概要
リリース 7.0 では、Authentication, Authorization, and Accounting(AAA; 認証、許可、およびアカウンティング)に関する一連の新しい機能が提供されています。これらの機能は、事前定義済みの特権をグループに割り当てることによって制限付きのサービスにアクセス可能なユーザを決定する機能など、以前のリリースで利用できるようになった認証および許可の機能を強化したものです。
リリース 7.0 では、新しい特権の作成および既存の特権のカスタマイズを行ってから、以前のリリースで行った方法と同じように、それらの特権をグループに割り当てることができます。
さらに、リリース 7.0 には次の新しい AAA 機能も含まれています。
•
AAA アカウンティング情報のログを記録する機能。この機能を使用すると、設定の変更内容の監査、セキュリティの維持、リソースの正確な割り当て、およびリソースの使用についての請求先の特定を簡単に行うことができます。
• 認証用にリモート RADIUS サーバを使用する機能。
• アカウンティング サーバおよび認証サーバ用にフェールオーバー機能を設定する機能。
AAA 機能を設定するには、次の手順を使用します。
• 「アカウンティング サーバの設定」
• 「認証サーバの設定」
• 「AAA ポリシーの設定」
• 「特権の設定」
• 「アカウンティング イベント ログの設定」
• 「コンソール認証の設定」
アカウンティング サーバの設定
AAA アカウンティング サーバは、最大で 2 つ設定できます。アカウンティング サーバを 2 つ設定すると、自動フェールオーバー機能を使用できます。この機能を使用すると、1 番目のサーバが到達不能な場合、アカウンティング情報は 2 番目のサーバに送信されます。両方のアカウンティング サーバが到達不能な場合は、どちらかのサーバが使用可能になるまで、アカウンティング レコードがキャッシュされます。キャッシュがフルになる前にどちらのサーバにも到達できない場合は、新しいパケット用の空き領域を確保するために、最も古いアカウンティング パケットが削除されます。
AAA アカウンティング サーバの設定は AAA 認証サーバとは完全に独立しているため、AAA アカウンティング サーバは、AAA 認証サーバと同じマシンにも別のマシンにも設定できます。
syslog サーバを使用している場合は AAA の設定による影響がないため、既存のユーザ インターフェイスが引き続き使用されます。RADIUS サーバが AAA アカウンティング情報を syslog サーバに送信すると、そのアカウント情報が単一の文字列に正規化されてから記録されます。syslog サーバが定義されていない場合、AAA アカウンティング ログは Cisco Unity Express 上でローカルに実行されている syslog サーバによって記録されます。
アカウンティング サーバには、サーバへのログインに使用する次の情報を設定できます。
• サーバの IP アドレスまたは DNS 名
• 使用するポート番号
• 暗号化共有秘密およびセキュリティ資格
• ログインの再試行回数
• ログイン タイムアウトの長さ
(注) サポート対象は RADIUS サーバだけです。
概略手順
1. config t
2. aaa accounting server remote
3. address address [ port port] secret secret
4. address address [ port port] credentials hidden cred
5. retries number
6. timeout seconds
7. end
8. show aaa accounting service
詳細手順
|
|
|
|
ステップ 1 |
config t
se-10-0-0-0# config t |
設定モードを開始します。 |
ステップ 2 |
aaa accounting server remote
se-10-0-0-0(config)# aaa accounting server remote |
AAA アカウンティング サブモードを開始して、AAA アカウンティング サーバを設定できるようにします。 |
ステップ 3 |
address address [ port port] secret secret
se-10-0-0-0(config)# address 10.2.2.10 prt 1808 secret ezsecret |
AAA アカウンティング サーバのアクセス パラメータを定義します。 |
ステップ 4 |
address address [ port port] credentials hidden cred
se-10-0-0-0(config)# address 10.2.2.10 port 1808 credentials hidden "EugxIjn3MbL3WgUZUdUb90nfGW
TYHfmPSd8ZZNgd+Y9J3xlk2B35j0nfGWTYHfmPSd8ZZNgd+Y9J3xlk2B35j0nfGWTYHfmPSd8ZZNgd+Y9J3xlk2B35j0nfGWTYHfmP" |
AAA アカウンティング サーバのアクセス パラメータを定義します。 |
ステップ 5 |
retries number
se-10-0-0-0(config)# retries 6 |
アカウンティング要求が失敗するまでに AAA アカウンティング要求を再試行する最大回数を指定します。 |
ステップ 6 |
timeout seconds
se-10-0-0-0(config)# timeout 24 |
AAA アカウンティング要求に対する応答がないと見なすまでの待機時間を指定します。 |
ステップ 7 |
end
se-10-0-0-0(config)# end |
特権 EXEC モードに戻ります。 |
ステップ 8 |
show aaa accounting service
se-10-0-0-0# show aaa accounting service
|
(オプション)AAA アカウンティング サーバの設定を表示します。 |
例
show aaa accounting service コマンドのサンプル出力を次に示します。
se-10-0-0-0# show aaa accounting service
AAA Accounting Service Configuration
