SIP 摘要鑑別設定

請利用這個頁面來配置「階段作業起始通訊協定 (SIP)」摘要鑑別設定;這些設定容許 SIP 儲存器鑑別安全應用程式。

如果要檢視這個管理主控台頁面,請按一下安全 > 廣域安全 > 鑑別 > Web 和 SIP 安全 > SIP 摘要鑑別

啟用摘要鑑別完整性

指定摘要鑑別的鑑別完整性 (auth-int) 保護品質 (QOP)。 摘要鑑別會定義兩類型的 QOP:auth 和 auth-int。 依預設,會使用基本鑑別 (auth)。 如果值設成 True,便會使用 auth-int QOP,這是最高的保護層次。

資料類型 布林
預設值 False
啟用 SIP 基本鑑別

指定摘要鑑別的鑑別 (auth) 保護品質 (QOP)。 摘要鑑別會定義兩類型的 QOP:auth 和 auth-int。 依預設,會使用基本鑑別 (auth)。 如果值設成 True,便會執行基本鑑別。 「信任關聯攔截程式」不會處理它。

資料類型 布林
預設值 True
啟用多次使用 nonce

指定是否能多次使用相同的 nonce。 如果您重複使用相同的 nonce,需要的系統資源會比較少,不過,系統會比較不安全。

資料類型 布林
預設值 False
啟用 Nonce 存在期間上限

指定 nonce 的有效時間量(以毫秒為單位)。 如果這個值設為 1,這個時間量便視為無限。

資料類型 整數
預設值 1
LDAP 快取清除間隔

指定在清除 LDAP 快取之前,必須經歷的時間量(分)。

資料類型 整數
預設值 120
LDAP 密碼屬性名稱

指定用來儲存使用者密碼的 LDAP 屬性名稱。

資料類型 字串
預設值 userpassword
使用者快取清除間隔

指定在清除安全主體快取之前,必須經歷的時間量(分)。

資料類型 整數
預設值 15
摘要密碼伺服器類別

指定用來實作 PasswordServer 介面的 Java 類別名稱。

資料類型 字串
預設值 LdapPasswordServer
Hashedcredentials

指定含有雜湊認證的 LDAP 欄位名稱。 如果指定了這個設定值,這個設定會置換 pws_atr_name 設定。

LDAP 伺服器會自動提供密碼支援。除非您啟用 LDAP 伺服器來使用雜湊值,否則 LDAP 伺服器會儲存使用者密碼,然後要求處理元件會使用這些密碼來驗證要求。由於這個鑑別方法會讓使用者密碼暴露於可能的網際網路盜用威脅下,因此您應該使用雜湊認證來鑑別要求。

當您使用雜湊認證時,LDAP 伺服器會儲存使用者、密碼及網域範圍等資訊的雜湊值。 然後,SIP 儲存器會向 LDAP 伺服器要求這個雜湊值,而不是要求使用者密碼。即使因為網際網路盜用而導致雜湊資料洩露,這個方法仍會提供密碼保護。不過,這個方法具有下列限制:
  • LDAP 屬性必須儲存位元組值或字串值。不支援其他屬性類型。
  • 所有應用程式必須共用相同的網域範圍,或者您必須為每個網域範圍定義不同的屬性。
  • 雜湊函數可能不同於 MD5。在這個狀況下,SIP 儲存器會傳送不同於屬性計算值的演算法。 當發生這個狀況時,即使使用者提供適當的認證,使用者鑑別仍然可能失敗。
如果要啟用 LDAP 伺服器來使用雜湊認證,您必須定義下列兩項設定:
  • Hashedcredentials=value,其中 value 是儲存使用者、密碼和網域範圍等雜湊值的 LDAP 屬性名稱。
  • Hashedrealm=value,其中 value 是計算雜湊值的網域範圍。
資料類型 字串
預設值 空字串
Hashedrealm

指定啟用了雜湊認證設定之後的雜湊認證網域範圍。

資料類型 字串
預設值 空字串



標示(線上)的鏈結表示需要存取網際網路。

相關工作


檔名: usip_digestauth.html