Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit le comportement amélioré dans Cisco Unified Communications Manager (CUCM) qui fournit une couche supplémentaire d'authentification UserID dans les messages SIP (Session Initiation Protocol) REGISTER par rapport à la méthode actuelle d'authentification uniquement sur Expressway.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Par le passé, l’enregistrement des périphériques via l’Expressway VCS (Video Communication Server) fonctionne lorsque le périphérique envoie un nom d’utilisateur et un mot de passe via le protocole HTTP (Hypertext Transfer Protocol). Expressway authentifie ensuite le nom d’utilisateur et permet au périphérique de poursuivre l’enregistrement vers CUCM sans vérification supplémentaire.
Le nouveau comportement est que CUCM vérifie maintenant le message SIP REGISTER et s'assure que l'ID utilisateur est correctement associé au périphérique. Grâce à cette fonctionnalité, l'ID utilisateur doit autoriser avant de s'enregistrer dans CUCM ; fournit donc le niveau de protection suivant contre le périphérique à partir d'un réseau externe/inconnu. Cela garantit que le SIP REGISTER est autorisé, c'est-à-dire que seul un périphérique valide associé à l'utilisateur valide doit s'enregistrer. S'il n'existe aucune association UserID au périphérique, l'enregistrement rejette avec le code de réponse 401.
Historique
Limites
Composants utilisés (architecture ancienne ou nouvelle)
Ancienne image de comportement :
Nouvelle image de comportement :
Nouveau paramètre de service pour activer/désactiver cette fonction : System > Service Parameters > server > Cisco CallManager > SIP Registration Authorization Enabled
Valeurs:
L'association UserID correcte au périphérique correct détermine si l'enregistrement SIP autorise ou rejette.
La demande d'autorisation d'enregistrement suit les scénarios suivants :
Scénario 1. Si UserID n'est pas présent dans le message REGISTER, il doit autoriser et 200 OK est envoyé.
Note: Cela garantit l’interopérabilité sur site et la rétrocompatibilité avec les anciennes versions d’Expressway.
Scénario 2. Si UserID est présent dans le message REGISTER, alors...
Scénario 3. Si le message REGISTER contient plus d'un UserID de valeurs différentes, THEN FAIL et send 401 Unallowed.
Note: Uniquement Expressway remplit ces en-têtes UserID
Tableau des résultats des cas d'utilisation
Nombre |
Exemples de tests |
Autorisation d'enregistrement SIP activée |
Résultat attendu |
1 |
Le paramètre UserId de l'en-tête du contact n'est pas présent |
Vrai |
Autoriser (200 OK) |
2 |
Le paramètre UserId de l'en-tête du contact correspond à OwnerId dans la page de configuration du téléphone |
Vrai |
Autoriser (200 OK) |
3 |
Le paramètre UserId de l'en-tête du contact correspond à l'ID utilisateur associé à un périphérique dans la page EndUser. |
Vrai |
Autoriser (200 OK) |
4 |
L'ID utilisateur dans l'en-tête du contact correspond à l'ID propriétaire dans la page Configuration du téléphone, ne correspond pas à l'ID utilisateur configuré dans la page Utilisateur final. |
Vrai |
Autoriser (200 OK) |
5 |
L'ID utilisateur dans l'en-tête du contact correspond à l'ID utilisateur dans la page Utilisateur final, ne correspond pas à l'ID propriétaire dans la page Configuration du téléphone |
Vrai |
Autoriser (200 OK) |
6 |
OwnerId de la page de configuration du téléphone est vide et aucun utilisateur n'est associé au périphérique dans la page Utilisateur final. |
Vrai |
Autoriser (200 OK) |
7 |
OwnerId dans la page Phone Config et userId configurés pour un périphérique dans la page EndUser, mais aucune correspondance trouvée |
Vrai |
401 Non autorisé |
8 |
Plusieurs ID utilisateur présents dans l'en-tête du contact. |
Vrai |
401 Non autorisé |
9 |
ID utilisateur multiple configuré pour un périphérique dans la page Utilisateur final |
Vrai |
Autoriser (200 Ok) |
10 |
Suppression de l'ID utilisateur |
Vrai |
Autoriser (200 Ok) |
11 |
Actualiser le registre |
Vrai |
Identique au message ENREGISTREMENT initial |
12 |
UserId dans l'en-tête du contact est une chaîne vide, OwnerId et UserId non configurés pour le périphérique |
Vrai |
Autoriser (200 Ok) |
13 |
L'ID utilisateur dans l'en-tête du contact est une chaîne vide, OwnerId/UserId configuré pour le périphérique |
Vrai |
401 Non autorisé |
14 |
UserId est présent dans l'en-tête du contact, OwnerId/UserId configuré pour le périphérique, mais aucune correspondance trouvée |
Faux |
200 OK |
15 |
Plusieurs ID utilisateur présents dans l'en-tête du contact |
Faux |
200 OK |
16 |
UserId dans l'en-tête du contact est une chaîne vide, ownerId /UserId configuré pour le périphérique |
Faux |
200 OK |
Activez la fonctionnalité via le paramètre de service de Communications Manager (CCM). Il est activé par défaut et aucune autre configuration n'est requise.
