Configuración de FAC (Forced Authorization Code) o códigos de acceso para llamadas utilizando un prompt con user y password.

El UC500 tiene un script prefabricado que permite utilizar usuarios y códigos para autenticarse y ser autorizados a realizar llamadas. A continuación como funciona:

1) Un usuario con IP Phone marca un patrón particular (destino internacional por ejemplo)

2) Si este destino es habilitado para usar FAC, el usuario escuchara una grabación preguntando por una cuenta de usuario y un PIN.

3) El usuario ingresa la cuenta/PIN. Si es válida, la llamada procede, si no la llamada es denegada.

Pasos para configurar:

1)     Obtener el paquete de application de nuestro FTP. El paquete contiene 2 archivos de audio que tienen que ser colocados en la flash de nuestro UC500.

Simple-FAC-SBCS.zip

2)     Copiar los archivos del paquete en la flash del UC500 utilizando TFTP.

3)     (Opcional) Ingresa los comandos siguientes en modo de configuración global (en el ejemplo la cuenta y el PIN son de 3 digitos). Esto forza la longitud del user y PIN sin embargo no es estrictamente requerido.

application

service clid_authen_collect

  param uid-len 3

  param pin-len 3

4)     Crear usuarios para autenticación. Nota que el username/password representara la cuenta y PIN que el usuario tendrá que digitar para ser autenticado antes de que la llamada pueda proceder. Se pueden crear multiples usuarios y luego asignarlos al personal que será permitido para realizar cierto tipo de llamadas. En el ejemplo, la cuenta y el pin son de 3 digitos, asi mismo el username corresponde con la extensión asignada al teléfono. Esta práctica no es mandatoria sin embargo conveniente. El sistema soporta un máximo de 16 digitos para los códigos.

aaa new-model

aaa authentication login h323 local

aaa authorization exec h323 local

aaa authorization network h323 local

username 201 password 123

username 201 autocommand exit

username 202 password 321

username 202 autocommand exit

** La opción de "autocommand" para el username, inmediatamente cierra la sesión del usuario del UC500 si estas sesiones son usadas para Telnet o SSH. La idea es prevenir un ataque DOS en la unidad si alguna fuente maliciosa se adueña de las sesiones de terminal (VTY). Nota que si se tiene EZVPN server configurado, estos usuarios pueden ser usados para accesar el sistema, en tal caso la implementación de FAC no se recomienda. Alternativamente se puede hacer uso de un Access class para prevenir que los usuarios FAC se conecten via telnet o SSH.

5)     Crear un dial-peer para cada destino/patrón que se requiera cubrir con esta aplicación. Comienza con 5500. En el ejemplo, solamente un dial-peer se muestra con 900.T como el patrón, el cual es el prefijo internacional en México. Nota que el patrón contiene un código de acceso (9) el cual puede variar dependiendo la implementación (dial-plan).

dial-peer voice 5500 voip

description International Calls

service clid_authen_collect

destination-pattern 900.T

session target ipv4:10.1.1.1

incoming called-number 900.T

dtmf-relay h245-alphanumeric

codec g711ulaw

no vad

Nota: Asgurate que el “destination pattern” bajo tus POTS dial-peers igualan los “destination patterns” mostrados arriba. Si el POTS dial-peer es mas especifico el VoIP dial-peer loopback no va a tomarse en cuenta y va a ser saltado.

6)     A continuacion se cubre la configuracion asumiendo que se tiene configurado permisos de patrones de llamdas utilizando COR list, abrir el Cisco configuration Assistant (CCA) e ir a Voice>users. Has click en “More…” para el usuario especifico (o usuarios) y asígnales el permiso “Internacional”. Cuando una llamada internacional es marcada, el usuario escuchara un prompt y tendra que ingresar las credenciales pertinentes (username y PIN configurados previamente) para que sea conectada.

Ahora, la configuración anterior forza el uso de FAC para cualquier usuario que llame un destino internacional. Si se necesita particionar el dialplan, esto es que algunos usuarios puedan llamar sin tener que ingresar alguna cuenta mientras que otros serán requeridos con usuario y pin, mas listas de Class of Restriction (COR) tienen que ser configuradas.

Teniendo en cuenta lo siguiente:

- Extension 201 (ephone-dn 1) es un usuario VIP y quiere marcar sin ser autenticado

- Extension 202 202 (ephone-dn 2) es un usuario regular y tiene que ir a través de la autenticación para realizar llamadas.

Aquí se tiene un ejemplo para llevar a cabo el comportamiento anterior (esta configuración ya fue hecha previamente con CCA para COR).

dial-peer cor custom

name international-fac

!

dial-peer cor list call-international-fac

member international-fac

!

dial-peer cor list user-international-fac

member internal

member local

member domestic

member international-fac

!

dial-peer voice 5500 voip

corlist incoming call-international-fac

corlist outgoing call-international-fac

!

ephone-dn 1

corlist incoming user-international

!

ephone-dn 2

corlist incoming user-international-fac

!

Comentarios

Donde esta esta parte en el CCA 3.2

A  continuacion se cubre la configuracion asumiendo que se tiene  configurado permisos de patrones de llamdas utilizando COR list, abrir  el Cisco configuration Assistant (CCA) e ir a Voice>users. Has click  en “More…” para el usuario especifico (o usuarios) y asígnales el  permiso “Internacional”. Cuando una llamada internacional es marcada, el  usuario escuchara un prompt y tendra que ingresar las credenciales  pertinentes (username y PIN configurados previamente) para que sea  conectada.

Saludos

Hola Efrain,

Estoy comenzando a configurar FAC en un CME y me sirvió mucho tu post. 

El link de los audios está caido, existe alguna manera de que puedas subirlos otra vez?

Te agradezco de antemano,

Saludos,

Bruno

6037
Visitas
0
ÚTIL
2
Comentarios