El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.
Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe el comportamiento mejorado en Cisco Unified Communications Manager (CUCM) que proporciona una capa adicional de autenticación de ID de usuario en los mensajes REGISTER del protocolo de inicio de sesión (SIP) frente al método actual de autenticación sólo en Expressway.
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
En el pasado, el registro de dispositivos a través de Video Communication Server (VCS) Expressway funciona cuando el dispositivo envía el nombre de usuario y la contraseña a través del protocolo de transferencia de hipertexto (HTTP). Expressway luego autentica el nombre de usuario y permite al dispositivo continuar con el registro hacia CUCM sin más verificación.
El nuevo comportamiento es que ahora CUCM verifica el mensaje SIP REGISTER y asegura que el ID de usuario tenga una asociación adecuada con el dispositivo. A través de esta función, el ID de usuario debe autorizar antes de registrarse en CUCM; por lo tanto, proporciona el siguiente nivel de protección contra el dispositivo desde una red externa/desconocida. Esto garantiza que el REGISTRO SIP esté autorizado, es decir, solo un dispositivo válido asociado al usuario válido debe registrarse. Si no hay ninguna asociación UserID al dispositivo, el registro rechaza con el código de respuesta 401.
Historial de antecedentes
Limitaciones
Componentes utilizados (arquitectura antigua frente a nueva)
Imagen de comportamiento antiguo:
Nueva imagen de comportamiento:
Nuevo parámetro de servicio para activar/desactivar esta función: System > Service Parameters > server > Cisco CallManager > SIP Registration Authorization Enabled
Valores:
La asociación UserID correcta con el dispositivo correcto determina si el registro SIP autoriza o rechaza.
La solicitud del proceso de autorización de registro sigue estos escenarios:
Escenario 1. Si UserID no está presente en el mensaje REGISTER (Registro), debería autorizar y enviar 200 OK (Aceptar).
Nota: Esto garantiza la interoperabilidad in situ y la compatibilidad con versiones anteriores de Expressway.
Situación hipotética 2. Si UserID está presente en el mensaje REGISTER, entonces...
Situación hipotética 3. Si el mensaje REGISTER contiene más de un ID de usuario de valores diferentes, LUEGO FALLE y envíe 401 Unauthorized.
Nota: Solo Expressway rellena estos encabezados UserID
Tabla de resultados de casos prácticos
Número |
Casos de prueba |
Autorización de registro SIP habilitada |
Resultado esperado |
1 |
El parámetro UserId del encabezado del contacto no está presente |
Verdadero |
Autorizar (200 OK) |
2 |
El parámetro UserId del encabezado del contacto coincide con OwnerId en la página de configuración del teléfono |
Verdadero |
Autorizar (200 OK) |
3 |
El parámetro UserId del encabezado del contacto coincide con userId asociado a un dispositivo en la página EndUser. |
Verdadero |
Autorizar (200 OK) |
4 |
El ID de usuario en el encabezado de contacto coincide con el ID de propietario en la página Configuración del teléfono, no coincide con el ID de usuario configurado en la página Usuario final |
Verdadero |
Autorizar (200 OK) |
5 |
El ID de usuario en el encabezado de contacto coincide con el ID de usuario en la página Usuario final, no coincide con el IdPropietario en la página Configuración del teléfono |
Verdadero |
Autorizar (200 OK) |
6 |
OwnerId en la página Phone Config está en blanco y el dispositivo no tiene ningún usuario asociado en la página EndUser |
Verdadero |
Autorizar (200 OK) |
7 |
OwnerId en la página de configuración del teléfono y userId configurados para un dispositivo en la página Usuario final, pero no se ha encontrado ninguna coincidencia |
Verdadero |
401 No autorizado |
8 |
Hay más de un ID de usuario presente en el encabezado del contacto. |
Verdadero |
401 No autorizado |
9 |
ID de usuario múltiple configurado para un dispositivo en la página Usuario final |
Verdadero |
Autorizar (200 Ok) |
10 |
ID de usuario ineludible |
Verdadero |
Autorizar (200 Ok) |
11 |
Actualizar registro |
Verdadero |
Igual que el mensaje de REGISTRO inicial |
12 |
El ID de usuario en el encabezado de contacto es una cadena vacía, el ID de propietario y el ID de usuario no están configurados para el dispositivo |
Verdadero |
Autorizar (200 Ok) |
13 |
El ID de usuario en el encabezado del contacto es una cadena vacía, OwnerId/UserId configurado para el dispositivo |
Verdadero |
401 No autorizado |
14 |
UserId está presente en el encabezado del contacto, OwnerId/UserId configurado para el dispositivo, pero no se ha encontrado ninguna coincidencia |
Falso |
200 OK |
15 |
Hay más de un ID de usuario presente en el encabezado del contacto |
Falso |
200 OK |
16 |
UserId en el encabezado del contacto es una cadena vacía, ownerId /UserId configurada para el dispositivo |
Falso |
200 OK |
Active la función mediante el parámetro de servicio de Communications Manager (CCM). Está activado de forma predeterminada y no se requiere ninguna configuración adicional.
