SIP ダイジェスト認証設定

このページを使用して、Session Initiation Protocol (SIP) ダイジェスト認証設定を構成します。 これらの設定により、SIP コンテナーで保護されたアプリケーションを認証できるようになります。

この管理コンソール・ページを表示するには、 「セキュリティー」 > 「グローバル・セキュリティー」 > 「認証」 > 「Web および SIP セキュリティー (Web and SIP Security)」 > 「SIP ダイジェスト認証 (SIP digest authentication)」とクリックします。

ダイジェスト認証の保全性を使用可能にする

ダイジェスト認証に対して認証保全性 (auth-int) 保護の品質 (QOP) を指定します。 ダイジェスト認証は、auth および auth-int の 2 つのタイプの QOP を定義しています。 デフォルトでは、基本認証 (auth) が使用されます。 値を「True」に設定すると、最高水準の保護である auth-int QOP が使用されます。

データ型 ブール値
デフォルト False
SIP 基本認証を使用可能にする

ダイジェスト認証に対して認証 (auth) の保護の品質 (QOP) を指定します。 ダイジェスト認証は、auth および auth-int の 2 つのタイプの QOP を定義しています。 デフォルトでは、基本認証 (auth) が使用されます。 値を「True」に設定すると、基本認証が実行されます。 トラスト・アソシエーション・インターセプターによって処理されることはありません。

データ型 ブール値
デフォルト true
nonce の複数使用を使用可能にする

同一の nonce の複数回使用を使用可能にするかどうかを指定します。同一の nonce を 複数回使用する場合、必要なシステム・リソースは少なくて済みますが、 システムは、異なる nonce を使用した場合ほどセキュアではありません。

データ型 ブール値
デフォルト False
nonce 最大経過時間を使用可能にする (Enable nonce maximum age)

nonce が有効である時間をミリ秒単位で指定します。 この値が 1 に設定されている場合、 時間は無制限であると見なされます。

データ型 整数
デフォルト 1
LDAP キャッシュのクリーン間隔

LDAP キャッシュが消去される前に、キ ャッシュが有効である時間を分単位で指定します。

データ型 整数
デフォルト 120
LDAP パスワードの属性名

ユーザーのパスワードを保管する LDAP 属性名を指定します。

データ型 ストリング
デフォルト userpassword
ユーザー・キャッシュのクリーン間隔

セキュリティー・サブジェクトのキャッ シュが消去される前に、キャッシュが有効である時間 を分単位で指定します。

データ型 整数
デフォルト 15
ダイジェスト・パスワードのサーバー・クラス (Digest password server class)

PasswordServer インターフェースを実装する Java クラス名を指定します。

データ型 ストリング
デフォルト LdapPasswordServer
Hashedcredentials

ハッシュされたクレデンシャルを含む LDAP フィールドの名前を指定します。 値がこの設定に指定されると、この設定は pws_atr_name setting をオーバーライドします。

LDAP サーバーはパスワード・サポートを自動的に行います。 LDAP サーバーは、ハッシュ値を使用できないように設定されている場合、 ユーザー・パスワードを保管します。その場合、要求処理コンポーネントはこれらのパスワードを使用して要求の妥当性検査を行います。 この認証方法の場合、ユーザー・パスワードがインターネット上で漏えいするおそれがあるので、 要求を認証する際に、ハッシュされたクレデンシャルを使用できるようにする必要があります。

ハッシュされたクレデンシャルを使用可能に設定すると、 LDAP サーバーはユーザー、パスワード、およびレルム情報のハッシュ値を保管します。 その場合、SIP コンテナーは、ユーザー・パスワードを求める代わりに、LDAP サーバーからこのハッシュ値を要求します。 この方法では、ハッシュ・データがインターネット上で漏えいして改ざんされても、パスワードは保護されます。 ただし、この方法には以下の制限事項があります。
  • LDAP 属性で、バイト値またはストリング値を保管する必要があります。他の属性タイプはサポートされません。
  • アプリケーションのすべてで同一レルムを共用するか、または各レルムに異なる属性を定義する必要があります。
  • ハッシュ関数は MD5 ではない場合があります。この場合、SIP コンテナーは、 属性に対する計算値とは異なるアルゴリズムを送信します。 この状態になると、ユーザーが適切なクレデンシャルを与えた場合でも、ユーザー認証が失敗する可能性があります。
ハッシュされたクレデンシャルを、LDAP サーバーで使用できるようにするには、 次の 2 つの設定を定義する必要があります。
  • Hashedcredentials=value。ここで value は、ユーザー、パスワードおよびレルムのハッシュ値を保管する LDAP 属性の名前を表します。
  • Hashedrealm=value。ここで value は、ハッシュ値を計算するレルムを表します。
データ型 ストリング
デフォルト 空ストリング
Hashedrealm

ハッシュされたクレデンシャル設定が使用可能な場合、 ハッシュされたクレデンシャルのレルムを指定します。

データ型 ストリング
デフォルト 空ストリング



マーク付きのリンク (オンライン) では、インターネットにアクセスする必要があります。

関連タスク


ファイル名: usip_digestauth.html