- このマニュアルについて
- 概要
- Cisco IP テレフォニーの概要
- システム コンフィギュレーショ ンの概要
- Multilevel Administration
- システム レベルのコンフィギュ レーション設定
- クラスタ化
- 冗長化
- コール アドミッション制御
- Cisco TFTP
- デバイスのサポート
- サービス
- 自動登録
- パーティションおよびコーリン グ サーチ スペース
- Time-of-Day ルーティング
- ルート プランの概要
- アプリケーション ダイヤル 規則の概要
- ディレクトリの概要
- ユーザ ディレクトリ情報の 管理
- メディア リソースの管理
- Annunciator
- Conference Bridge
- トランスコーダ
- 保留音
- メディア終端ポイント
- トランスコーディング、会議 、 および MTP 用の Cisco DSP リソース
- ボイスメールの Cisco CallManager への接続性
- SMDI ボイスメールの統合
- Cisco Unity メッセージングの 統合
- Cisco DPA の統合
- コール パークおよびディレク テッド コール パーク
- コール ピックアップ
- Cisco IP Phone サービス
- Cisco CallManager エクステン ション モビリティ機能および 電話機へのログイン機能
- Cisco CallManager Attendant Console
- Cisco IP Manager Assistant
- Cisco CallManager 音声ゲート ウェイの概要
- IP テレフォニー プロトコルの 概要
- セッション開始プロトコル (SIP)の概要
- Cisco CallManager トランク タイプの概要
- Cisco IP Phone
- ビデオ テレフォニーの概要
- コンピュータ テレフォニー 統合
- Cisco ATA 186 および Cisco ATA 188
- 管理ツールの概要
- 管理アカウントとパスワード
- 索引
Cisco CallManager システム ガイド Release 4.2(1)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月19日
章のタイトル: Multilevel Administration
Multilevel Administration
Multilevel Administration(MLA)は、Cisco CallManager Administration に対して複数のセキュリティ レベルを提供します。この手法により、選択されたユーザ グループに必要な特権だけを与えることが可能になり、特定ユーザ グループ内のユーザが実行できる設定機能を制限します。
MLA が使用可能になる前は、Cisco CallManager 設定に対して読み取りおよび書き込みアクセス権のある管理者であれば、Cisco CallManager Administration および Cisco CallManager Serviceability からアクセス可能なデータベース要素およびディレクトリ要素の一部またはすべてを変更することができました。ユーザはマウスを数回クリックしてアクセスする必要がないデータを誤って変更することにより、意図せずにシステム全体を使用不可にしてしまう場合がありました。
•
「主な機能」
• 「ログイン認証」
• 「機能グループ」
• 「参考情報」
主な機能
MLA は、Cisco CallManager Administration に対して複数のセキュリティ レベルを提供します。Cisco CallManager Administration 機能には、機能グループがあります。各機能グループは、さまざまなユーザ グループに対して異なるアクセス レベル(アクセス権なし、読み取り専用アクセス、およびフル アクセスなど)を持つことができます。また、MLA によって、ユーザ ログインの監査ログが提供され、Cisco CallManager 設定データに対するアクセスおよび変更が可能になります。
ログイン認証
MLA が使用可能になる前は、Cisco CallManager 管理者はローカル NT 管理アカウントを使用してログインしました。MLA を使用すると、Lightweight Directory Access Protocol(LDAP)に保管されたディレクトリのユーザ名およびパスワードによって基本的なログイン認証が提供されます。MLA は、 CCMAdministrator という定義済みのスーパー ユーザを作成します。
Windows レジストリは CCMAdministrator のユーザ ID および暗号化されたパスワードを保管します。したがって、ディレクトリが使用できない場合でも、
CCMAdministrator はログインして対応策をとることができます。ユーザがブラウザに URL を入力して直接アクセスしようとすると、まずユーザを認証するためのログイン ウィンドウが表示されます。
(注) MLA は、Cisco CallManager Administration、Cisco CallManager Serviceability、Cisco CallManager Trace Analysis、Cisco CallManager Trace Collection Tool、Real Time Monitoring Tool(RTMT)、および Serviceability SOAP アプリケーションに認証機能を提供します。MLA が使用可能な場合、ログイン機能は、CCMAdministrator、または、MLA ユーザ グループに所属するその他の LDAP ユーザに対してだけ動作します。
(注) MLA が使用可能な状態で Cisco CallManager 3.3(x) または Cisco CallManager 3.2(x) から Cisco CallManager 4.1(x) にアップグレードした場合、スーパーユーザ CCMAdministrator のパスワードはリセットされます。アップグレードの最後に、新しい CCMAdministrator パスワードがメッセージ ボックスに表示されます。このパスワードを使用し、パスワードを固有の値に変更してください。
Cisco CallManager のインストールが、MLA を使用できない以前のバージョンからのアップグレードである場合には、Enable MultiLevelAdmin エンタープライズ パラメータを変更して MLA を使用可能にします。「MLA エンタープライズ パラメータ」の「Enable MultiLevelAdmin」を参照してください。