Address: 192.168.1.101 Port: 1813 Credentials: EugxIjn3MbL3WgUZUdUb90nfGWTYHfmPSd8ZZNgd+Y9J3xlk2B35j0nfGWTYHfmPSd8ZZNgd+Y9J3xlk2B35j0nfGWTYHfmPSd8ZZNgd+Y9J3xlk2B35j0nfGWTYHfmP
Address: 192.168.1.100 Port: 1813 Credentials: EugxIjn3MbL3WgUZUdUb90nfGWTYHfmPSd8ZZNgd+Y9J3xlk2B35j0nfGWTYHfmPSd8ZZNgd+Y9J3xlk2B35j0nfGWTYHfmPSd8ZZNgd+Y9J3xlk2B35j0nfGWTYHfmP
認証サーバの設定
AAA 認証の設定手順には、次の 2 つがあります。
• AAA 認証サーバの接続パラメータを設定する
• 認証サーバとローカル認証データベースのどちらに対して先にクエリーを実行するかを設定する
この項では、1 つ目の手順だけを説明します。2 つ目の手順については、「AAA ポリシーの設定」で説明します。
AAA 認証サーバには、サーバへのログインに使用する次の情報を設定できます。
• サーバの IP アドレスまたは DNS 名
• 使用するポート番号
• 暗号化共有秘密およびセキュリティ資格
• ログインの再試行回数
• ログイン タイムアウトの長さ
(注) RADIUS サーバの暗号化情報の保護を促進するには、実行コンフィギュレーションを表示して、この情報を確認する必要があります。
概略手順
1. config t
2. aaa authentication server remote
3. address address [ port port] secret secret
4. address address [ port port] credentials hidden cred
5. retries number
6. timeout seconds
7. end
詳細手順
|
|
|
|
ステップ 1 |
config t
se-10-0-0-0# config t |
設定モードを開始します。 |
ステップ 2 |
aaa authentication server remote
se-10-0-0-0(config)# aaa authentication server remote |
AAA 認証サブモードを開始して、AAA 認証サーバを設定できるようにします。 |
ステップ 3 |
address address [ port port] secret secret
se-10-0-0-0(config)# address 10.2.2.10 port 1808 secret ezsecret |
AAA 認証サーバのアクセス パラメータを定義します。 |
ステップ 4 |
address address [ port port] credentials hidden cred
se-10-0-0-0(config)# address 10.2.2.10 port 1808 credentials hidden "EugxIjn3MbL3WgUZUdUb90nfGW
TYHfmPSd8ZZNgd+Y9J3xlk2B35j0nfGWTYHfmPSd8ZZNgd+Y9J3xlk2B35j0nfGWTYHfmPSd8ZZNgd+Y9J3xlk2B35j0nfGWTYHfmP" |
AAA 認証サーバのアクセス パラメータを定義します。 |
ステップ 5 |
retries number
se-10-0-0-0(config)# retries 6 |
認証要求が失敗するまでに AAA 認証要求を再試行する最大回数を指定します。 |
ステップ 6 |
timeout seconds
se-10-0-0-0(config)# timeout 24 |
AAA 認証要求に対する応答がないと見なすまでの待機時間を指定します。 |
ステップ 7 |
end
se-10-0-0-0(config)# end |
特権 EXEC モードに戻ります。 |
AAA ポリシーの設定
AAA ポリシーでは、認証サーバのオプションとして設定できるフェールオーバー機能を指定します。フェールオーバー機能は、次の 2 つのタイプから選択できます。
• 認証フェールオーバー
• 到達不能フェールオーバー
これらのフェールオーバー方法を組み合せて使用することもできます。
認証フェールオーバー
認証フェールオーバー機能を使用すると、ローカル データベース用に加え、ユーザ ログイン認証用として、リモート RADIUS サーバを必要に応じて使用できるようになります。この項の手順では、認証を解決する順序を設定します。認証は、次のように設定できます。
• ローカル データベースだけを使用する
• リモート サーバだけを使用する
• ローカル データベース、リモート サーバの順に使用する
• リモート サーバ、ローカル データベースの順に使用する
ローカル認証とリモート認証の両方を使用する場合は、リモート RADIUS AAA サーバから取得したユーザ属性をローカル ユーザ データベースにある同じユーザ名の属性とマージするかどうかを設定することもできます。
(注) 認証フェールオーバー機能には、次の制限があります。
• RADIUS サーバによる認証は、GUI または CLI インターフェイスにアクセスする場合に限り使用できます。この認証では、ユーザ ID とパスワードだけが必要です。TUI、VVE、AvT、および IMAP インターフェイスの認証では、ローカル データベースしか使用できません。したがって、アクセスを取得するには、TUI、VVE、AvT、および IMAP インターフェイスのユーザをローカルに設定する必要があります。自動受付インターフェイスはユーザに依存しないため、認証は必要ありません。
• ローカル システムとリモート サーバの間では、ログイン情報は同期されません。セキュリティ機能(パスワードの有効期限など)は、Cisco Unity Express と RADIUS サーバ用に個別に設定する必要があります。また、RADIUS サーバでセキュリティ イベント(パスワードの期限切れ、アカウント ロックアウトなど)が発生しても、Cisco Unity Express ユーザに対してプロンプトは表示されません。逆の場合も同様です。
