Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.
Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.
Ce document décrit les étapes de configuration et de dépannage de base pour implémenter le mode SIP OAuth avec Cisco Jabber.
Cisco vous recommande de prendre connaissance des rubriques suivantes :
Version logicielle minimale pour la prise en charge du mode SIP OAuth :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Lorsque le mode SIP OAuth est activé, les options Enable Digest Authentication et TFTP Encrypted Config ne sont pas prises en charge.
La sécurisation de la signalisation SIP et des supports pour le téléphone logiciel Cisco Jabber implique actuellement plusieurs étapes de configuration. Le plus difficile est d'installer et de renouveler des certificats client (LSC), en particulier si un périphérique Cisco Jabber passe d'un environnement local à un autre, et de tenir à jour les certificats dans le fichier CTL.
Le mode SIP OAuth permet à Cisco Jabber Softphone d'utiliser des jetons OAuth autodescriptifs au lieu du certificat LSC client pour l'authentification sur une interface SIP sécurisée. La prise en charge d'OAuth sur l'interface SIP d'UCM permet une signalisation et un support sécurisés pour les déploiements Jabber sur site et MRA sans nécessiter le fonctionnement en mode mixte ou CAPF.
Principaux avantages de la prise en charge du mode SIP OAuth pour Cisco Jabber :
Le périphérique Cisco Jabber reconnaît que l'authentification OAuth est activée sur l'interface SIP en analysant le fichier de configuration CSF (http://<cucmIP>:6970/<CSF-device-name>.cnf.xml), exemple de fichier de configuration (certaines lignes sont laissées pour compte) :
Cisco Jabber lit le paramètre sipOAuthMode pour déterminer si le mode OAuth SIP est activé ou non. Ce paramètre peut prendre l'une des valeurs suivantes :
Si le mode SIP OAuth est activé, Jabber utilise l'un de ces paramètres pour déterminer le port pour la connexion SIP TLS - sipOAuthPort pour les déploiements sur site ou sipMRAOAuthPort pour les déploiements MRA. L'exemple présente les valeurs par défaut : sipOAuthPort 5090 et sipMRAOAuthPort 5091. Ces valeurs sont configurables et peuvent être différentes sur chaque noeud CUCM.
Si le mode SIP OAuth est désactivé, Jabber utilise des ports hérités non sécurisés (5060) ou sécurisés (5061) pour l'enregistrement SIP.
Note: Cisco UCM utilise le port OAuth du téléphone SIP (5090) pour écouter l'enregistrement de ligne SIP depuis les périphériques Jabber OnPremises sur TLS. Cependant, UCM utilise le port d'accès distant mobile SIP (5091 par défaut) pour écouter les enregistrements de ligne SIP de Jabber sur Expressway via mLTS. Ces deux ports sont configurables. Reportez-vous à la section Configuration.
Le service CallManager écoute sipOAuthPort et sipMRAOAuthPort. Cependant, les deux ports utilisent le certificat Tomcat et Tomcat-trust pour les connexions TLS/mTLS entrantes. Assurez-vous que votre magasin Tomcat-trust est en mesure de vérifier le certificat Expressway-C pour le mode SIP OAuth pour que MRA fonctionne correctement.
Dans des situations, lorsque le certificat Tomcat est regénéré, le processus CallManager doit également être redémarré sur les noeuds affectés par la suite. Cela est nécessaire pour que le processus CCM charge et utilise de nouveaux certificats sur les ports sipOAuth.
Cette image représente l'enregistrement de Cisco Jabber sur site :
Cette image représente l'enregistrement de Cisco Jabber sur MRA :
*Les noeuds Expressway-C utilisent l’API AXL pour informer UCM du CN/SAN dans leur certificat. UCM utilise ces informations pour valider le certificat Exp-C lorsqu'une connexion TLS mutuelle est établie.
Note:
Assurez-vous que vous avez rempli les points ci-dessous avant de configurer le mode SIP OAuth :
- MRA est configuré et la connexion est établie entre Unified Communication Manager (UCM) et Expressway (applicable uniquement si MRA est utilisé).
- UCM est enregistré sur un compte Smart ou virtuel avec des fonctionnalités contrôlées par l'exportation.
Configurez les connexions d'actualisation avec les jetons d'accès OAuth et actualisez les jetons pour les clients Cisco Jabber. Dans Cisco Unified CM Administration, sélectionnez System > Enterprise Parameters.
Choisissez System > Cisco Unified CM. Il s'agit d'une étape facultative. L'image présente les valeurs par défaut. La plage configurable acceptable est comprise entre 1024 et 49151. Répétez la même procédure pour chaque serveur.
Utilisez l'interface de ligne de commande de Publisher pour activer le mode OAuth SIP globalement. Exécutez la commande : utils sipOAuth-mode enable.
Dans Cisco Unified Serviceability, sélectionnez Outils > Centre de contrôle - Services de fonctionnalités. Sélectionnez et redémarrez le service Cisco CallManager sur tous les noeuds où le service est actif.
Dans Cisco Unified CM Administration, sélectionnez System > Phone Security Profile. Sélectionnez Enable OAuth Authentication pour activer la prise en charge SIP OAuth pour le point de terminaison.
Avant de configurer le mode SIP OAuth pour Jabber sur MRA, exécutez les étapes 1 à 4 du chapitre Configuration - Jabber On Premises de cet article.
Les connexions d’actualisation doivent être activées sur Expressway (également appelé jetons auto-descriptifs) avant la configuration de l’authentification SIP OAuth avec Cisco Jabber sur MRA. Sur l’Expressway-C, accédez à Configuration > Unified Communications > Configuration et assurez-vous que le paramètre Authorize by OAuth Token with fresh est activé.
Accédez à Configuration > Unified Communications > Unified CM servers. Découvrez ou actualisez les noeuds Unified CM dans Expressway-C.
Note: Une nouvelle zone CEOAuth (TLS) est créée automatiquement dans Expressway-C. Par exemple, CEOAuth <Unified CM name>. Une règle de recherche est créée pour proxy les requêtes SIP provenant de Jabber sur MRA vers le noeud Unified CM. Cette zone utilise des connexions TLS, que Unified CM soit configuré ou non en mode mixte. Pour établir la confiance, Expressway-C envoie également les détails du nom d’hôte et du SAN (Subject Alternative Name) au cluster Unified CM. Reportez-vous à la partie vérification de cet article pour vous assurer que la configuration appropriée est en place.
Dans Cisco Unified CM Administration, sélectionnez System > Phone Security Profile. Activez la prise en charge OAuth sur le profil attribué à Cisco Jabber.
Vérifiez le mode OAuth à partir de Cisco Unified CM Administration, sélectionnez System > Enterprise Parameters.
Vous pouvez également utiliser l'interface de ligne de commande Admin - Exécuter la commande : exécuter sql select paramvalue FROM process config WHERE paramname = 'ClusterSIPOAuthMode'
Valeurs possibles : 0 - pour Désactivé (par défaut), 1 - pour Activé.
Expressway-C envoie les détails CN/SAN de son certificat à UCM via AXL. Ces détails sont enregistrés dans la table de configuration expresswayc. Ce processus est appelé chaque fois que vous découvrez ou actualisez les noeuds Unified CM dans Expressway-C. Ces entrées sont utilisées pour établir la confiance entre UCM et Expressway-C. Le champ CN/SAN du certificat Expressway-C est vérifié par rapport à ces entrées lors de la connexion MTLS au port OAuth MRA SIP (5091 par défaut). Si la vérification échoue, la connexion MTLS échoue.
Vérifiez les entrées de Cisco Unified CM Administration, choisissez Device > Expressway-C (disponible à partir de UCM 12.5.1Su1)
Vous pouvez également utiliser l'interface de ligne de commande Admin - Exécuter la commande : exécuter sql select * dans expresswaycconfiguration
Accédez à Expressway-C > Configuration > Zones > Zones. Assurez-vous que toutes les zones CEOAuth nouvellement créées sont à l'état actif.
Exécutez la commande à partir de l'interface de ligne de commande Admin : show open ports regexp 5090 (SIP OAuth Port par défaut)
Exécutez la commande à partir de l'interface de ligne de commande Admin : show open ports regexp 5091 (SIP MRA OAuth Port par défaut)
Exemple de journal pour l'enregistrement SIP OAuth sur le port 5090 du point de vue du journal Jabber.
## CSF configuration retrieved 2020-03-30 13:03:18,278 DEBUG [0x000012d8] [src\callcontrol\ServicesManager.cpp(993)] [csf.ecc] [csf::ecc::ServicesManager::fetchDeviceConfig] - fetchDeviceConfig() retrieved config for CSFrado 2020-03-30 13:03:18,278 DEBUG [0x000012d8] [rc\callcontrol\ServicesManager.cpp(1003)] [csf.ecc] [csf::ecc::ServicesManager::fetchDeviceConfig] - Device Config:
Le périphérique Jabber sur site en mode SIP OAuth ne parvient pas à s'enregistrer auprès d'UCM. UCM envoie 403 pour le message Register :
SIP/2.0 403 Forbidden Via: SIP/2.0/TLS 10.5.10.121:50347;branch=z9hG4bK00005163 From:
Solution possible : Assurez-vous que les conditions suivantes sont remplies :
Expressway-C ne peut pas établir la connexion mTLS avec UCM sur sipMRAOAuthport (5091 par défaut). Expressway-C ne fait pas confiance au certificat partagé par UCM et répond avec le message AC inconnu lors de la configuration mTLS.
Solution possible : Le service CallManager envoie son certificat Tomcat pendant la connexion mTLS. Assurez-vous que votre Expressway-C fait confiance au signataire du certificat Tomcat de UCM.
Expressway-C ne peut pas établir la connexion mTLS avec UCM sur sipMRAOAuthport (5091 par défaut). UCM ne fait pas confiance au certificat partagé par Expressway et répond avec le message AC inconnu lors de la configuration mTLS.
Capture de paquets à partir de cette communication (UCM 10.x.x.198, Expressway-C 10.x.x.182) :
Solution possible : UCM utilise le magasin Tomcat-trust pour vérifier les certificats entrants pendant la connexion mTLS sur les ports SIP OAuth. Assurez-vous que le certificat du signataire pour Expressway-C est correctement chargé sur l’UCM.