Dans cet article
dropdown icon
Configurer les options DHCP
    Prise en charge de l'option DHCP
dropdown icon
Sécurité LAN sans fil
    Configurer le profil Wi-Fi
dropdown icon
Authentification 802.1x pour les réseaux câblés
    Activer l'authentification 802.1X pour les réseaux câblés sur votre téléphone
    Activation de l'authentification 802.1X pour les réseaux câblés sur la page Web du téléphone
    Menu des paramètres de sécurité du téléphone
Modifier les mots de passe d'utilisateur et d'administrateur
Définir la version TLS minimale pour le client et le serveur
Activer le mode initié par le client pour les négociations de sécurité du plan média
Cisco Sécurité du téléphone sans fil 9821 (multiplateforme)
list-menuDans cet article
list-menuUn commentaire ?

Cet article d'aide concerne le téléphone sans fil Cisco 9821 enregistré à Webex Calling.

Configurer les options DHCP

Vous pouvez définir l'ordre dans lequel votre téléphone utilise les options DHCP. Pour obtenir de l'aide sur les options DHCP, reportez-vous à la section DHCP prise en charge des options.

1

Accéder à la page Web d'administration du téléphone.

Adresse http://<ip >/admin/avancée

2

Sélectionnez Voix > Déploiement.

3

Dans la section Profil de configuration, définissez le paramètre DHCP Option To Use . Ce paramètre consiste en une série d'options DHCP, délimitées par des virgules, utilisées pour récupérer le micrologiciel et les profils.

Exécutez l'une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <DHCP_Option_To_Use ua="na">66,160,159,150,60,43,125</DHCP_Option_To_Use>

  • Sur la page Web du téléphone, entrez une série d'options DHCP, délimitées par des virgules.

Valeur par défaut : 66,160,159,150,60,43,125

4

Cliquez sur Envoyer toutes les modifications.

Prise en charge de l'option DHCP

Le tableau suivant répertorie les options DHCP prises en charge sur le téléphone sans fil Cisco 9821.

Norme de réseauDescription
DHCP option 1Masque de sous-réseau
DHCP option 2Time offset
DHCP option 3Routeur
DHCP option 6Serveur de noms de domaine
DHCP option 15Nom du domaine
DHCP option 17Chemin racine
DHCP option 41Durée de bail de l’adresse IP
DHCP option 42Serveur NTP
DHCP option 43Informations spécifiques au fournisseur

Peut être utilisé pour fournir la configuration SCEP.

DHCP option 56Serveur NTP
DHCP option 60Identifiant de la classe du fournisseur
DHCP option 66Nom du serveur TFTP
DHCP option 125Informations spécifiques au fournisseur, qui identifient le fournisseur
DHCP option 150Serveur TFTP
DHCP option 159Adresse IP du serveur de mise à disposition
DHCP option 160URL de mise à disposition

Sécurité LAN sans fil

Tout périphérique WLAN étant à portée peut recevoir n'importe quel trafic WLAN : en conséquence, la sécurisation des communications voix est un élément essentiel des réseaux WLAN. Pour s'assurer que les intrus ne manipulent ni n'interceptent le trafic vocal, l'architecture Cisco SAFE Security prend en charge le téléphone. Pour plus d'informations sur la sécurité dans les réseaux, reportez-vous à http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

La solution de téléphonie Cisco Wireless IP assure la sécurité des réseaux sans fil, empêchant les connexions non autorisées et les communications dangereuses à l'aide des méthodes d'authentification suivantes prises en charge par le téléphone.

  • Authentification ouverte : tout périphérique sans fil peut demander une authentification dans un système ouvert. Le point d'accès qui reçoit la requête peut accorder l'authentification à n'importe quel demandeur ou seulement aux demandeurs présents sur une liste d'utilisateurs. Les communications entre le périphérique sans fil et le point d'accès (AP) peuvent être non chiffrées.

  • Authentification EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling) : cette architecture de sécurité client-serveur chiffre les transactions EAP dans un tunnel de sécurité de niveau de transport (TLS) entre le point d'accès et le serveur RADIUS, tel que Identity Services Engine (ISE).

