Paramètres de l'authentification simplifiée SIP

Cette page permet de configurer les paramètres d'authentification simplifiée SIP (Session Initiation Protocol). Ces paramètres permettent au conteneur SIP d'authentifier les applications sécurisées.

Pour afficher cette page de la console d'administration, cliquez sur Sécurité > Sécurité globale > Authentification > Sécurité Web et SIP > Authentification simplifiée SIP.

Activer une intégrité d'authentification simplifiée

Indique la qualité de protection (QOP) d'intégrité d'authentification (auth-int) pour l'authentification simplifiée. L'authentification simplifiée définit deux types de qualité de protection : auth et auth-int. Par défaut, l'authentification de base (auth) est utilisée. Si la valeur est définie sur True, la qualité de protection auth-int est utilisée, qui représente le niveau de protection le plus élevé.

Type de données Booléen
Valeur par défaut False
Activer une authentification de base SIP

Indique la qualité de protection (QOP) de l'authentification (auth) pour l'authentification simplifiée. L'authentification simplifiée définit deux types de qualité de protection : auth et auth-int. Par défaut, l'authentification de base (auth) est utilisée. Si la valeur est définie sur True, l'authentification de base sera effectuée. Elle ne sera pas traitée par le TAI.

Type de données Booléen
Valeur par défaut True
Activer plusieurs utilisations du nonce

Indique si les utilisations multiples d'un même élément nonce doivent être activées. L'utilisation du même élément nonce plus d'une fois nécessite moins de ressources système, mais votre système est moins sécurisé.

Type de données Booléen
Valeur par défaut False
Activer l'âge maximal de l'élément nonce

Indique, en millisecondes, la durée de validité d'un élément nonce. Si la valeur est définie sur 1, la durée est infinie.

Type de données Entier
Valeur par défaut 1
Intervalles de nettoyage du cache LDAP

Indique, en minutes, la durée d'attente avant le nettoyage du cache LDAP.

Type de données Entier
Valeur par défaut 120
Nom de l'attribut du mot de passe LDAP

Spécifie le nom de l'attribut LDAP contenant le mot de passe de l'utilisateur.

Type de données Chaîne
Valeur par défaut userpassword
Intervalles de nettoyage du cache utilisateur

Indique, en minutes, la durée d'attente avant le nettoyage du cache de sujet de sécurité.

Type de données Entier
Valeur par défaut 15
Classe du serveur Digest password

Spécifie le nom de la classe Java d'implémentation de l'interface PasswordServer.

Type de données Chaîne
Valeur par défaut LdapPasswordServer
Hashedcredentials

Indique le nom de la zone LDAP qui contient les données d'identification hachées. Si une valeur est spécifiée pour ce paramètre, il se substitue au paramètre pws_atr_name.

Les serveurs LDAP prennent automatiquement en charge le mot de passe. Si le serveur LDAP n'est pas configuré pour exploiter les valeurs hachées, le serveur LDAP stocke les mots de passe utilisateur, puis le composant traitant la demande les utilise pour la valider. Cette méthode d'authentification exposant les mots de passe utilisateur à un risque d'usurpation sur Internet, il est préférable d'autoriser l'utilisation de justificatifs hachés pour authentifier une demande.

Avec les justificatifs hachés, le serveur LDAP enregistre une valeur de hachage pour les informations sur l'utilisateur, le mot de passe et le domaine. Le conteneur SIP demande alors cette valeur de hachage au serveur LDAP au lieu du mot de passe de l'utilisateur. Cette méthode protège les mots de passe même si les données de hachage sont mises en danger par un vol sur Internet. Elle présente toutefois les limitations suivantes :
  • L'attribut LDAP doit stocker une valeur d'octet ou une valeur de chaîne. Les autres types d'attributs ne sont pas pris en charge.
  • Toutes vos applications doivent partager le même domaine ; sinon, vous devez définir un attribut différent pour chaque domaine.
  • La fonction de hachage peut être autre que MD5. Dans ce cas, le conteneur SIP envoie un algorithme différent de la valeur calculée pour l'attribut. Cela peut entraîner un échec d'authentification de l'utilisateur, même si ce dernier fournit les justificatifs appropriés.
Pour que le serveur LDAP utilise des données d'identification hachées, vous devez définir les deux paramètres suivants :
  • Hashedcredentials=valeur, où "valeur" est le nom de l'attribut LDAP qui contient la valeur hachée pour l'utilisateur, le mot de passe et le domaine.
  • Hashedrealm=valeur, où "valeur" désigne le domaine sur lequel la valeur hachée est calculée.
Type de données Chaîne
Valeur par défaut Chaîne vide
Hashedrealm

Indique le domaine pour les données d'identification hachées, si le paramètre de données d'identifications hachées est activé.

Type de données Chaîne
Valeur par défaut Chaîne vide



Les liens marqués (en ligne) requièrent un accès à Internet.

Tâches associées


Nom du fichier : usip_digestauth.html