Oversigt

Under TLS-handshake kontrollerer en standard-TLS-klient gyldigheden af TLS-servercertifikatet. Denne implementering kan dog muligvis medføre "man-in-the-middle"-angreb, når Jabber installeres via internettet. Hvis en hacker viser Jabber sin egen server med et gyldigt TLS-certifikat i stedet for Expressway, accepterer Jabber i fraværet af yderligere kontrol det pågældende certifikat, og brugeren kan blive tilsluttet et skadeligt system. For at undgå dette problem foretager Jabber et yderligere valideringstrin, der ikke er en del af standard-TLS. Det kontrollerer, at det domæne, som brugeren har indtastet under logonprocessen, svarer til det SAN (Subject Alternative Names), der er inkluderet i certifikatet. Kun hvis det stemmer overens, forsøger Jabber at oprette forbindelse til Expressway. Enhver SAN-post, der er foretaget i certifikatet, skal være signeret af nøglecentret, hvilket betyder, at det kun er det firma, der ejer domænet, der kan få et CA-signeret certifikat.

Ethvert SAN, der er indtastet i certifikatet, er underlagt validering fra nøglecenteret, så det kun er det firma, der ejer domænet, der kan få et CA-signeret certifikat. Det gør det meget sværere at stjæle Expressway-identiteten.

I en dedikeret forekomst administrerer Cisco certifikater til UC-programmer, og derfor er certifikaterne kun signeret med det Cisco-angivne domæne, f.eks. customer.amer.wxc-di.webex.com. En slutbruger kan imidlertid logge på Jabber-klienten med kundens e-mailadresse, ved at bruge følgende indstillinger:

Indstilling 1: Indledende slutbrugerlogon til Jabber

Brugerne kan blive få besked om, at de til deres første logfil i Jabber-klienten skal bruge Ciscos taletjenestedomæne user@customer.amer.wxc-di.webex.com på den indledende skærm efterfulgt af deres brugernavn eller e-mailadresse og adgangskode på den næste skærm. Da dette er den mest enkle tilgang, illustreres trinnene mere detaljeret:

  1. Brugeren skal angive det Cisco-leverede taletjenestedomæne, f.eks. user@customer.amer.wxc-di.webex.com på den indledende logonskærm som vist på figuren herunder.


    Kundens taletjenestedomæne deles af Cisco for hvert område, når tjenesteaktiveringen er fuldført. Disse oplysninger er en del af det dokument med adgangsoplysninger, der deles i Webex-app-området. Få flere oplysninger ved at se under Aktivering af dedikeret forekomsttjeneste.

  2. Brugeren bliver bedt om at indtaste brugernavn eller firmaets e-mail-id sammen med adgangskoden til godkendelse som vist i figuren herunder.


    Hvis SSO er aktiveret, udføres der lignende handlinger af IdP.

    Efterfølgende logonpost kræver ikke, at brugeren udfører trin 1, medmindre Jabber-klienten nulstilles.

Indstilling 2: Brug taletjenestedomænet

Med denne metode kan Jabber-klienten skelne mellem kundens domæne, der er angivet af brugeren og domænet for tjenesteregistrering. Hvis taletjenestedomænet er indstillet til customer.amer.wxc-di.webex.com, kan brugeren i installationsprogrammet logge på Jabber-klienten ved brug af firmaets e-mailadresse, og Jabber kan stadig udføre tjenesteregistrering baseret på den værdi, der er angivet i taletjenestedomænet. Dette fjerner behovet for at levere et taletjenestedomæne i det oprindelige Jabber-logon i henhold til ovenstående indstilling.

I Windows:

Værktøjer som f.eks. Microsoft Orca kan bruges til at oprette brugerdefinerede Jabber-installationsprogrammer, der kan inkludere taletjenestedomænet. Brugerne kan instrueres i at bruge disse installationsprogrammer til Jabber-klienten.

For MAC, iOS, Android:

Værktøjer som f.eks. MDM kan bruges til at oprette brugerdefinerede Jabber-installationsprogrammer, der kan inkludere taletjenestedomænet.

Indstilling 3: Brug konfigurations-URL-adressen

En konfigurations-URL-adresse kan bruges til at angive Jabber-parametre før det første logon, f.eks. taletjenestedomænet. Et eksempel på en konfigurations-URL-adresse: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

Hvis du klikker på ovenstående link, kan taletjenestedomænet angives i Jabber-klienten, der kører på MAC, Android-eller iOS-enheder.


Denne konfiguration er ikke permanent, så brugeren skal klikke på linket igen, hvis Jabber-klienten nulstilles.

Det er værd at bemærke, at Webex-appen ikke har ovennævnte krav. Klienten udfører domænekontrollen, men det er muligt at klargøre taletjenestedomænet i Control Hub. Når Webex-appen opretter forbindelse til Webex, henter den taletjenestedomænet og registrerer det samme. Hvis du ønsker yderligere oplysninger om konfiguration af opkald i Webex-appen, kan du se Webex-app-integration med dedikeret forekomst til opkald i app.

Nyttigt Link: Lokal installation for Cisco Jabber 14.0