Encabezado de contacto
CUCM comprueba el encabezado de contacto del mensaje REGISTER para que Expressway lo modifique
Contact: <sip:ffeffb75-880e-f58f-a8ec-f5025d0f9136@10.50.179.6:5060;transport=tcp;orig- hostport=192.168.0.121:55854>;+sip.instance="<urn:uuid:00000000-0000-0000-0000-
00506005457e>";+u.sip!model.ccm.cisco.com="604";+u.sip!userid.ccm.cisco.com="mjavie r";+u.sip!serialno.ccm.cisco.com=A1AZ20D00153;audio=TRUE;video=TRUE;mobility="fixed";
duplex="full";description="TANDBERG-SIP“
Nueva alarma (AuthorizationErrorwithWarningLevel)
Ahora hay disponible una nueva alarma (AuthorizationErrorwithWarningLevel) cuando se produce una falla en la autorización de registro SIP
Buscar intentos de autorización en la salida de depuración de seguimientos de CCM
Ejemplos de autorización correctos:
Escenario 1:
00013222.041 |15:46:20.792 |AppInfo |SIPStationD(7) - User Authorized - Phone Config page
Escenario 2:
00015642.041 |16:01:39.112 |AppInfo |SIPStationD(9) - User Authorized - EndUser page
Ejemplo de autorización y alarma fallidas:
00186341.041 |13:17:37.187 |AppInfo |SIPStationD(133) - User: shree is unauthorized to register a device 00186341.042 |13:17:37.187 |AppInfo |SIPStationD(133) - sendRegisterResp: non-200 response code 401, ccbId 2303, expires 4294967295, warning Authorization failure -
Unauthorized user for this device 00186341.043 |13:17:37.188 |AppInfo |EndPointTransientConnection - An endpoint attempted to register but did not complete registration Connecting Port:5060 Device name:
SEPCD1111000015 Device type:647 Reason Code:35 Protocol:SIP Device MAC address:CD1111000015 LastSignalReceived:SIPRegisterInd StationState:wait_register App ID:Cisco
CallManager Cluster ID:10.77.29.71 Node ID:CuCM-71 00186341.044 |13:17:37.188 |AlarmWarn|AlarmClass: CallManager, AlarmName: EndPointTransientConnection, AlarmSeverity: Warning, AlarmMessage: , AlarmDescription: An endpoint
attempted to register but did not complete registration, AlarmParameters: ConnectingPort:5060, DeviceName:SEPCD1111000015, DeviceType:647, Reason:35, Protocol:SIP,
MACAddress:CD1111000015, LastSignalReceived:SIPRegisterInd, StationState:wait_register, AppID:Cisco CallManager, ClusterID:10.77.29.71, NodeID:CuCM-71, 00186346.000 |13:17:37.189 |SdlSig |SIPRegisterResp |wait |SIPHandler(1,100,80,1) |SIPStationD(1,100,74,133) |1,100,14,772.2^10.77.29.189^SEPCD1111000015 |[T:N-H:0,N:0,L:0,
V:0,Z:0,D:0] ccbID= 2303 --TransType=1 --TransSecurity=0 PeerAddr= 10.77.29.189:5060 respCode= 401 action= 2 device=