到達不能フェールオーバー
到達不能フェールオーバーは、RADIUS サーバだけで使用されます。この機能を使用すると、RADIUS サーバへのアクセスに使用できるアドレスを最大で 2 つ設定できるようになります。
Cisco Unity Express が RADIUS サーバを使用してユーザの認証を試行するとき、次の場合に通知メッセージがユーザに送信されます。
• RADIUS サーバに到達できない
• RADIUS サーバでユーザの認証に失敗した
例
この例の認証は、まずリモート サーバによって実行され、次にローカル データベースによって実行されます。また、リモート RADIUS サーバには、アドレスが 2 つ設定されています。
この例は、認証時に実行される可能性があるイベント シーケンスです。
1. Cisco Unity Express は、1 番目のリモート RADIUS サーバへの接続を試行します。
2. 1 番目の RADIUS サーバが応答しない場合、またはユーザの認証資格を受け入れない場合、Cisco Unity Express は 2 番目のリモート RADIUS サーバへの接続を試行します。
3. 2 番目の RADIUS サーバが応答しない場合、またはユーザの認証資格を受け入れない場合、ユーザは対応するエラー メッセージを受け取り、Cisco Unity Express はローカル データベースへの接続を試行します。
4. ローカル データベースがユーザの認証資格を受け入れない場合、ユーザはエラー メッセージを受け取ります。
概略手順
1. config t
2. aaa policy system
3. authentication-order {remote [local] | local [remote]}
4. authorization merge-attributes
5. end
6. show aaa policy
詳細手順
|
|
|
|
ステップ 1 |
config t
se-10-0-0-0# config t |
設定モードを開始します。 |
ステップ 2 |
aaa policy system
se-10-0-0-0(config)# aaa policy system |
AAA 認証サブモードを開始して、認証および許可の動作を制御するポリシーを指定できるようにします。 |
ステップ 3 |
authentication-order { remote [ local ]| local [ remote ]}
se-10-0-0-0(config)# authentication-order remote local |
認証サーバとローカル認証データベースに対してクエリーを実行する順序を指定します。 |
ステップ 4 |
authorization merge-attributes
se-10-0-0-0(config)# authentication-order remote local |
リモート RADIUS AAA サーバから取得したユーザ属性をローカル ユーザ データベースにある同じユーザ名の属性とマージするかどうかを指定します。 |
ステップ 5 |
end
se-10-0-0-0(config)# end |
特権 EXEC モードに戻ります。 |
ステップ 6 |
show aaa accounting policy
se-10-0-0-0# show aaa policy
|
(オプション)AAA ポリシー設定を表示します。 |
例
show aaa policy コマンドのサンプル出力を次に示します。
se-10-0-0-0# show aaa policy
authentication-order local
特権の設定
Cisco Unity Express ソフトウェアには、グループへの割り当てが可能な事前定義済みの特権がいくつか用意されています。7.0 以降では、独自の特権を作成したり、事前定義済みの特権を変更したりすることもできます。
特権をグループに割り当てると、そのグループのすべてのメンバーに特権が付与されます。Administrator グループは、ソフトウェア初期化プロセスにより、管理者として指定されたインポート済みユーザから自動的に作成されます。
特権の作成または変更を行う場合は、その特権によって許可された操作を追加または削除します。操作には、許可する CLI コマンドと GUI 機能を定義します。特権に操作を追加することに加え、特権を別の特権の入れ子として設定することもできます。入れ子にされた特権を使用して設定された特権には、入れ子にされた特権用に設定された操作がすべて含まれます。
計画プロセスの一環として、次の項目について決定する必要があります。
• 会社用に作成するユーザ特権のカテゴリ数
• ユーザが各特権を使用して実行できる機能
ユーザに付与する特権を決定したら、次の手順を実行します。
1. 事前定義済みの特権を調べて、それらの中に各カテゴリのユーザに付与しようとしている権限と同じようなものがあるかどうかを確認します。
2. 各カテゴリのユーザが実行できる操作を指定することによって、各カテゴリに対して個別の特権を設定します。必要に応じて、事前定義済みの特権を使用します(特権の作成とカスタマイズを参照)。
3. 各カテゴリのユーザ特権用にグループを作成して、各ユーザ グループに適切な特権を割り当てます( グループの追加と変更を参照)。
4. ユーザを適切なグループに追加します。
ヒント 各手順で使用するコマンドの例については、「設定例」を参照してください。
(注) Superuser 特権は変更できません。
表 9 に、Cisco Unity Express ソフトウェアに用意されている事前定義済みの特権と、それらに関連付けられている操作を示します。 表 10 に、特権に追加できる使用可能なすべての操作を示します。
(注) 7.0 では、manage-users と manage-passwords の 2 つの新しい権限が追加されました。
特権リストを表示するには、Cisco Unity Express EXEC モードで show privileges コマンドを使用します。特定の特権の詳細情報を表示するには、 show privilege detail コマンドを使用します。
(注) ユーザ独自のデータにアクセスする際には、特権は不要です。ユーザのデータは、主にボイスメール アプリケーションに関連付けられます。このデータには、次のユーザ情報が含まれます。
