el 03-31-2011 11:54 AM
Configuración de FAC (Forced Authorization Code) o códigos de acceso para llamadas utilizando un prompt con user y password.
El UC500 tiene un script prefabricado que permite utilizar usuarios y códigos para autenticarse y ser autorizados a realizar llamadas. A continuación como funciona:
1) Un usuario con IP Phone marca un patrón particular (destino internacional por ejemplo)
2) Si este destino es habilitado para usar FAC, el usuario escuchara una grabación preguntando por una cuenta de usuario y un PIN.
3) El usuario ingresa la cuenta/PIN. Si es válida, la llamada procede, si no la llamada es denegada.
Pasos para configurar:
1) Obtener el paquete de application de nuestro FTP. El paquete contiene 2 archivos de audio que tienen que ser colocados en la flash de nuestro UC500.
2) Copiar los archivos del paquete en la flash del UC500 utilizando TFTP.
3) (Opcional) Ingresa los comandos siguientes en modo de configuración global (en el ejemplo la cuenta y el PIN son de 3 digitos). Esto forza la longitud del user y PIN sin embargo no es estrictamente requerido.
application
service clid_authen_collect
param uid-len 3
param pin-len 3
4) Crear usuarios para autenticación. Nota que el username/password representara la cuenta y PIN que el usuario tendrá que digitar para ser autenticado antes de que la llamada pueda proceder. Se pueden crear multiples usuarios y luego asignarlos al personal que será permitido para realizar cierto tipo de llamadas. En el ejemplo, la cuenta y el pin son de 3 digitos, asi mismo el username corresponde con la extensión asignada al teléfono. Esta práctica no es mandatoria sin embargo conveniente. El sistema soporta un máximo de 16 digitos para los códigos.
aaa new-model
aaa authentication login h323 local
aaa authorization exec h323 local
aaa authorization network h323 local
username 201 password 123
username 201 autocommand exit
username 202 password 321
username 202 autocommand exit
** La opción de "autocommand" para el username, inmediatamente cierra la sesión del usuario del UC500 si estas sesiones son usadas para Telnet o SSH. La idea es prevenir un ataque DOS en la unidad si alguna fuente maliciosa se adueña de las sesiones de terminal (VTY). Nota que si se tiene EZVPN server configurado, estos usuarios pueden ser usados para accesar el sistema, en tal caso la implementación de FAC no se recomienda. Alternativamente se puede hacer uso de un Access class para prevenir que los usuarios FAC se conecten via telnet o SSH.
5) Crear un dial-peer para cada destino/patrón que se requiera cubrir con esta aplicación. Comienza con 5500. En el ejemplo, solamente un dial-peer se muestra con 900.T como el patrón, el cual es el prefijo internacional en México. Nota que el patrón contiene un código de acceso (9) el cual puede variar dependiendo la implementación (dial-plan).
dial-peer voice 5500 voip
description International Calls
service clid_authen_collect
destination-pattern 900.T
session target ipv4:10.1.1.1
incoming called-number 900.T
dtmf-relay h245-alphanumeric
codec g711ulaw
no vad
Nota: Asgurate que el “destination pattern” bajo tus POTS dial-peers igualan los “destination patterns” mostrados arriba. Si el POTS dial-peer es mas especifico el VoIP dial-peer loopback no va a tomarse en cuenta y va a ser saltado.
6) A continuacion se cubre la configuracion asumiendo que se tiene configurado permisos de patrones de llamdas utilizando COR list, abrir el Cisco configuration Assistant (CCA) e ir a Voice>users. Has click en “More…” para el usuario especifico (o usuarios) y asígnales el permiso “Internacional”. Cuando una llamada internacional es marcada, el usuario escuchara un prompt y tendra que ingresar las credenciales pertinentes (username y PIN configurados previamente) para que sea conectada.
Ahora, la configuración anterior forza el uso de FAC para cualquier usuario que llame un destino internacional. Si se necesita particionar el dialplan, esto es que algunos usuarios puedan llamar sin tener que ingresar alguna cuenta mientras que otros serán requeridos con usuario y pin, mas listas de Class of Restriction (COR) tienen que ser configuradas.
Teniendo en cuenta lo siguiente:
- Extension 201 (ephone-dn 1) es un usuario VIP y quiere marcar sin ser autenticado
- Extension 202 202 (ephone-dn 2) es un usuario regular y tiene que ir a través de la autenticación para realizar llamadas.
Aquí se tiene un ejemplo para llevar a cabo el comportamiento anterior (esta configuración ya fue hecha previamente con CCA para COR).
dial-peer cor custom
name international-fac
!
dial-peer cor list call-international-fac
member international-fac
!
dial-peer cor list user-international-fac
member internal
member local
member domestic
member international-fac
!
dial-peer voice 5500 voip
corlist incoming call-international-fac
corlist outgoing call-international-fac
!
ephone-dn 1
corlist incoming user-international
!
ephone-dn 2
corlist incoming user-international-fac
!
Donde esta esta parte en el CCA 3.2
A continuacion se cubre la configuracion asumiendo que se tiene configurado permisos de patrones de llamdas utilizando COR list, abrir el Cisco configuration Assistant (CCA) e ir a Voice>users. Has click en “More…” para el usuario especifico (o usuarios) y asígnales el permiso “Internacional”. Cuando una llamada internacional es marcada, el usuario escuchara un prompt y tendra que ingresar las credenciales pertinentes (username y PIN configurados previamente) para que sea conectada.
Saludos
Hola Efrain,
Estoy comenzando a configurar FAC en un CME y me sirvió mucho tu post.
El link de los audios está caido, existe alguna manera de que puedas subirlos otra vez?
Te agradezco de antemano,
Saludos,
Bruno
¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.
Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco:
Navegue y encuentre contenido personalizado de la comunidad