    Le tunnel TLS utilise des identifiants PAC (Protected Access Credentials) lors de l'authentification du client (téléphone) avec le serveur RADIUS. Le serveur envoie un identifiant AID (Authority ID) au client (téléphone), qui sélectionne ensuite le PAC approprié. Le client (téléphone) renvoie un champ PAC-Opaque au serveur RADIUS. Le serveur déchiffre le PAC grâce à la clé principale. Les deux terminaux détiennent alors la clé PAC et un tunnel TLS est créé. EAP-FAST prend en charge le provisionnement automatique de PAC, mais vous devez activer cette option sur le serveur RADIUS.

    Dans ISE, par défaut, le PAC expire au bout d'une semaine. Si le téléphone détient un PAC qui a expiré, l'authentification avec le serveur RADIUS prend plus de temps, car le téléphone doit obtenir un nouveau PAC. Pour éviter les délais de provisionnement de PAC, configurez la durée de vie du PAC à 90 jours ou plus sur le serveur ISE ou RADIUS.

  • L'authentification Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)  : EAP-TLS requiert un certificat client pour l'authentification et l'accès au réseau. Pour le sans fil EAP-TLS, le certificat client peut être un certificat MIC ou installé par l'utilisateur.

  • Protocole PEAP (Protected Extensible Authentication Protocol) : modèle propriétaire Cisco d'authentification mutuelle via mot de passe entre le client (téléphone) et un serveur RADIUS. Le téléphone peut utiliser PEAP pour s'authentifier auprès du réseau sans fil. Les méthodes d'authentification PEAP-MSCHAPv2 et PEAP-GTC sont prises en charge.

    Pour prendre en charge l'authentification PEAP-GTC pour le téléphone sans fil Cisco 9821, configurez la stratégie nécessaire dans l'ensemble de stratégies Cisco ISE.

  • Pre-Shared Key (PSK) : le téléphone prend en charge les formats ASCII et hexadécimal (HEX). Vous devez utiliser ces formats lorsque vous configurez une clé pré-partagée WPA2/SAE.

    ASCII : chaîne de caractères ASCII de 8 à 63 caractères (0 à 9, lettres a-z minuscules, lettres A-Z majuscules et caractères spéciaux). Par exemple, GREG123567@9ZX&W.

    HEX : chaîne de caractères hexadécimaux comportant 64 chiffres hexadécimaux (0 à 9, a-f ou A à F).

Les modèles d'authentification suivants utilisent le serveur RADIUS pour gérer les clés d'authentification :

  • WPA2/WPA3 : utilise les informations du serveur RADIUS pour générer des clés d'authentification uniques. Ces clés étant générées par le serveur RADIUS centralisé, WPA2/WPA3 assure une sécurité renforcée par rapport aux clés WPA pré-partagées stockées par le point d'accès et le téléphone.

  • Itinérance sécurisée rapide : utilise le serveur RADIUS et les informations d'un serveur de domaine sans fil (WDS) pour gérer et authentifier les clés. Le serveur WDS crée un cache d'informations d'identification pour les périphériques clients compatibles FT, permettant ainsi une ré-authentification rapide et sécurisée.

Avec WPA2/WPA3, les clés de chiffrement ne sont pas saisies sur le téléphone, mais sont automatiquement dérivées entre le point d'accès et le téléphone. Toutefois, les nom d'utilisateur et mot de passe EAP utilisés pour l'authentification doivent être saisis sur chaque téléphone.

Pour protéger le trafic vocal sur la liaison sans fil, le téléphone prend en charge le chiffrement AES pour l'authentification WPA2/WPA3. AES est un chiffrement par bloc symétrique standardisé par le NIST. AES utilise une taille de bloc fixe de 128 bits et prend en charge les tailles de clé de 128 bits, 192 bits et 256 bits. Dans les réseaux Wi-Fi, AES est utilisé par les suites de chiffrement telles que CCMP ou GCMP, tandis que l'authentification est fournie séparément par PSK, SAE ou 802.1X/EAP, selon le mode de sécurité WLAN configuré. La suite de chiffrement prise en charge et la taille de la clé dépendent du modèle du téléphone et de la configuration WLAN.