En-tête du contact
CUCM vérifie l’en-tête Contact du message REGISTER pour modification par Expressway
Contact: <sip:ffeffb75-880e-f58f-a8ec-f5025d0f9136@10.50.179.6:5060;transport=tcp;orig- hostport=192.168.0.121:55854>;+sip.instance="<urn:uuid:00000000-0000-0000-0000-
00506005457e>";+u.sip!model.ccm.cisco.com="604";+u.sip!userid.ccm.cisco.com="mjavie r";+u.sip!serialno.ccm.cisco.com=A1AZ20D00153;audio=TRUE;video=TRUE;mobility="fixed";
duplex="full";description="TANDBERG-SIP“
Nouvelle alarme (AuthorizationErrorWarningLevel)
Une nouvelle alarme (AuthorizationErrorwithWarningLevel) est maintenant disponible en cas d'échec d'autorisation d'enregistrement SIP
Rechercher les tentatives d'autorisation dans la sortie de débogage de CCM Traces
Exemples d'autorisation réussis :
Scénario 1 :
00013222.041 |15:46:20.792 |AppInfo |SIPStationD(7) - User Authorized - Phone Config page
Scénario 2 :
00015642.041 |16:01:39.112 |AppInfo |SIPStationD(9) - User Authorized - EndUser page
Exemple d'autorisation et d'alarme ayant échoué :
00186341.041 |13:17:37.187 |AppInfo |SIPStationD(133) - User: shree is unauthorized to register a device 00186341.042 |13:17:37.187 |AppInfo |SIPStationD(133) - sendRegisterResp: non-200 response code 401, ccbId 2303, expires 4294967295, warning Authorization failure -
Unauthorized user for this device 00186341.043 |13:17:37.188 |AppInfo |EndPointTransientConnection - An endpoint attempted to register but did not complete registration Connecting Port:5060 Device name:
SEPCD1111000015 Device type:647 Reason Code:35 Protocol:SIP Device MAC address:CD1111000015 LastSignalReceived:SIPRegisterInd StationState:wait_register App ID:Cisco
CallManager Cluster ID:10.77.29.71 Node ID:CuCM-71 00186341.044 |13:17:37.188 |AlarmWarn|AlarmClass: CallManager, AlarmName: EndPointTransientConnection, AlarmSeverity: Warning, AlarmMessage: , AlarmDescription: An endpoint
attempted to register but did not complete registration, AlarmParameters: ConnectingPort:5060, DeviceName:SEPCD1111000015, DeviceType:647, Reason:35, Protocol:SIP,
MACAddress:CD1111000015, LastSignalReceived:SIPRegisterInd, StationState:wait_register, AppID:Cisco CallManager, ClusterID:10.77.29.71, NodeID:CuCM-71, 00186346.000 |13:17:37.189 |SdlSig |SIPRegisterResp |wait |SIPHandler(1,100,80,1) |SIPStationD(1,100,74,133) |1,100,14,772.2^10.77.29.189^SEPCD1111000015 |[T:N-H:0,N:0,L:0,
V:0,Z:0,D:0] ccbID= 2303 --TransType=1 --TransSecurity=0 PeerAddr= 10.77.29.189:5060 respCode= 401 action= 2 device=