Mode OAuth Cisco Jabber et SIP

Introduction

Ce document décrit les étapes de configuration et de dépannage de base pour implémenter le mode SIP OAuth avec Cisco Jabber.

Conditions préalables

Conditions requises

Cisco vous recommande de prendre connaissance des rubriques suivantes :

• Enregistrement du téléphone logiciel Jabber
• Unified Communications Manager (UCM)
• Solution d'accès mobile et à distance (MRA)

Components Used

Version logicielle minimale pour la prise en charge du mode SIP OAuth :

• Cisco UCM 12.5
• Cisco Jabber 12.5
• Cisco Expressway X12.5

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Restriction

Lorsque le mode SIP OAuth est activé, les options Enable Digest Authentication et TFTP Encrypted Config ne sont pas prises en charge.

Informations générales

Principaux avantages

La sécurisation de la signalisation SIP et des supports pour le téléphone logiciel Cisco Jabber implique actuellement plusieurs étapes de configuration. Le plus difficile est d'installer et de renouveler des certificats client (LSC), en particulier si un périphérique Cisco Jabber passe d'un environnement local à un autre, et de tenir à jour les certificats dans le fichier CTL.

Le mode SIP OAuth permet à Cisco Jabber Softphone d'utiliser des jetons OAuth autodescriptifs au lieu du certificat LSC client pour l'authentification sur une interface SIP sécurisée. La prise en charge d'OAuth sur l'interface SIP d'UCM permet une signalisation et un support sécurisés pour les déploiements Jabber sur site et MRA sans nécessiter le fonctionnement en mode mixte ou CAPF.

Principaux avantages de la prise en charge du mode SIP OAuth pour Cisco Jabber :

• Permet un chiffrement permanent sans charge administrative supplémentaire.
• Signalisation et support sécurisés pour Cisco Jabber sans besoin de mode mixte (pas de mises à jour CTL, maintenance des certificats, etc.)
• Pas besoin d'installer et de gérer LSC sur les clients Jabber.
  • Défis avec LSC sur plusieurs appareils (ordinateurs portables/appareils mobiles...)
  • Fonctionnement du protocole CAPF requis à chaque installation de Jabber sur un nouveau périphérique.
  • Opération CAPF non prise en charge sur MRA.

Architecture globale

Le périphérique Cisco Jabber reconnaît que l'authentification OAuth est activée sur l'interface SIP en analysant le fichier de configuration CSF (http://<cucmIP>:6970/<CSF-device-name>.cnf.xml), exemple de fichier de configuration (certaines lignes sont laissées pour compte) :

Cisco Jabber lit le paramètre sipOAuthMode pour déterminer si le mode OAuth SIP est activé ou non. Ce paramètre peut prendre l'une des valeurs suivantes :

•    0 - SIP OAuth est désactivé
•    1 - SIP OAuth est activé

Si le mode SIP OAuth est activé, Jabber utilise l'un de ces paramètres pour déterminer le port pour la connexion SIP TLS - sipOAuthPort pour les déploiements sur site ou sipMRAOAuthPort pour les déploiements MRA. L'exemple présente les valeurs par défaut : sipOAuthPort 5090 et sipMRAOAuthPort 5091. Ces valeurs sont configurables et peuvent être différentes sur chaque noeud CUCM.

Si le mode SIP OAuth est désactivé, Jabber utilise des ports hérités non sécurisés (5060) ou sécurisés (5061) pour l'enregistrement SIP.

Note: Cisco UCM utilise le port OAuth du téléphone SIP (5090) pour écouter l'enregistrement de ligne SIP depuis les périphériques Jabber OnPremises sur TLS. Cependant, UCM utilise le port d'accès distant mobile SIP (5091 par défaut) pour écouter les enregistrements de ligne SIP de Jabber sur Expressway via mLTS. Ces deux ports sont configurables. Reportez-vous à la section Configuration. 