Les modèles d'authentification et de chiffrement sont configurés dans le LAN sans fil. Les VLAN sont configurés dans le réseau et sur les points d'accès. Ils spécifient différentes combinaisons d'authentification et de chiffrement. Un SSID s'associe avec un VLAN et avec un modèle spécifique d'authentification et de chiffrement. Pour que les périphériques clients sans fil réussissent à s'authentifier, vous devez configurer les mêmes SSID avec leurs modèles d'authentification et de chiffrement sur les points d'accès et le téléphone.

Certains modèles d'authentification nécessitent des types de chiffrement spécifiques.

Lorsque vous utilisez une clé pré-partagée WPA2 ou SAE, cette clé doit être configurée de manière statique sur le téléphone. Ces clés doivent correspondre à celles présentes sur le point d'accès.

Les modèles d'authentification et de chiffrement dans le tableau suivant montrent les options de configuration réseau pour le téléphone sans fil Cisco 9821 qui correspond à la configuration du point d'accès.

Tableau 1. Modèles d'authentification et de chiffrement
FSR TypeAuthentificationGestion des clésCryptageCadre de gestion protégé (CMR)
802.11r (FT)Clé pré-partagée

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNon
802.11r (FT)WPA3

SAE

FT-SAE

AESOui
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNon
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESOui
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNon
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESOui
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNon
802.11r (FT)PAE-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESOui
non-FTSuite-BWPA-EAP-SUITE-BLeOui
non-FTSuite B-192WPA-EAP-SUITE-B-192LeOui

Configurer le profil Wi-Fi

Vous pouvez configurer les profils Wi-Fi à partir de la page Web d'administration du téléphone ou via une resynchronisation des profils de périphérique distants. Une fois configuré, vous pouvez associer ces profils aux réseaux sans fil disponibles pour établir la connectivité. Cisco Le téléphone sans fil 9821 prend en charge un maximum de quatre profils Wi-Fi configurés.

Le profil contient les paramètres requis par les téléphones pour se connecter au serveur téléphonique en Wi-fi. Lorsque vous créez et utilisez un profil Wi-Fi, vous ou vos utilisateurs n'avez pas besoin de configurer le réseau sans fil pour des téléphones individuels.

Un profil de réseau Wifi vous permet de prévenir ou de limiter les modifications apportées à la configuration du réseau Wifi sur le téléphone par l'utilisateur.

Nous vous recommandons d'utiliser un profil sécurisé avec des protocoles de chiffrement activés pour protéger les clés et les mots de passe lorsque vous utilisez un profil Wi-Fi.

Lorsque vous configurez les téléphones pour utiliser la méthode d'authentification EAP-FAST en mode de sécurité, vos utilisateurs ont besoin d'informations d'identification individuelles pour se connecter à un point d'accès.

1

Accéder à la page Web du téléphone

2

Sélectionnez Voix > Système.

3

Dans la section Wi-Fi Profil (n), définissez les paramètres comme décrit dans le tableau suivant Paramètres pour le profil Wi-Fi.

La configuration du profil Wi-Fi est également disponible pour la connexion utilisateur.
4

Cliquez sur Envoyer toutes les modifications.

Paramètres du profil Wi-Fi

Le tableau suivant définit la fonction et l'utilisation de chaque paramètre de la section Wi-Fi Profil(n) sous Système Tab sur la page Web du téléphone. Elle définit également la syntaxe de la chaîne intégrée au fichier de configuration du téléphone (cfg.xml) afin de configurer un paramètre spécifique.

ParamètreDescription
Nom du réseauPermet d'entrer un nom pour le SSID qui s'affiche sur le téléphone. Plusieurs profils peuvent avoir le même nom de réseau avec plusieurs modes de sécurité.

Exécutez l’une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <Network_Name_1_ ua="rw">Cisco</Network_Name_1_>

  • Sur la page Web du téléphone, saisissez un nom pour le SSID.

Valeur par défaut : vide

Mode de sécuritéVous permet de sélectionner la méthode d'authentification qui permet de sécuriser l'accès au réseau Wi-Fi. Selon la méthode choisie, un champ de mot de passe apparaît afin que vous puissiez fournir les informations d'identification requises pour rejoindre ce réseau Wi-Fi.

