Configure los registros del SORBO para autenticar y para autorizar sobre por usuario una base (MRA) para CUCM 11.5
Contenido
Introducción
Este documento describe el comportamiento aumentado en el administrador de las Comunicaciones unificadas de Cisco (CUCM) que proporciona una capa adicional de autenticación UserID en los mensajes del REGISTRO del Session Initiation Protocol (SIP) contra el método actual de autenticación solamente en la autopista.
Prerrequisitos
Requisitos
Cisco recomienda que tenga conocimiento sobre estos temas:
- La administración y configuración CUCM
- SORBO Portocol
- Autopista del servidor del comunicación mediante video (VCS)
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Administrador 11.5 de las Comunicaciones unificadas de Cisco y posterior
- Autopista del servidor del comunicación mediante video (VCS)
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si su red está viva, asegúrese de que usted entienda el impacto potencial del comando any.
Antecedentes
En el pasado, el registro del dispositivo a través de la autopista del servidor del comunicación mediante video (VCS) funciona cuando el dispositivo envía el nombre de usuario y contraseña vía el Hypertext Transfer Protocol (HTTP). La autopista después autentica el nombre de usuario y permite que el dispositivo proceda con el registro hacia CUCM sin la verificación adicional.
El nuevo comportamiento es que ahora CUCM marca el mensaje del REGISTRO del SORBO y se asegura que el UserID tiene asociación apropiada al dispositivo. A través de esta característica el UserID debe autorizar antes de que se registre en el CUCM; por lo tanto, proporciona el nivel siguiente de protección contra el dispositivo contra el externo/la red desconocida. Esto se asegura de que el REGISTRO del SORBO esté autorizado, es decir solamente un dispositivo válido asociado al usuario válido debe registrarse. Si no hay asociación UserID a los rechazos del registro del dispositivo entonces con el código de 401 respuestas.
Historial del fondo
Limitaciones
- Solamente teléfonos del SORBO de las influencias
- Los registros de la En-premisa son inafectados
Configurar
Diagrama de la red
Componentes usados (viejo contra. Nueva arquitectura)
Vieja imagen del comportamiento:
Nueva imagen del comportamiento:
Configuraciones
Nuevo parámetro de servicio para conectar esta característica con./desc.: Sistema > parámetros de servicio > Cisco CallManager del server> > autorización del registro del SORBO habilitada
Valores:
- Verdad - (valor por defecto)
- Falso
La asociación correcta UserID al dispositivo correcto determina si el registro SIP autoriza o los rechazos.
La petición del proceso de la autorización del registro sigue estos escenarios:
Escenario 1. Si el UserID no está presente en el mensaje del REGISTRO que debe autoriza y se envía la AUTORIZACIÓN 200.
Nota: Esto asegura en-prem la Interoperabilidad y la compatibilidad descendente con más viejas versiones de la autopista.
Escenario 2. Si el UserID está presente en el mensaje del REGISTRO entonces…
- SI el UserID hace juego el campo propietario-identificación en la página de la Configuración del teléfono CUCM, DESPUÉS autorice y envíe la AUTORIZACIÓN 200
- SI el UserID hace juego la asociación UserID con el dispositivo en la página de configuración del usuario final CUCM, DESPUÉS autorice y envíe la AUTORIZACIÓN 200
- SI el campo propietario-identificación es en blanco y no existe la Asociación del dispositivo al usuario final, DESPUÉS autorice y envíe la AUTORIZACIÓN 200
- SI ninguna coincidencia, DESPUÉS FALLA y envía 401 desautorizados
Escenario 3. Si el mensaje del REGISTRO contiene más de un UserID de diversos valores, DESPUÉS EL FALL y envía 401 desautorizados.