• 言語(ユーザのボイスメールボックス用に設定されます)
• パスワード
• PIN
• ユーザが所有するグループへのメンバーシップ
• ユーザが所有するグループの所有権
• 通知プロファイル
• カスケード設定
• 個人用ボイスメールのゼロアウト番号
• ボイスメールのグリーティング タイプ
• ボイスメールの再生チュートリアル フラグ
• ユーザが所有するパブリック同報リスト
• プライベート同報リスト
表 9 特権
|
|
|
|
Superuser |
無制限のシステム アクセスが付与されます。 |
すべて |
Manageprompts |
この特権を持つユーザは、AvT プロンプト管理にアクセスできますが、その他の管理機能にはアクセスできません。 |
prompt.modify、system.debug |
Broadcast |
この特権を持つユーザは、ネットワーク全体にブロードキャスト メッセージを送信できます。 |
broadcast.local、broadcast.remote、system.debug |
Local-Broadcast |
この特権を持つユーザは、ローカル ネットワーク上のユーザだけにブロードキャスト メッセージを送信できます。 |
broadcast.local、system.debug |
ManagePublicList |
この特権を持つユーザは、パブリック同報リストを作成および変更できます。 |
voicemail.lists.public、system.debug |
ViewPrivateList |
この特権を持つユーザは、別のユーザのプライベート同報リストを参照できます。ただし、そのプライベート リストは変更または削除できません。 |
voicemail.lists.private.view |
Vm-Imap |
この特権を持つユーザは、IMAP 機能にアクセスできます。 |
voicemail.imap.user |
ViewHistorical
Reports |
この特権を持つユーザは、履歴レポートを参照できます。 |
report.historical |
ViewRealTime
Reports |
この特権を持つユーザは、リアルタイム レポートを参照できます。 |
report.realtime |
manage-users |
この特権を持つユーザは、ユーザの作成、変更、および削除を実行できます。 |
user.configuration、user.pin、user.password、user.mailbox、user.notification、user.remote、group.configuration、system.debug |
manage-passwords |
この特権を持つユーザは、ユーザ パスワードおよび PIN の作成、変更、および削除を実行できます。 |
user.pin、user.password、system.debug |
表 10 操作
|
|
|
broadcast.local |
ブロードキャスト メッセージを作成して、ローカル ロケーションに送信します。ブロードキャスト メッセージの削除またはスケジュール変更を行います。 |
broadcast.remote |
ブロードキャスト メッセージを作成して、リモート ロケーションおよびローカル ロケーションに送信します。 |
call.control |
Cisco Unified CME(SIP)および Cisco Unified Communications Manager(JTAPI)を設定します。 |
group.configuration |
グループの作成、変更、および削除を行います。 |
network.location |
ネットワーク ロケーション、ネットワーク ロケーションのキャッシング、および NDR/DDR 設定の作成、変更、および削除を行います。 |
prompt.modify |
AA スクリプト用のシステム プロンプトの作成、変更、および削除を行います。また、CLI のプロンプトのアップロードおよびダウンロードも行います。 |
report.historical.manage |
履歴レポートの設定および生成を行います。また、 copy コマンドを使用して、Cisco Unity Express からデータを収集します。 |
report.historical.view |
履歴レポートを表示します。 |
report.realtime |
リアルタイム レポートの実行および表示を行います。 |
report.voicemail |
ボイスメール レポートの実行および表示を行います。 |
restriction.tables |
規制テーブルの作成、変更、および削除を行います。 |
script.modify |
システム AA スクリプトの作成、変更、および削除を行います。また、CLI および Editor Express のスクリプトのアップロードおよびダウンロードも行います。 |
security.aaa |
AAA サービス設定の設定および表示を行います。 |
security.access |
暗号キーの定義など、データの暗号化に関するシステム レベルのセキュリティを設定します。 (注) また、システムをリロードするための権限の設定も行います。 |
security.configuration |
システムのパスワード/PIN および次のポリシーに関する設定を行います。 • 有効期限 • ロックアウト(一時的および無期限) • 履歴 • 長さ |
services.configuration |
システム サービス(DNS、NTP クロック、SMTP、SNMP、ファックス ゲートウェイ、Cisco UMG、ホスト名、ドメイン、インターフェイス(カウンタ)、およびシステム デフォルト言語)を設定します。 (注) また、システムをリロードするための権限の設定も行います。 |
services.manage |
DNS キャッシュや ping の消去など、設定に関連しないシステム レベルのサービス コマンド。 |
site.configuration |
Cisco UMG で使用するサイトの作成、変更、または削除を行います。 |
software.install |
システム ソフトウェアまたはアドオン(言語やライセンスなど)のインストール、アップグレード、または検証を行います。 (注) また、システムをリロードするための権限の設定も行います。 |
spokenname.modify |