Le service CallManager écoute sipOAuthPort et sipMRAOAuthPort. Cependant, les deux ports utilisent le certificat Tomcat et Tomcat-trust pour les connexions TLS/mTLS entrantes. Assurez-vous que votre magasin Tomcat-trust est en mesure de vérifier le certificat Expressway-C pour le mode SIP OAuth pour que MRA fonctionne correctement.

Dans des situations, lorsque le certificat Tomcat est regénéré, le processus CallManager doit également être redémarré sur les noeuds affectés par la suite. Cela est nécessaire pour que le processus CCM charge et utilise de nouveaux certificats sur les ports sipOAuth.

Cette image représente l'enregistrement de Cisco Jabber sur site :

Cette image représente l'enregistrement de Cisco Jabber sur MRA :

*Les noeuds Expressway-C utilisent l’API AXL pour informer UCM du CN/SAN dans leur certificat. UCM utilise ces informations pour valider le certificat Exp-C lorsqu'une connexion TLS mutuelle est établie.

Configuration - Jabber Sur Site

Note: 
Assurez-vous que vous avez rempli les points ci-dessous avant de configurer le mode SIP OAuth :
- MRA est configuré et la connexion est établie entre Unified Communication Manager (UCM) et Expressway (applicable uniquement si MRA est utilisé).
- UCM est enregistré sur un compte Smart ou virtuel avec des fonctionnalités contrôlées par l'exportation.

1. Configurez les connexions d'actualisation.

Configurez les connexions d'actualisation avec les jetons d'accès OAuth et actualisez les jetons pour les clients Cisco Jabber. Dans Cisco Unified CM Administration, sélectionnez System > Enterprise Parameters.

2. Configurez les ports OAuth.

Choisissez System > Cisco Unified CM. Il s'agit d'une étape facultative. L'image présente les valeurs par défaut. La plage configurable acceptable est comprise entre 1024 et 49151. Répétez la même procédure pour chaque serveur.

3. Activez le mode SIP OAuth.

Utilisez l'interface de ligne de commande de Publisher pour activer le mode OAuth SIP globalement. Exécutez la commande : utils sipOAuth-mode enable.

4. Redémarrez le service Cisco CallManager.

Dans Cisco Unified Serviceability, sélectionnez Outils > Centre de contrôle - Services de fonctionnalités. Sélectionnez et redémarrez le service Cisco CallManager sur tous les noeuds où le service est actif.

5. Configurer la prise en charge OAuth dans le profil de sécurité.

Dans Cisco Unified CM Administration, sélectionnez System > Phone Security Profile. Sélectionnez Enable OAuth Authentication pour activer la prise en charge SIP OAuth pour le point de terminaison.

Configuration - Jabber sur MRA

Prérequis

Avant de configurer le mode SIP OAuth pour Jabber sur MRA, exécutez les étapes 1 à 4 du chapitre Configuration - Jabber On Premises de cet article.

Étape 1. Activez l'actualisation de la connexion sur MRA.

Les connexions d’actualisation doivent être activées sur Expressway (également appelé jetons auto-descriptifs) avant la configuration de l’authentification SIP OAuth avec Cisco Jabber sur MRA. Sur l’Expressway-C, accédez à Configuration > Unified Communications > Configuration et assurez-vous que le paramètre Authorize by OAuth Token with fresh est activé.

Étape 2. Actualisez les noeuds Unified CM dans Expressway-C.

Accédez à Configuration > Unified Communications > Unified CM servers. Découvrez ou actualisez les noeuds Unified CM dans Expressway-C.

Note: Une nouvelle zone CEOAuth (TLS) est créée automatiquement dans Expressway-C. Par exemple, CEOAuth <Unified CM name>. Une règle de recherche est créée pour proxy les requêtes SIP provenant de Jabber sur MRA vers le noeud Unified CM. Cette zone utilise des connexions TLS, que Unified CM soit configuré ou non en mode mixte. Pour établir la confiance, Expressway-C envoie également les détails du nom d’hôte et du SAN (Subject Alternative Name) au cluster Unified CM. Reportez-vous à la partie vérification de cet article pour vous assurer que la configuration appropriée est en place.

