Confiando em Mensagens SIP de Domínios Externos

A abordagem geral para fornecer comunicações seguras entre dois domínios ou comunidades independentes (cada um mantendo diretórios distintos) depende da asserção de identidade, em que um relacionamento de confiança é estabelecido entre dois domínios distintos, utilizando uma troca de certificados durante a configuração da conexão SSL (Secure Sockets Layer) física entre os dois domínios.

Sobre Esta Tarefa

A autenticação das mensagens SIP (Session Initiation Protocol) que são enviadas pelos usuários finais precisa ocorrer somente no domínio local para o usuário. Todas as mensagens de usuário passam pelo domínio local do contêiner SIP antes de serem enviadas ao domínio externo. Se uma mensagem for recebida de um domínio externo por meio de uma conexão segura que seja mutuamente autenticada da maneira descrita a seguir, supõe-se que a mensagem seja autenticada pelo domínio externo, devido ao relacionamento confiável. Um administrador pode ativar suporte para domínios externos no proxy SIP da seguinte forma:

Procedimento

  1. Ative a autenticação de cliente no repertório SSL que é designado a todas as cadeias (ou terminais) do canal de entrada que receberão conexões de entrada de domínios externos.
  2. Certifique-se de que todas as autoridades de certificado confiável estejam configuradas no armazenamento confiável designado aos repertórios SSL mencionados na etapa anterior. Configure o par de chaves assimétricas (chaves pública e privada) para o domínio local, com a cadeia apropriada de certificados associados ao domínio local.
  3. Configure todos os DNS (Nomes Distintos) associados aos domínios externos para suporte. O DN faz parte do certificado X.509 que é enviado pelo servidor de domínio externo quando a conexão SSL está configurada. No modelo de configuração, cada entrada de domínio externa do SIP inclui um campo para o DN externo.
  4. Supondo que a infra-estrutura do SIP seja implementada em cada domínio, forneça o DN para o administrador de domínio externo incluído no certificado público de domínios locais. Com essa ação, o administrador do domínio externo pode configurar o DN do domínio externo apropriado.

    Com essa abordagem, o JSSE (Java™ Secure Socket Extension) é responsável por autorizar o certificado que é recebido através de uma nova conexão de entrada a partir de um domínio externo. Essa autorização é baseada nas autoridades de certificação acordadas cujos certificados estejam configurados no truststore local. Se o certificado do domínio externo for autorizado, será, então, responsabilidade do proxy SIP filtrar as conexões, com base no DN associado ao certificado de domínio externo. O proxy também valida as conexões de saída, assegurando que o DN recebido no certificado do servidor remoto corresponda ao DN configurado para o domínio externo.

    O proxy SIP deve reconhecer quando a asserção de identidade está em utilização para que possa informar o contêiner SIP de que nenhuma autenticação de mensagem é requerida por meio dessa conexão mutuamente autenticada. Essa comunicação é feita incluindo-se o cabeçalho SIP P-Preferred-Identity, que está descrito em RFC 3325, em todas as mensagens SIP enviadas do proxy para o contêiner SIP que chegam por meio da conexão autenticada. O contêiner SIP reconhece esse cabeçalho somente quando é recebido de um dispositivo que reside no domínio confiável, especificamente o proxy SIP. Depende do proxy SIP remover esse cabeçalho de qualquer mensagem de entrada recebida por meio de qualquer conexão com dispositivos remotos que não são considerados parte do domínio confiável. Esse cabeçalho também pode ser utilizado para suportar a inclusão da autenticação proxy.


Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tjpx_sipextdom
Nome do arquivo: tjpx_sipextdom.html