機能グループ
機能グループは Cisco CallManager システム管理機能を集めたものです。共通の管理メニューには、各機能グループが含まれます。機能グループには、デフォルトの機能グループである標準機能グループと、カスタム機能グループという 2 つのタイプがあります。標準機能グループは、MLA のインストールの一部として作成されます。ユーザはカスタム機能グループを定義することができます。
(注) すべての標準機能グループはインストール時に作成されます。標準機能グループは変更も削除もできません。
インストール時に次の標準機能グループがシステムによって作成されます。
機能グループの全リストについては、「標準ユーザ グループおよび標準機能グループ」を参照してください。
ユーザ グループ
ユーザ グループとは、アクセス特権レベルをユーザ グループ内のメンバーに割り当てるために、グループ化された Cisco CallManager ユーザの集まりです。
あらかじめ定義されたさまざまな名前のユーザ グループがありますが、インストール時にはどのグループにもメンバーが割り当てられません。
Cisco CallManager スーパーユーザか、またはユーザ グループ設定にアクセスできるユーザが、これらのグループにユーザを追加して、そのユーザ グループにアクセス権を設定する必要があります。スーパーユーザ、またはユーザ グループ設定にアクセスできるユーザは、必要に応じて追加の名前付きユーザ グループを設定することができます。
(注) SuperUserGroup は、すべての名前付き機能グループに対するフル アクセス権限を常に持つ名前付きユーザ グループです。このユーザ グループは削除できません。このグループに対してはユーザの追加および削除だけが可能です。
(注) CCMAdministrator は CCMAdministrator が SuperUserGroup のメンバーではない場合も、常にスーパーユーザを表します。
(注) インストール時に作成される標準ユーザ グループは削除することができます。ただし、SuperUserGroup は削除できません。
ユーザ グループの全リストについては、「標準ユーザ グループおよび標準機能グループ」を参照してください。
ユーザ グループのアクセス特権
機能グループにアクセスするため、次のアクセス特権のいずれかが名前付きユーザ グループに適用されます。
各機能グループにアクセスするために、これらの特権レベルのいずれかが各ユーザ グループに割り当てられます。アクセス特権によって次の特権が指定されます。
• アクセス特権 No Access は、この特権が特定機能グループに定義されているユーザ グループ内のユーザが、その機能グループに属するすべてのウィンドウについて表示も変更もできないことを指定する。アクセス特権 No Access を持つユーザには、機能グループ内のウィンドウへのアクセス権がありません。
• アクセス特権 Read Only は、この特権が特定機能グループに定義されているユーザ グループ内のユーザが、その機能グループに属するウィンドウを表示することだけはできるが、ウィンドウの変更はできないことを指定する。アクセス特権 Read Only は、機能グループ内のウィンドウへのアクセスを読み取り操作に限定します。 Insert 、 Delete 、 Update および Reset などのボタンは、データベースおよびディレクトリ データが変更されないようにするため、グレー表示されます。
• アクセス特権 Full Access は、この特権が特定機能グループに定義されているユーザ グループ内のユーザが、その機能グループに属するすべてのウィンドウを表示および変更できることを指定する。フル アクセス特権を持つユーザは Insert、Delete、Update および Reset などの操作を行うことができ、Cisco CallManager Administration および Serviceability からプロセスやサービスを開始あるいは停止できる管理機能も実行できます。
インストールではデフォルトのアクセス特権が、インストール時に作成される機能グループのユーザ グループに対して割り当てられます。
アクセス ログ
MLA はログインを試行した記録の入ったログを生成します。このログには、ユーザ名、グループ名、日付、時刻、および成功または失敗のログイン セッション状況が含まれます。
また、試みたアクセスおよび変更に関するファイル レポートも含まれます。つまり、MLA は Cisco CallManager Administration を使用してディレクトリまたはデータベース コンポーネントにアクセスまたは変更を試みた記録を生成します。変更記録には、ユーザ名、日付、時刻、アクセスされたメニュー、変更に使用されたウィンドウ、および成功または失敗の更新状況が含まれます。
c:\Program Files\Cisco\Trace\MLA の Log ディレクトリの下にあるログ ファイルを検索します。ファイル名は Accessxx.log(xx は数字)です。
その他のデータは、ISAPI アクセス許可のログに保管されます。ファイル名は ISAPIFilter*.txt および Permissions*.txt(* はトレース ファイル番号)です。
MLA エンタープライズ パラメータ
• Effective Access Privileges For Overlapping User Groups
• Effective Access Privileges For Overlapping Functional Groups
• User Cache Flush Timeout (Minutes)
User Group Base エンタープライズ パラメータは、MLA で使用するユーザ グループの基本要素を指定します。
User Group Base エンタープライズ パラメータには次のデフォルト値が含まれます。
• DC Directory で User Group Base パラメータは次のように設定される。ou=MultiLevelAdmin, ou=Admins, <Cisco-base>
• Netscape Directory で User Group Base パラメータは次のように設定される。ou=MultiLevelAdmin, ou=CCN, <Cisco-base>
• Active Directory で User Group Base パラメータは次のように設定される。ou=MultiLevelAdmin, <Cisco-base>
このエンタープライズ パラメータは、Active Directory で作成される Windows グループを使用するように変更することができます。
