Cisco Jabber und SIP-OAuth-Modus

Einleitung

In diesem Dokument werden die Konfiguration und grundlegende Schritte zur Fehlerbehebung zur Implementierung des SIP-OAuth-Modus mit Cisco Jabber beschrieben.

Voraussetzungen

Anforderungen

Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

• Jabber Softphone-Registrierung
• Unified Communications Manager (UCM)
• Mobile and Remote Access (MRA)-Lösung

Verwendete Komponenten

Mindestsoftwareversion zur Unterstützung des SIP-OAuth-Modus:

• Cisco UCM 12.5
• Cisco Jabber 12,5
• Cisco Expressway X12.5

Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

Einschränkung

Wenn der SIP-OAuth-Modus aktiviert ist, werden die Optionen "Enable Digest Authentication" und "TFTP Encrypted Config" nicht unterstützt.

Hintergrundinformationen

Wichtigste Vorteile

Die Sicherung von SIP-Signalisierung und -Medien für Cisco Jabber-Softphones erfordert derzeit mehrere Konfigurationsschritte. Die schwierigste Aufgabe besteht darin, Client-Zertifikate (LSCs) zu installieren und zu erneuern, insbesondere wenn ein Cisco Jabber-Gerät zwischen standortbasierten und standortexternen Geräten wechselt, und die Zertifikate in der CTL-Datei auf dem neuesten Stand zu halten.

Im SIP-OAuth-Modus kann das Cisco Jabber Softphone zur Authentifizierung an einer sicheren SIP-Schnittstelle OAuth-Token verwenden, die sich selbst beschreiben. Die Unterstützung von OAuth auf der UCM-SIP-Schnittstelle ermöglicht eine sichere Signalisierung und sichere Medien für Jabber-Bereitstellungen vor Ort und MRA-Bereitstellungen ohne den gemischten Modus oder CAPF-Betrieb.

Wichtigste Vorteile der Unterstützung von Cisco Jabber im SIP-OAuth-Modus

• Stets verfügbare Verschlüsselung ohne zusätzlichen Verwaltungsaufwand
• Sichere Signalisierung und Medien für Cisco Jabber ohne den gemischten Modus (keine CTL-Updates, Zertifikatwartung usw.)
• LSC muss nicht auf Jabber-Clients installiert und gewartet werden.
  • Herausforderungen bei LSC auf mehreren Geräten (Laptops/Mobilgeräte ...)
  • Der CAPF-Betrieb ist bei jeder Installation von Jabber auf einem neuen Gerät erforderlich.
  • CAPF-Vorgang wird über MRA nicht unterstützt.

Gesamtarchitektur

Das Cisco Jabber-Gerät erkennt, dass die OAuth-Authentifizierung an der SIP-Schnittstelle aktiviert ist, indem es die CSF-Konfigurationsdatei (http://<cucmIP>:6970/<CSF-Gerätename>.cnf.xml), Beispiel einer Konfigurationsdatei (einige Zeilen werden aus Kurzgründen ausgelassen), analysiert:

Cisco Jabber liest den sipOAuthMode-Parameter, um festzustellen, ob der SIP-OAuth-Modus aktiviert ist. Dieser Parameter kann einen der folgenden Werte annehmen:

•    0 - SIP OAuth ist deaktiviert.
•    1 - SIP-OAuth ist aktiviert

Wenn der SIP-OAuth-Modus aktiviert ist, verwendet Jabber einen dieser Parameter, um den Port für die SIP-TLS-Verbindung zu bestimmen: sipOAuthPort für standortbasierte Bereitstellungen oder sipMRAOAuthPort für MRA-basierte Bereitstellungen. Im Beispiel werden die Standardwerte sipOAuthPort 5090 und sipMRAOAuthPort 5091 dargestellt. Diese Werte sind konfigurierbar und können für jeden CUCM-Knoten unterschiedlich sein.

Wenn der SIP-OAuth-Modus deaktiviert ist, verwendet Jabber für die SIP-Registrierung Legacy-Ports mit nicht sicheren Geräten (5060) oder sicheren Geräten (5061).

Anmerkung: Cisco UCM verwendet den SIP-Telefon-OAuth-Port (5090), um die SIP-Leitungsregistrierung von Jabber OnPremise-Geräten über TLS abzuhören. Der UCM verwendet jedoch den SIP Mobile Remote Access Port (Standard: 5091), um SIP-Leitungsregistrierungen von Jabber über Expressway über mLTS abzuhören. Beide Ports sind konfigurierbar. Siehe Abschnitt "Konfiguration". 

