Mises à jour pour la version R21SP1

Installer le service d’authentification XSP (R21SP1)

Utilisez les procédures suivantes pour installer AuthService sur le serveur BroadWorks uniquement si vous avez R21SP1.

Installer le service d’authentification

Sur BroadWorks 21SP1, le service d’authentification est une application nonmanée. Installez-le en suivant les étapes suivantes :

  1. Téléchargez authenticationService_1.0.war (ressource d’application web) à partir de Xchange (https://xchange.broadsoft.com/node/499012).

    Sur chaque XSP utilisé avec Webex, faites les choses suivantes :

  2. Copiez le fichier .war dans un emplacement temporaire sur le XSP, tel que /tmp/

  3. Installez l’application du service d’authentification avec le contexte et la commande CLI suivants :

    XSP_CLI/Maintenance/Objets gérés> installez l’application /tmp/authenticationService_1.0.war

Configurer le service d’authentification

Les jetons longs et hébergés par BroadWorks sont générés et validés par le service d’authentification hébergé sur vos XSP.

Prérequis

  • Les serveurs XSP hébergeant le service d’authentification doivent avoir une interface mTLS configurée.

  • Les XSP doivent partager les mêmes clés pour chiffrer/déchiffrer les jetons BroadWorks longs et chiffrements. Copier ces clés vers chaque XSP est un processus manuel.

  • Les XSP doivent être synchronisés avec le NTP.

Aperçu de la configuration

La configuration essentielle sur vos XSP inclut :

  • Déployer le service d’authentification.

  • Configurez la durée du jeton sur au moins 60 jours (laissez l’émetteur en tant que BroadWorks).

  • Générer et partager les clés RSA entre les XSP.

  • Fournissez l’URL du service auth vers le conteneur Web.

Déployer le service d’authentification sur XSP

Sur chaque XSP utilisé avec Webex :

  1. Activez l’application de service d’authentification sur le chemin /authService (vous devez utiliser ce chemin) :

    XSP_CLI/Maintenance/Objets gérés> activer l’authentification de l’applicationService <version> /authService

    <version>(où est 1.0 pour l’application nonmanée sur 21SP1).

  2. Déployer l’application :

    XSP_CLI/Maintenance/Objets gérés> application /authService

Configurer la durée du jeton

  1. Vérifiez la configuration du jeton existant (heures) :

    Le 21SP1 :XSP_CLI/Applications/authenticationService_1.0/TokenManagement> recevez

  2. Définissez la durée sur 60 jours (le maximum est 180 jours) :

    Le 21SP1 :XSP_CLI/Applications/authenticationService_1.0/TokenManagement> configurer tokenDuration 1440

Générer et partager les clés RSA

  • Vous devez utiliser les mêmes paires de clés publiques/privées pour le chiffrement/déchiffrage du jeton dans toutes les instances du service d’authentification.

  • La paire de clés est générée par le service d’authentification lorsqu’il est nécessaire d’émettre un jeton pour la première fois.

En raison de ces deux facteurs vous devez générer des clés sur un XSP puis les copier vers tous les autres XSP.


Si vous cyclez des touches ou si vous changez la longueur de la clé, vous devez répéter la configuration suivante et redémarrer tous les XSP.

  1. Sélectionnez un XSP à utiliser pour générer un pair clé.

  2. Utilisez un client pour demander un jeton chiffré à partir de ce XSP, en demandant l’URL suivante à partir du navigateur du client :

    https://<XSP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

    (Ceci génère un pair de clé privée/publique sur le XSP, s’il n’y en avait pas déjà un)

  3. (21SP1 uniquement) Vérifiez l’emplacement de la clé configurable en utilisant la commande suivante :

    XSP_CLI/Applications/authenticationService_1.0/KeyManagement> recevez

  4. (21SP1 uniquement) Prenez note du paramètre renvoyé de lalocation du fichier.

  5. (21SP1 uniquement) Copiez l’intégralité du répertoire de géolocalisation, qui contient des sous-directeurs publics et privés, à tous les autres XSP.

Fournissez l’URL du service auth vers le conteneur Web

Le conteneur Web du XSP a besoin de l’URL authService pour pouvoir valider les jetons.

Sur chacun des XSP :

  1. Ajouter l’URL du service d’authentification en tant que service d’authentification externe pour l’utilitaire BroadWorks Communications :

    XSP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> URL de l’ensemble http://127.0.0.1/authService

  2. Ajoutez l’URL du service d’authentification au conteneur :

    XSP_CLI/Maintenance/ContainerOptions> ajouter tomcat bw.authservice.authServiceUrl http://127.0.0.1/authService

    Ceci permet à l Cisco Webex d’utiliser le service d’authentification pour valider les jetons présentés comme identifiants.

  3. Vérifiez le paramètre avec obtenir.

  4. Redémarrez le XSP.