CUCM 11.5 のためのユーザー単位（MRA）で認証し、承認するために SIP 登録を設定して下さい

概要

この資料は Expressway でだけ Session Initiation Protocol （SIP） レジスタ メッセージの USERID 認証の追加層を vs 認証の現在のメソッド提供する Cisco Unified Communications Manager （CUCM）で拡張 な 動作を記述したものです。

前提条件

要件 

次の項目に関する知識があることが推奨されます。

• CUCM 管理および設定
• SIP Portocol
• ビデオ コミュニケーション コミュニケーション・サーバ（VCS） Expressway

使用するコンポーネント 

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

• Cisco Unified Communications Manager 11.5 およびそれ以降
• ビデオ コミュニケーション コミュニケーション・サーバ（VCS） Expressway

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな（デフォルト）設定で作業を開始しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

背景説明

以前、ビデオ コミュニケーション コミュニケーション・サーバ（VCS） Expressway を通したデバイス 登録はデバイスが Hypertext Transfer Protocol （HTTP）によってユーザ名 および パスワードを送信 するとはたらきます。 Expressway はそしてユーザ名を認証し、デバイスがそれ以上の確認なしで CUCM の方の登録を続行するようにします。

新しい動作は今 CUCM がデバイスに SIP レジスタ メッセージをチェックし、USERID を持っている適切なアソシエーションを確認することです。 この機能を通して USERID は CUCM に登録する前に承認する必要があります; 従って、外部/未知のネットワークからのデバイスに対して保護の次のレベルを提供します。 これは SIP レジスタが承認されるようにします、有効 な ユーザと関連付けられるすなわち有効なデバイスだけ登録する必要があります。 USERID アソシエーションが 401 の応答コードのデバイスそして登録リジェクトへなければ。

バックグラウンド履歴

• CSCuu97283
• CVE ID CVE-2015-6410

制限事項

• 影響 SIP 電話だけ
• 構内 登録は変化しないです

設定

ネットワーク図

使用するコンポーネント（対古い。 新しいアーキテクチャ）

古い動作 イメージ:

新しい動作 イメージ:

設定

オン/オフこの機能を切り替える新しいサービスパラメータ: システム > サービスパラメータ > サーバ > Cisco Unified CallManager > 有効に なる SIP 登録 許可

値：

• 本当- （デフォルト）
• False

正しいデバイスへの正しい USERID アソシエーションは SIP 登録がまたはリジェクト承認したかどうか確認します。

登録 許可 プロセス 要求はこれらのシナリオに続きます:

シナリオ1。 USERID がべきであるおよび承認するレジスタ メッセージにない場合 200 OK は送信 されます。

注： これはより古い Expressway バージョンのオンprem インターオペラビリティおよび下位互換性を確保します。

シナリオ 2。 USERID があればレジスタ メッセージにそして…

• IF USERID は CUCM Phone Configuration ページのオーナー ID フィールドと一致し、200 OK を承認し、送信 します
• IF USERID は CUCM エンドユーザ 設定 ページのデバイスに USERID アソシエーションをマッチさせ、200 OK を承認し、送信 します
• IF オーナー ID フィールドはブランクであり、エンドユーザへのデバイス アソシエーションは存在 しないし、200 OK を承認し、送信 します
• 他の IF は一致、そして FAIL 不正 な 401 を送信 しないし、 

シナリオ 3。 レジスタ メッセージが異なる値の複数の USERID が含まれている場合、FAIL は不正 な 401 を送信 し。

注： Expressway にデータを入力するだけこれらの USERID ヘッダ

ユース ケース結果表 

番号を入力します	テストケース	有効に なる SIP 登録 許可	予想される結果
1	連絡先ヘッダの USERID パラメータはありません	True	承認して下さい （200 OK）
2	連絡先ヘッダの USERID パラメータは電話構成ページの OwnerId と一致します	True	承認して下さい （200 OK）
3	連絡先ヘッダの USERID パラメータはエンド ユーザー ページのデバイスに関連付けられる USERID と一致します。	True	承認して下さい （200 OK）
4	連絡先ヘッダの USERID はエンド ユーザー ページで設定される USERID と電話構成ページの ownerId と、一致する一致します	True	承認して下さい （200 OK）
5	連絡先ヘッダの USERID は電話構成ページの OwnerId とエンド ユーザー ページの USERID と、一致する一致します	True	承認して下さい （200 OK）
6	電話構成ページの OwnerId はブランクであり、デバイスはエンド ユーザー ページで関連付けられるユーザを備えていません	True	承認して下さい （200 OK）
7	エンド ユーザー ページのデバイスのために設定されるが電話構成ページおよび USERID の OwnerId 見つけられる一致無し	True	401 不正
8	連絡先ヘッダの複数の USERID 提供。	True	401 不正

