapping User Groups エンタープライズ パラメータのデフォルト値は Maximum です。
Effective Access Privileges For Overlapping Functional Groups
Effective Access Privileges For Overlapping Functional Groups エンタープライズ パラメータは、複数の機能グループに所属し競合する特権を持つ Cisco CallManager Web ページに対するユーザ アクセス レベルを決定します。
このエンタープライズ パラメータは次の値に設定することができます。
• Maximum:有効な特権は、重複するすべての機能グループで最大限の特権になる。
• Minimum:有効な特権は、重複するすべての機能グループで最小限の特権になる。
Effective Access Privileges For Overlapping Functional Groups エンタープライズ パラメータのデフォルト値は Maximum です。
Enable MultiLevelAdmin エンタープライズ パラメータは multilevel administration access を使用可能にするかどうかを指定します。
このエンタープライズ パラメータは次の値に設定することができます。
• True:Multilevel administration access は使用可能
• False:Multilevel administration access は使用不可
Enable MultiLevelAdmin エンタープライズ パラメータのデフォルト値は False です。
True を選択した場合は、プロンプト「New password for CCMAdministrator」で新しいパスワードを入力し、プロンプト「Confirm password for CCMAdministrator」でそのパスワードを再入力します。
Enable MultiLevelAdmin エンタープライズ パラメータ値を変更した場合、CCMAdministrator は次の手順を実行して変更した値を有効にする必要があります。
1. Start > Programs > Administrative Tools > Services の順に選択します。
標準ユーザ グループおよび標準機能グループ
ここでは、Cisco CallManager multilevel administration access を有効にすると使用できるようになる、標準ユーザ グループと標準機能グループの完全なリストを提供します。この項の構成は、次のとおりです。
• 「標準ユーザ グループおよび標準機能グループの特権マッピング」
標準機能グループ
Cisco CallManager multilevel administration access によって標準機能グループが作成されます。標準機能グループは、次の機能グループで構成されます。
標準ユーザ グループ
Cisco CallManager multilevel administration access によってインストール時に標準ユーザ グループが作成されます。標準ユーザ グループは、次のユーザ グループで構成されます。
標準ユーザ グループおよび標準機能グループの特権マッピング
表 4-1 は、標準ユーザ グループと標準機能グループの特権を対象としたデフォルトのマッピングを示しています。
|
|
|
|
|---|---|---|
参考情報
• 『 Cisco CallManager アドミニストレーション ガイド 』の「Multilevel Administration Access の設定」
• Cisco CallManager インストレーション ガイド
• Cisco CallManager アドミニストレーション ガイド
フィードバック