Administrative User Base エンタープライズ パラメータは、MLA で使用する管理ユーザの基本要素を指定します。
デフォルトで Administrative User Base エンタープライズ パラメータは、システム プロファイル内で検出されたエンタープライズ ユーザ基本要素に設定されます。このエンタープライズ パラメータは、Active Directory で作成される Windows グループを使用するように変更することができます。
Debug Level エンタープライズ パラメータは、MLA デバッグ ログのデバッグ レベル設定値(None、Trace、または Debug)を指定します。このパラメータを None に設定するとデバッグがオフになり、 Trace に設定するとトレース情報が生成され、 Debug に設定するとデバッグ情報が生成されます。
Debug Level エンタープライズ パラメータのデフォルト値は Trace です。デバッグ ログ ファイルは、ディレクトリ c:\Program Files\Cisco\Trace\MLA に、ファイル名 DirAndUI**.log で保管されます。
Effective Access Privileges For Overlapping User Groups
Effective Access Privileges For Overlapping User Groups エンタープライズ パラメータは、複数のユーザ グループに所属し競合する特権を持つユーザのアクセス レベルを決定します。
このエンタープライズ パラメータは次の値に設定することができます。
• Maximum:有効な特権は、重複するすべてのユーザ グループで最大限の特権になる。
• Minimum:有効な特権は、重複するすべてのユーザ グループで最小限の特権になる。
Effective Access Privileges For Overlapping User Groups エンタープライズ パラメータのデフォルト値は Maximum です。
Effective Access Privileges For Overlapping Functional Groups
Effective Access Privileges For Overlapping Functional Groups エンタープライズ パラメータは、複数の機能グループに所属し競合する特権を持つ Cisco CallManager ウィンドウに対するユーザ アクセス レベルを決定します。
このエンタープライズ パラメータは次の値に設定することができます。
• Maximum:有効な特権は、重複するすべての機能グループで最大限の特権になる。
• Minimum:有効な特権は、重複するすべての機能グループで最小限の特権になる。
Effective Access Privileges For Overlapping Functional Groups エンタープライズ パラメータのデフォルト値は Maximum です。
Enable MultiLevelAdmin エンタープライズ パラメータは MLA を使用可能にするかどうかを指定します。
このエンタープライズ パラメータは次の値に設定することができます。
Enable MultiLevelAdmin エンタープライズ パラメータのデフォルト値は False です。
True を選択した場合は、プロンプト「New password for CCMAdministrator」で新しいパスワードを入力し、プロンプト「Confirm password for CCMAdministrator」でそのパスワードを再入力します。
Enable MultiLevelAdmin エンタープライズ パラメータ値を変更した場合、CCMAdministrator は次の手順を実行して変更した値を有効にする必要があります。
1. Start > Programs > Administrative Tools > Services の順に選択します。
2. Worldwide Web Publishing service を選択して右クリックします。
3. Stop を選択してから、 Start を選択します。
User Cache Flush Timeout (Minutes)
User Cache Flush Timeout エンタープライズ パラメータは、ユーザの資格情報を含む MLA キャッシュをフラッシュする間隔(分単位)を指定します。MLA は、キャッシュをフラッシュするたびに、統合エンタープライズ ディレクトリ サーバからの最新のユーザ資格情報と MLA 自身を同期化します。
このパラメータの値を大きくするほど、最後のフラッシュ以降にユーザの資格情報(エンタープライズ ディレクトリ内)が変更され、キャッシュされた値と一致しなくなっている可能性が高くなります。つまり、ユーザはキャッシュされた資格情報に基づいて認証されますが、実際には、値が不一致のために認証が拒否されることがあります。
このパラメータの値を小さくすると、Real Time Monitoring Tool(RTMT)などの外部ポーリング アプリケーションのパフォーマンスが低下する可能性が高くなります。
このパラメータの適切な値は、ポーリング アプリケーションの許容可能なパフォーマンス レベルを維持しながら、セキュリティ リスクを最小限に抑えることのできる値です。
標準ユーザ グループおよび標準機能グループ
ここでは、Cisco CallManager MLA を有効にすると使用できるようになる、標準ユーザ グループと標準機能グループの完全なリストを提供します。この項の構成は、次のとおりです。
• 「標準ユーザ グループおよび標準機能グループの特権マッピング」
標準機能グループ
Cisco CallManager MLA によって標準機能グループが作成されます。標準機能グループは、次の機能グループで構成されます。
標準ユーザ グループ
Cisco CallManager MLA によってインストール時に標準ユーザ グループが作成されます。標準ユーザ グループは、次のユーザ グループで構成されます。
標準ユーザ グループおよび標準機能グループの特権マッピング
表4-1 は、標準ユーザ グループと標準機能グループの特権を対象としたデフォルトのマッピングを示しています。
|
|
|
|
|---|---|---|
参考情報
• 『 Cisco CallManager アドミニストレーション ガイド 』の「Multilevel Administration Access の設定」
• Cisco CallManager インストレーション ガイド
• Cisco CallManager アドミニストレーション ガイド
フィードバック