Exécutez l’une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- Options disponibles : |EAP-FAST|||PSK||Aucun|EAP-PEAP|EAP-TLS -->

  • Sur la page Web du téléphone, sélectionnez l'une des méthodes suivantes :
    • EAP-FAST
    • Clé pré-partagée
    • Aucun
    • EAP-PEAP
    • EAP-TLS

Par défaut : None

ID utilisateur Wi-FiVous permet d'entrer un nom d'utilisateur pour le profil réseau.

Ce champ est disponible lorsque vous définissez le mode de sécurité sur Auto, EAP-FAST, ou EAP-PEAP. Ce champ est obligatoire et il peut comporter une longueur maximale de 32 caractères alphanumériques.

Exécutez l’une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • Sur la page Web du téléphone, saisissez un utilisateur ID pour le profil réseau.

Valeur par défaut : vide

Mot de passe Wi-FiPermet de saisir le mot de passe pour l'ID utilisateur Wi-Fi spécifié.

Exécutez l’une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • Sur la page Web du téléphone, entrez un mot de passe pour l'utilisateur ID que vous avez ajouté.

Valeur par défaut : vide

Plage de fréquencesVous permet de sélectionner la plage de fréquence du signal sans fil qui est utilisée par le réseau local sans fil.

Exécutez l’une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • Dans la page Web du téléphone, sélectionnez l'une des options suivantes :
    • Auto
    • 2,4 GHz
    • 5 GHz ou 6 GHz

Valeur par défaut : automatique

Sélection de certificatPermet de sélectionner un type de certificat pour l'enregistrement initial du certificat et le renouvellement du certificat sur le réseau sans fil. Ce processus n'est disponible que pour l'authentification 802.1x.

Exécutez l’une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <Certificate_Select_1_ ua="rw">Fabrication installée</Certificate_Select_1_>

  • À la page Web du téléphone, sélectionnez l'une des options suivantes :
    • Installé en usine
    • Installé sur mesure

Valeur par défaut : Installation en usine

Mode de contrôleContrôle si l'utilisateur est autorisé à configurer les profils Wi-Fi.

Exécutez l’une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <Control_Mode_1_ ua="rw">Autoriser</Control_Mode_1_>

  • À la page Web du téléphone, sélectionnez l'une des options suivantes :
    • Permettre
    • Rejeté
    • Restreint

Valeur par défaut : Autoriser

ActiverContrôle si le profil Wi-Fi est activé.

Exécutez l’une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <Enable_1_ ua="rw">Oui</Enable_1_>

  • À la page Web du téléphone, sélectionnez l'une des options suivantes :
    • Oui
    • Non

Par défaut : Oui

Nom du profilPermet de définir un nom pour le profil qui s'affichera sur le téléphone.

Exécutez l’une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <Profile_Name_1_ ua="rw">Profil 1</Profile_Name_1_>

  • Sur la page Web du téléphone, saisissez le nom du profil.

Valeur par défaut : Profil 1

Phrase secrète PSKPermet de saisir la phrase secrète du PSK lorsque le mode de sécurité est défini sur PSK.

Exécutez l’une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <PSK_Passphrase_1_ ua="rw">*************</PSK_Passphrase_1_>

  • Sur la page Web du téléphone, saisissez la phrase secrète PSK.

Valeur par défaut : Autoriser

Authentification 802.1x pour les réseaux câblés

Cisco Le téléphone sans fil 9821 prend en charge l'authentification 802.1X pour les réseaux câblés. Ce paramètre est généralement utilisé lors de la mise à disposition automatique lorsque le téléphone est connecté au chargeur de bureau via un adaptateur USB-Ethernet pris en charge.

La prise en charge de l'authentification 802.1X sur les réseaux câblés requiert plusieurs composants :

  • Téléphone IP Cisco : le téléphone envoie la requête d'accès au réseau. Les téléphones IP Cisco contiennent un demandeur 802.1X. Ce demandeur permet aux autoriser de contrôler la connectivité des téléphones IP aux ports de commutation LAN. La version actuelle du demandeur 802.1X du téléphone utilise les options EAP-FAST et EAP-TLS pour l’authentification réseau.