9	エンド ユーザー ページのデバイスのために設定される多重 USERID	True	承認して下さい（200 Ok）
10	Unescaping USERID	True	承認して下さい（200 Ok）
11	レジスタをリフレッシュして下さい	True	最初のレジスタ メッセージと同じ
12	連絡先ヘッダの USERID はデバイスのために設定されない空ストリング、OwnerId および USERID です	True	承認して下さい（200 Ok）
13	連絡先ヘッダの USERID は空ストリング、デバイスのために設定される OwnerId/USERID です	True	401 不正
14	USERID はデバイス、しかし見つけられる一致のために連絡先ヘッダに、設定される OwnerId/USERID ありません	False	200 OK
15	連絡先ヘッダの複数の USERID 提供	False	200 OK
16	連絡先ヘッダの USERID は空ストリング、デバイスのために設定される ownerId /UserId です	False	200 OK

通信マネージャ（CCM）サービスパラメータによって機能を有効に して下さい。 それはデフォルトでオンになり、それ以上の設定が必要となりません。

確認

ヘッダに連絡して下さい

CUCM は Expressway によって修正があるようにレジスタ メッセージの連絡先ヘッダを確認します

Contact: <sip:ffeffb75-880e-f58f-a8ec-f5025d0f9136@10.50.179.6:5060;transport=tcp;orig- hostport=192.168.0.121:55854>;+sip.instance="<urn:uuid:00000000-0000-0000-0000-
 00506005457e>";+u.sip!model.ccm.cisco.com="604";+u.sip!userid.ccm.cisco.com="mjavie r";+u.sip!serialno.ccm.cisco.com=A1AZ20D00153;audio=TRUE;video=TRUE;mobility="fixed";
 duplex="full";description="TANDBERG-SIP“

新しいアラーム（AuthorizationErrorwithWarningLevel）

SIP 登録 許可障害があるとき新しいアラーム（AuthorizationErrorwithWarningLevel）は現在利用できます

トラブルシューティング

CCM トレース デバッグ 出力の許可試みを探して下さい

認証の成功例:

シナリオ 1：

00013222.041 |15:46:20.792 |AppInfo |SIPStationD(7) - User Authorized - Phone Config page

シナリオ 2：

00015642.041 |16:01:39.112 |AppInfo |SIPStationD(9) - User Authorized - EndUser page

認証失敗およびアラーム例:

00186341.041 |13:17:37.187 |AppInfo |SIPStationD(133) - User: shree is unauthorized to register a device
00186341.042 |13:17:37.187 |AppInfo |SIPStationD(133) - sendRegisterResp: non-200 response code 401, ccbId 2303, expires 4294967295, warning Authorization failure -
 Unauthorized user for this device

00186341.043 |13:17:37.188 |AppInfo |EndPointTransientConnection - An endpoint attempted to register but did not complete registration Connecting Port:5060 Device name:
SEPCD1111000015 Device type:647 Reason Code:35 Protocol:SIP Device MAC address:CD1111000015 LastSignalReceived:SIPRegisterInd StationState:wait_register App ID:Cisco 
CallManager Cluster ID:10.77.29.71 Node ID:CuCM-71

00186341.044 |13:17:37.188 |AlarmWarn|AlarmClass: CallManager, AlarmName: EndPointTransientConnection, AlarmSeverity: Warning, AlarmMessage: , AlarmDescription: An endpoint 
attempted to register but did not complete registration, AlarmParameters: ConnectingPort:5060, DeviceName:SEPCD1111000015, DeviceType:647, Reason:35, Protocol:SIP, 
MACAddress:CD1111000015, LastSignalReceived:SIPRegisterInd, StationState:wait_register, AppID:Cisco CallManager, ClusterID:10.77.29.71, NodeID:CuCM-71,

00186346.000 |13:17:37.189 |SdlSig |SIPRegisterResp |wait |SIPHandler(1,100,80,1) |SIPStationD(1,100,74,133) |1,100,14,772.2^10.77.29.189^SEPCD1111000015 |[T:N-H:0,N:0,L:0,
V:0,Z:0,D:0] ccbID= 2303 --TransType=1 --TransSecurity=0 PeerAddr= 10.77.29.189:5060 respCode= 401 action= 2 device=