Guía de configuración de controlador de la frontera de la sesión de los Cisco 7600 Series Router
Autenticación de salida del SORBO
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 187 KB | Inglés (28 Abril 2008) | Comentarios

Contenidos

Autenticación de salida del SORBO

Contenido

Requisitos previos para implementar la autenticación de salida SIP

Restricciones para implementar la autenticación de salida SIP

Información sobre la autenticación de salida del SORBO

Configurar la autenticación de salida en el SBC

Autenticidad del SBC a los dispositivos remotos

Cómo configurar la autenticación de salida del SORBO

Ejemplos de los comandos show


Autenticación de salida del SORBO


El regulador de la frontera de la sesión (SBC) soporta la autenticación de salida del Session Initiation Protocol (SIP). Cuando las entidades de red comunican con el SIP, las necesidades de una entidad a menudo de desafiar otro a determinar si se autoriza para transmitir la señalización SIP en la red del desafiador. El modelo de autenticación del SORBO se basa en el asimilar autenticación HTTP, según lo descrito en el RFC 2617.


Observeel uso de la autenticación básica, donde las contraseñas se transmiten unencrypted, no se permite en el SORBO.



Observepara la versión 3.0.00 SBC de ACE, esta característica se soporta en el modelo unificado solamente.


Ofrezca el historial para la autenticación de salida del SORBO

Versión
Modificación

Versión 3.0.00 SBC de ACE

Esta característica fue introducida en el Cisco 7600 Series Router junto con el soporte para el modelo unificado SBC.


Contenido

Este módulo contiene las secciones siguientes:

Requisitos previos para implementar la autenticación de salida SIP

Restricciones para implementar la autenticación de salida SIP

Información sobre la autenticación de salida del SORBO

Cómo configurar la autenticación de salida del SORBO

Ejemplos de los comandos show

Requisitos previos para implementar la autenticación de salida SIP

Los requisitos previos siguientes se requieren implementar la autenticación de salida SIP:

Configure una adyacencia del SORBO antes de que usted especifique uno o más autenticación-reinos.

Configure el SBC con un conjunto de los dominios (reinos) con los cuales puede autenticarse. Fije el nombre de usuario y contraseña para proporcionar cuando es desafiado por cada uno de estos dominios. Esta configuración se implementa por la adyacencia.


Los reinosmúltiples de la nota se pueden configurar por la adyacencia y no hay límite en el número de estos reinos independientemente de disponibilidad de memoria. Diversos reinos se pueden configurar con el mismo nombre de usuario y la contraseña. También, cada reino se puede configurar con diverso nombre de usuario y contraseña en diversas adyacencias. Sin embargo, cualquier reino se puede configurar un máximo de una vez por la adyacencia.


Restricciones para implementar la autenticación de salida SIP

Las restricciones siguientes se aplican PARA SORBER la autenticación de salida:

El SBC rechaza cualquier tentativa de configurar un autenticación-reino con el mismo Domain Name que un autenticación-reino existente. Esta restricción es válida por la adyacencia. Las adyacencias múltiples pueden tener autenticación-reinos configurados con el mismo dominio.


Observeel comando line interface(cli) actual prohíbe al usuario de configurar dos autenticación-reinos con el mismo dominio para la misma adyacencia. Si se intenta esto, el CLI interpreta la segunda configuración del autenticación-reino como tentativa de configurar de nuevo el primer autenticación-reino, y pone al día las credenciales del usuario por consiguiente.


Cada autenticación-reino se puede configurar solamente con un solo nombre de usuario y contraseña por la adyacencia.

Información sobre la autenticación de salida del SORBO

Esta sección contiene las siguientes subsecciones:

Configurar la autenticación de salida en el SBC

Autenticidad del SBC a los dispositivos remotos

Configurar la autenticación de salida en el SBC

Cuando se configura una adyacencia del SORBO, el usuario puede especificar uno o más autenticación-reinos. Cada autenticación-reino representa un dominio remoto, del cual el SBC recibe los desafíos de autenticación en la adyacencia. Cuando se configura un autenticación-reino, el usuario debe especificar el Nombre de usuario y la contraseña correctos que el SBC utiliza para autenticar sí mismo en ese reino. El SBC salva todos los autenticación-reinos válidos para cada adyacencia.

Autenticidad del SBC a los dispositivos remotos

Tras el recibo de un SORBO 401 o la respuesta 407 que se puede correlacionar a una petición que envió, el SBC examina el desafío de autenticación asociado. El SBC responde a cualquier desafío de autenticación recibido en una adyacencia dada que haga juego uno de los autenticación-reinos configurados para esa adyacencia. Cualquier desafío de autenticación que no haga juego el autenticación-reino configurado se pasa con sin cambiar al par de la señalización SBC para la adyacencia, en la cual la solicitud original fue recibida.

Para generar una respuesta a un desafío de autenticación, el SBC hace el siguiente:

1. Primero, mira para arriba el parámetro del reino del desafío en su lista de autenticación-reinos configurados para la adyacencia saliente.

2. En segundo lugar, encuentra la contraseña para ese autenticación-reino y genera una respuesta de autenticación combinando la contraseña con el parámetro del nonce del desafío, y desmenuzando el resultado.

