Cisco 7600 シリーズ ルータ セッション ボーダ コン トローラ コンフィギュレーション ガイド
SIP 発信認証
SIP 発信認証
発行日;2012/01/30 | 英語版ドキュメント(2010/04/20 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

SIP 発信認証

この章の構成

SIP 発信認証を実装するための前提条件

SIP 発信認証を実装するための制約事項

SIP 発信認証について

SBC での発信認証の設定

SBC に対するリモート デバイスの認証

SIP 発信認証を設定する方法

show コマンドの例

SIP 発信認証

Session Border Controller(SBC; セッション ボーダ コントローラ)は、Session Initiation Protocol(SIP)発信認証をサポートしています。SIP を使用してネットワーク エンティティ間で通信する際には、多くの場合、一方のエンティティが他方のエンティティの認証確認を行って、相手が SIP シグナリングを自身のネットワークに送信することが許可されているかどうかを判別する必要があります。SIP 認証モデルは、RFC 2617 に説明されているように、HTTP ダイジェスト認証に基づいています。


) 基本認証はパスワードが暗号化されずに送信されるため、SIP では許可されません。



) ACE SBC Release 3.0.00 では、この機能は統合モデルに限りサポートされます。


SIP 発信認証機能の履歴

 

リリース
変更内容

ACE SBC Release 3.0.00

この機能は、SBC 統合モデルのサポートとともに Cisco 7600 シリーズ ルータに追加されました。

SIP 発信認証を実装するための前提条件

次に、SIP 発信認証を実装するための前提条件を示します。

1 つ以上の認証レルムを指定する前に、SIP 隣接を設定します。

自己認証に使用できるドメイン セット(レルム)で SBC を設定します。これらの各ドメインから認証確認を行うときに提供するユーザ名およびパスワードを設定します。この設定は、隣接単位で実装されます。


) 隣接ごとに複数のレルムを設定できます。使用できるメモリ容量を考慮しない限り、これらのレルムの数に制限はありません。複数のレルムを同じユーザ名およびパスワードで設定できます。また、各レルムを異なる隣接に異なるユーザ名およびパスワードで設定できます。ただし、どのレルムも、隣接ごとに 1 回だけ設定できます。


SIP 発信認証を実装するための制約事項

SIP 発信認証には次の制約が適用されます。

SBC は、既存の認証レルムと同じドメイン名で認証レルムを設定しようとするどのような試行も拒否します。この制約は隣接ごとに有効となります。複数の隣接に同じドメインの認証レルムを設定できます。


) 現在の Command Line Interface(CLI; コマンドライン インターフェイス)では、同じ隣接に対して同じドメインで 2 つの認証レルムを設定することはできません。これを試みた場合、CLI は 2 つ目の認証レルム設定を最初の認証レルムの再設定であると解釈し、それに応じてユーザのクレデンシャルを更新します。


各認証レルムは、隣接ごとに単一のユーザ名およびパスワードでだけ設定できます。

SIP 発信認証について

ここの構成は、次のとおりです。

「SBC での発信認証の設定」

「SBC に対するリモート デバイスの認証」

SBC での発信認証の設定

SIP 隣接を設定するときに、1 つ以上の認証レルムを指定できます。各認証レルムはそれぞれリモート ドメインを表しており、SBC はそこから隣接の認証確認を受信します。認証レルムを設定するときには、SBC がそのレルムで自己認証するのに使用する正しいユーザ名およびパスワードを指定する必要があります。SBC は、各隣接の有効な認証レルムをすべて格納します。

SBC に対するリモート デバイスの認証

SBC は、送信済みの要求に関連付けることができる SIP 401 応答または 407 応答を受信すると、添付されている認証確認を確認します。SBC は、隣接で認証確認を受信した場合、その認証確認が隣接に設定されている認証レルムのいずれかに一致すると必ず応答します。設定されている認証レルムに一致しない認証確認は、隣接で元の要求を受信した SBC のシグナリング ピアにそのままパススルーされます。

認証確認への応答を生成するために、SBC は次の処理を実行します。

1. まず、発信隣接に設定されている認証レルムのリストで認証確認のレルム パラメータを検索します。

2. 次に、その認証レルムのパスワードを探し、そのパスワードと認証確認に含まれているナンス パラメータとを結合し、その結果をハッシュして、認証応答を生成します。

3. 認証確認側が保護品質として auth-int を要求した場合、SBC はメッセージ本文全体のハッシュも生成して応答に含めます。

4. SBC は、次のパラメータ値を含めて、Authorization(または Proxy-Authorization)ヘッダーを作成します(RFC 2617 に準拠)。

認証確認に含まれているナンス。

認証確認に含まれているレルム。

Digest-URI は、認証確認の対象となる要求の SIP URI に設定されます。

Message-QOP は、 auth に設定されます。

応答は、上記のように計算されます。

ユーザ名は、該当する認証レルムに指定されます。

認証確認に opaque パラメータが含まれている場合、その認証確認は応答時に変更なしで返されます。

認証確認に qop-directive パラメータが含まれている場合、 nonce-count パラメータは、このナンスから計算した応答を使用して送信された要求の数に設定されます。

