Configure los registros del SORBO para autenticar y para autorizar sobre por usuario una base (MRA) para CUCM 11.5

Introducción

Este documento describe el comportamiento aumentado en el administrador de las Comunicaciones unificadas de Cisco (CUCM) que proporciona una capa adicional de autenticación UserID en los mensajes del REGISTRO del Session Initiation Protocol (SIP) contra el método actual de autenticación solamente en la autopista.

Prerrequisitos

Requisitos 

Cisco recomienda que tenga conocimiento sobre estos temas:

• La administración y configuración CUCM
• SORBO Portocol
• Autopista del servidor del comunicación mediante video (VCS)

Componentes Utilizados 

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• Administrador 11.5 de las Comunicaciones unificadas de Cisco y posterior
• Autopista del servidor del comunicación mediante video (VCS)

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si su red está viva, asegúrese de que usted entienda el impacto potencial del comando any.

Antecedentes

En el pasado, el registro del dispositivo a través de la autopista del servidor del comunicación mediante video (VCS) funciona cuando el dispositivo envía el nombre de usuario y contraseña vía el Hypertext Transfer Protocol (HTTP). La autopista después autentica el nombre de usuario y permite que el dispositivo proceda con el registro hacia CUCM sin la verificación adicional.

El nuevo comportamiento es que ahora CUCM marca el mensaje del REGISTRO del SORBO y se asegura que el UserID tiene asociación apropiada al dispositivo. A través de esta característica el UserID debe autorizar antes de que se registre en el CUCM; por lo tanto, proporciona el nivel siguiente de protección contra el dispositivo contra el externo/la red desconocida. Esto se asegura de que el REGISTRO del SORBO esté autorizado, es decir solamente un dispositivo válido asociado al usuario válido debe registrarse. Si no hay asociación UserID a los rechazos del registro del dispositivo entonces con el código de 401 respuestas.

Historial del fondo

• CSCuu97283
• CVE ID CVE-2015-6410

Limitaciones

• Solamente teléfonos del SORBO de las influencias
• Los registros de la En-premisa son inafectados

Configurar

Diagrama de la red

Componentes usados (viejo contra. Nueva arquitectura)

Vieja imagen del comportamiento:

Nueva imagen del comportamiento:

Configuraciones

Nuevo parámetro de servicio para conectar esta característica con./desc.: Sistema > parámetros de servicio > Cisco CallManager del server> > autorización del registro del SORBO habilitada

Valores:

• Verdad - (valor por defecto)
• Falso

La asociación correcta UserID al dispositivo correcto determina si el registro SIP autoriza o los rechazos.

La petición del proceso de la autorización del registro sigue estos escenarios:

Escenario 1. Si el UserID no está presente en el mensaje del REGISTRO que debe autoriza y se envía la AUTORIZACIÓN 200.

Nota: Esto asegura en-prem la Interoperabilidad y la compatibilidad descendente con más viejas versiones de la autopista.

Escenario 2. Si el UserID está presente en el mensaje del REGISTRO entonces…

• SI el UserID hace juego el campo propietario-identificación en la página de la Configuración del teléfono CUCM, DESPUÉS autorice y envíe la AUTORIZACIÓN 200
• SI el UserID hace juego la asociación UserID con el dispositivo en la página de configuración del usuario final CUCM, DESPUÉS autorice y envíe la AUTORIZACIÓN 200
• SI el campo propietario-identificación es en blanco y no existe la Asociación del dispositivo al usuario final, DESPUÉS autorice y envíe la AUTORIZACIÓN 200
• SI ninguna coincidencia, DESPUÉS FALLA y envía 401 desautorizados 

Escenario 3. Si el mensaje del REGISTRO contiene más de un UserID de diversos valores, DESPUÉS EL FALL y envía 401 desautorizados.

Nota: Solamente la autopista puebla estas encabezados UserID

Utilice la tabla de resultados de los casos 

Número	Casos de prueba	Autorización del registro del SORBO habilitada	Resultado esperado
1	El parámetro UserId en la encabezado del contacto no está presente	Verdadero	Autorice (AUTORIZACIÓN 200)
2	El parámetro UserId en la encabezado del contacto hace juego con OwnerId en la página de los config del teléfono	Verdadero	Autorice (AUTORIZACIÓN 200)
3	El parámetro UserId en la encabezado del contacto hace juego con el userId asociado a un dispositivo en la página del usuario final.	Verdadero	Autorice (AUTORIZACIÓN 200)
4	El UserId en la encabezado del contacto hace juego con el ownerId en la página de los Config del teléfono, no hace juego con el userId configurado en la página del usuario final	Verdadero	Autorice (AUTORIZACIÓN 200)
5	El UserId en la encabezado del contacto hace juego con el userId en la página del usuario final, no hace juego con OwnerId en la página de los Config del teléfono	Verdadero	Autorice (AUTORIZACIÓN 200)
6	OwnerId en la página de los Config del teléfono es en blanco y el dispositivo no tiene ningún usuario asociado en la página del usuario final	Verdadero	Autorice (AUTORIZACIÓN 200)
7	OwnerId en la página de los Config del teléfono y el userId configurados para un dispositivo en la página del usuario final, pero ninguna coincidencia encontrada	Verdadero	401 desautorizado
8	Más de un presente userid en la encabezado del contacto.	Verdadero	401 desautorizado