リモート ロケーション、リモート ユーザ、およびパブリック同報リストの音声名の作成、変更、および削除を行います。また、音声名のコピーも行います。 |
system.application |
システム アプリケーション(ボイスメール、自動受付、プロンプト管理など)の設定を行います。 |
system.backup |
バックアップを設定します。 |
system.calendar |
システムのスケジュールおよび休日の作成、変更、および削除を行います。 |
system.debug |
トレース データおよびデバッグ データの収集および設定を行います。コア ファイルやログ ファイルなどのデータのコピーも行います。 |
system.documents |
TIFF ドキュメント、汎用ドキュメント、およびテンプレート ドキュメントを管理します。 |
system.numbers |
ボイスメール、AA、AvT、および IVR のコールイン番号の作成、変更、および削除を行います。SIP トリガー、JTAPI トリガー、および HTTP トリガーに対する各操作も行います。 |
system.sessions |
他のユーザのボイスメール セッション(VVE、SIP、または JTAPI)を終了します。また、ロックされたメールボックスをロック解除します。 |
system.view |
システムの設定を表示します。 |
user.configuration |
ユーザおよびグループの作成、変更、および削除を行います。次の各項目の設定も行います。 • 名および姓 • ニックネーム • 表示名 • 言語 |
user.mailbox |
ユーザまたはグループのボイスメールボックスの作成、変更、および削除を行います。 |
user.notification |
他のユーザの通知プロファイルおよびカスケード プロファイルの設定または変更を行います。 |
user.password |
他のユーザのパスワードの作成、設定、または削除を行います。 |
user.pin |
他のユーザの PIN の作成、設定、または削除を行います。 |
user.remote |
リモート ユーザの作成、変更、および削除を行います。 |
voicemail.configuration |
次のシステム レベルのボイスメール機能を設定します。 • メールボックス • ファックス • 通知およびカスケード • ユーザ以外のオプション • ブロードキャスト • TUI 設定 • ライブ レコード • Live Reply • IMAP • VVE |
voicemail.imap.user |
IMAP クライアントを介して、個人用ボイスメールを管理します。 |
voicemail.mwi |
電話機のメッセージ ウェイティング インジケータのリセットおよび更新を行います。SIP MWI 配信を設定します。 |
voicemail.lists.private |
他のユーザのプライベート ボイスメール リストの作成、変更、および削除を行います。 |
voicemail.lists.public |
パブリック ボイスメール同報リストの作成、変更、および削除を行います。 |
voicemail.lists.private.view |
(GUI に限る)他のユーザのプライベート ボイスメール リストを表示します。 |
webapp.modify |
Web アプリケーションを Cisco Unity Express 上に展開します。 |
webapp.control |
Web アプリケーションの起動、停止、または再起動を行います。 |
設定例
この例では、ある会社が 2 つのレベルのセキュリティ管理を使用したセキュリティ構成を必要としているとします。レベルを 2 つにすることにより、管理者は次の操作を実行できます。
• 1 つ目のレベルでは、ユーザが自分のパスワードを忘れた場合や、何度もログイン試行に失敗したことによりアカウントがロックされた場合でも、セキュリティ管理者は、システムによってロックされたユーザのパスワードおよび PIN をリセットできます。このレベルをパスワード リセットと呼びます。
• 2 つ目のレベルでは、セキュリティ管理者は次の操作を行うことにより、システム保護者としての役割を果たすことができます。
– パスワード エージング、アカウント ロックアウト、暗号化、認証、許可、およびアカウンティングなどの問題に対して適切なセキュリティ ポリシーを実装する
– セキュリティ関連の詳細事項やタスクに伴う負荷がエンド ユーザにかかりすぎないようにしながら、ボイスメール メッセージやその他のデータを攻撃者から保護する
– 正規のユーザだけがアクセスできるようにシステムを監視する
– 正規のユーザが抱えている、システムへのアクセスに伴う問題のトラブルシューティングを行う
– ユーザが自分のパスワードを忘れた場合や、何度もログイン試行に失敗したことによりアカウントがロックされた場合に、システムによってロックされたユーザのパスワードおよび PIN をリセットする
このレベルをシステム保護と呼びます。
「特権の設定」で説明した一般的な計画手順と設定手順を利用する場合に、この例のセキュリティ管理レベルを設定すると、次のような結果になります。
• 次の各項目が決定されます。
– 会社用に作成するユーザ特権のレベル数またはカテゴリ数
– ユーザが各特権を使用して実行できる機能
上記のように、パスワード リセットとシステム保護と呼ばれる 2 つのレベルが生成されます。
• 事前定義済みの特権を調べて、それらの中に各セキュリティ レベルに付与しようとしている権限と同じようなものがあるかどうかを確認すると、次のことがわかります。
– manage-passwords という名前の事前定義済みの特権は、システムによってロックされたユーザを救済するのに必要な権限をすべて備えているため、パスワード リセットという名前のセキュリティ レベル用に使用できます。
– また、 manage-passwords 特権は、システム保護という名前のセキュリティ レベルに必要な権限のサブセットを備えている、ユーザの要件に最も合致した事前定義済みの特権です。ただし、システム保護者としての役割を果たすには、追加の操作として security.access 、 security.aaa 、 security.password 、 security.pi n、 system.debug 、および system.view を含める必要があります。詳細については、表 10を参照してください。
