概要
この資料は Expressway でだけ Session Initiation Protocol (SIP) レジスタ メッセージの USERID 認証の追加層を vs 認証の現在のメソッド提供する Cisco Unified Communications Manager (CUCM)で拡張 な 動作を記述したものです。
前提条件
要件
次の項目に関する知識があることが推奨されます。
- CUCM 管理および設定
- SIP Portocol
- ビデオ コミュニケーション コミュニケーション・サーバ(VCS) Expressway
使用するコンポーネント
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
- Cisco Unified Communications Manager 11.5 およびそれ以降
- ビデオ コミュニケーション コミュニケーション・サーバ(VCS) Expressway
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。
背景説明
以前、ビデオ コミュニケーション コミュニケーション・サーバ(VCS) Expressway を通したデバイス 登録はデバイスが Hypertext Transfer Protocol (HTTP)によってユーザ名 および パスワードを送信 するとはたらきます。 Expressway はそしてユーザ名を認証し、デバイスがそれ以上の確認なしで CUCM の方の登録を続行するようにします。
新しい動作は今 CUCM がデバイスに SIP レジスタ メッセージをチェックし、USERID を持っている適切なアソシエーションを確認することです。 この機能を通して USERID は CUCM に登録する前に承認する必要があります; 従って、外部/未知のネットワークからのデバイスに対して保護の次のレベルを提供します。 これは SIP レジスタが承認されるようにします、有効 な ユーザと関連付けられるすなわち有効なデバイスだけ登録する必要があります。 USERID アソシエーションが 401 の応答コードのデバイスそして登録リジェクトへなければ。
バックグラウンド履歴
制限事項
- 影響 SIP 電話だけ
- 構内 登録は変化しないです
設定
ネットワーク図
使用するコンポーネント(対古い。 新しいアーキテクチャ)
古い動作 イメージ:

新しい動作 イメージ:

設定
オン/オフこの機能を切り替える新しいサービスパラメータ: システム > サービスパラメータ > サーバ > Cisco Unified CallManager > 有効に なる SIP 登録 許可
値:
正しいデバイスへの正しい USERID アソシエーションは SIP 登録がまたはリジェクト承認したかどうか確認します。
登録 許可 プロセス 要求はこれらのシナリオに続きます:
シナリオ1。 USERID がべきであるおよび承認するレジスタ メッセージにない場合 200 OK は送信 されます。
注: これはより古い Expressway バージョンのオンprem インターオペラビリティおよび下位互換性を確保します。
シナリオ 2。 USERID があればレジスタ メッセージにそして…
- IF USERID は CUCM Phone Configuration ページのオーナー ID フィールドと一致し、200 OK を承認し、送信 します
- IF USERID は CUCM エンドユーザ 設定 ページのデバイスに USERID アソシエーションをマッチさせ、200 OK を承認し、送信 します
- IF オーナー ID フィールドはブランクであり、エンドユーザへのデバイス アソシエーションは存在 しないし、200 OK を承認し、送信 します
- 他の IF は一致、そして FAIL 不正 な 401 を送信 しないし、
シナリオ 3。 レジスタ メッセージが異なる値の複数の USERID が含まれている場合、FAIL は不正 な 401 を送信 し。
注: Expressway にデータを入力するだけこれらの USERID ヘッダ
ユース ケース結果表
番号を入力します |
テストケース |
有効に なる SIP 登録 許可 |
予想される結果 |
1 |
連絡先ヘッダの USERID パラメータはありません |
True |
承認して下さい (200 OK) |
2 |
連絡先ヘッダの USERID パラメータは電話構成ページの OwnerId と一致します |
True |
承認して下さい (200 OK) |
3 |
連絡先ヘッダの USERID パラメータはエンド ユーザー ページのデバイスに関連付けられる USERID と一致します。 |
True |
承認して下さい (200 OK) |
4 |
連絡先ヘッダの USERID はエンド ユーザー ページで設定される USERID と電話構成ページの ownerId と、一致する一致します |
True |
承認して下さい (200 OK) |
5 |
連絡先ヘッダの USERID は電話構成ページの OwnerId とエンド ユーザー ページの USERID と、一致する一致します |
True |
承認して下さい (200 OK) |
6 |
電話構成ページの OwnerId はブランクであり、デバイスはエンド ユーザー ページで関連付けられるユーザを備えていません |
True |
承認して下さい (200 OK) |
7 |
エンド ユーザー ページのデバイスのために設定されるが電話構成ページおよび USERID の OwnerId 見つけられる一致無し |
True |
401 不正 |
8 |
連絡先ヘッダの複数の USERID 提供。 |
True |
401 不正 |
9 |
エンド ユーザー ページのデバイスのために設定される多重 USERID |
True |
承認して下さい(200 Ok) |
10 |
Unescaping USERID |
True |
承認して下さい(200 Ok) |
11 |
レジスタをリフレッシュして下さい |
True |
最初のレジスタ メッセージと同じ |
12 |
連絡先ヘッダの USERID はデバイスのために設定されない空ストリング、OwnerId および USERID です |
True |
承認して下さい(200 Ok) |
13 |
連絡先ヘッダの USERID は空ストリング、デバイスのために設定される OwnerId/USERID です |
True |
401 不正 |
14 |
USERID はデバイス、しかし見つけられる一致のために連絡先ヘッダに、設定される OwnerId/USERID ありません |
False |
200 OK |
15 |
連絡先ヘッダの複数の USERID 提供 |
False |
200 OK |
16 |
連絡先ヘッダの USERID は空ストリング、デバイスのために設定される ownerId /UserId です |
False |
200 OK |
通信マネージャ(CCM)サービスパラメータによって機能を有効に して下さい。 それはデフォルトでオンになり、それ以上の設定が必要となりません。