  • Serveur d'authentification : le serveur d'authentification et le commutateur doivent tous deux être configurés avec un secret partagé RADIUS.

  • Commutateur : le commutateur doit prendre en charge 802.1X, de sorte qu'il peut agir en tant qu'authentifiant et relayer les messages EAP entre le téléphone et le serveur d'authentification. Une fois l’échange terminé, le commutateur accorde ou refuse au téléphone l’autorisation d’accéder au réseau.

Les téléphones IP Cisco et les commutateurs Catalyst Cisco utilisent généralement le protocole de découverte Cisco (CDP) pour s’identifier entre eux et pour déterminer des paramètres tels que l’allocation d’un réseau VLAN et les exigences relatives à l'alimentation en ligne.

Vous devez effectuer les actions suivantes pour configurer 802.1X.

  • Configurez le contournement CDP/LLDP voice VLAN.

  • Configurez le serveur d'authentification et le commutateur avant d'activer l'authentification 802.1X pour les réseaux câblés sur le téléphone.

  • Configure Voice VLAN (Configurer le VLAN voix) : la norme 802.1X ne tenant pas compte des VLAN, vous devez configurer ce paramètre en fonction de la prise en charge du commutateur.

    • Activé : Si vous utilisez un commutateur qui prend en charge l'authentification sur plusieurs domaines, vous pouvez le configurer pour utiliser la voix VLAN.
    • Désactivé : si le commutateur ne prend pas en charge l’authentification sur plusieurs domaines, désactivez le VLAN voix et envisagez d’affecter le port à un VLAN natif.
  • Cisco Le téléphone sans fil 9821 a un préfixe différent dans le PID de celui des autres téléphones Cisco. Pour activer votre téléphone avec succès l'authentification 802.1x, définissez le Rayon· Nom d'utilisateur pour inclure votre Cisco Téléphone sans fil 9821.

    Par exemple, le PID du téléphone sans fil Cisco 9821 est WP-9821. Vous pouvez définir Radius· Nom d'utilisateur pour commencer par WP ou contient WP dans les deux sections suivantes :

    • Stratégie > Conditions > Conditions de la bibliothèque

    • Stratégie > Ensembles de stratégies > Autorisation Stratégie > Règle d'autorisation 1

Activer l'authentification 802.1X pour les réseaux câblés sur votre téléphone

Procédez comme suit pour activer l'authentification 802.1X pour les réseaux câblés sur votre téléphone. Notez que l'authentification 802.1X pour Wi-Fi est activée par défaut et ne nécessite aucune configuration manuelle.

1

Accès aux paramètres 9821 Settings app icon Application.

2

Si vous y êtes invité, entrez le mot de passe pour accéder au menu Paramètres . Vous pouvez obtenir le mot de passe auprès de votre administrateur.

3

Sélectionnez Paramètres admin> Paramétrage de sécurité> Authentification 802.1X.

4

Mettez en surbrillance Device authentication (Authentification du périphérique) et appuyez sur Activé.

Activation de l'authentification 802.1X pour les réseaux câblés sur la page Web du téléphone

Lorsque l'authentification 802.1X pour les réseaux câblés est activée, le téléphone utilise l'Authentification 802.1X pour demander l'accès réseau au port Ethernet LAN. Lorsque l'authentification 802.1X pour les réseaux câblés est désactivée, le téléphone utilise Cisco Discovery Protocol (CDP) pour obtenir VLAN et l'accès réseau. Notez que l'authentification 802.1X pour Wi-Fi est activée par défaut et ne nécessite aucune configuration manuelle.

Vous pouvez sélectionner un certificat (MIC/SUDI ou CDC) utilisé pour l'authentification 802.1X. Pour plus d'informations sur CDC, consultez Certificat de périphérique personnalisé sur le téléphone sans fil Cisco 9821.

Vous pouvez afficher l'état de la transaction et les paramètres de sécurité dans le menu de l'écran du téléphone. Pour plus d'informations, voir Menu Paramètres de sécurité sur le téléphone.

1

Activer l'authentification 802.1X.

Sélectionnez Voix > Système. Dans la section Authentification 802.1X, définissez le paramètre Activer l'authentification 802.1X sur Oui.