Der CallManager-Dienst hört sowohl sipOAuthPort als auch sipMRAOAuthPort ab. Beide Ports verwenden jedoch das Tomcat-Zertifikat und Tomcat-trust für eingehende TLS/mTLS-Verbindungen. Stellen Sie sicher, dass Ihr Tomcat-Trust-Speicher das Expressway-C-Zertifikat für den SIP-OAuth-Modus verifizieren kann, damit die MRA korrekt funktioniert.

In Situationen, in denen das Tomcat-Zertifikat neu generiert wird, muss der CallManager-Prozess auch danach auf den betroffenen Knoten neu gestartet werden. Dies ist erforderlich, damit der CCM-Prozess neue Zertifikate auf sipOAuth-Ports laden und verwenden kann.

Dieses Bild zeigt die Registrierung von Cisco Jabber vor Ort:

Dieses Bild zeigt die Registrierung von Cisco Jabber über MRA:

* Expressway-C-Knoten verwenden die AXL API, um UCM über die CN/SAN in ihrem Zertifikat zu informieren. UCM verwendet diese Informationen, um das Exp-C-Zertifikat zu validieren, wenn eine gegenseitige TLS-Verbindung hergestellt wird.

Konfiguration - Jabber am Standort

Anmerkung: 
Stellen Sie sicher, dass Sie vor der Konfiguration des SIP-OAuth-Modus die folgenden Punkte abgeschlossen haben:
- MRA wird konfiguriert, und die Verbindung zwischen Unified Communication Manager (UCM) und Expressway wird hergestellt (nur bei Verwendung von MRA).
- UCM ist bei einem Smart Account oder einem Virtual Account registriert und bietet eine exportgesteuerte Funktionalität.

1. Konfigurieren Sie die Aktualisierungsanmeldungen.

Konfigurieren Sie Refresh-Anmeldungen mit OAuth-Zugriffs-Token und Refresh-Token für Cisco Jabber-Clients. Wählen Sie in Cisco Unified CM Administration die Option System > Enterprise Parameters.

2. OAuth-Ports konfigurieren.

Wählen Sie System > Cisco Unified CM aus. Dies ist ein optionaler Schritt. Das Bild zeigt die Standardwerte. Der zulässige konfigurierbare Bereich liegt zwischen 1024 und 49151. Wiederholen Sie die gleichen Schritte für jeden Server.

3. Aktivieren Sie den SIP-OAuth-Modus.

Verwenden Sie die Befehlszeilenschnittstelle des Herausgebers, um den SIP-OAuth-Modus global zu aktivieren. Führen Sie den folgenden Befehl aus: nutzt sipOAuth-mode enable.

4. Starten Sie den Cisco CallManager-Dienst neu.

Wählen Sie in Cisco Unified Serviceability "Tools" > "Control Center - Feature Services" aus. Wählen Sie den Cisco CallManager-Dienst auf allen Knoten, auf denen er aktiv ist, aus, und starten Sie ihn neu.

5. Konfigurieren Sie die OAuth-Unterstützung im Sicherheitsprofil.

Wählen Sie in Cisco Unified CM Administration die Option System > Phone Security Profile (System > Telefonsicherheitsprofil) aus. Wählen Sie OAuth-Authentifizierung aktivieren, um die SIP-OAuth-Unterstützung für den Endpunkt zu aktivieren.

Konfiguration - Jabber over MRA

Voraussetzungen

Führen Sie vor der Konfiguration des SIP-OAuth-Modus für Jabber über MRA die Schritte 1-4 im Kapitel "Konfiguration - Jabber am Standort" dieses Artikels aus.

Schritt 1: Aktivieren Sie "Refresh Login over MRA".

Aktualisierungsanmeldungen müssen auf Expressway (auch als selbstbeschreibende Token bezeichnet) vor der Konfiguration der SIP OAuth-Authentifizierung mit Cisco Jabber über MRA aktiviert werden. Navigieren Sie auf dem Expressway-C zu Configuration > Unified Communications > Configuration, und stellen Sie sicher, dass der Authorize by OAuth Token mit dem Aktualisierungsparameter auf On gesetzt ist.

Schritt 2: Aktualisieren Sie die Unified CM-Knoten in Expressway-C.

Navigieren Sie zu Konfiguration > Unified Communications > Unified CM-Server. Unified CM-Knoten in Expressway-C erkennen oder aktualisieren.