• 事前定義済みの特権 manage-passwords を含めて、前述の操作を追加することにより、システム保護セキュリティ レベル用の特権を設定するには、次のコマンドを使用します。
se-10-0-0-0(config)# privilege guardian-privilege create
se-10-0-0-0(config)# privilege guardian-privilege member manage-passwords
se-10-0-0-0(config)# privilege guardian-privilege operation security.access
se-10-0-0-0(config)# privilege guardian-privilege operation security.aaa
se-10-0-0-0(config)# privilege guardian-privilege operation security.password
se-10-0-0-0(config)# privilege guardian-privilege operation security.pin
se-10-0-0-0(config)# privilege guardian-privilege operation system.debug
se-10-0-0-0(config)# privilege guardian-privilege operation system.view
(注) 事前定義済みの特権 manage-passwords を使用できるので、パスワード リセット セキュリティ レベル用の特権を設定する必要はありません。
• password-reset という名前の新しいグループを作成して、 manage-passwords という名前の特権をそのグループに割り当てるには、次のコマンドを使用します。
se-10-0-0-0(config)# groupname password-reset create
se-10-0-0-0(config)# groupname password-reset privilege manage-passwords
• system-guardian という名前の新しいグループを作成して、 guardian-privilege という名前の特権を割り当てるには、次のコマンドを使用します。
se-10-0-0-0(config)# groupname system-guardian create
se-10-0-0-0(config)# groupname system-guardian privilege guardian-privilege
• 新しいグループに適切なユーザを割り当てて、そのユーザにロールを関連付けます。たとえば、Bob と Ned にパスワード リセット セキュリティ管理レベルの特権を付与し、Ann にシステム保護セキュリティ管理レベルの特権を付与する場合、次のコマンドを使用します。
se-10-0-0-0(config)# groupname password-reset member bob
se-10-0-0-0(config)# groupname password-reset member ned
se-10-0-0-0(config)# groupname system-guardian member ann
• これで、この例の設定は完了です。次のコマンドで設定を確認できます。
show group detail groupname password-reset expanded コマンドのサンプル出力を次に示します。
se-10-0-0-0# show group detail groupname password-reset expanded
Groupname: password-reset
Full Name: password-reset
Privileges: manage-passwords
show group detail groupname system-guardian expanded コマンドのサンプル出力を次に示します。
se-10-0-0-0# show group detail groupname system-guardian expanded
Groupname: system-guardian
Full Name: system-guardian
Privileges: guardian-privilege
show privilege detail manage-passwords expanded コマンドのサンプル出力を次に示します。
se-10-0-0-0# show privilege detail manage-passwords expanded
Privilege: manage-passwords
Description: Privilege to reset user passwords
Privilege Members: <none>
Operations: system.debug user.password user.pin
show privilege detail guardian-privilege expanded コマンドのサンプル出力を次に示します。
se-10-0-0-0# show privilege detail guardian-privilege expanded
Privilege: guardian-privilege
Privilege Members: manage-passwords
Operations: security.aaa security.access security.password security.pin
manage-passwords:system.debug user.password user.pin
概略手順
1. config t
2. privilege privilege-name create
3. privilege privilege-name description string
4. privilege privilege-name operation operation-name
5. privilege privilege-name member privilege-name2
6. end
7. show operations