Vous pouvez également configurer ce paramètre dans le fichier de configuration (cfg.xml).

<Enable_802.1X_Authentication ua="rw">Oui</Enable_802.1X_Authentication>

Valeurs valides : Oui | Non

Paramètre par défaut : non

2

Dans la section Authentification 802.1X, sélectionnez l'un des certificats installés suivants utilisés pour l'Authentification 802.1X dans la liste déroulante Sélect . certificat.

Options de valeur :

  • Fabrication installée : MIC/SUDI.
  • Installation personnalisée : CDC (Custom Device Certificate).

Vous pouvez également configurer ce paramètre dans le fichier de configuration (cfg.xml).

<Certificate_Select ua="rw">Installation personnalisée</Certificate_Select>

Valeurs valides : Fabrication installée|Installé sur mesure

Valeur par défaut : Installation en usine

3

Configurez le paramètre Utilisateur ID qui servira d'identité pour l'authentification 802.1X dans le réseau câblé.

Cette configuration s'applique uniquement lorsque vous utilisez un certificat de périphérique personnalisé (CDC) pour l'authentification 802.1X filaire, avec Certificat sélectionné défini sur Personnalisé installé.

Vous pouvez également configurer ce paramètre dans le fichier de configuration (cfg.xml).

<Wired_User_ID ua="na"></Wired_User_ID>

Valeurs acceptées : 127 caractères maximum

Valeur par défaut : vide

Ce paramètre prend également en charge les variables d'expansion de macro ; voir Variables d'expansion de macro pour plus de détails.

Si vous souhaitez configurer l'utilisateur ID en utilisant une combinaison avec les options DHCP, consultez Mise à disposition de l'utilisateur ID via l'option DHCP 15.

4

Cliquez sur Envoyer toutes les modifications.

Menu des paramètres de sécurité du téléphone

Pour afficher les informations sur les paramètres de sécurité dans le menu du téléphone, accédez à la page Paramètres 9821 Settings app icon et sélectionnez Paramètres admin > Paramétrage de sécurité> Authentification 802.1X. La disponibilité des informations dépend des paramètres réseau de votre organisation.

Paramètres

Options

Par défaut

Description

Authentification du périphérique

Activé

Désactivé

Désactivé

Active ou désactive l'authentification 802.1X sur le téléphone.

Le paramètre peut être conservé après l'enregistrement OOB (Out-Of-Box) du téléphone.

État de la transaction

Désactivé

Affiche l'état de l'Authentification 802.1x. L'état peut être (sans s'y limiter) :

  • Authentification : indique que le processus d'authentification est en cours.
  • Authentifié : indique que le téléphone est authentifié.
  • Désactivé : indique que l'authentification 802.1x est désactivée sur le téléphone.
  • Connexion : indique que le téléphone envoie des messages de début EAP au commutateur toutes les 30 secondes.
  • Acquis : indique que le commutateur a rejeté la requête EAP du téléphone et qu'il ne reçoit aucune provocation EAP-TLS ou EAP-FAST de sa part. Le téléphone tente de nouveau d'envoyer des requêtes EAP.
  • Déconnecté : indique que le câble Ethernet est déconnecté.
  • En attente : indique que le commutateur a traité la requête EAP du téléphone mais a rejeté l'authentification EAP-FAST ou EAP-TLS. Le téléphone tente de nouveau d'envoyer des requêtes EAP.

Protocole

Aucun

Affiche la méthode EAP utilisée pour l'authentification 802.1X. Il peut s’agir du protocole EAP-FAST ou EAP-TLS.

Type de certificat utilisateur

Installé en usine

Installé sur mesure

Installé en usine

Sélectionne le certificat pour l'authentification 802.1X lors de l'inscription initiale et du renouvellement du certificat.

  • Installation en usine : l'identifiant SUDI (Secure Unique Device Identifier) est utilisé.
  • Installation personnalisée : le certificat de périphérique personnalisé (CDC) est utilisé. Ce type de certificat peut être installé par téléchargement manuel sur la page Web du téléphone ou par installation à partir d'un serveur SCEP (Simple Certificate Enrollment Protocol).

