독립적인 두 도메인 또는 커뮤니티(각각 별도의 디렉토리 유지)
사이에 보안 통신을 제공하는 일반적인 방법에서는 두 도메인 간에 물리적 SSL(Secure Sockets Layer)
연결을 설정하는 중에 인증 교환을 통해 별도의 두 도메인 사이에 신뢰
관계가 수립되는 ID 어설션을 사용합니다.
이 태스크 정보
일반 사용자가 전송하는 SIP(Session Initiation Protocol) 메시지의
인증은 사용자의 로컬 도메인에서만 이루어져야 합니다. 모든 사용자 메시지는 외부
도메인으로 전송되기 전에 SIP 컨테이너 로컬 도메인을 통과합니다. 아래에 설명된
방법으로 상호 인증된 보안 연결을 통해 외부 도메인에서 메시지를 수신하는 경우
이 메시지는 신뢰 관계 때문에 외부 도메인에서 인증된다고
가정합니다. 관리자는 다음과 같이 SIP 프록시에서 외부 도메인에 대한 지원을 사용 가능하도록 할 수 있습니다.
프로시저
- 외부 도메인에서 인바운드 연결을 수신할 모든
인바운드 채널 체인(또는 종단점)에 지정된 SSL 레퍼토리
내에서 클라이언트 인증을 사용 가능으로 설정합니다.
- 모든 신뢰할 수 있는 인증 기관이 앞 단계에서
설명한 SSL 레퍼토리에 지정된 신뢰 저장소에 설정되었는지
확인하십시오. 로컬 도메인과 연관된
인증의 적절한 체인과 함께 로컬 도메인에 대한
비대칭 키 쌍(공개 및 개인 키)을 설정하십시오.
- 지원할 외부 도메인과 연관된 식별 이름(DN)을
구성하십시오. DN은 SSL 연결이 설정될 때 외부 도메인
서버가 전송하는 X.509 인증의 일부입니다. 구성
모델 내에서 각 SIP 외부 도메인 항목에는
외부 DN에 대한 필드가 포함됩니다.
- SIP 인프라가 각 도메인 안에 배치되었다고
가정하고 DN을 로컬 도메인 공용 인증에 포함된 외부 도메인
관리자에게 제공하십시오. 이렇게 하면 외부 도메인 관리자가
적절한 외부 DN을 구성할 수 있습니다.
이 방법을 통해 JSSE(Java™
Secure Socket Extension)는 외부 도메인으로부터의 새 인바운드 연결을 통해
수신된 인증서의 인증을 담당하게 됩니다.
이 인증은 인증서가 로컬 신뢰 저장소에 설정된 인증 기관과의 동의를 기반으로 합니다. 외부
도메인 인증이 인증되는 경우 외부 도메인 인증과
연관된 DN을 기반으로 연결을 필터링하는 것은 SIP 프록시의
책임입니다. 또한 프록시는 원격 서버 인증에서 수신된
DN이 외부 도메인에 대해 구성된 DN과 일치하는지 확인하여
아웃바운드 연결의 유효성을 검증합니다.
SIP 프록시는
ID 어설션이 사용 중인 시기를 인식해야 상호 인증 연결을 통해
메시지를 인증할 필요가 없음을 SIP 컨테이너에게 알릴
수 있습니다. 이 통신은 프록시에서 인증된 연결을 통해 도달하는 SIP 컨테이너로 전송된 모든 SIP 메시지에 P-Preferred-Identity
SIP 헤더(RFC 3325에 설명됨)를
추가하는 방법으로 수행됩니다.
SIP 컨테이너는 신뢰할 수 있는 도메인(구체적으로 SIP 프록시)에 있는
디바이스에서 수신되는 경우에만 이 헤더를 인식합니다. 신뢰할 수 있는 도메인의
일부로 간주되지 않는 원격 디바이스에 대한 모든 연결을 통해 수신된 인바운드
메시지에서 이 헤더를 제거하는 작업은 SIP 프록시가
담당합니다. 또한 이 헤더를 사용하여 프록시 인증의 추가를 지원할 수도 있습니다.