La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
In questo documento viene descritto il comportamento migliorato di Cisco Unified Communications Manager (CUCM), che fornisce un livello aggiuntivo di autenticazione UserID nei messaggi REGISTER del protocollo SIP (Session Initiation Protocol), rispetto al metodo di autenticazione corrente solo in Expressway.
Cisco raccomanda la conoscenza dei seguenti argomenti:
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
In passato, la registrazione del dispositivo tramite Video Communication Server (VCS) Expressway funziona quando il dispositivo invia nome utente e password tramite il protocollo HTTP (Hypertext Transfer Protocol). Expressway autentica quindi il nome utente e consente al dispositivo di procedere con la registrazione verso CUCM senza ulteriori verifiche.
Il nuovo comportamento è che ora CUCM controlla il messaggio SIP REGISTER e garantisce che l'UserID abbia un'associazione corretta al dispositivo. Tramite questa funzione, l'ID utente deve essere autorizzato prima della registrazione nel CUCM; fornisce pertanto il livello successivo di protezione dal dispositivo proveniente da una rete esterna/sconosciuta. Ciò garantisce che il registro SIP sia autorizzato, ovvero che solo un dispositivo valido associato all'utente valido debba registrarsi. Se al dispositivo non è associato alcun ID utente, la registrazione viene rifiutata con il codice di risposta 401.
Cronologia sfondo
Limitazioni
Componenti usati (vecchia o nuova architettura)
Immagine comportamento precedente:
Nuova immagine comportamento:
Nuovo parametro del servizio per attivare/disattivare questa funzionalità: Sistema > Parametri servizio > server > Cisco CallManager > Autorizzazione registrazione SIP abilitata
Valori:
La corretta associazione dell'ID utente al dispositivo corretto determina se la registrazione SIP è autorizzata o rifiutata.
La richiesta di registrazione del processo di autorizzazione prevede gli scenari seguenti:
Scenario 1. Se l'ID utente non è presente nel messaggio REGISTER, deve essere autorizzato e viene inviato 200 OK.
Nota: Ciò garantisce l'interoperabilità in locale e la compatibilità con le versioni precedenti di Expressway.
Scenario 2. Se nel messaggio REGISTER è presente l'ID utente...
Scenario 3. Se il messaggio REGISTER contiene più ID utente di valori diversi, THEN FAIL e send 401 Unauthorized.
Nota: Solo Expressway popola queste intestazioni UserID
Tabella Risultati Use Case
Numero |
Test case |
Autorizzazione registrazione SIP abilitata |
Risultato previsto |
1 |
Il parametro UserId nell'intestazione del contatto non è presente |
Vero |
Authorize (200 OK) |
2 |
Il parametro UserId nell'intestazione del contatto corrisponde a OwnerId nella pagina di configurazione del telefono |
Vero |
Authorize (200 OK) |
3 |
Il parametro UserId nell'intestazione del contatto corrisponde all'ID utente associato a un dispositivo nella pagina EndUser. |
Vero |
Authorize (200 OK) |
4 |
L'ID utente nell'intestazione del contatto corrisponde all'ID proprietario nella pagina di configurazione del telefono, non corrisponde all'ID utente configurato nella pagina Utente finale |
Vero |
Authorize (200 OK) |
5 |
L'ID utente nell'intestazione del contatto corrisponde all'ID utente nella pagina Utente finale, non corrisponde all'ID proprietario nella pagina Configurazione telefono |
Vero |
Authorize (200 OK) |
6 |
OwnerId nella pagina Phone Config è vuoto e nessun utente associato al dispositivo nella pagina EndUser |
Vero |
Authorize (200 OK) |
7 |
OwnerId nella pagina Phone Config e userId configurati per un dispositivo nella pagina EndUser, ma nessuna corrispondenza trovata |
Vero |
401 Non autorizzato |
8 |
Nell'intestazione del contatto sono presenti più ID utente. |
Vero |
401 Non autorizzato |
9 |
Più ID utente configurati per un dispositivo nella pagina Utente finale |
Vero |
Autorizza (200 Ok) |
10 |
ID utente senza escape |
Vero |
Autorizza (200 Ok) |
11 |
Aggiorna registro |
Vero |
Uguale al messaggio di registro iniziale |
12 |
L'ID utente nell'intestazione del contatto è una stringa vuota, l'ID proprietario e l'ID utente non sono configurati per il dispositivo |
Vero |
Autorizza (200 Ok) |
13 |
L'ID utente nell'intestazione del contatto è una stringa vuota. ID proprietario/ID utente configurato per il dispositivo |
Vero |
401 Non autorizzato |
14 |
L'ID utente è presente nell'intestazione del contatto, ma non è stata trovata alcuna corrispondenza |
Falso |
200 OK |
15 |
Nell'intestazione del contatto sono presenti più ID utente |
Falso |
200 OK |
16 |
L'ID utente nell'intestazione del contatto è una stringa vuota. ID proprietario /ID utente configurato per il dispositivo |
Falso |
200 OK |
Abilitare la funzionalità tramite il parametro del servizio di Communications Manager (CCM). È attivata per impostazione predefinita e non sono necessarie ulteriori configurazioni.