Ce paramètre apparaît sur le téléphone uniquement lorsque l'authentification du périphérique est activée.

Modifier les mots de passe d'utilisateur et d'administrateur

Lors de l'enregistrement initial auprès d'un système de contrôle d'appels ou à la suite d'une réinitialisation d'usine, vous devez configurer les mots de passe utilisateur et administrateur lors de la première connexion à la page Web d'administration du téléphone. Vous pouvez mettre à jour ces informations d'identification à tout moment pour maintenir la sécurité de l'appareil.

Les règles de mot de passe valides sont les suivantes :

  • Le mot de passe doit contenir entre 8 et 127 caractères.
  • Combinaison (trois des quatre types) de majuscules, de petites lettres minuscules, de chiffres et de caractères spéciaux.
  • L'espace n'est pas autorisé.
1

Accéder à la page Web d'administration du téléphone.

2

Sélectionnez Voix > Système.

3

(Facultatif) Dans la section Configuration système, définissez le paramètre Afficher les avertissements de mot de passe sur Oui, puis cliquez sur Soumettre toutes les modifications.

Vous pouvez également activer ces paramètres dans le fichier de configuration du téléphone (cfg.xml).

<Display_Password_Warnings ua="na">Oui</Display_Password_Warnings>

Par défaut : Oui

Options : Oui|Non

Si le paramètre est défini sur Non, l'avertissement de mot de passe n'apparaît pas sur l'écran du téléphone.

4

Recherchez le paramètre User Password ou Admin Password, puis cliquez sur Change Password (Modifier le mot de passe ) en regard du paramètre.

5

Saisissez le mot de passe d'utilisateur actuel dans le champ Ancien mot de passe.

6

Saisissez un nouveau mot de passe dans le champ Nouveau mot de passe.

Si le nouveau mot de passe ne respecte pas les règles valides, le paramètre est refusé.

7

Cliquez sur Soumettre.

Le message Password has been changed successfully. s’affiche sur la page Web. L'actualisation de la page Web prendra quelques secondes.

Une fois que vous avez défini le mot de passe d’utilisateur, ce paramètre affiche les informations suivantes dans le fichier XML de configuration téléphonique (cfg.xml) :

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

Définir la version TLS minimale pour le client et le serveur

Par défaut, la version TLS minimale pour le client et le serveur est 1.2. Cela signifie que le client et le serveur acceptent d'établir des connexions avec TLS 1.2 ou supérieur. La version maximale prise en charge de TLS pour le client et le serveur est 1.3. Une fois configurée, la version TLS minimale sera utilisée pour la négociation entre le client TLS et le serveur TLS.

Vous pouvez définir la version minimale de TLS respectivement pour le client et le serveur, par exemple 1.1, 1.2 ou 1.3.

Avant de commencer

Assurez-vous que le serveur TLS prend en charge la version TLS minimale configurée. Vous pouvez consulter l'administrateur du système de contrôle des appels.

1

Accéder à la page Web d'administration du téléphone.

2

Sélectionnez Voix > Système.

3

Dans la section Paramètres de sécurité, configurez le paramètre TLS Version minimale du client.

  • TLS 1.1 : Le client TLS prend en charge les versions de TLS de 1.1 à 1.3.

    Si la version TLS sur le serveur est inférieure à 1.1, la connexion ne peut pas être établie.

  • TLS 1.2 (par défaut) : le client TLS prend en charge TLS 1.2 et 1.3.

    Si la version TLS sur le serveur est inférieure à 1.2, par exemple, 1.1, la connexion ne peut pas être établie.

  • TLS 1.3 : Le client TLS prend en charge TLS 1.3 uniquement.

    Si la version TLS du serveur est inférieure à 1.3, comme 1.2 ou 1.1, l’établissement de la connexion est impossible.

    Si vous souhaitez définir le paramètre "TLS Client Min Version" sur "TLS 1.3", assurez-vous que le côté serveur prend en charge TLS 1.3. Si le côté serveur ne prend pas en charge TLS 1.3, cela peut entraîner des problèmes critiques. Par exemple, les opérations de mise à disposition ne peuvent pas être effectuées sur les téléphones.

