تكوين تسجيلات SIP للمصادقة والتفويض على أساس كل مستخدم (MRA) ل CUCM 11.5
المحتويات
المقدمة
يصف هذا المستند السلوك المحسن في Cisco Unified Communications Manager (CUCM) الذي يوفر طبقة إضافية من مصادقة UserID في رسائل سجل بروتوكول بدء جلسة العمل (SIP) مقابل الطريقة الحالية للمصادقة فقط في Expressway.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- إدارة CUCM وتكوينه
- بروتوكول SIP
- Video Communication Server (VCS) Expressway
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Cisco Unified Communications Manager 11.5 والإصدارات الأحدث
- Video Communication Server (VCS) Expressway
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
في الماضي، يعمل تسجيل الجهاز من خلال Video Communication Server (VCS) Expressway عندما يرسل الجهاز اسم المستخدم وكلمة المرور عبر بروتوكول نقل النص التشعبي (HTTP). وبعد ذلك، تصادق Expressway اسم المستخدم وتسمح للجهاز بمواصلة التسجيل نحو CUCM دون مزيد من التحقق.
السلوك الجديد هو أن يقوم CUCM الآن بفحص رسالة سجل SIP ويضمن أن UserID لديه اقتران صحيح بالجهاز. من خلال هذه الميزة، يجب أن يخول UserID قبل تسجيله في CUCM، وبالتالي، يوفر المستوى التالي من الحماية ضد الجهاز من الشبكة الخارجية/غير المعروفة. وهذا يضمن تخويل سجل SIP، أي أنه يجب تسجيل جهاز صالح فقط مقترن بالمستخدم الصالح. في حالة عدم وجود اقتران UserID بالجهاز، يرفض التسجيل مع رمز الاستجابة 401.
محفوظات الخلفية
القيود
- يؤثر فقط على هواتف SIP
- التسجيلات المحلية غير متأثرة
التكوين
الرسم التخطيطي للشبكة
المكونات المستخدمة (البنية القديمة مقابل الجديدة)
صورة السلوك القديمة:
صورة سلوك جديدة:
التكوينات
معلمة خدمة جديدة لتشغيل/إيقاف تشغيل هذه الميزة: نظام > معلمات الخدمة > الخادم > Cisco CallManager > تمكين تفويض تسجيل SIP
القيم:
- صواب - (افتراضي)
- خطأ
يحدد اقتران UserID الصحيح بالجهاز الصحيح ما إذا كان تسجيل SIP يسمح أو يرفض.
يتبع طلب عملية تفويض التسجيل هذه السيناريوهات:
السيناريو 1. إذا لم يكن UserID موجودا في رسالة REGISTER، فيجب تخويله وإرسال 200 OK.
ملاحظة: يضمن ذلك التوافق أثناء التشغيل والتوافق مع إصدارات ExpressWay القديمة.
السيناريو 2. إذا كان UserID موجودا في رسالة التسجيل، حينئذ...
- إذا تطابقت UserID مع حقل Owner-id في صفحة تكوين هاتف CUCM، فقم بتخويل 200 OK وإرسالها
- إذا تطابق UserID مع اقتران UserID مع الجهاز في صفحة تكوين المستخدم النهائي ل CUCM، فقم بتخويل 200 OK وإرسالها
- إذا كان كل من حقل معرف المالك فارغا ولم يكن اقتران الجهاز بالمستخدم النهائي موجودا، فعليك إذن تخويل 200 OK وإرسالها
- وإلا إذا لم يكن هناك تطابق، فسيفشل ويرسل 401 غير مصرح به
السيناريو 3. إذا احتوت رسالة Register على أكثر من UserID واحد لقيم مختلفة، فشل ثم أرسل 401 غير مصرح به.