8. show operation detail operation-name
9. show privileges
10. show privilege detail privilege-name
詳細手順
|
|
|
|
ステップ 1 |
config t
se-10-0-0-0# config t |
設定モードを開始します。 |
ステップ 2 |
privilege privilege-name create
se-10-0-0-0(config)# privilege security-privilege create |
新しい特権を作成します。 • privilege-name :新規または既存の特権の識別および設定に使用するラベル 。 |
ステップ 3 |
privilege privilege-name [ description string ]
se-10-0-0-0(config)# privilege security-privilege description administer of system security |
(オプション)特権に説明を割り当てます。 • string :特権に追加する説明。 |
ステップ 4 |
privilege privilege-name operation operation-name
se-10-0-0-0(config)# privilege security-privilege operation security.configuration |
(オプション)特権に操作を割り当てます。 • operation-name :特権に関連付ける操作。 |
ステップ 5 |
privilege privilege-name member privilege-name2
se-10-0-0-0(config)# privilege security-privilege include manage-users |
(オプション)この特権に別の特権を含めます(入れ子にします)。 • privilege-name2 :この特権に含める(入れ子にする)特権。 |
ステップ 6 |
end
se-10-0-0-0(config)# end |
特権 EXEC モードに戻ります。 |
ステップ 7 |
show operations
se-10-0-0-0# show operations
|
(オプション)すべての操作に関する情報を表示します。 |
ステップ 8 |
show operation detail operation-name
se-10-0-0-0# show operation detail security.configuration
|
(オプション)指定した操作に関する情報を表示します。 • operation-name :新規または既存の操作の識別および設定に使用するラベル 。 |
ステップ 9 |
show privileges
se-10-0-0-0# show privilege
|
(オプション)すべての特権に関する情報を表示します。 |
ステップ 10 |
show privilege detail privilege-name
se-10-0-0-0# show privilege detail sales_vp
|
(オプション)指定した特権に関する情報を表示します。 • privilege-name :新規または既存の特権の識別および設定に使用するラベル 。 |
例
show operations コマンドのサンプル出力を次に示します。
se-10-0-0-0# show operations
voicemail.lists.private.view
show operation detail コマンドのサンプル出力を次に示します。
se-10-0-0-0# show operation detail user.password
Description: Set and reset passwords for other users
exec-copy-running-config-startup-config
show privileges コマンドのサンプル出力を次に示します。
se-10-0-0-0# show privileges
show privilege detail コマンドのサンプル出力を次に示します。
se-10-0-0-0# show privilege detail ManagePrompt
Description: Privilege to create, modify, or delete system prompts
Privilege Members: user1, user2
Operations: prompt.modify system.debug
アカウンティング イベント ログの設定
AAA アカウンティング ログには、次の処理を簡単に実行できる情報が含まれています。
• 設定の変更内容の監査
• セキュリティの維持
• リソースの正確な割り当て
• リソースの使用についての請求先の特定
AAA アカウンティングを設定すると、次のタイプのイベント ログを記録できます。
• ログイン:CLI、GUI、TUI、VVE へのアクセスなど、ログインが必要な場合のすべての形式のシステム アクセス(IMAP 以外)。
• ログアウト:CLI、GUI、TUI、VVE へのアクセスなど、ログインが必要な場合のすべての形式のログアウト前のシステム アクセス(IMAP 以外)。
• 失敗したログイン:CLI、GUI、TUI、VVE へのアクセスなど、ログインが必要な場合のすべての形式のシステム アクセス(IMAP 以外)において失敗したログイン試行。
• 設定モード コマンド:IMAP 以外のインターフェイス(CLI、GUI、TUI、および VVE)を使用して、Cisco Unity Express の設定に対して行われた変更。
• EXEC モード コマンド:IMAP 以外のインターフェイス(CLI、GUI、TUI、および VVE)を使用して、Cisco Unity Express EXEC モードで入力されたコマンド。
• システム スタートアップ:システム スタートアップ。システムのソフトウェア バージョン、インストール ライセンス、インストール パッケージ、インストール言語などに関する情報も記録されます。
• システム シャットダウン:システム シャットダウン。システムのソフトウェア バージョン、インストール ライセンス、インストール パッケージ、インストール言語などに関する情報も記録されます。
