סקירה

במהלך לחיצת היד של TLS, לקוח TLS סטנדרטי בודק את התוקף של תעודת שרת TLS. כאשר Jabber נפרס דרך האינטרנט, הגדרה זו עלולה להיות פגיעה למתקפת "אדם באמצע".

במהלך הכניסה, אם האקר מציג שרת משלהם עם תעודת TLS חוקית במקום ה-Expressway הצפוי, Jabber עשוי לקבל את האישור בשל חוסר בקרות נוספות, מה שעלול לגרום לחיבור המשתמש למערכת זדונית. כדי למנוע בעיה זו, Jabber מוסיף שלב אימות נוסף, הוא מאמת שהדומיין שהוזן במהלך ההתחברות תואם לשמות חלופיים לנושא (SAN) בתעודה. אם היא תואמת, Jabber מנסה להתחבר אל Expressway.

"כל כניסה SAN בתעודה חייבת להיות חתומה על ידי רשות ההסמכה (CA). משמעות הדבר היא כי רק החברה שבבעלותה הדומיין יכולה לקבל תעודה חתומה על-ידי CA, וה-CA מאמתת את ערכי SAN. לכן, זה נעשה הרבה יותר קשה לזייף את הזהות של Expressway."

במופע ייעודי, Cisco מנהלת את האישורים עבור יישומי UC ולכן האישורים חתומים עם הדומיין שסופק על ידי Cisco, לדוגמה, customer.amer.wxc-di.webex.com. עם זאת, כדי שמשתמש קצה יתחבר ללקוח Jabber עם כתובת הדוא"ל של הלקוח, ניתן להשיג את האפשרויות הבאות:

אפשרות 1 - כניסת משתמש קצה ראשונית של Jabber

התחברות ראשונית למשתמש קצה של Jabber היא הגישה הפשוטה ביותר, והצעדים ניתנים בפירוט:

  1. הזן את דומיין השירות הקולי שסופק של Cisco, לדוגמה, user@customer.amer.wxc-di.webex.com במסך ההתחברות הראשוני של Jabber.

    Cisco משתפת את דומיין השירות הקולי של הלקוח עבור כל אזור לאחר הפעלת השירות, מידע זה הוא חלק ממסמך פרטי הגישה ששותף במרחב יישום Webex. לפרטים נוספים, ראה הפעלת שירות מופע ייעודי.

  2. הזן את שם המשתמש או את מזהה הדוא"ל של החברה יחד עם הסיסמה לאימות.

    אם SSO מופעל, IdP מבצע את הפעולה דומה.

    התחברויות הבאות מפרסמות פעולה זו אינה דורשת לבצע שלב 1, אלא אם כן לקוח Jabber מאופס.

אפשרות 2: השתמש בדומיין השירות הקולי

בגישה זו, לקוח Jabber יכול להבדיל בין הדומיין של הלקוח שהוזן על-ידי המשתמש לבין דומיין גילוי השירות. במתקין אם דומיין השירות הקולי מוגדר ל-customer.amer.wxc-di.webex.com, המשתמש יכול להתחבר ללקוח Jabber באמצעות כתובת הדוא"ל של החברה ו-Jabber עדיין יכול לבצע את גילוי השירות בהתבסס על הערך שהוגדר בדומיין השירות הקולי. פעולה זו מסירה את הצורך לספק דומיין שירות קולי בהתחברות jabber הראשונית בהתאם לאפשרות שלעיל.

עבור חלונות:

כלים כמו Microsoft Orca יכולים לשמש ליצירת מתקינים מותאמים אישית של Jabber, שיכולים לכלול את דומיין השירות הקולי. ניתן להנחות את המשתמשים להשתמש במתקנים אלה עבור לקוח Jabber.

עבור MAC, iOS, Android:

כלים כגון MDM יכולים לשמש ליצירת מתקינים מותאמים אישית של Jabber שיכולים לכלול את דומיין השירות הקולי.

אפשרות 3: השתמש בכתובת ה-URL של התצורה

כתובת URL של תצורה משמשת להגדרת הפרמטרים של Jabber לפני ההתחברות הראשונית, כגון דומיין השירותים הקוליים. דוגמה לכתובת URL של תצורה: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

על ידי לחיצה על הקישור למעלה, ניתן להגדיר את דומיין השירות הקולי בלקוח Jabber הפועל במכשירי MAC, Android או iOS.

תצורה זו אינה מתמידה, המשתמש צריך ללחוץ שוב על הקישור אם לקוח Jabber מאופס.

ליישום Webex אין את הדרישה לעיל, הלקוח מבצע את בדיקת הדומיין, אבל ניתן להקצות את דומיין השירות הקולי ב-Control Hub. כאשר יישום Webex מתחבר ל-Webex, הוא מקבל את דומיין השירותים הקוליים ונרשם אותו דבר. לקבלת מידע נוסף בנוגע להגדרת ההתקשרות ביישום Webex, ראה שילוב יישום Webex עם מופע ייעודי עבור שיחות בתוך היישום.

קישור שימושי: פריסה מקומית עבור Cisco Jabber 14.0