Ustawienia skróconego uwierzytelniania SIP

Ta strona służy do konfigurowania ustawień uwierzytelniania szyfrowanego SIP (Session Initiation Protocol). Ustawienia te umożliwiają uwierzytelnianie zabezpieczonych aplikacji przez kontener SIP.

Aby wyświetlić tę stronę Konsoli administracyjnej, należy kliknąć opcję Zabezpieczenia > Zabezpieczenia globalne > Uwierzytelnianie > Zabezpieczenia WWW i SIP > Uwierzytelnianie szyfrowane SIP.

Włącz integralność skróconego uwierzytelniania

Określa jakość ochrony (Quality of Protection - QoP) integralności uwierzytelniania dla skróconego uwierzytelniania. Skrócone uwierzytelnianie definiuje dwa typy jakości ochrony (QoP): auth i auth-int. Domyślnie używane jest uwierzytelnianie podstawowe (auth). Jeśli ta wartość jest ustawiona na true, używana jest jakość ochrony (QoP) auth-int, która jest najwyższym poziomem zabezpieczeń.

Typ danych Boolean
Wartość domyślna Fałsz
Włącz podstawowe uwierzytelnianie SIP

Określa jakość ochrony (Quality of Protection - QoP) uwierzytelniania (auth) dla skróconego uwierzytelniania. Skrócone uwierzytelnianie definiuje dwa typy jakości ochrony (QoP): auth i auth-int. Domyślnie używane jest uwierzytelnianie podstawowe (auth). Jeśli ta wartość jest ustawiona na true, będzie wykonywane uwierzytelnianie podstawowe. Nie będzie ono przetwarzane przez moduł Trust Association Interceptor.

Typ danych Boolean
Wartość domyślna Prawda
Włącz wielokrotne wykorzystywanie wartości jednorazowych

Określa, że wielokrotne używanie tych samych wartości jednorazowych jest włączone. Używanie wartości jednorazowej więcej niż jeden raz wymaga mniej zasobów systemowych, jednak odbywa się to kosztem jakości zabezpieczenia systemu.

Typ danych Boolean
Wartość domyślna Fałsz
Włącz maksymalny czas przechowywania wartości jednorazowych

Określa czas (w milisekundach), przez który wartość jednorazowa jest ważna. Jeśli wartość jest ustawiona na 1, przyjmowany jest nieskończony czas.

Typ danych Integer
Wartość domyślna 1
Odstępy czasu między kolejnymi operacjami oczyszczania pamięci podręcznej protokołu LDAP

Określa czas (w minutach), który musi upłynąć, zanim zostanie wykonana operacja oczyszczania pamięci podręcznej protokołu LDAP.

Typ danych Integer
Wartość domyślna 120
Nazwa atrybutu hasła LDAP

Określa nazwę atrybutu LDAP, w którym zapisane jest hasło użytkownika.

Typ danych String
Wartość domyślna userpassword
Odstępy czasu między kolejnymi operacjami oczyszczania pamięci podręcznej użytkownika

Określa czas (w minutach), który musi upłynąć, zanim zostanie wykonana operacja oczyszczania pamięci podręcznej podmiotu zabezpieczeń.

Typ danych Integer
Wartość domyślna 15
Klasa serwera skróconego hasła

Określa nazwę klasy języka Java implementującej interfejs PasswordServer.

Typ danych String
Wartość domyślna LdapPasswordServer
Referencje poddane mieszaniu

Określa nazwę pola LDAP, które zawiera referencje poddane mieszaniu. Jeśli określono wartość dla tego ustawienia, przesłoni ono ustawienie pws_atr_name.

Serwery LDAP automatycznie udostępniają obsługę hasła. Jeśli nie włączono używania przez serwer LDAP wartości mieszających, serwer ten przechowuje hasła użytkowników, a komponent przetwarzający żądania używa ich do sprawdzenia poprawności żądania. Taka metoda uwierzytelniania powoduje, że hasła użytkowników są widoczne dla potencjalnych złodziei internetowych, dlatego należy włączyć korzystanie z referencji poddanych mieszaniu do uwierzytelniania żądań.

Jeśli włączono użycie referencji poddanych mieszaniu, serwer LDAP przechowuje wartość mieszającą informacji o użytkowniku, haśle i dziedzinie. Kontener SIP żąda następnie tej wartości mieszającej od serwera LDAP zamiast pytania o hasło użytkownika. Metodologia taka chroni hasła nawet w przypadku naruszenia ochrony danych mieszania przez złodziei internetowych. Ma ona jednak następujące ograniczenia:
  • W atrybucie LDAP musi być zapisana wartość bajtowa lub łańcuchowa. Inne typy atrybutu nie są obsługiwane.
  • Wszystkie aplikacje muszą współużytkować tę samą dziedzinę albo należy zdefiniować inny atrybut dla każdej dziedziny.
  • Funkcja mieszająca może być inna niż MD5. W takiej sytuacji kontener SIP wysyła algorytm różniący się od wartości obliczonej dla atrybutu. Uwierzytelnianie użytkownika może wtedy zakończyć się niepowodzeniem, nawet jeśli użytkownik udostępnił poprawne referencje.
Aby włączyć na serwerze LDAP korzystanie z referencji poddanych mieszaniu, należy zdefiniować następujące dwa ustawienia:
  • Hashedcredentials=wartość, gdzie wartość jest nazwą atrybutu LDAP, w którym zapisana jest wartość mieszająca dla użytkownika, hasła oraz dziedziny.
  • Hashedrealm=wartość, gdzie wartość jest dziedziną, na podstawie której obliczono postać zakodowaną.
Typ danych String
Wartość domyślna Pusty łańcuch
Dziedzina poddana mieszaniu

Określa dziedzinę referencji poddanych mieszaniu, jeśli referencje poddane mieszaniu są włączone.

Typ danych String
Wartość domyślna Pusty łańcuch



Zaznaczone odsyłacze (online) wymagają dostępu do Internetu.

Zadania pokrewne


Nazwa pliku: usip_digestauth.html