ユーザ アカウントについて
Expressway には通常運用用の 2 つのタイプのユーザアカウントがあります。
-
管理者アカウント:Expressway を設定する際に使用します。
-
FindMe アカウント:企業内の個人が FindMe プロファイルを設定する際に使用します。(Expressway が TMS Provisioning Extension サービスを使用して FindMe データを提供している場合、Expressway を介した FindMe アカウントの構成は適用されません。)
アカウントの認証
管理者アカウントと FindMe アカウントは、Expressway へのアクセスが許可される前に認証されている必要があります。
Expressway はアカウントをローカルに、または LDAP を使用してリモート ディレクトリ サービスと照合して(現在は Windows Active Directory のみでサポート)認証することができます。また、ローカルとリモートで管理されているアカウントも使用できます。リモート オプションを使用すると、企業内のすべての Expressway 用のディレクトリ サービスに管理者グループを設定できます。これにより、Expressway ごとに個別のアカウントを持つ必要がなくなります。
リモート認証の設定の詳細については、「LDAP を使用したリモート アカウント認証 の設定」を参照してください。
リモートソースを管理者または FindMe アカウントのいずれかの認証に使用している場合は、Expressway を次のように設定する必要があります。
-
適切な LDAP サーバ接続の設定。
-
この Expressway への管理者と FindMe のアクセスを管理するリモートディレクトリサービスにすでにセットアップ済みの対応するグループ名に一致する管理者グループまたは FindMe グループ、あるいはその両方(「管理者グループの設定」とユーザグループの設定を参照してください。)
また Expressway は証明書ベースの認証を使用するように設定することもできます。これは通常、Expressway を安全性の高い環境に導入する場合に必要になります。
パスワードの複雑度
複雑度の要件は、[パスワードセキュリティ(Password security)] ページ( )から、ローカルで管理されているパスワードに対して指定できます。
すべてのパスワードとユーザ名で大文字と小文字が区別されます。
アカウント タイプ
管理者アカウント
管理者アカウントを使用して Expressway を設定します。
Expressway には、完全な読み取り/書き込みアクセス権が付与されたデフォルトの admin アカウントがあります。これは、Web インターフェイス、API インターフェイスまたは CLI を使用して Expressway にアクセスするために使用できます。
(注) |
[リモートのみ(Remote only)] 認証ソースが使用中の場合は、デフォルトの admin アカウントを使用して Expressway にアクセスすることはできません。 |
Web インターフェイスと API インターフェイスのみを使用して Expressway にアクセスできるようにするには、新たにローカル管理者アカウントを追加します。
リモートで管理する管理者アカウントを使用すると、Web インターフェイスと API インターフェイスまたは CLI を使用して Expressway にアクセスできます。
1 つの管理者アカウントを緊急時アカウントに設定できます。この特殊なアカウントは、リモート認証ができない場合にローカル認証が許可されないときでも Expressway にアクセスできます。
設定ログ
設定ログには、すべてのログイン試行と、Web インターフェイスを使用して行われた設定変更が記録されます。これらは監査証跡に使用できます。これは、複数の管理者アカウントがあるときに特に役立ちます。
複数の管理セッション
複数の管理者セッションを同時に実行できます。これらのセッションは、Web インターフェイス、コマンド ライン インターフェイス、またはその両方を組み合わせて使用していることがあります。これにより、各管理者セッションで同じ設定を変更しようとすると、1 つのセッションに加えた変更によりもう 1 つのセッションに加えた変更が上書きされることにご注意ください。
セッションの制限とタイムアウト
ネットワークサービスの説明に従って、アカウントセッションの制限と非アクティブタイムアウトを設定できます 。
ログイン履歴ページ(高度なアカウントセキュリティ)
システムが高度なアカウントセキュリティ モードになっている場合はログインした直後に「ログイン履歴(Login history)」ページが表示されます。このページには、現在ログインしているアカウントの最新の履歴が示されます。
FindMe アカウント
企業内の個人が FindMe アカウントを使用して、それらの個人が FindMe ID を通じて接続できるデバイスと場所を設定します。
各 FindMe アカウントには、ユーザ名とパスワードを使用してアクセスします。
-
リモート FindMe アカウント認証を選択した場合は、Expressway 管理者はリモート ディレクトリ サービスの対応するグループ名と照合するように FindMe グループをセットアップする必要があります。
(注)
ユーザ名とパスワードの詳細のみリモートで管理されます。
-
FindMe ID、デバイス、および場所などの FindMe アカウントのその他プロパティはローカル Expressway データベースに保存されます。
FindMe アカウントの詳細と、関連付けられた FindMe デバイスと場所の定義の詳細については、FindMe アカウントの設定セクションを参照してください。
多くの FindMe アカウントのプロビジョニングが必要な場合は、Cisco TMS を使用することを推奨します。FindMe アカウントとユーザ アカウントの設定の詳細については、『Cisco TMS プロビジョニング拡張導入ガイド』を参照してください。
root アカウント
Expressway は Expressway オペレーティング システムへのログインに使用できる root アカウントを提供します。通常の運用では root アカウントを使用しないでください。特に、このアカウントを使用してシステム設定を行わないでください。代わりに管理者のアカウントを使用します。
詳細については、root アカウントの使用の項を参照してください。
注意 |
admin および root アカウントの X8.9 より前のデフォルトのパスワードはよく知られています。これらのアカウントには強力なパスワードを使用する必要があります。新しいシステムが X8.9 以降である場合は、スタートアップ時にデフォルト以外のパスワードを指定する必要があります。 |
詳細情報
「管理者アカウントの設定」を参照してください。