ملاحظة: تتم تعبئة رؤوس UserID هذه بواسطة Expressway فقط
إستخدام جدول نتائج الحالات
| عدد |
حالات الاختبار |
تمكين تفويض تسجيل SIP |
النتيجة المتوقعة |
| 1 |
معلمة UserId في رأس جهة الاتصال غير موجودة |
صحيح |
يفوض (200 موافق) |
| 2 |
تتطابق معلمة UserId في رأس جهة الاتصال مع OwnerId في صفحة تكوين الهاتف |
صحيح |
يفوض (200 موافق) |
| 3 |
تتطابق معلمة UserId في رأس جهة الاتصال مع UserId المقترن بجهاز في صفحة EndUser. |
صحيح |
يفوض (200 موافق) |
| 4 |
يتطابق UserId في رأس جهة الاتصال مع OwnerId في صفحة تكوين الهاتف، غير مطابق ل userId الذي تم تكوينه في صفحة EndUser |
صحيح |
يفوض (200 موافق) |
| 5 |
يتطابق UserId في رأس جهة الاتصال مع UserId في صفحة EndUser، ولا يتطابق مع OwnerId في صفحة تكوين الهاتف |
صحيح |
يفوض (200 موافق) |
| 6 |
OwnerId في صفحة تكوين الهاتف فارغة والجهاز ليس لديه مستخدم مقترن في صفحة EndUser |
صحيح |
يفوض (200 موافق) |
| 7 |
تم تكوين OwnerId في صفحة تكوين الهاتف و userId لجهاز في صفحة EndUser، ولكن لم يتم العثور على تطابق |
صحيح |
401 غير مصرح به |
| 8 |
يوجد أكثر من معرف مستخدم واحد في رأس جهة الاتصال. |
صحيح |
401 غير مصرح به |
| 9 |
تم تكوين معرف مستخدم متعدد لجهاز في صفحة EndUser |
صحيح |
التخويل (200 موافق) |
| 10 |
إلغاء UserId |
صحيح |
التخويل (200 موافق) |
| 11 |
تحديث السجل |
صحيح |
نفس رسالة السجل الأولي |
| 12 |
UserId في رأس جهة الاتصال عبارة عن سلسلة فارغة، ولم يتم تكوين OwnerId و UserId للجهاز |
صحيح |
التخويل (200 موافق) |
| 13 |
معرف المستخدم في رأس جهة الاتصال عبارة عن سلسلة فارغة، تم تكوين OwnerId/UserId للجهاز |
صحيح |
401 غير مصرح به |
| 14 |
UserId موجود في رأس جهة الاتصال، OwnerId/UserId تم تكوينه للجهاز، ولكن لم يتم العثور على تطابق |
خطأ |
200 موافق |
| 15 |
يوجد أكثر من معرف مستخدم واحد في رأس جهة الاتصال |
خطأ |
200 موافق |
| 16 |
UserId في رأس جهة الاتصال عبارة عن سلسلة فارغة، تم تكوين OwnerId /UserId للجهاز |
خطأ |
200 موافق |
قم بتمكين الميزة عبر معلمة خدمة مدير الاتصالات (CCM). هو في وضع التشغيل بشكل افتراضي ولا يلزم أي تكوين آخر.
التحقق من الصحة
رأس جهة الاتصال
يتحقق CUCM من رأس جهة الاتصال لرسالة REGISTER للتعديل بواسطة Expressway
Contact: <sip:ffeffb75-880e-f58f-a8ec-f5025d0f9136@10.50.179.6:5060;transport=tcp;orig- hostport=192.168.0.121:55854>;+sip.instance="<urn:uuid:00000000-0000-0000-0000-
00506005457e>";+u.sip!model.ccm.cisco.com="604";+u.sip!userid.ccm.cisco.com="mjavie r";+u.sip!serialno.ccm.cisco.com=A1AZ20D00153;audio=TRUE;video=TRUE;mobility="fixed";
duplex="full";description="TANDBERG-SIP“
تنبيه جديد (AuthorizationErrorwithWarningLevel)
يتوفر الآن تنبيه جديد (AuthorizationErrorwithWarningLevel) عندما يكون هناك فشل في تفويض تسجيل SIP
استكشاف الأخطاء وإصلاحها
البحث عن محاولات التخويل في إخراج تصحيح أخطاء تعقب CCM
أمثلة التفويض الناجحة:
السيناريو 1:
00013222.041 |15:46:20.792 |AppInfo |SIPStationD(7) - User Authorized - Phone Config page
السيناريو الثاني:
00015642.041 |16:01:39.112 |AppInfo |SIPStationD(9) - User Authorized - EndUser page
فشل التفويض ومثال التنبيه:
00186341.041 |13:17:37.187 |AppInfo |SIPStationD(133) - User: shree is unauthorized to register a device 00186341.042 |13:17:37.187 |AppInfo |SIPStationD(133) - sendRegisterResp: non-200 response code 401, ccbId 2303, expires 4294967295, warning Authorization failure -
Unauthorized user for this device 00186341.043 |13:17:37.188 |AppInfo |EndPointTransientConnection - An endpoint attempted to register but did not complete registration Connecting Port:5060 Device name:
SEPCD1111000015 Device type:647 Reason Code:35 Protocol:SIP Device MAC address:CD1111000015 LastSignalReceived:SIPRegisterInd StationState:wait_register App ID:Cisco
CallManager Cluster ID:10.77.29.71 Node ID:CuCM-71 00186341.044 |13:17:37.188 |AlarmWarn|AlarmClass: CallManager, AlarmName: EndPointTransientConnection, AlarmSeverity: Warning, AlarmMessage: , AlarmDescription: An endpoint
attempted to register but did not complete registration, AlarmParameters: ConnectingPort:5060, DeviceName:SEPCD1111000015, DeviceType:647, Reason:35, Protocol:SIP,
MACAddress:CD1111000015, LastSignalReceived:SIPRegisterInd, StationState:wait_register, AppID:Cisco CallManager, ClusterID:10.77.29.71, NodeID:CuCM-71, 00186346.000 |13:17:37.189 |SdlSig |SIPRegisterResp |wait |SIPHandler(1,100,80,1) |SIPStationD(1,100,74,133) |1,100,14,772.2^10.77.29.189^SEPCD1111000015 |[T:N-H:0,N:0,L:0,
V:0,Z:0,D:0] ccbID= 2303 --TransType=1 --TransSecurity=0 PeerAddr= 10.77.29.189:5060 respCode= 401 action= 2 device=
التعليقات