9	UserId múltiple configurado para un dispositivo en la página del usuario final	Verdadero	Autorice (autorización 200)
10	Unescaping userId	Verdadero	Autorice (autorización 200)
11	Restaure el registro	Verdadero	Lo mismo que el mensaje inicial del REGISTRO
12	El UserId en la encabezado del contacto es cadena vacía, OwnerId y UserId no configurados para el dispositivo	Verdadero	Autorice (autorización 200)
13	El UserId en la encabezado del contacto es cadena vacía, OwnerId/UserId configurado para el dispositivo	Verdadero	401 desautorizado
14	El UserId está presente en la encabezado del contacto, OwnerId/UserId configurado para el dispositivo, pero ninguna coincidencia encontrada	Falso	AUTORIZACIÓN 200
15	Más de un presente userId en la encabezado del contacto	Falso	AUTORIZACIÓN 200
16	El UserId en la encabezado del contacto es cadena vacía, ownerId /UserId configurado para el dispositivo	Falso	AUTORIZACIÓN 200

Habilite la característica vía el parámetro de servicio del administrador de comunicaciones (CCM). Está prendido por abandono y no se requiere ninguna otra configuración.

Verificación

Entre en contacto la encabezado

CUCM marca la encabezado del contacto del mensaje del REGISTRO para la modificación por la autopista

Contact: <sip:ffeffb75-880e-f58f-a8ec-f5025d0f9136@10.50.179.6:5060;transport=tcp;orig- hostport=192.168.0.121:55854>;+sip.instance="<urn:uuid:00000000-0000-0000-0000-
 00506005457e>";+u.sip!model.ccm.cisco.com="604";+u.sip!userid.ccm.cisco.com="mjavie r";+u.sip!serialno.ccm.cisco.com=A1AZ20D00153;audio=TRUE;video=TRUE;mobility="fixed";
 duplex="full";description="TANDBERG-SIP“

Nueva alarma (AuthorizationErrorwithWarningLevel)

Una nueva alarma (AuthorizationErrorwithWarningLevel) está disponible ahora cuando hay falla de autorización del registro del SORBO

Troubleshooting

Busque las tentativas de la autorización en la salida de los debugs de las trazas de CCM

Ejemplos de la autorización exitosa:

Escenario 1:

00013222.041 |15:46:20.792 |AppInfo |SIPStationD(7) - User Authorized - Phone Config page

Escenario 2:

00015642.041 |16:01:39.112 |AppInfo |SIPStationD(9) - User Authorized - EndUser page

Ejemplo de la autorización fallida y de la alarma:

00186341.041 |13:17:37.187 |AppInfo |SIPStationD(133) - User: shree is unauthorized to register a device
00186341.042 |13:17:37.187 |AppInfo |SIPStationD(133) - sendRegisterResp: non-200 response code 401, ccbId 2303, expires 4294967295, warning Authorization failure -
 Unauthorized user for this device

00186341.043 |13:17:37.188 |AppInfo |EndPointTransientConnection - An endpoint attempted to register but did not complete registration Connecting Port:5060 Device name:
SEPCD1111000015 Device type:647 Reason Code:35 Protocol:SIP Device MAC address:CD1111000015 LastSignalReceived:SIPRegisterInd StationState:wait_register App ID:Cisco 
CallManager Cluster ID:10.77.29.71 Node ID:CuCM-71

00186341.044 |13:17:37.188 |AlarmWarn|AlarmClass: CallManager, AlarmName: EndPointTransientConnection, AlarmSeverity: Warning, AlarmMessage: , AlarmDescription: An endpoint 
attempted to register but did not complete registration, AlarmParameters: ConnectingPort:5060, DeviceName:SEPCD1111000015, DeviceType:647, Reason:35, Protocol:SIP, 
MACAddress:CD1111000015, LastSignalReceived:SIPRegisterInd, StationState:wait_register, AppID:Cisco CallManager, ClusterID:10.77.29.71, NodeID:CuCM-71,

00186346.000 |13:17:37.189 |SdlSig |SIPRegisterResp |wait |SIPHandler(1,100,80,1) |SIPStationD(1,100,74,133) |1,100,14,772.2^10.77.29.189^SEPCD1111000015 |[T:N-H:0,N:0,L:0,
V:0,Z:0,D:0] ccbID= 2303 --TransType=1 --TransSecurity=0 PeerAddr= 10.77.29.189:5060 respCode= 401 action= 2 device=