Einstellungen für SIP-Digest-Authentifizierung

Verwenden Sie diese Seite, um Einstellungen für die SIP-Digest-Authentifizierung zu konfigurieren. Diese Einstellungen ermöglichem dem SIP-Container, gesicherte Anwendungen zu authentifizieren.

Klicken Sie zum Anzeigen dieser Seite der Administrationskonsole auf Sicherheit > Globale Sicherheit > Authentifizierung > Web- und SIP-Sicherheit > SIP-Digest-Authentifizierung.

Integrität bei Digest-Authentifizierung aktivieren

Gibt das Datenschutzniveau (QOP, Quality of Protection) "Authentifizierungsintegrität" (auth-int) für die Digest-Authentifizierung an. Die Digest-Authentifizierung definiert zwei QOP-Typen: "auth" und "auth-int". Standardmäßig wird die Basisauthentifizierung (auth) verwendet. Wenn Sie diese Einstellung auf True setzen, wird die QOP-Einstellung "auth-int" verwendet, die das höchste Datenschutzniveau hat.

Datentyp Boolean
Standardeinstellung False
SIP-Basisauthentifizierung aktivieren

Gibt das Datenschutzniveau (QOP, Quality of Protection) "Authentifizierung" (auth) für die Digest-Authentifizierung an. Die Digest-Authentifizierung definiert zwei QOP-Typen: "auth" und "auth-int". Standardmäßig wird die Basisauthentifizierung (auth) verwendet. Wenn Sie diese Einstellung auf True setzen, wird eine Basisauthentifizierung durchgeführt. Diese Einstellung wird vom Trust Association Interceptor nicht verarbeitet.

Datentyp Boolean
Standardeinstellung True
Mehrfachverwendung des Nonce aktivieren

Gibt an, ob die Mehrfachverwendung desselben Nonce zugelassen werden soll. Wenn Sie einen Nonce mehrfach verwenden, sind weniger Systemressourcen erforderlich, aber das System ist nicht so sicher.

Datentyp Boolean
Standardeinstellung False
Maximale Nonce-Lebensdauer beschränken

Gibt an, wie lange (in Millisekunden) ein Nonce gültig ist. Wenn diese Einstellung auf 1 gesetzt wird, ist die Gültigkeitsdauer des Nonce unbegrenzt.

Datentyp Integer
Standardeinstellung 1
Bereinigungsintervall für LDAP-Cache

Gibt an, in welchem Intervall (in Minuten) der LDAP-Cache bereinigt wird.

Datentyp Integer
Standardeinstellung 120
Name des LDAP-Kennwortattributs

Gibt den Namen des LDAP-Attributs an, in dem das Benutzerkennwort gespeichert wird.

Datentyp String
Standardeinstellung userpassword
Bereinigungsintervall für Benutzercache

Gibt an, in welchem Intervall (in Minuten) der Sicherheitssubjektcache bereinigt wird.

Datentyp Integer
Standardeinstellung 15
Serverklasse für Digest-Kennwort

Gibt den Namen der Java-Klasse an, die die Schnittstelle "PasswordServer" implementiert.

Datentyp String
Standardeinstellung LdapPasswordServer
Verschlüsselte Berechtigungsnachweise

Gibt den Namen des LDAP-Felds an, das die verschlüsselten Berechtigungsnachweise enthält. Wenn Sie einen Wert für diese Einstellung angeben, überschreibt diese Einstellung die Einstellung "pws_atr_name".

LDAP-Server bieten automatisch Kennwortunterstützung. Sofern Sie den LDAP-Server nicht für die Verwendung von verschlüsselten Werten aktivieren, speichert der LDAP-Server Benutzerkennwörter, und die Anforderungsverarbeitungskomponente verwendet diese Kennwörter, um eine Anforderung zu validieren. Da Benutzerkennwörter bei dieser Authentifizierungsmethode dem Risiko eines Diebstahls über das Internet ausgesetzt sind, sollten Sie die Verwendung verschlüsselter Berechtigungsnachweise für die Authentifizierung einer Anforderung aktivieren.

Wenn Sie die Verwendung verschlüsselter Berechtigungsnachweise aktivieren, speichert der LDAP-Server einen Hash-Wert für die Benutzer-, Kennwort- und Realm-Informationen. Der SIP-Container fordert dann diesen Hash-Wert an Stelle eines Benutzerkennworts vom LDAP-Server an. Bei dieser Vorgehensweise sind die Kennwörter auch dann geschützt, wenn die Hash-Daten über das Internet gestohlen werden. Diese Vorgehensweise hat jedoch die folgenden Einschränkungen:
  • Im LDAP-Attribut muss ein Bytewert oder ein Zeichenfolgewert gespeichert werden. Andere Attributtypen werden nicht unterstützt.
  • Alle Anwendungen müssen denselben Realm verwenden, oder Sie müssen für jeden Realm ein anderes Attribut definieren.
  • Die Hash-Funktion kann sich von MD5 unterscheiden. In diesem Fall sendet der SIP-Container einen Algorithmus, der vom berechneten Wert für das Attribut abweicht. Sollte dieser Fall eintreten, schlägt die Benutzerauthentifizierung auch dann fehl, wenn der Benutzer die richtigen Berechtigungsnachweise übergeben hat.
Wenn Sie den LDAP-Server für die Verwendung verschlüsselter Berechtigungsnachweise aktivieren möchten, müssen Sie die folgenden beiden Einstellungen definieren:
  • Hashedcredentials=Wert, wobei "Wert" für den Namen des LDAP-Attributs steht, in dem der Hash-Wert für die Benutzer-, Kennwort- und Realm-Informationen gespeichert ist.
  • Hashedrealm=Wert, wobei "Wert" für den Realm steht, über den der verschlüsselte Werte berechnet wird.
Datentyp String
Standardeinstellung Leere Zeichenfolge
Verschlüsselter Realm

Gibt den Realm für verschlüsselte Berechtigungsnachweise an, wenn die Einstellung "Verschlüsselte Berechtigungsnachweise" aktiviert ist.

Datentyp String
Standardeinstellung Leere Zeichenfolge



Mit (online) gekennzeichnete Links setzen einen Internet-Zugang voraus.

Zugehörige Tasks


Dateiname: usip_digestauth.html