Intestazione contatto
CUCM verifica l'intestazione del contatto del messaggio REGISTER per la modifica tramite Expressway
Contact: <sip:ffeffb75-880e-f58f-a8ec-f5025d0f9136@10.50.179.6:5060;transport=tcp;orig- hostport=192.168.0.121:55854>;+sip.instance="<urn:uuid:00000000-0000-0000-0000-
00506005457e>";+u.sip!model.ccm.cisco.com="604";+u.sip!userid.ccm.cisco.com="mjavie r";+u.sip!serialno.ccm.cisco.com=A1AZ20D00153;audio=TRUE;video=TRUE;mobility="fixed";
duplex="full";description="TANDBERG-SIP“
Nuovo allarme (AuthorizationErrorwithWarningLevel)
È ora disponibile un nuovo allarme (AuthorizationErrorwithWarningLevel) in caso di errore di autorizzazione registrazione SIP
Cerca tentativi di autorizzazione nell'output di debug di Tracce CCM
Esempi di autorizzazioni riuscite:
Scenario 1:
00013222.041 |15:46:20.792 |AppInfo |SIPStationD(7) - User Authorized - Phone Config page
Scenario 2:
00015642.041 |16:01:39.112 |AppInfo |SIPStationD(9) - User Authorized - EndUser page
Esempio di autorizzazione e allarme non riusciti:
00186341.041 |13:17:37.187 |AppInfo |SIPStationD(133) - User: shree is unauthorized to register a device 00186341.042 |13:17:37.187 |AppInfo |SIPStationD(133) - sendRegisterResp: non-200 response code 401, ccbId 2303, expires 4294967295, warning Authorization failure -
Unauthorized user for this device 00186341.043 |13:17:37.188 |AppInfo |EndPointTransientConnection - An endpoint attempted to register but did not complete registration Connecting Port:5060 Device name:
SEPCD1111000015 Device type:647 Reason Code:35 Protocol:SIP Device MAC address:CD1111000015 LastSignalReceived:SIPRegisterInd StationState:wait_register App ID:Cisco
CallManager Cluster ID:10.77.29.71 Node ID:CuCM-71 00186341.044 |13:17:37.188 |AlarmWarn|AlarmClass: CallManager, AlarmName: EndPointTransientConnection, AlarmSeverity: Warning, AlarmMessage: , AlarmDescription: An endpoint
attempted to register but did not complete registration, AlarmParameters: ConnectingPort:5060, DeviceName:SEPCD1111000015, DeviceType:647, Reason:35, Protocol:SIP,
MACAddress:CD1111000015, LastSignalReceived:SIPRegisterInd, StationState:wait_register, AppID:Cisco CallManager, ClusterID:10.77.29.71, NodeID:CuCM-71, 00186346.000 |13:17:37.189 |SdlSig |SIPRegisterResp |wait |SIPHandler(1,100,80,1) |SIPStationD(1,100,74,133) |1,100,14,772.2^10.77.29.189^SEPCD1111000015 |[T:N-H:0,N:0,L:0,
V:0,Z:0,D:0] ccbID= 2303 --TransType=1 --TransSecurity=0 PeerAddr= 10.77.29.189:5060 respCode= 401 action= 2 device=