Configuración de registros SIP para autenticar y autorizar por usuario (MRA) para CUCM 11.5

Opciones de descarga

  • PDF     (972.7 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (1.0 MB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (480.8 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:13 de septiembre de 2017
ID del documento:212060

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe el comportamiento mejorado en Cisco Unified Communications Manager (CUCM) que proporciona una capa adicional de autenticación de ID de usuario en los mensajes REGISTER del protocolo de inicio de sesión (SIP) frente al método actual de autenticación sólo en Expressway.

    Prerequisites

    Requirements 

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Administración y configuración de CUCM
    • Protocolo SIP
    • Expressway de Video Communication Server (VCS)

    Componentes Utilizados 

    La información que contiene este documento se basa en las siguientes versiones de software y hardware.

    • Cisco Unified Communications Manager 11.5 y posterior
    • Expressway de Video Communication Server (VCS)

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    En el pasado, el registro de dispositivos a través de Video Communication Server (VCS) Expressway funciona cuando el dispositivo envía el nombre de usuario y la contraseña a través del protocolo de transferencia de hipertexto (HTTP). Expressway luego autentica el nombre de usuario y permite al dispositivo continuar con el registro hacia CUCM sin más verificación.

    El nuevo comportamiento es que ahora CUCM verifica el mensaje SIP REGISTER y asegura que el ID de usuario tenga una asociación adecuada con el dispositivo. A través de esta función, el ID de usuario debe autorizar antes de registrarse en CUCM; por lo tanto, proporciona el siguiente nivel de protección contra el dispositivo desde una red externa/desconocida. Esto garantiza que el REGISTRO SIP esté autorizado, es decir, solo un dispositivo válido asociado al usuario válido debe registrarse. Si no hay ninguna asociación UserID al dispositivo, el registro rechaza con el código de respuesta 401.

    Historial de antecedentes

    Limitaciones

    • Solo afecta a los teléfonos SIP
    • Los registros in situ no se ven afectados

    Configurar

    Diagrama de la red

    Componentes utilizados (arquitectura antigua frente a nueva)

    Imagen de comportamiento antiguo:

    Nueva imagen de comportamiento:

    Configuraciones

    Nuevo parámetro de servicio para activar/desactivar esta función: System > Service Parameters > server > Cisco CallManager > SIP Registration Authorization Enabled

    Valores:

    • True (valor predeterminado)
    • Falso

    La asociación UserID correcta con el dispositivo correcto determina si el registro SIP autoriza o rechaza.

    La solicitud del proceso de autorización de registro sigue estos escenarios:

    Escenario 1. Si UserID no está presente en el mensaje REGISTER (Registro), debería autorizar y enviar 200 OK (Aceptar).

    Nota: Esto garantiza la interoperabilidad in situ y la compatibilidad con versiones anteriores de Expressway.

    Situación hipotética 2. Si UserID está presente en el mensaje REGISTER, entonces...

    • SI UserID coincide con el campo owner-id en la página de configuración del teléfono de CUCM, LUEGO autorice y envíe 200 OK
    • SI UserID coincide con la asociación UserID con el dispositivo en la página CUCM End User Configuration, LUEGO autorice y envíe 200 OK
    • SI ambos campos owner-id están en blanco y la asociación del dispositivo al usuario final no existe, ENTONCES autorice y envíe 200 OK
    • ELSE SI no hay coincidencia, LUEGO FALLA y envía 401 No autorizado 

    Situación hipotética 3. Si el mensaje REGISTER contiene más de un ID de usuario de valores diferentes, LUEGO FALLE y envíe 401 Unauthorized.

    Nota: Solo Expressway rellena estos encabezados UserID

    Tabla de resultados de casos prácticos 

    Número

    Casos de prueba

    Autorización de registro SIP habilitada

    Resultado esperado

    1

    El parámetro UserId del encabezado del contacto no está presente

    Verdadero

    Autorizar

    (200 OK)

    2

    El parámetro UserId del encabezado del contacto coincide con OwnerId en la página de configuración del teléfono

    Verdadero

    Autorizar

    (200 OK)

    3

    El parámetro UserId del encabezado del contacto coincide con userId asociado a un dispositivo en la página EndUser.

    Verdadero

    Autorizar

    (200 OK)

    4

    El ID de usuario en el encabezado de contacto coincide con el ID de propietario en la página Configuración del teléfono, no coincide con el ID de usuario configurado en la página Usuario final

    Verdadero

    Autorizar

    (200 OK)

    5

    El ID de usuario en el encabezado de contacto coincide con el ID de usuario en la página Usuario final, no coincide con el IdPropietario en la página Configuración del teléfono

    Verdadero

    Autorizar

    (200 OK)

    6

    OwnerId en la página Phone Config está en blanco y el dispositivo no tiene ningún usuario asociado en la página EndUser

    Verdadero

    Autorizar

    (200 OK)

    7

    OwnerId en la página de configuración del teléfono y userId configurados para un dispositivo en la página Usuario final, pero no se ha encontrado ninguna coincidencia

    Verdadero

    401 No autorizado

    8

    Hay más de un ID de usuario presente en el encabezado del contacto.