Étape 3. Configurer la prise en charge OAuth dans le profil de sécurité.

Dans Cisco Unified CM Administration, sélectionnez System > Phone Security Profile. Activez la prise en charge OAuth sur le profil attribué à Cisco Jabber.

Vérification

1. Vérifiez si le mode SIP OAuth est globalement activé.

Vérifiez le mode OAuth à partir de Cisco Unified CM Administration, sélectionnez System > Enterprise Parameters.

Vous pouvez également utiliser l'interface de ligne de commande Admin - Exécuter la commande : exécuter sql select paramvalue FROM process config WHERE paramname = 'ClusterSIPOAuthMode'

Valeurs possibles : 0 - pour Désactivé (par défaut), 1 - pour Activé.

2. Vérifiez que les entrées SAN d’Expressway-C ont bien été transmises à CUCM.

Expressway-C envoie les détails CN/SAN de son certificat à UCM via AXL. Ces détails sont enregistrés dans la table de configuration expresswayc. Ce processus est appelé chaque fois que vous découvrez ou actualisez les noeuds Unified CM dans Expressway-C. Ces entrées sont utilisées pour établir la confiance entre UCM et Expressway-C. Le champ CN/SAN du certificat Expressway-C est vérifié par rapport à ces entrées lors de la connexion MTLS au port OAuth MRA SIP (5091 par défaut). Si la vérification échoue, la connexion MTLS échoue.

Vérifiez les entrées de Cisco Unified CM Administration, choisissez Device > Expressway-C (disponible à partir de UCM 12.5.1Su1)

Vous pouvez également utiliser l'interface de ligne de commande Admin - Exécuter la commande : exécuter sql select * dans expresswaycconfiguration

3. Vérifiez les zones CEOAuth sur Expressway-C.

Accédez à Expressway-C > Configuration > Zones > Zones. Assurez-vous que toutes les zones CEOAuth nouvellement créées sont à l'état actif.

4. Vérifiez que le processus CallManager écoute sur les ports SIP OAuth.

Exécutez la commande à partir de l'interface de ligne de commande Admin : show open ports regexp 5090 (SIP OAuth Port par défaut)

Exécutez la commande à partir de l'interface de ligne de commande Admin : show open ports regexp 5091 (SIP MRA OAuth Port par défaut)

Dépannage

Exemple de journal Jabber (sur site)

Exemple de journal pour l'enregistrement SIP OAuth sur le port 5090 du point de vue du journal Jabber.

## CSF configuration retrieved 2020-03-30 13:03:18,278 DEBUG [0x000012d8] [src\callcontrol\ServicesManager.cpp(993)] [csf.ecc] [csf::ecc::ServicesManager::fetchDeviceConfig] - fetchDeviceConfig() retrieved config for CSFrado 2020-03-30 13:03:18,278 DEBUG [0x000012d8] [rc\callcontrol\ServicesManager.cpp(1003)] [csf.ecc] [csf::ecc::ServicesManager::fetchDeviceConfig] - Device Config: 10.10.10.1 ccm12pub 2000 5060 5061 5090 5091 … 1 ## Setting SIP oauth mode to 1 2020-03-30 13:03:18,747 DEBUG [0x00002968] [ig\CertificateVerificationHelper.cpp(35)] [csf.ecc] [csf::ecc::CertificateVerificationHelper::setSipOauthMode] - sip OAuth Mode=1 ## Setting OAuth ports (5090 and 5091) for each UCM server 13:03:19,013 INFO  [0x00002484] [\core\ccapp\config\config_parser.c(1491)] [csf.sip-call-control] [config_process_ccm_properties] - ccm0=10.10.10.1 ccm1=10.10.10.2  ccm2= sip_oauth_port_0=5090 sip_oauth_port_1=5090 sip_oauth_port_2=5090 length=0 13:03:19,013 INFO  [0x00002484] [\core\ccapp\config\config_parser.c(1494)] [csf.sip-call-control] [config_process_ccm_properties] - sip_mar_oauth_port_0=5091 sip_mar_oauth_port_1=5091 sip_mar_oauth_port_2=5091 ## Open TLS connection to 5090 2020-03-30 13:03:18,528 DEBUG [0x00000e2c] [sipstack\sip_transport_connection.c(431)] [csf.sip-call-control] [sip_create_transport_connection] - [SIP][CONN][0] create TLS connection 10.10.10.10:5061-----10.10.10.1:5090. ## Sending register message 2020-03-30 13:03:19,200 DEBUG [0x00000e2c] [\sipcc\core\sipstack\ccsip_debug.c(1041)] [csf.sip-call-control] [platform_print_sip_msg] - sipio-sent---> REGISTER sip:10.10.10.1 SIP/2.0 Via: SIP/2.0/TLS 10.10.10.10:62162;branch=z9hG4bK00001188 From: ;tag=882323451234089000003bdd-00005eff To: Call-ID: 88232345-12340017-00001c0b-00000cfa@10.10.10.10 Max-Forwards: 70 Date: Mon, 30 Mar 2020 11:03:19 GMT CSeq: 2270 REGISTER User-Agent: Cisco-CSF Contact: ;+sip.instance=" ";+u.sip!devicename.ccm.cisco.com="CSFrado";+u.sip!model.ccm.cisco.com="503";video Supported: replaces,join,sdp-anat,norefersub,resource-priority,extended-refer,X-cisco-callinfo,X-cisco-serviceuri,X-cisco-escapecodes,X-cisco-service-control,X-cisco-srtp-fallback,X-cisco-monrec,X-cisco-config,X-cisco-sis-7.0.0,X-cisco-xsi-8.5.1,X-cisco-graceful-reg,X-cisco-duplicate-reg ## 407 Proxy Authentication Required 2020-03-30 13:03:19,310 DEBUG [0x00000e2c] [\sipcc\core\sipstack\ccsip_debug.c(1041)] [csf.sip-call-control] [platform_print_sip_msg] - sipio-recv<--- SIP/2.0 407 Proxy Authentication Required Via: SIP/2.0/TLS 10.10.10.10:62162;branch=z9hG4bK00001188 From: ;tag=882323451234089000003bdd-00005eff To: ;tag=441122775 Date: Mon, 30 Mar 2020 11:03:31 GMT Call-ID: 88232345-12340017-00001c0b-00000cfa@10.10.10.10 Server: Cisco-CUCM12.5 CSeq: 2270 REGISTER Proxy-Authenticate: Bearer realm="ccmsipline" Content-Length: 0 ## Register with OAuth token included in the Proxy-Authorization header 2020-03-30 13:03:19,310 DEBUG [0x00000e2c] [\sipcc\core\sipstack\ccsip_debug.c(1041)] [csf.sip-call-control] [platform_print_sip_msg] - sipio-sent---> REGISTER sip:10.10.10.1 SIP/2.0 Via: SIP/2.0/TLS 10.10.10.10:62162;branch=z9hG4bK00004a82 From: ;tag=882323451234089000003bdd-00005eff To: Call-ID: 88232345-12340017-00001c0b-00000cfa@10.10.10.10 Max-Forwards: 70 Date: Mon, 30 Mar 2020 11:03:19 GMT CSeq: 2271 REGISTER User-Agent: Cisco-CSF Contact: ;+sip.instance=" ";+u.sip!devicename.ccm.cisco.com="CSFrado";+u.sip!model.ccm.cisco.com="503";video Proxy-Authorization: Bearer token=" " Supported: replaces,join,sdp-anat,norefersub,resource-priority,extended-refer,X-cisco-callinfo,X-cisco-serviceuri,X-cisco-escapecodes,X-cisco-service-control,X-cisco-srtp-fallback,X-cisco-monrec,X-cisco-config,X-cisco-sis-7.0.0,X-cisco-xsi-8.5.1,X-cisco-graceful-reg,X-cisco-duplicate-reg Reason: SIP;cause=200;text="cisco-alarm:111 Name=CSFrado ActiveLoad=Jabber_for_Windows-12.8.0.51973 InactiveLoad=Jabber_for_Windows-12.8.0.51973 Last=Application-Requested-Destroy" Expires: 3600 Content-Type: multipart/mixed; boundary=uniqueBoundary Mime-Version: 1.0 Content-Length: 1271 # 200 OK for Register 2020-03-30 13:03:19,325 DEBUG [0x00000e2c] [\sipcc\core\sipstack\ccsip_debug.c(1041)] [csf.sip-call-control] [platform_print_sip_msg] - sipio-recv<--- SIP/2.0 200 OK Via: SIP/2.0/TLS 10.10.10.10:62162;branch=z9hG4bK00004a82 From: ;tag=882323451234089000003bdd-00005eff To: ;tag=1915868308 Date: Mon, 30 Mar 2020 11:03:31 GMT Call-ID: 88232345-12340017-00001c0b-00000cfa@10.10.10.10 Server: Cisco-CUCM12.5 CSeq: 2271 REGISTER Expires: 120 Contact: ;+sip.instance=" ";+u.sip!devicename.ccm.cisco.com="CSFrado";+u.sip!model.ccm.cisco.com="503";video;x-cisco-newreg Supported: X-cisco-srtp-fallback,X-cisco-sis-9.1.0 Content-Type: application/x-c