3. Si el desafiador ha pedido la calidad auténtico-internacional de la protección, el SBC también genera un hash del cuerpo de mensaje completo y lo incluye en la respuesta.

4. El SBC construye una encabezado de la autorización (o Proxy-autorización) incluyendo los Valores de parámetro siguientes (después del RFC 2617):

Nonce del desafío.

Reino del desafío.

Publicación-URI se fija al SORBO URI de la petición desafiada.

El mensaje-QOP se fija al auth.

Respuesta calculada según lo descrito previamente.

Nombre de usuario según lo especificado para el autenticación-reino relevante.

Si el desafío contuvo un parámetro opaco, se vuelve sin cambiar en la respuesta.

Si el desafío contuvo el parámetro qop-directivo, después el parámetro de la nonce-cuenta se fija al número de las peticiones enviadas, usando la respuesta calculada de este nonce.

Observe que no se espera que el parámetro del dominio sea incluido en ninguna desafíos que el SBC debe responder a. Este parámetro no se utiliza en los desafíos Proxy-Autenticar, el tipo de desafío que el SBC recibe lo más a menudo posible. Si el parámetro del dominio es incluido, el SBC lo ignora.

5. Finalmente, el SBC salva su respuesta calculada y el nonce recibido con los otros datos para el autenticación-reino. Esto permite que el SBC responda rápidamente a los desafíos subsiguientes de este reino con el mismo nonce. Si el SBC falta los recursos para salvar su respuesta, continúa de todos modos. La próxima vez que un desafío de la autorización se recibe de este reino, el SBC tiene que recalcular su respuesta. Cuando el SBC reutiliza una respuesta guardada, pone al día la cuenta del nonce salvada junto con los pares de la nonce-respuesta. Esto permite que el SBC complete correctamente el campo de la nonce-cuenta en las respuestas de autorización.

Cómo configurar la autenticación de salida del SORBO

Esta sección contiene los pasos para configurar la autenticación de salida del SORBO, permitiendo que el usuario agregue/quita uno o más autenticación-reinos a/desde una adyacencia.

PASOS SUMARIOS

1. configure

2. sbc service-name

3. sbe

4. adjacency sip adjacency-name

5. authentication-realm inbound domain | outbound domain username password

6. exit

7.show services sbc autenticación-reinos del adyacencia-nombre de la adyacencia del sbe del sbc-nombre

8. show services sbc service-name sbe all-authentication-realms

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

configure

Example:

host1/Admin# configure

Habilita el modo de configuración global.

Paso 2 

sbc service-name

Example:

host1/Admin(config)# sbc mysbc

Ingresa el modo de un servicio SBC.

Utilice service-name el argumento para definir el nombre del servicio.

Paso 3 

sbe

Example:

host1/Admin(config-sbc)# sbe

Ingresa el modo de la función del elemento de la frontera de la señalización (SBE) del SBC.

Paso 4 

adjacency sip adjacency-name

Example:

host1/Admin(config-sbc-sbe)# adjacency sip test

Ingresa el modo de una adyacencia SBE SIP.

Utilice adjacency-name el argumento para definir el nombre del servicio.

Paso 5 

authentication-realm inbound domain outbound domain username password

Example:

host1/Admin(config-sbc-sbe-adj-sip)# authentication-realm example.com usersbc passwrdsbc

Configura un conjunto de los credenciales de autenticación para el dominio especificado en la adyacencia especificada. Este comando puede ser publicado cualquiera antes o después de que se ha asociado la adyacencia.

La ninguna versión de este comando desconfigura el autenticación-reino en la adyacencia especificada.

entrante — Especifica el reino entrante de la autenticación.

saliente — Especifica el reino de la autenticación de salida.

Domain Name del dominio para el cual los credenciales de autenticación son válidos.

nombre de nombre de usuario usuario que identifica el SBC en el dominio especificado.

password password para autenticar el nombre de usuario en el dominio especificado.

Paso 6 

exit

Example:

host1/Admin(config-sbc-sbe-adj-sip)# exit

Sale el modo y las devoluciones del ADJ-sorbo al modo SBE.

Paso 7 

show services sbc sbc-name sbe adjacency adjacency-name authentication-realms

Example:

host1/Admin# show services sbc mySbc sbe adjacency SipToIsp42 authentication-realms

Muestra todos los autenticación-reinos actualmente configurados para la adyacencia especificada del SORBO.

Paso 8 

show services sbc service-name sbe all-authentication-realms

Example:

host1/Admin# show services sbc mySbc sbe all-authentication-realms

Muestra todos los autenticación-reinos actualmente configurados para todas las adyacencias del SORBO.

Ejemplos de los comandos show

# show services sbc mySbc sbe adjacency SipToIsp42 authentication-realms
Configured authentication realms
--------------------------------
Domain       Username  Password     
Example.com  usersbc   passwordsbc  


# show services sbc mySbc sbe all-authentication-realms
Configured authentication realms
--------------------------------
Adjacency: SipToIsp42
Domain       Username  Password     Example.com  usersbc   passwordsbc  
Remote.com   usersbc   sbcpassword  

Adjacency: SipToIsp50
Domain       Username  Password     
Example.com  user2sbc  password2sbc 
Other.com    sbcuser   sbcsbcsbc