Anmerkung: Eine neue CEOAuth (TLS)-Zone wird automatisch in Expressway-C erstellt. Beispiel: CEOAuth <Unified CM-Name>. Es wird eine Suchregel erstellt, um die SIP-Anfragen von Jabber über MRA an den Unified CM-Knoten weiterzuleiten. Diese Zone verwendet TLS-Verbindungen unabhängig davon, ob der Unified CM im gemischten Modus konfiguriert ist. Um eine Vertrauensstellung herzustellen, sendet Expressway-C auch den Hostnamen und die SAN-Details (Subject Alternative Name) an den Unified CM-Cluster. Überprüfen Sie im Verifizierungsteil dieses Artikels, ob die richtige Konfiguration vorhanden ist.

Schritt 3: Konfigurieren der OAuth-Unterstützung im Sicherheitsprofil

Wählen Sie in Cisco Unified CM Administration die Option System > Phone Security Profile (System > Telefonsicherheitsprofil) aus. Aktivieren Sie die OAuth-Unterstützung für das Profil, das Cisco Jabber zugewiesen ist.

Überprüfung

1. Überprüfen Sie, ob der SIP-OAuth-Modus global aktiviert ist.

Überprüfen Sie den OAuth-Modus unter Cisco Unified CM Administration, und wählen Sie System > Enterprise Parameters aus.

Alternativ können Sie die Admin-CLI verwenden: Führen Sie den Befehl aus: führen Sie sql select paramvalue FROM prozessconfig WHERE paramname = 'ClusterSIPOAuthMode' aus.

Mögliche Werte: 0 - für Deaktiviert (Standard), 1 - für Aktiviert.

2. Überprüfen Sie, ob die Expressway-C SAN-Einträge erfolgreich an den CUCM weitergeleitet wurden.

Expressway-C sendet die CN/SAN-Details seines Zertifikats über AXL an UCM. Diese Details werden in der Expresswaycconfiguration-Tabelle gespeichert. Dieser Prozess wird jedes Mal aufgerufen, wenn Sie die Unified CM-Knoten in Expressway-C erkennen oder aktualisieren. Diese Einträge werden verwendet, um die Vertrauenswürdigkeit zwischen UCM und Expressway-C herzustellen. Das CN/SAN-Feld des Expressway-C-Zertifikats wird während der MTLS-Verbindung mit dem SIP-MRA-OAuth-Port (standardmäßig 5091) mit diesen Einträgen abgeglichen. Wenn die Überprüfung nicht erfolgreich ist, schlägt die MTLS-Verbindung fehl.

Überprüfen Sie die Einträge unter Cisco Unified CM Administration, und wählen Sie Device > Expressway-C (ab UCM 12.5.1Su1 verfügbar) aus.

Alternativ können Sie die Admin-CLI verwenden: Führen Sie den Befehl run sql select * aus expresswaycconfiguration aus.

3. Überprüfen Sie die CEOAuth-Zone(n) auf Expressway-C.

Navigieren Sie zu Expressway-C > Configuration > Zones > Zones. Stellen Sie sicher, dass sich alle neu erstellten CEOAuth-Zonen im aktiven Zustand befinden.

4. Überprüfen Sie, ob der CallManager-Prozess auf SIP-OAuth-Ports lauscht.

Führen Sie den Befehl in der Admin-CLI aus: show open ports regexp 5090 (Standard-SIP-OAuth-Port)

Führen Sie den Befehl in der Admin-CLI aus: show open ports regexp 5091 (Standard-SIP-MRA-Port)

Fehlerbehebung

Jabber-Protokollbeispiel (am Standort)

Protokollbeispiel für die SIP OAuth-Registrierung am Standort auf Port 5090 aus Sicht des Jabber-Protokolls.