    Verdadero

    401 No autorizado

    9

    ID de usuario múltiple configurado para un dispositivo en la página Usuario final

    Verdadero

    Autorizar (200 Ok)

    10

    ID de usuario ineludible

    Verdadero

    Autorizar (200 Ok)

    11

    Actualizar registro

    Verdadero

    Igual que el mensaje de REGISTRO inicial

    12

    El ID de usuario en el encabezado de contacto es una cadena vacía, el ID de propietario y el ID de usuario no están configurados para el dispositivo

    Verdadero

    Autorizar (200 Ok)

    13

    El ID de usuario en el encabezado del contacto es una cadena vacía, OwnerId/UserId configurado para el dispositivo

    Verdadero

    401 No autorizado

    14

    UserId está presente en el encabezado del contacto, OwnerId/UserId configurado para el dispositivo, pero no se ha encontrado ninguna coincidencia

    Falso

    200 OK

    15

    Hay más de un ID de usuario presente en el encabezado del contacto

    Falso

    200 OK

    16

    UserId en el encabezado del contacto es una cadena vacía, ownerId /UserId configurada para el dispositivo

    Falso

    200 OK

    Active la función mediante el parámetro de servicio de Communications Manager (CCM). Está activado de forma predeterminada y no se requiere ninguna configuración adicional.

    Verificación


    Encabezado de contacto

    CUCM comprueba el encabezado de contacto del mensaje REGISTER para que Expressway lo modifique

    Contact: <sip:ffeffb75-880e-f58f-a8ec-f5025d0f9136@10.50.179.6:5060;transport=tcp;orig- hostport=192.168.0.121:55854>;+sip.instance="<urn:uuid:00000000-0000-0000-0000-
     00506005457e>";+u.sip!model.ccm.cisco.com="604";+u.sip!userid.ccm.cisco.com="mjavie r";+u.sip!serialno.ccm.cisco.com=A1AZ20D00153;audio=TRUE;video=TRUE;mobility="fixed";
     duplex="full";description="TANDBERG-SIP“

    Nueva alarma (AuthorizationErrorwithWarningLevel)

    Ahora hay disponible una nueva alarma (AuthorizationErrorwithWarningLevel) cuando se produce una falla en la autorización de registro SIP

    Troubleshoot

    Buscar intentos de autorización en la salida de depuración de seguimientos de CCM

    Ejemplos de autorización correctos:


    Escenario 1:

    00013222.041 |15:46:20.792 |AppInfo |SIPStationD(7) - User Authorized - Phone Config page

    Escenario 2:

    00015642.041 |16:01:39.112 |AppInfo |SIPStationD(9) - User Authorized - EndUser page

    Ejemplo de autorización y alarma fallidas:

    00186341.041 |13:17:37.187 |AppInfo |SIPStationD(133) - User: shree is unauthorized to register a device
00186341.042 |13:17:37.187 |AppInfo |SIPStationD(133) - sendRegisterResp: non-200 response code 401, ccbId 2303, expires 4294967295, warning Authorization failure -
     Unauthorized user for this device

00186341.043 |13:17:37.188 |AppInfo |EndPointTransientConnection - An endpoint attempted to register but did not complete registration Connecting Port:5060 Device name:
    SEPCD1111000015 Device type:647 Reason Code:35 Protocol:SIP Device MAC address:CD1111000015 LastSignalReceived:SIPRegisterInd StationState:wait_register App ID:Cisco 
    CallManager Cluster ID:10.77.29.71 Node ID:CuCM-71

00186341.044 |13:17:37.188 |AlarmWarn|AlarmClass: CallManager, AlarmName: EndPointTransientConnection, AlarmSeverity: Warning, AlarmMessage: , AlarmDescription: An endpoint 
    attempted to register but did not complete registration, AlarmParameters: ConnectingPort:5060, DeviceName:SEPCD1111000015, DeviceType:647, Reason:35, Protocol:SIP, 
    MACAddress:CD1111000015, LastSignalReceived:SIPRegisterInd, StationState:wait_register, AppID:Cisco CallManager, ClusterID:10.77.29.71, NodeID:CuCM-71,

00186346.000 |13:17:37.189 |SdlSig |SIPRegisterResp |wait |SIPHandler(1,100,80,1) |SIPStationD(1,100,74,133) |1,100,14,772.2^10.77.29.189^SEPCD1111000015 |[T:N-H:0,N:0,L:0,
    V:0,Z:0,D:0] ccbID= 2303 --TransType=1 --TransSecurity=0 PeerAddr= 10.77.29.189:5060 respCode= 401 action= 2 device=
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Daniel Choi
      Cisco TAC Engineer
    • Edited by Eric Leite
      Cisco TAC Engineer

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos