Cisco IOS XR セッション ボーダ コントローラ コンフィギュレーション ガイド Release 3.6
SIP 発信認証
SIP 発信認証
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 5MB) | フィードバック

目次

SIP 発信認証

この章の構成

SIP 発信認証の実装の前提条件

SIP 発信認証の実装の制約事項

SIP 発信認証について

SBC での発信認証の設定

リモート装置に対する SBC の認証

SIP 発信認証の設定方法

SIP 発信認証の設定

show コマンドの例

その他の関連資料

関連資料

規格

MIB

RFC

技術サポート

SIP 発信認証

SBC は SIP 発信認証をサポートしています。ネットワーク エンティティ同士が SIP を使用して通信する際には、多くの場合一方のエンティティが他方に対してチャレンジを行い、相手が自分のネットワークに SIP シグナリングを送信することが許可されているかどうか判別する必要があります。SIP 認証モデルは RFC 2617 に規定されている HTTP ダイジェスト認証に基づいています。


) SIP では、パスワードが暗号化されずに送信される基本認証は許可されません。


SIP 発信認証機能の履歴

 

リリース
変更点

Release 3.4.1

Cisco XR 12000 シリーズ ルータにこの機能が追加されました。

Release 3.5.0

変更なし

Release 3.5.1

authentication-realm コマンドが変更されました。

Release 3.6.0

変更なし

SIP 発信認証の実装の前提条件

次に、SIP 発信認証を実装するための前提条件を示します。

1 つまたは複数の認証レルムを指定する前に、SIP 隣接を設定します。

SBC で自己認証に使用する複数のドメイン(レルム)を設定します。これらの各ドメインからチャレンジが行われたときに提供するユーザ名とパスワードを設定します。この設定は隣接ごとに行います。


) 隣接ごとに複数のレルムを設定できます。使用できるメモリ容量を考慮しなければ、レルムの数に制限はありません。同じユーザ名とパスワードを使用して異なるレルムを設定できます。また、各レルムは異なるユーザ名とパスワードを使用して異なる隣接に設定できます。ただし、1 つのレルムは隣接ごとに 1 回だけ設定することができます。


SIP 発信認証の実装の制約事項

次に、SIP 発信認証に適用される制約事項を示します。

既存の認証レルムと同じドメイン名で認証レルムを設定しようとした場合、SBC はこれを拒否します。この制約は隣接単位で有効となります。同じドメイン名の認証レルムを複数の隣接に設定することができます。


) 現行の CLI では、同じ隣接に同じドメインで 2 つの認証レルムを設定することを禁止しています。これを試みた場合、CLI は 2 回めの認証レルムの設定を 1 回めの認証レルムの再設定と解釈し、それに応じてユーザの認定証を更新します。


各認証レルムは、隣接ごとに 1 つのユーザ名およびパスワードでのみ設定できます。

SIP 発信認証について

SBC での発信認証の設定

SIP 隣接を設定する際に、1 つまたは複数の認証レルム指定できます。各認証レルムは 1 つのリモート ドメインを表し、SBC はそこから隣接の認証チャレンジを受信します。認証レルムを設定する際に、SBC がそのレルムで自己認証に使用する正しいユーザ名とパスワードを指定する必要があります。SBC は各隣接のすべての有効な認証レルムを格納します。

リモート装置に対する SBC の認証

SBC は送信済みの要求と関連付けられる SIP 401 または 407 応答を受信すると、添付されている認証チャレンジを確認します。SBC は隣接で認証チャレンジを受信した場合、その隣接に設定されている認証レルムの 1 つと一致する認証チャレンジにはすべて応答します。設定されている認証レルムと一致しない認証チャレンジは、オリジナルの要求を受信した、その隣接の SBC のシグナリング ピアにそのまま渡されます。

認証チャレンジに対する応答を生成するために、SBC は次の処理を実行します。

1. まず、発信隣接に設定されている認証レルムのリストを使用して、チャレンジのレルム パラメータを検索します。

2. 次に、該当する認証レルムのパスワードを見つけ、このパスワードとチャレンジに含まれているナンス パラメータとを組み合わせ、そのハッシュを作成して認証応答を生成します。

3. チャレンジ側が auth-int の保護レベルを要求している場合、SBC はメッセージ本体全体のハッシュを生成し、応答に含めます。

4. SBC は 次のパラメータ値を含む Authorization(または Proxy-Authorization)ヘッダーを作成します(RFC 2617 に準拠)。

チャレンジに含まれているナンス

チャレンジに含まれているレルム

Digest-URI をチャレンジ要求の SIP URI に設定

Message-QOP を auth に設定

前述のように計算された応答

該当する認証レルムに指定されたユーザ名

チャレンジに opaque パラメータが含まれていた場合、応答時に変更されずに戻されます。

チャレンジに qop-directive パラメータが含まれる場合、このナンスを元に計算した応答に基づいて、要求を送信した回数を nonce-count パラメータに設定します。

SBC が応答すべきチャレンジに、ドメイン パラメータが含まれている必要がないことに注意してください。このパラメータは、SBC が最も頻繁に受信するチャレンジである Proxy-Authenticate チャレンジでは使用されません。ドメイン パラメータが含まれていた場合、SBC はこれを無視します。

5. 最後に、SBC は計算した応答と受信したナンスを、認証レルムの他のデータと併せて格納します。これにより SBC は同じナンスを持つこのレルムからの以降のチャレンジに対して迅速に応答できます。応答を格納するためのリソースが不足した場合でも、SBC はそのまま続行します。次回このレルムから認証チャレンジを受信したときに応答を再計算する必要があります。SBC が保存した応答を再利用する場合には、ナンス応答ペアと一緒に格納されているナンス カウントを更新します。これで SBC は認証応答の nonce-count フィールドに正しく入力できます。

SIP 発信認証の設定方法

ここでは、SIP 発信認証の設定手順について説明します。この手順では、隣接に対して 1 つまたは複数の認証レルムを追加または削除します。

SIP 発信認証の設定

手順の概要

1. configure

2. sbc service-name

3. sbe

4. adjacency sip adjacency-name

5. authentication-realm inbound < domain > | outbound < domain > < username > < password >

6. commit

7. exit

8. show services sbc service-name sbe adjacency adjacency-name authentication-realms

9. show services sbc service-name sbe all-authentication-realms

詳細手順

 

コマンドまたはアクション
説明

ステップ 1

configure

 

RP/0/0/CPU0:router# configure

グローバル コンフィギュレーション モードをイネーブルにします。

ステップ 2

sbc service-name

 

RP/0/0/CPU0:router(config)# sbc mysbc

SBC サービス モードを開始します。

サービス名を定義するには、 service-name 引数を使用します。

ステップ 3

sbe

 

RP/0/0/CPU0:router(config-sbc)# sbe

SBC の Signaling Border Element(SBE)機能モードを開始します。

ステップ 4

adjacency sip adjacency-name

 

RP/0/0/CPU0:router(config-sbc-sbe)# adjacency sip test

SBE SIP 隣接モードを開始します。

サービス名を定義するには、 adjacency-name 引数を使用します。

ステップ 5

authentication-realm inbound <domain> outbound <domain><username><password>

 

RP/0/0/CPU0:router(config-sbc-sbe- adj-sip)# authentication-realm example.com usersbc passwrdsbc

特定の隣接の特定のドメインに一連の認証認定証を設定します。このコマンドは、隣接を接続する前または後に実行することができます。

このコマンドの no 形式を使用すると、特定の隣接の認証レルムの設定を解除します。

inbound -- 着信認証レルムを指定

outbound -- 発信認証レルムを指定

domain -- 認証認定証が有効である対象ドメイン名

username -- 特定のドメインで SBC を識別するユーザ名

password -- 特定のドメインでユーザ名を認証するためのパスワード

ステップ 6

commit

 

RP/0/0/CPU0:router(config-sbc-sbe- adj-sip )#
commit

設定変更を保存します。設定変更を実行コンフィギュレーション ファイルに保存し、コンフィギュレーション セッションを継続するには、 commit コマンドを使用します。

ステップ 7

exit

 

RP/0/0/CPU0:router(config-sbc-sbe- adj-sip )# exit

adj-sip モードを終了し、SBE モードに戻ります。

ステップ 8

show services sbc service-name sbe adjacency adjacency-name authentication-realms

 

RP/0/0/CPU0:router# show services sbc mySbc sbe adjacency SipToIsp42 authentication-realms

特定の SIP 隣接に対して現在設定されているすべての認証レルムを表示します。

ステップ 9

show services sbc service-name sbe all-authentication-realms

 

RP/0/0/CPU0:router# show services sbc mySbc sbe all-authentication-realms

すべての SIP 隣接に対して現在設定されているすべての認証レルムを表示します。

show コマンドの例

# show services sbc mySbc sbe adjacency SipToIsp42 authentication-realms
Configured authentication realms
--------------------------------
Domain Username Password
Example.com usersbc passwordsbc
 
 
# show services sbc mySbc sbe all-authentication-realms
Configured authentication realms
--------------------------------
Adjacency: SipToIsp42
Domain Username Password Example.com usersbc passwordsbc
Remote.com usersbc sbcpassword
 
Adjacency: SipToIsp50
Domain Username Password
Example.com user2sbc password2sbc
Other.com sbcuser sbcsbcsbc

その他の関連資料

ここでは、SBC での SIP 発信認証に関する参考資料について説明します。

関連資料

 

内容
マニュアル タイトル

Cisco IOS XR マスター コマンド リファレンス

Cisco IOS XR Master Commands List

Cisco IOS XR SBC インターフェイス設定コマンド

Cisco IOS XR Session Border Controller Command Reference

Cisco IOS XR ソフトウェアを使用するルータを初回に起動し設定するための情報

Cisco IOS XR Getting Started Guide

Cisco IOS XR コマンド モード

Cisco IOS XR Command Mode Reference

規格

規格
タイトル

この機能によりサポートされた新規規格または改訂規格はありません。またこの機能による既存規格のサポートに変更はありません。

--

MIB

 

MIB
MIB リンク

--

Cisco IOS XR ソフトウェアが使用している MIB を特定してダウンロードするには、次の URL にある Cisco MIB Locator で、Cisco Access Product メニューからプラットフォームを選択します。

http://cisco.com/public/sw-center/netmgmt/cmtk/mibs.shtml

RFC

 

RFC
タイトル

RFC 3261

SIP:Session Initiation Protocol

RFC 2543

Session Initiation Protocol

RFC 2617

HTTP Authentication:Basic and Digest Access Authentication

技術サポート

 

説明
リンク

シスコのテクニカル サポート Web サイトでは、製品、テクノロジー、ソリューション、テクニカル ティップス、ツールへのリンクなど、技術的なコンテンツを検索可能な形で大量に提供しています。Cisco.com 登録ユーザの場合は、次のページからログインしてさらに多くのコンテンツにアクセスできます。

http://www.cisco.com/techsupport