この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、Cisco JabberでSIP OAuthモードを実装するための設定と基本的なトラブルシューティング手順について説明します。
次の項目に関する知識があることが推奨されます。
SIP OAuthモードをサポートするための最小ソフトウェアバージョン:
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
SIP OAuthモードを有効にすると、[ダイジェスト認証の有効化(Enable Digest Authentication)]オプションと[TFTP暗号化設定(TFTP Encrypted Config)]オプションはサポートされません。
Cisco JabberソフトフォンのSIPシグナリングとメディアのセキュリティ保護には、現在、複数の設定手順が含まれています。最も困難なのは、クライアント証明書(LSC)のインストールと更新です。特に、Cisco Jabberデバイスがオンプレミスとオフプレミスを切り替える場合は、証明書をCTLファイル内で最新の状態に保ちます。
SIP OAuthモードを使用すると、Cisco Jabber Softphoneは、セキュアなSIPインターフェイスでの認証に、クライアントLSC証明書の代わりにOAuth自己記述型トークンを使用できます。UCM SIPインターフェイスでOAuthをサポートすることにより、混合モードやCAPF操作を必要とせずに、JabberのオンプレミスおよびMRAの展開に対してセキュアなシグナリングとメディアを提供できます。
Cisco JabberのSIP OAuthモードのサポートの主な利点:
Cisco Jabberデバイスは、CSF設定ファイル(http://<cucmIP>:6970/<CSF-device-name>.cnf.xml)の解析により、SIPインターフェイスでOAuth認証が有効になっていることを認識します(一部の行は省略)。
Cisco JabberがsipOAuthModeパラメータを読み取り、SIP OAuthモードが有効かどうかを確認します。このパラメータには、次のいずれかの値を指定できます。
SIP OAuthモードが有効になっている場合、Jabberは次のパラメータのいずれかを使用して、SIP TLS接続のポート(オンプレミスの場合はsipOAuthPort、MRAベースの展開用sipMRAOAUTHPortPort)を。この例では、デフォルト値sipOAuthPort 5090とsipMRAOAuthPort 5091が示されています。これらの値は設定可能で、各CUCMノードで異なることがあります。
SIP OAuthモードが無効になっている場合、JabberはSIP登録に従来の非セキュア(5060)またはセキュア(5061)ポートを使用します。
注:Cisco UCMは、SIP電話OAuthポート(5090)を使用して、Jabber OnPremiseデバイスからのSIP回線登録をTLS経由でリッスンします。ただし、UCMはSIP Mobile Remote Access Port(デフォルトは5091)を使用して、mLTS経由でJabber over ExpresswayからSIP回線登録をリッスンします。これらのポートは両方とも設定可能です。設定セクションを参照してください。
CallManagerサービスは、sipOAuthPortとsipMROAuthPortの両方でリッスンします。ただし、両方のポートは、着信TLS/mTLS接続にTomcat証明書とTomcat-trustを使用します。Tomcat-trustストアが、MRAが正しく機能するように、SIP OAuthモードのExpressway-C証明書を確認できることを確認します。
場合によっては、Tomcat証明書が再生成されたときに、影響を受けるノードでも後でCallManagerプロセスを再起動する必要があります。これは、CCMプロセスがsipOAuthポートで新しい証明書をロードして使用するために必要です。
次の図は、オンプレミスでのCisco Jabberの登録を示しています。
次の図は、MRA上でのCisco Jabberの登録を示しています。
*Expressway-CノードはAXL APIを使用して、証明書に含まれるCN/SANをUCMに通知します。UCMは、相互TLS接続が確立されるときに、この情報を使用してExp-C証明書を検証します。
注:
SIP OAuthモードの設定を行う前に、次の点を確認してください。
- MRAが設定され、Unified Communication Manager(UCM)とExpresswayの間で接続が確立されます(MRAが使用されている場合にのみ適用されます)。
- UCMは、エクスポート制御の機能を使用できるスマートアカウントまたは仮想アカウントに登録されます。
OAuthアクセストークンを使用してログインの更新を構成し、Cisco Jabberクライアントのトークンを更新します。Cisco Unified CM Administrationから、[System] > [Enterprise Parameters]を選択します。
[System] > [Cisco Unified CM]を選択します。このステップは任意で実行します。図はデフォルト値を示しています。設定可能な範囲は1024 ~ 49151です。サーバごとに同じ手順を繰り返します。
パブリッシャのコマンドラインインターフェイスを使用してSIP OAuthモードをグローバルに有効にします。次のコマンドを実行します。utils sipOAuth-mode enable
Cisco Unified Serviceabilityから、[Tools] > [Control Center - Feature Services]を選択します。サービスがアクティブになっているすべてのノードで、Cisco CallManagerサービスを選択して再起動します。
Cisco Unified CM Administrationから、[System] > [Phone Security Profile]を選択します。[OAuth認証を有効にする]を選択し、エンドポイントのSIP OAuthサポートを有効にします。
Jabber over MRAのSIP OAuthモードを設定する前に、この記事の「Configuration - Jabber On Premises」の章の手順1 ~ 4を実行します。
Expresswayで更新ログインを有効にする(自己記述トークンとも呼ばれる)必要があります。Expressway-Cで、[Configuration] > [Unified Communications] > [Configuration]に移動して、[Authorize by OA Token with refresh]パラメータが設定されていることを確認します..