• IMAP:IMAP システムへのアクセス。
実行した操作のタイプに固有の情報に加えて、アカウンティング ログに次の情報も記録されます。
• 操作を作成したユーザ
• 操作が実行された時刻
• アカウンティング レコードがサーバに送信された時間
ログ エントリの詳細な内容については、「例」で説明します。
(注) アカウント ログは、スタートアップ コンフィギュレーションのシステム パワーアップの再生中には記録されません。システム起動時の startup-config コマンドは記録されません。
概略手順
1. config t
2. aaa accounting enable
3. aaa accounting event
4. login
5. logout
6. login-fail
7. config-commands
8. exec-commands
9. system-startup
10. system-shutdown
11. end
12. show aaa accounting event
詳細手順
|
|
|
|
ステップ 1 |
config t
se-10-0-0-0# config t |
設定モードを開始します。 |
ステップ 2 |
aaa accounting enable
se-10-0-0-0(config)# aaa accounting enable |
AAA アカウント イベントの記録を有効にします。 |
ステップ 3 |
aaa accounting event
se-10-0-0-0(config)# aaa accounting event |
AAA アカウンティング サブモードを開始して、アカウンティング パケット用のイベント フィルタリングを設定できるようにします。 |
ステップ 4 |
login
se-10-0-0-0(config)# login |
ログインのログを有効にします。 |
ステップ 5 |
logout
se-10-0-0-0(config)# logout |
ログアウトのログを有効にします。 |
ステップ 6 |
login-fail
se-10-0-0-0(config)# login-fail |
失敗したログインのログを有効にします。 |
ステップ 7 |
config-commands
se-10-0-0-0(config)# config-commands |
設定モード コマンドのログを有効にします。 |
ステップ 8 |
exec-commands
se-10-0-0-0(config)# exec-commands |
EXEC モード コマンドのログを有効にします。 |
ステップ 9 |
system-startup
se-10-0-0-0(config)# system-startup |
システム スタートアップのログを有効にします。 |
ステップ 10 |
system-shutdown
se-10-0-0-0(config)# system-shutdown |
システム シャットダウンのログを有効にします。 |
ステップ 11 |
end
se-10-0-0-0(config)# end |
特権 EXEC モードに戻ります。 |
ステップ 12 |
show aaa accounting event
se-10-0-0-0# show aaa accounting
|
(オプション)ログを記録するように指定された AAA アカウンティング イベントを表示します。 |
例
show aaa accounting event コマンドのサンプル出力を次に示します。
se-10-0-0-0# show aaa accounting event
login Enabled Log accounting events for successful login
logout Enabled Log accounting events for user logout
login-fail Enabled Log accounting events for failed login attempts
config-commands Enabled Log accounting events for any chanes to configuration
exec-commands Enabled Log accounting events for execution of commands
system-startup Enabled Log accounting events for system startup
system-shutdown Enabled Log accounting events for system shutdown
imap Enabled Log accounting events for all imap events
コンソール認証の設定
デフォルトでは、コンソール認証は無効になっています。そのため、コンソールを使用してシステムにログインするユーザには Superuser 特権が付与されるため、ユーザ名やパスワードを入力せずにログインできます。
したがって、不正アクセスからコンソールを保護するには、次に説明するように、回線設定モードで login コマンドを入力する必要があります。
(注) コンソールの認証が有効かどうかを確認するには、実行コンフィギュレーションを参照する必要があります。
概略手順
1. config t
2. line console
3. login
4. end
詳細手順
|
|
|
|
ステップ 1 |
config t
se-10-0-0-0# config t |
設定モードを開始します。 |
ステップ 2 |
line console
se-10-0-0-0(config)# line console |
回線設定モードを開始して、コンソール接続を認証に依存させるかどうかを指定できるようにします。 |
ステップ 3 |
login
se-10-0-0-0(config-line)# line console |
コンソール接続を使用したユーザ ログインは、認証に依存させる必要があります。このコマンドの no または default 形式を使用すると、コンソールの認証が無効になります。 |
ステップ 4 |
end
se-10-0-0-0(config)# end |
特権 EXEC モードに戻ります。 |
フィードバック