確認
ヘッダに連絡して下さい
CUCM は Expressway によって修正があるようにレジスタ メッセージの連絡先ヘッダを確認します
Contact: <sip:ffeffb75-880e-f58f-a8ec-f5025d0f9136@10.50.179.6:5060;transport=tcp;orig- hostport=192.168.0.121:55854>;+sip.instance="<urn:uuid:00000000-0000-0000-0000-
00506005457e>";+u.sip!model.ccm.cisco.com="604";+u.sip!userid.ccm.cisco.com="mjavie r";+u.sip!serialno.ccm.cisco.com=A1AZ20D00153;audio=TRUE;video=TRUE;mobility="fixed";
duplex="full";description="TANDBERG-SIP“
新しいアラーム(AuthorizationErrorwithWarningLevel)
SIP 登録 許可障害があるとき新しいアラーム(AuthorizationErrorwithWarningLevel)は現在利用できます

トラブルシューティング
CCM トレース デバッグ 出力の許可試みを探して下さい
認証の成功例:
シナリオ 1:
00013222.041 |15:46:20.792 |AppInfo |SIPStationD(7) - User Authorized - Phone Config page
シナリオ 2:
00015642.041 |16:01:39.112 |AppInfo |SIPStationD(9) - User Authorized - EndUser page
認証失敗およびアラーム例:
00186341.041 |13:17:37.187 |AppInfo |SIPStationD(133) - User: shree is unauthorized to register a device
00186341.042 |13:17:37.187 |AppInfo |SIPStationD(133) - sendRegisterResp: non-200 response code 401, ccbId 2303, expires 4294967295, warning Authorization failure -
Unauthorized user for this device
00186341.043 |13:17:37.188 |AppInfo |EndPointTransientConnection - An endpoint attempted to register but did not complete registration Connecting Port:5060 Device name:
SEPCD1111000015 Device type:647 Reason Code:35 Protocol:SIP Device MAC address:CD1111000015 LastSignalReceived:SIPRegisterInd StationState:wait_register App ID:Cisco
CallManager Cluster ID:10.77.29.71 Node ID:CuCM-71
00186341.044 |13:17:37.188 |AlarmWarn|AlarmClass: CallManager, AlarmName: EndPointTransientConnection, AlarmSeverity: Warning, AlarmMessage: , AlarmDescription: An endpoint
attempted to register but did not complete registration, AlarmParameters: ConnectingPort:5060, DeviceName:SEPCD1111000015, DeviceType:647, Reason:35, Protocol:SIP,
MACAddress:CD1111000015, LastSignalReceived:SIPRegisterInd, StationState:wait_register, AppID:Cisco CallManager, ClusterID:10.77.29.71, NodeID:CuCM-71,
00186346.000 |13:17:37.189 |SdlSig |SIPRegisterResp |wait |SIPHandler(1,100,80,1) |SIPStationD(1,100,74,133) |1,100,14,772.2^10.77.29.189^SEPCD1111000015 |[T:N-H:0,N:0,L:0,
V:0,Z:0,D:0] ccbID= 2303 --TransType=1 --TransSecurity=0 PeerAddr= 10.77.29.189:5060 respCode= 401 action= 2 device=