[Configuration] > [Unified Communications] > [Unified CM servers]に移動します。Expressway-CのUnified CMノードを検出または更新します。
注:新しいCEOAuth(TLS)ゾーンがExpressway-Cに自動的に作成されます。たとえば、CEOAuth <Unified CM name>などです。Jabber over MRAから発信されたSIP要求をUnified CMノードにプロキシする検索ルールが作成されます。このゾーンは、Unified CMが混合モードで構成されているかどうかに関係なくTLS接続を使用します。信頼を確立するために、Expressway-Cはホスト名とサブジェクト代替名(SAN)の詳細もUnified CMクラスタに送信します。適切な設定が行われていることを確認するには、この記事の確認部分を参照してください。
Cisco Unified CM Administrationから、[System] > [Phone Security Profile]を選択します。Cisco Jabberに割り当てられているプロファイルでOAuthサポートを有効にします。
Cisco Unified CM AdministrationからOAuthモードを確認し、[System] > [Enterprise Parameters]を選択します。
または、管理CLIを使用します。次のコマンドを実行します。run sql select paramvalue FROM processconfig WHERE paramname = 'ClusterSIPOAuthMode'
可能な値:0:無効(デフォルト)、1:有効
Expressway-Cは、証明書のCN/SANの詳細をAXL経由でUCMに送信します。これらの詳細は、expressswaycconfigurationテーブルに保存されます。このプロセスは、Expressway-CのUnified CMノードを検出または更新するたびに呼び出されます。これらのエントリは、UCMとExpressway-C間の信頼を確立するために使用されます。Expressway-C証明書のCN/SANフィールド(デフォルトは50900900900900000000000000000000)。 検証が失敗すると、MTLS接続は失敗します。
Cisco Unified CM Administrationのエントリを確認して、Device > Expressway-Cを選択します(UCM 12.5.1Su1以降で使用可能)
または、Admin CLIを使用します。次のコマンドを実行します。 run sql select * from expressswaycconfiguration
[Expressway-C] > [Configuration] > [Zones] > [Zones]に移動します。新しく作成されたすべてのCEOAuthゾーンがアクティブ状態であることを確認します。
Admin CLIから次のコマンドを実行します。show open ports regexp 5090(デフォルトのSIP OAuthポート)
Admin CLIから次のコマンドを実行します。show open ports regexp 5091(デフォルトのSIP MRA OAuthポート)
Jabberログの観点から、ポート5090でのオンプレミスSIP OAuth登録のログ例。
## CSF configuration retrieved 2020-03-30 13:03:18,278 DEBUG [0x000012d8] [src\callcontrol\ServicesManager.cpp(993)] [csf.ecc] [csf::ecc::ServicesManager::fetchDeviceConfig] - fetchDeviceConfig() retrieved config for CSFrado 2020-03-30 13:03:18,278 DEBUG [0x000012d8] [rc\callcontrol\ServicesManager.cpp(1003)] [csf.ecc] [csf::ecc::ServicesManager::fetchDeviceConfig] - Device Config:
SIP OAuthモードのオンプレミスのJabberデバイスがUCMに登録できない。UCMがRegisterメッセージに対して403を送信します。
SIP/2.0 403 Forbidden Via: SIP/2.0/TLS 10.5.10.121:50347;branch=z9hG4bK00005163 From:
考えられる解決策:次の条件が満たされていることを確認します。
Expressway-Cは、sipMRAOAutport(デフォルトは5091)でUCMとのmTLSハンドシェイクを確立できません。 Expressway-CはUCMが共有する証明書を信頼せず、mTLSセットアップ中にUnknown CAメッセージで応答します。
考えられる解決策:CallManagerサービスは、mTLSハンドシェイク中にTomcat証明書を送信します。Expressway-CがUCMのTomcat証明書の署名者を信頼していることを確認します。
Expressway-Cは、sipMRAOAutport(デフォルトは5091)でUCMとのmTLSハンドシェイクを確立できません。UCMは、Expresswayで共有されている証明書を信頼せず、mTLSセットアップ中にUnknown CAメッセージで応答します。
この通信からのパケットキャプチャ(UCM 10.x.x.198、Expressway-C 10.x.x.182):
考えられる解決策:UCMは、Tomcat-trustストアを使用して、SIP OAuthポートでのmTLSハンドシェイク中に着信証明書を確認します。Expressway-Cの署名者の証明書がUCMに正しくアップロードされていることを確認します。