## CSF configuration retrieved 2020-03-30 13:03:18,278 DEBUG [0x000012d8] [src\callcontrol\ServicesManager.cpp(993)] [csf.ecc] [csf::ecc::ServicesManager::fetchDeviceConfig] - fetchDeviceConfig() retrieved config for CSFrado 2020-03-30 13:03:18,278 DEBUG [0x000012d8] [rc\callcontrol\ServicesManager.cpp(1003)] [csf.ecc] [csf::ecc::ServicesManager::fetchDeviceConfig] - Device Config: 10.10.10.1 ccm12pub 2000 5060 5061 5090 5091 … 1 ## Setting SIP oauth mode to 1 2020-03-30 13:03:18,747 DEBUG [0x00002968] [ig\CertificateVerificationHelper.cpp(35)] [csf.ecc] [csf::ecc::CertificateVerificationHelper::setSipOauthMode] - sip OAuth Mode=1 ## Setting OAuth ports (5090 and 5091) for each UCM server 13:03:19,013 INFO  [0x00002484] [\core\ccapp\config\config_parser.c(1491)] [csf.sip-call-control] [config_process_ccm_properties] - ccm0=10.10.10.1 ccm1=10.10.10.2  ccm2= sip_oauth_port_0=5090 sip_oauth_port_1=5090 sip_oauth_port_2=5090 length=0 13:03:19,013 INFO  [0x00002484] [\core\ccapp\config\config_parser.c(1494)] [csf.sip-call-control] [config_process_ccm_properties] - sip_mar_oauth_port_0=5091 sip_mar_oauth_port_1=5091 sip_mar_oauth_port_2=5091 ## Open TLS connection to 5090 2020-03-30 13:03:18,528 DEBUG [0x00000e2c] [sipstack\sip_transport_connection.c(431)] [csf.sip-call-control] [sip_create_transport_connection] - [SIP][CONN][0] create TLS connection 10.10.10.10:5061-----10.10.10.1:5090. ## Sending register message 2020-03-30 13:03:19,200 DEBUG [0x00000e2c] [\sipcc\core\sipstack\ccsip_debug.c(1041)] [csf.sip-call-control] [platform_print_sip_msg] - sipio-sent---> REGISTER sip:10.10.10.1 SIP/2.0 Via: SIP/2.0/TLS 10.10.10.10:62162;branch=z9hG4bK00001188 From: ;tag=882323451234089000003bdd-00005eff To: Call-ID: 88232345-12340017-00001c0b-00000cfa@10.10.10.10 Max-Forwards: 70 Date: Mon, 30 Mar 2020 11:03:19 GMT CSeq: 2270 REGISTER User-Agent: Cisco-CSF Contact: ;+sip.instance="";+u.sip!devicename.ccm.cisco.com="CSFrado";+u.sip!model.ccm.cisco.com="503";video Supported: replaces,join,sdp-anat,norefersub,resource-priority,extended-refer,X-cisco-callinfo,X-cisco-serviceuri,X-cisco-escapecodes,X-cisco-service-control,X-cisco-srtp-fallback,X-cisco-monrec,X-cisco-config,X-cisco-sis-7.0.0,X-cisco-xsi-8.5.1,X-cisco-graceful-reg,X-cisco-duplicate-reg ## 407 Proxy Authentication Required 2020-03-30 13:03:19,310 DEBUG [0x00000e2c] [\sipcc\core\sipstack\ccsip_debug.c(1041)] [csf.sip-call-control] [platform_print_sip_msg] - sipio-recv<--- SIP/2.0 407 Proxy Authentication Required Via: SIP/2.0/TLS 10.10.10.10:62162;branch=z9hG4bK00001188 From: ;tag=882323451234089000003bdd-00005eff To: ;tag=441122775 Date: Mon, 30 Mar 2020 11:03:31 GMT Call-ID: 88232345-12340017-00001c0b-00000cfa@10.10.10.10 Server: Cisco-CUCM12.5 CSeq: 2270 REGISTER Proxy-Authenticate: Bearer realm="ccmsipline" Content-Length: 0 ## Register with OAuth token included in the Proxy-Authorization header 2020-03-30 13:03:19,310 DEBUG [0x00000e2c] [\sipcc\core\sipstack\ccsip_debug.c(1041)] [csf.sip-call-control] [platform_print_sip_msg] - sipio-sent---> REGISTER sip:10.10.10.1 SIP/2.0 Via: SIP/2.0/TLS 10.10.10.10:62162;branch=z9hG4bK00004a82 From: ;tag=882323451234089000003bdd-00005eff To: Call-ID: 88232345-12340017-00001c0b-00000cfa@10.10.10.10 Max-Forwards: 70 Date: Mon, 30 Mar 2020 11:03:19 GMT CSeq: 2271 REGISTER User-Agent: Cisco-CSF Contact: ;+sip.instance="";+u.sip!devicename.ccm.cisco.com="CSFrado";+u.sip!model.ccm.cisco.com="503";video Proxy-Authorization: Bearer token="" Supported: replaces,join,sdp-anat,norefersub,resource-priority,extended-refer,X-cisco-callinfo,X-cisco-serviceuri,X-cisco-escapecodes,X-cisco-service-control,X-cisco-srtp-fallback,X-cisco-monrec,X-cisco-config,X-cisco-sis-7.0.0,X-cisco-xsi-8.5.1,X-cisco-graceful-reg,X-cisco-duplicate-reg Reason: SIP;cause=200;text="cisco-alarm:111 Name=CSFrado ActiveLoad=Jabber_for_Windows-12.8.0.51973 InactiveLoad=Jabber_for_Windows-12.8.0.51973 Last=Application-Requested-Destroy" Expires: 3600 Content-Type: multipart/mixed; boundary=uniqueBoundary Mime-Version: 1.0 Content-Length: 1271 # 200 OK for Register 2020-03-30 13:03:19,325 DEBUG [0x00000e2c] [\sipcc\core\sipstack\ccsip_debug.c(1041)] [csf.sip-call-control] [platform_print_sip_msg] - sipio-recv<--- SIP/2.0 200 OK Via: SIP/2.0/TLS 10.10.10.10:62162;branch=z9hG4bK00004a82 From: ;tag=882323451234089000003bdd-00005eff To: ;tag=1915868308 Date: Mon, 30 Mar 2020 11:03:31 GMT Call-ID: 88232345-12340017-00001c0b-00000cfa@10.10.10.10 Server: Cisco-CUCM12.5 CSeq: 2271 REGISTER Expires: 120 Contact: ;+sip.instance="";+u.sip!devicename.ccm.cisco.com="CSFrado";+u.sip!model.ccm.cisco.com="503";video;x-cisco-newreg Supported: X-cisco-srtp-fallback,X-cisco-sis-9.1.0 Content-Type: application/x-c