Scénario 1 - Non-correspondance du port d'enregistrement SIP OAuth

Le périphérique Jabber sur site en mode SIP OAuth ne parvient pas à s'enregistrer auprès d'UCM. UCM envoie 403 pour le message Register :

SIP/2.0 403 Forbidden Via: SIP/2.0/TLS 10.5.10.121:50347;branch=z9hG4bK00005163 From: ;tag=005056867e66010a00006698-00002a32 To: ;tag=1946377502 Date: Fri, 03 Aug 2018 05:00:18 GMT Call-ID: 00505686-7e660005-0000216b-0000366f@10.5.10.121 Server: Cisco-CUCM12.5 CSeq: 363 REGISTER Retry-After: 35 Warning: 399 UCM2-PUB "SIP OAuth Registration port Mismatch" Content-Length: 0

Solution possible : Assurez-vous que les conditions suivantes sont remplies :

• Le mode OAuth est globalement activé
• La prise en charge OAuth est activée pour le profil de sécurité de périphérique associé au périphérique
• Message reçu sur le port 5090 sur TLS au lieu de mTLS

Scénario 2 - CA inconnue d’Expressway

Expressway-C ne peut pas établir la connexion mTLS avec UCM sur sipMRAOAuthport (5091 par défaut). Expressway-C ne fait pas confiance au certificat partagé par UCM et répond avec le message AC inconnu lors de la configuration mTLS.

Solution possible : Le service CallManager envoie son certificat Tomcat pendant la connexion mTLS. Assurez-vous que votre Expressway-C fait confiance au signataire du certificat Tomcat de UCM.

Scénario 3 - CA inconnue de UCM

Expressway-C ne peut pas établir la connexion mTLS avec UCM sur sipMRAOAuthport (5091 par défaut). UCM ne fait pas confiance au certificat partagé par Expressway et répond avec le message AC inconnu lors de la configuration mTLS.

Capture de paquets à partir de cette communication (UCM 10.x.x.198, Expressway-C 10.x.x.182) :

Solution possible : UCM utilise le magasin Tomcat-trust pour vérifier les certificats entrants pendant la connexion mTLS sur les ports SIP OAuth. Assurez-vous que le certificat du signataire pour Expressway-C est correctement chargé sur l’UCM.