Yleiskatsaus

Tavallinen TLS-asiakas tarkistaa TLS-palvelimen varmenteen voimassaolon TLS-kättelyn aikana. Tämä asetelma saattaa kuitenkin olla altis välikäsien välityksellä tapahtuvalle hyökkäykselle, kun Jabberia käytetään Internetin kautta. Jos hakkeri esittää kirjautumisen aikana Jabberille oman palvelimensa, jolla on voimassa oleva TLS-varmenne pikaviestimen sijasta, Jabber hyväksyy tämän varmenteen, ja käyttäjä voidaan liittää haitalliseen järjestelmään. Tämän ongelman välttämiseksi Jabber suorittaa ylimääräisen validointivaiheen, joka ei ole osa vakiomuotoista TLS:ää: se tarkistaa, että käyttäjän kirjautumisprosessin aikana syöttämä verkkotunnus vastaa varmenteeseen sisältyviä SAN-nimiä (Subject Alternative Names). Vain jos se täsmää, Jabber yrittää muodostaa yhteyden Expresswayyn. Varmenteeseen tehty SAN-merkintä edellyttää varmentajan allekirjoitusta, mikä tarkoittaa, että vain verkkotunnuksen omistava yritys voi saada varmentajan allekirjoittaman varmenteen.

Varmenteeseen merkitty SAN-varmenne edellyttää varmentajan vahvistusta, joten vain verkkotunnuksen omistava yritys voi saada varmentajan allekirjoittaman varmenteen. Se tekee pikaraitiotien identiteetin varastamisen paljon vaikeammaksi.

Dedicated Instance -tilassa Cisco hallinnoi UC-sovellusten varmenteita, joten varmenteet allekirjoitetaan vain Ciscon tarjoamalla toimialueella, esim. customer.amer.wxc-di.webex.com. Loppukäyttäjä voi kuitenkin kirjautua Jabber-asiakkaaseen asiakkaan sähköpostiosoitteella seuraavilla vaihtoehdoilla:

Vaihtoehto 1 - Jabber-loppukäyttäjän alkuperäinen kirjautuminen

Jabber-loppukäyttäjän alkuperäinen kirjautuminen on yksinkertaisin lähestymistapa, ja sen vaiheet on esitetty yksityiskohtaisesti:

  1. Kirjoita Ciscon tarjoama äänipalvelualue, esimerkiksi user@customer.amer.wxc-di.webex.com , Jabberin alkuperäiseen kirjautumisnäyttöön.


     

    Cisco jakaa asiakkaan puhepalvelun toimialueen jokaiselle alueelle palvelun aktivoinnin jälkeen Nämä tiedot ovat osa Webex App -tilassa jaettua käyttöoikeustietoja koskevaa asiakirjaa. Lisätietoja on osoitteessa Dedicated Instance Service Activation.

  2. Syötä käyttäjätunnus tai yrityksen sähköpostiosoite ja salasana tunnistautumista varten.


     

    Jos SSO on käytössä, IdP suorittaa samanlaisen toiminnon.


     
    Tämän jälkeiset kirjautumiset eivät edellytä vaiheen 1 suorittamista, ellei Jabber-asiakasohjelma nollaudu.

Vaihtoehto 2: Käytä äänipalvelualuetta

Tämän lähestymistavan avulla Jabber-asiakasohjelma voi erottaa käyttäjän syöttämän asiakkaan toimialueen ja palvelun löytöalueen toisistaan. Jos äänipalvelualueeksi on asennuksessa asetettu customer.amer.wxc-di.webex.com, käyttäjä voi kirjautua Jabber-asiakkaaseen yrityksensä sähköpostiosoitteella, ja Jabber voi silti tehdä palveluhavainnon äänipalvelualueelle asetetun arvon perusteella. Tämä poistaa tarpeen antaa äänipalvelun toimialue alkuperäisen jabber-kirjautumisen yhteydessä edellä esitetyn vaihtoehdon mukaisesti.

Ikkunoita varten:

Työkaluja, kuten Microsoft Orca , voidaan käyttää mukautettujen Jabber-asennusohjelmien luomiseen, jotka voivat sisältää äänipalvelualueen. Käyttäjiä voidaan opastaa käyttämään näitä asennusohjelmia Jabber-asiakasohjelmaa varten.

MAC, iOS, Android:

MDM:n kaltaisilla työkaluilla voidaan luoda mukautettuja Jabber-asennusohjelmia, jotka voivat sisältää äänipalvelualueen.

Vaihtoehto 3: Käytä kokoonpanon URL-osoitetta

Määritys-URL:ää käytetään Jabber-parametrien asettamiseen ennen ensimmäistä kirjautumista, kuten äänipalveluiden verkkotunnuksen asettamiseen. Esimerkki konfigurointi-URL-osoitteesta: ciscojabber://provision?ServicesDomain=asiakas.com&VoiceServicesDomain=asiakas.amer.wxc-di.webex.com

Napsauttamalla yllä olevaa linkkiä äänipalvelun verkkotunnus voidaan määrittää MAC-, Android- tai iOS-laitteissa toimivassa Jabber-asiakasohjelmassa.


 

Tämä määritys ei ole pysyvä, vaan käyttäjän on napsautettava linkkiä uudelleen, jos Jabber-asiakasohjelma nollataan.

Webex App -sovelluksella ei ole edellä mainittua vaatimusta, vaan asiakas suorittaa toimialueen tarkistuksen, mutta äänipalvelun toimialue on mahdollista määrittää Control Hubissa. Kun Webex-sovellus muodostaa yhteyden Webexiin, se saa äänipalvelutoimialueen ja rekisteröi sen. Lisätietoja Webex-sovelluksen sovellussisäisen soittamisen asetuksista on osoitteessa Webex-sovelluksen integrointi erillisen instanssin kanssa sovellussisäistä soittamista varten.

Hyödyllinen linkki: Cisco Jabber 14.0:n tiloissa tapahtuva käyttöönotto