SBC が応答する必要があるどの認証確認にもドメイン パラメータが含まれているとは想定されていないことに注意してください。このパラメータは、SBC が最も頻繁に受信する認証確認である Proxy-Authenticate 認証確認には使用されません。ドメイン パラメータが含まれている場合、SBC はそのパラメータを無視します。

5. 最後に、SBC は計算した応答および受信したナンスを認証レルムの他のデータとともに格納します。これにより、SBC は同じナンスでこのレルムから送信される後続の認証確認に迅速に応答できます。応答を保存するためのリソースが不足している場合でも、SBC はそのまま処理を続行します。次回認証確認をこのレルムから受信したときに、SBC は応答を再計算する必要があります。SBC は、保存した応答を再利用する場合、ナンスと応答のペアとともに格納されているナンス カウントを更新します。これにより、SBC は Authorization 応答の nonce-count フィールドに値を正しく入力できます。

SIP 発信認証を設定する方法

ここでは、SIP 発信認証を設定する手順について説明します。この手順により、隣接に対して 1 つ以上の認証レルムを追加または削除できます。

手順概要

1. configure

2. sbc service-name

3. sbe

4. adjacency sip adjacency-name

5. authentication-realm inbound domain | outbound domain username password

6. exit

7. show services sbc sbc-name sbe adjacency adjacency-name authentication-realms

8. show services sbc service-name sbe all-authentication-realms

詳細手順

 

コマンドまたはアクション
目的

ステップ 1

configure

 

host1/Admin# configure

グローバル コンフィギュレーション モードをイネーブルにします。

ステップ 2

sbc service-name

 

host1/Admin(config)# sbc mysbc

SBC サービス モードを開始します。

サービス名を定義するには、 service-name 引数を使用します。

ステップ 3

sbe

 

host1/Admin(config-sbc)# sbe

SBC の Signaling Border Element(SBE; シグナリング ボーダ エレメント)機能モードを開始します。

ステップ 4

adjacency sip adjacency-name

 

host1/Admin(config-sbc-sbe)# adjacency sip test

SBE SIP 隣接モードを開始します。

サービス名を定義するには、 adjacency-name 引数を使用します。

ステップ 5

authentication-realm inbound domain outbound domain username password

 

host1/Admin(config-sbc-sbe- adj-sip)# authentication-realm example.com usersbc passwrdsbc

指定した隣接に指定のドメイン用の認証クレデンシャルを設定します。このコマンドは、隣接を接続する前後いずれかに発行できます。

このコマンドの no 形式は、指定した隣接の認証レルムの設定を取り消します。

inbound:着信認証レルムを指定します。

outbound:発信認証レルムを指定します。

domain:認証クレデンシャルが有効であるドメインの名前。

username:指定したドメインで SBC を識別するユーザ名。

password:指定したドメインでユーザ名を認証するためのパスワード。

ステップ 6

exit

 

host1/Admin(config-sbc-sbe- adj-sip )# exit

adj-sip モードを終了し、SBE モードに戻ります。

ステップ 7

show services sbc sbc-name sbe adjacency adjacency-name authentication-realms

 

host1/Admin# show services sbc mySbc sbe adjacency SipToIsp42 authentication-realms

指定した SIP 隣接に現在設定されているすべての認証レルムを表示します。

ステップ 8

show services sbc service-name sbe all-authentication-realms

 

host1/Admin# show services sbc mySbc sbe all-authentication-realms

すべての SIP 隣接に現在設定されているすべての認証レルムを表示します。

show コマンドの例

# show services sbc mySbc sbe adjacency SipToIsp42 authentication-realms
Configured authentication realms
--------------------------------
Domain Username Password
Example.com usersbc passwordsbc
 
 
# show services sbc mySbc sbe all-authentication-realms
Configured authentication realms
--------------------------------
Adjacency: SipToIsp42
Domain Username Password Example.com usersbc passwordsbc
Remote.com usersbc sbcpassword
 
Adjacency: SipToIsp50
Domain Username Password
Example.com user2sbc password2sbc
Other.com sbcuser sbcsbcsbc