Параметры краткой идентификации SIP

Эти страница используется для настройки параметров идентификации SIP; с помощью этих параметров контейнер SIP может выполнять идентификацию защищенных приложений.

Чтобы открыть эту страницу административной консоли, нажмите Защита > Глобальная защита > Идентификация > Защита Web и SIP > Параметры краткой идентификации SIP.

Включить целостность краткой идентификации

Задает для краткой идентификации качество защиты (QoP) целостности идентификации (auth-int). Краткая идентификация определяет два типа QoP: auth и auth-int. По умолчанию используется простая идентификация (auth). Если значение этого параметра — Истина, используется QoP auth-int, обеспечивающее самый высокий уровень защиты.

Тип данных Булевское значение
Значение по умолчанию Ложь
Включить простую идентификацию SIP

Задает для краткой идентификации качество защиты (QoP) идентификации (auth). Краткая идентификация определяет два типа QoP: auth и auth-int. По умолчанию используется простая идентификация (auth). Если значение этого параметра — Истина, используется простая идентификация. Она не обрабатывается перехватчиком группы доверия.

Тип данных Булевское значение
Значение по умолчанию True
Включить многократное использование одноразовой строки

Включает многократное использование одноразовой строки. Использование одноразовой строки несколько раз экономит ресурсы, но снижает защищенность системы.

Тип данных Булевское значение
Значение по умолчанию Ложь
Включить время жизни одноразовой строки

Задает интервал времени, в течение которого одноразовая строка является действительной. Значение 1 обозначает бесконечный интервал.

Тип данных Целое число
Значение по умолчанию 1
Интервал очистки кэша LDAP

Интервал времени в минутах между очистками кэша LDAP.

Тип данных Целое число
Значение по умолчанию 120
Имя атрибута пароля LDAP

Имя атрибута LDAP, хранящего пароль пользователя.

Тип данных Строка
Значение по умолчанию userpassword
Интервал очистки кэша пользователя

Интервал времени в минутах между очистками кэша субъекта защиты.

Тип данных Целое число
Значение по умолчанию 15
Реализация интерфейса PasswordServer

Имя класса Java, реализующего интерфейс PasswordServer.

Тип данных Строка
Значение по умолчанию LdapPasswordServer
Хэши идентификационных данных

Имя поля LDAP, хранящего хэши идентификационных данных. Если для этого параметра указано значение, оно переопределяет значение pws_atr_name.

Серверы LDAP автоматически предлагают поддержку паролей. Если не настроено хэширование паролей, то пароли, сохраненные сервером LDAP, используются для проверки запросов компонентом обработки запросов. Поскольку такой способ идентификации не защищен от кражи информации, передаваемой по сети Internet, рекомендуется настроить обработку запросов с хэшированием идентификационных данных.

После настройки хэширования паролей сервер LDAP сохраняет хэш имени пользователя, пароля и области. Контейнер SIP запрашивает хэш вместо пароля пользователя. Такой способ идентификации обеспечивает защиту паролей даже в случае кражи данных во время передачи по сети Internet. Ограничения данного способа идентификации:
  • Атрибут LDAP может содержать байтовое или строковое значение. Атрибуты других типов не поддерживаются.
  • Все приложения, должны использовать одну область, либо для каждой области должен быть задан отдельный атрибут.
  • Функция хэширования может отличаться от MD5. В этом случае контейнер SIP отправляет алгоритм, отличающийся от значения атрибута, что может вызывать ошибки идентификации.
Для того чтобы разрешить применение хэшей идентификационных данных на сервере LDAP, необходимо задать следующие параметры:
  • Hashedcredentials=значение, где значение - это имя атрибута LDAP, содержащего значение хэша для пользователя, пароля и области.
  • Hashedrealm=значение, где значение - это область, в которой вычисляется значение хэша.
Тип данных Строка
Значение по умолчанию пустая строка
Область хэшей

Область для хэшей идентификационных данных (если включен параметр "Хэши идентификационных данных").

Тип данных Строка
Значение по умолчанию пустая строка



Ссылки, помеченные как (в сети), требуют подключения к Internet.

Задачи, связанные с данной


Имя файла: usip_digestauth.html