Vous pouvez également configurer ce paramètre dans le fichier de configuration (cfg.xml).

<TLS_Client_Min_Version ua="na">TLS 1,2</TLS_Client_Min_Version>

Valeurs autorisées : TLS 1,1, TLS1,2 et TLS 1,3.

Valeur par défaut : TLS 1.2

4

Dans la section Paramètres de sécurité, configurez le paramètre TLS Version minimale du serveur.

Webex Calling ne prend pas en charge TLS 1.1.

  • TLS 1.1 : Le serveur TLS prend en charge les versions de TLS de 1.1 à 1.3.

    Si la version TLS sur le client est inférieure à 1.1, la connexion ne peut pas être établie.

  • TLS 1.2 (par défaut) : le serveur TLS prend en charge TLS 1.2 et 1.3.

    Si la version TLS dans le client est inférieure à 1.2, par exemple, 1.1, la connexion ne peut pas être établie.

  • TLS 1.3 : Le serveur TLS prend en charge TLS 1.3 uniquement.

    Si la version TLS dans le client est inférieure à 1.3, par exemple, 1.2 ou 1.1, la connexion ne peut pas être établie.

Vous pouvez également configurer ce paramètre dans le fichier de configuration (cfg.xml).

<TLS_Server_Min_Version ua="na">TLS 1,2</TLS_Server_Min_Version>

Valeurs autorisées : TLS 1,1, TLS1,2 et TLS 1,3.

Valeur par défaut : TLS 1.2

5

Cliquez sur Envoyer toutes les modifications.

Activer le mode initié par le client pour les négociations de sécurité du plan média

Pour protéger les sessions multimédias, vous pouvez configurer le téléphone pour qu'il initie les négociations de sécurité du plan de support avec le serveur. Le mécanisme de sécurité suit les normes énoncées dans la RFC 3329 et son projet d'extension Security Mechanism Names for Media (Voir https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Le transport des négociations entre le téléphone et le serveur peut utiliser le protocole SIP sur UDP, TCP et TLS. Vous pouvez limiter la négociation de la sécurité du plan de support pour qu'elle ne s'applique que lorsque le protocole de transport de signalisation est TLS.

Tableau 2. Paramètres de négociation de sécurité du plan média
ParamètreDescription

Demande MediaSec

Indique si le téléphone initie des négociations de sécurité du plan de support avec le serveur.

Exécutez l'une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <MediaSec_Request_1_ ua="na">Oui</MediaSec_Request_1_>
  • Dans l'interface Web du téléphone, définissez ce champ sur Oui ou Non en fonction des besoins.

Valeurs autorisées : Oui | Non

  • Oui : mode initié par le client. Le téléphone initie des négociations de sécurité du plan de support.
  • Non : mode initié par le serveur. Le serveur initie des négociations de sécurité du plan de support. Le téléphone n'initie pas de négociations, mais peut traiter les demandes de négociation provenant du serveur pour établir des appels sécurisés.

Paramètre par défaut : non

MediaSec sur TLS uniquement

Spécifie le protocole de transport de signalisation sur lequel la négociation de sécurité du plan de média est appliquée.

Avant de définir ce champ sur Oui, assurez-vous que le protocole de transport de signalisation est TLS.

Exécutez l'une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <MediaSec_Over_TLS_Only_1_ ua="na">Non</MediaSec_Over_TLS_Only_1_>

  • Dans l'interface Web du téléphone, définissez ce champ sur Oui ou Non en fonction des besoins.

Valeurs autorisées : Oui | Non

  • Oui : le téléphone initie ou traite les négociations de sécurité du plan de support uniquement lorsque le protocole de transport de signalisation est TLS.
  • Non : le téléphone initie et traite les négociations de sécurité du plan de support indépendamment du protocole de transport de signalisation.

Paramètre par défaut : non

1

Accéder à la page Web d'administration du téléphone.

2

Sélectionnez Voix > Poste(n).

3

Dans la section SIP Settings , définissez les champs Demande MediaSec et MediaSec sur TLS Only comme défini dans le tableau ci-dessus.

4

Cliquez sur Envoyer toutes les modifications.

Cet article était-il utile ?
Cet article était-il utile ?