Szenario 1 - Nicht übereinstimmender SIP-OAuth-Registrierungsport

Das Jabber-Gerät vor Ort im SIP-OAuth-Modus kann nicht bei UCM registriert werden. UCM sendet 403 für die Registrierungsmeldung:

SIP/2.0 403 Forbidden Via: SIP/2.0/TLS 10.5.10.121:50347;branch=z9hG4bK00005163 From: ;tag=005056867e66010a00006698-00002a32 To: ;tag=1946377502 Date: Fri, 03 Aug 2018 05:00:18 GMT Call-ID: 00505686-7e660005-0000216b-0000366f@10.5.10.121 Server: Cisco-CUCM12.5 CSeq: 363 REGISTER Retry-After: 35 Warning: 399 UCM2-PUB "SIP OAuth Registration port Mismatch" Content-Length: 0

Mögliche Lösung: Stellen Sie sicher, dass die folgenden Bedingungen erfüllt sind:

• OAuth-Modus ist global aktiviert
• Für das Gerätesicherheitsprofil ist die OAuth-Unterstützung aktiviert.
• Nachricht empfangen am 5090-Port über TLS anstelle von mTLS

Szenario 2 - Unbekannte CA von Expressway

Expressway-C ist nicht in der Lage, den mTLS-Handshake mit UCM auf sipMRAOAuthport (Standard 5091) herzustellen. Expressway-C vertraut dem von UCM gemeinsam genutzten Zertifikat nicht und antwortet während der mTLS-Einrichtung mit der Meldung Unknown CA (Unbekannte Zertifizierungsstelle).

Mögliche Lösung: Der CallManager-Dienst sendet sein Tomcat-Zertifikat während des mTLS-Handshakes. Stellen Sie sicher, dass Ihr Expressway-C dem Unterzeichner des Tomcat-Zertifikats von UCM vertraut.

Szenario 3 - Unbekannte Zertifizierungsstelle von UCM

Expressway-C ist nicht in der Lage, den mTLS-Handshake mit UCM auf sipMRAOAuthport (Standard 5091) herzustellen. UCM vertraut dem von Expressway freigegebenen Zertifikat nicht und antwortet während der mTLS-Einrichtung mit der Meldung Unknown CA (Unbekannte Zertifizierungsstelle).

Paketerfassung aus dieser Kommunikation (UCM 10.x.x.198, Expressway-C 10.x.x.182):

Mögliche Lösung: UCM verwendet den Tomcat-trust-Speicher, um eingehende Zertifikate während des mTLS-Handshakes auf SIP-OAuth-Ports zu überprüfen. Stellen Sie sicher, dass das Zertifikat des Unterzeichners für Expressway-C ordnungsgemäß auf den UCM hochgeladen wurde.