Nota: Solamente la autopista puebla estas encabezados UserID
Utilice la tabla de resultados de los casos
| Número |
Casos de prueba |
Autorización del registro del SORBO habilitada |
Resultado esperado |
| 1 |
El parámetro UserId en la encabezado del contacto no está presente |
Verdadero |
Autorice (AUTORIZACIÓN 200) |
| 2 |
El parámetro UserId en la encabezado del contacto hace juego con OwnerId en la página de los config del teléfono |
Verdadero |
Autorice (AUTORIZACIÓN 200) |
| 3 |
El parámetro UserId en la encabezado del contacto hace juego con el userId asociado a un dispositivo en la página del usuario final. |
Verdadero |
Autorice (AUTORIZACIÓN 200) |
| 4 |
El UserId en la encabezado del contacto hace juego con el ownerId en la página de los Config del teléfono, no hace juego con el userId configurado en la página del usuario final |
Verdadero |
Autorice (AUTORIZACIÓN 200) |
| 5 |
El UserId en la encabezado del contacto hace juego con el userId en la página del usuario final, no hace juego con OwnerId en la página de los Config del teléfono |
Verdadero |
Autorice (AUTORIZACIÓN 200) |
| 6 |
OwnerId en la página de los Config del teléfono es en blanco y el dispositivo no tiene ningún usuario asociado en la página del usuario final |
Verdadero |
Autorice (AUTORIZACIÓN 200) |
| 7 |
OwnerId en la página de los Config del teléfono y el userId configurados para un dispositivo en la página del usuario final, pero ninguna coincidencia encontrada |
Verdadero |
401 desautorizado |
| 8 |
Más de un presente userid en la encabezado del contacto. |
Verdadero |
401 desautorizado |
| 9 |
UserId múltiple configurado para un dispositivo en la página del usuario final |
Verdadero |
Autorice (autorización 200) |
| 10 |
Unescaping userId |
Verdadero |
Autorice (autorización 200) |
| 11 |
Restaure el registro |
Verdadero |
Lo mismo que el mensaje inicial del REGISTRO |
| 12 |
El UserId en la encabezado del contacto es cadena vacía, OwnerId y UserId no configurados para el dispositivo |
Verdadero |
Autorice (autorización 200) |
| 13 |
El UserId en la encabezado del contacto es cadena vacía, OwnerId/UserId configurado para el dispositivo |
Verdadero |
401 desautorizado |
| 14 |
El UserId está presente en la encabezado del contacto, OwnerId/UserId configurado para el dispositivo, pero ninguna coincidencia encontrada |
Falso |
AUTORIZACIÓN 200 |
| 15 |
Más de un presente userId en la encabezado del contacto |
Falso |
AUTORIZACIÓN 200 |
| 16 |
El UserId en la encabezado del contacto es cadena vacía, ownerId /UserId configurado para el dispositivo |
Falso |
AUTORIZACIÓN 200 |
Habilite la característica vía el parámetro de servicio del administrador de comunicaciones (CCM). Está prendido por abandono y no se requiere ninguna otra configuración.
Verificación
Entre en contacto la encabezado
CUCM marca la encabezado del contacto del mensaje del REGISTRO para la modificación por la autopista
Contact: <sip:ffeffb75-880e-f58f-a8ec-f5025d0f9136@10.50.179.6:5060;transport=tcp;orig- hostport=192.168.0.121:55854>;+sip.instance="<urn:uuid:00000000-0000-0000-0000-
00506005457e>";+u.sip!model.ccm.cisco.com="604";+u.sip!userid.ccm.cisco.com="mjavie r";+u.sip!serialno.ccm.cisco.com=A1AZ20D00153;audio=TRUE;video=TRUE;mobility="fixed";
duplex="full";description="TANDBERG-SIP“
Nueva alarma (AuthorizationErrorwithWarningLevel)
Una nueva alarma (AuthorizationErrorwithWarningLevel) está disponible ahora cuando hay falla de autorización del registro del SORBO
Troubleshooting
Busque las tentativas de la autorización en la salida de los debugs de las trazas de CCM
Ejemplos de la autorización exitosa:
Escenario 1:
00013222.041 |15:46:20.792 |AppInfo |SIPStationD(7) - User Authorized - Phone Config page
Escenario 2:
00015642.041 |16:01:39.112 |AppInfo |SIPStationD(9) - User Authorized - EndUser page
Ejemplo de la autorización fallida y de la alarma:
00186341.041 |13:17:37.187 |AppInfo |SIPStationD(133) - User: shree is unauthorized to register a device 00186341.042 |13:17:37.187 |AppInfo |SIPStationD(133) - sendRegisterResp: non-200 response code 401, ccbId 2303, expires 4294967295, warning Authorization failure -
Unauthorized user for this device 00186341.043 |13:17:37.188 |AppInfo |EndPointTransientConnection - An endpoint attempted to register but did not complete registration Connecting Port:5060 Device name:
SEPCD1111000015 Device type:647 Reason Code:35 Protocol:SIP Device MAC address:CD1111000015 LastSignalReceived:SIPRegisterInd StationState:wait_register App ID:Cisco
CallManager Cluster ID:10.77.29.71 Node ID:CuCM-71 00186341.044 |13:17:37.188 |AlarmWarn|AlarmClass: CallManager, AlarmName: EndPointTransientConnection, AlarmSeverity: Warning, AlarmMessage: , AlarmDescription: An endpoint
attempted to register but did not complete registration, AlarmParameters: ConnectingPort:5060, DeviceName:SEPCD1111000015, DeviceType:647, Reason:35, Protocol:SIP,
MACAddress:CD1111000015, LastSignalReceived:SIPRegisterInd, StationState:wait_register, AppID:Cisco CallManager, ClusterID:10.77.29.71, NodeID:CuCM-71, 00186346.000 |13:17:37.189 |SdlSig |SIPRegisterResp |wait |SIPHandler(1,100,80,1) |SIPStationD(1,100,74,133) |1,100,14,772.2^10.77.29.189^SEPCD1111000015 |[T:N-H:0,N:0,L:0,
V:0,Z:0,D:0] ccbID= 2303 --TransType=1 --TransSecurity=0 PeerAddr= 10.77.29.189:5060 respCode= 401 action= 2 device=
ComentariosDéjenos ayudarlo
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)