דרישות תושבות משותפת

• שירות האימות חייב להיות תושב משותף עם יישומי Xsi, מכיוון שממשקים אלה חייבים לקבל אסימונים בעלי תוחלת חיים ארוכה עבור הרשאת שירות. שירות האימות נדרש כדי לאמת אסימונים אלה.

• שירות אימות ו- Xsi יכולים לפעול באותה יציאה במידת הצורך.

• באפשרותך להפריד בין השירותים/היישומים האחרים כנדרש עבור קנה המידה שלך (לדוגמה, חוות XSP|ADP של ניהול מכשירים ייעודיים).

• באפשרותך לאתר במשותף את יישומי Xsi, CTI, שירות האימות וה- DMS.

• אל תתקין יישומים או שירותים אחרים ב-|ADP של XSP המשמשים לשילוב BroadWorks עם Webex.

• אל תאתר במשותף את יישום NPS עם יישומים אחרים.

Xsi ממשקים

התקן וקבע את תצורת היישומים Xsi-Actions ו- Xsi-Events כמתואר במדריך תצורת ממשק השירותים של Cisco BroadWorks Xtended.

יש לפרוס מופע אחד בלבד של יישומי Xsi-Events ב-XSP|ADP המשמש לממשק CTI.

כל אירועי Xsi המשמשים לשילוב Broadworks עם Webex חייבים לכלול את אותו callControlApplicationName המוגדר תחת 'יישומים/Xsi-Events/GeneralSettings'. לדוגמה:

ADP_CLI/Applications/Xsi-Events/GeneralSettings> לקבל

callControlApplicationName = com.broadsoft.xsi-events

כאשר משתמש צורף ל-Webex, Webex יוצר מינוי עבור המשתמש ב-AS כדי לקבל אירועי טלפוניה עבור נוכחות והיסטוריית שיחות. המינוי משויך ל-callControlApplicationName וה-AS משתמש בו כדי לדעת לאיזה אירועי XSI לשלוח את אירועי הטלפוניה.

קביעת תצורה של שירות אימות (עם אימות אסימוני CI)

השתמש בהליך זה כדי לקבוע את תצורת שירות האימות לשימוש באימות אסימוני CI עם TLS. שיטת אימות זו מומלצת אם אתה מפעיל R22 ומעלה והמערכת שלך תומכת בה.

1. השגת פרטי כניסה של OAuth עבור Webex for Cisco BroadWorks.

2. התקן את התיקונים הבאים בכל שרת XSP|ADP. התקן את התיקונים המתאימים לשחרור שלך:

   • עבור R22:

     AP.platform.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap376508

     AP.xsp.22.0.1123.ap368601

   • עבור R23:

     AP.xsp.23.0.1075.ap376509

     AP.platform.23.0.1075.ap376509

   • עבור R24 - אין צורך בתיקון

   כל הפניה ל-XSP כוללת XSP או ADP.

3. התקן את היישום AuthenticationService בכל שירות XSP|ADP.

   1. הפעל את הפקודה הבאה כדי להפעיל את יישום AuthenticationService ב-XSP|ADP בנתיב הקשר /authService.

      XSP|ADP_CLI/Maintenance/ManagedObjects> הפעל יישום AuthenticationService 22.0_1.1123/authService

   2. הפעל פקודה זו כדי לפרוס את AuthenticationService ב-XSP|ADP:

      XSP|ADP_CLI/Maintenance/ManagedObjects> פריסת יישום /authServiceBroadWorks SW Manager /authService...

4. החל מ-Broadworks build 2022.10, רשויות האישורים שמגיעות עם Java אינן נכללות עוד באופן אוטומטי במאגר האמון של BroadWorks בעת המעבר לגרסה חדשה של Java. שירות AuthenticationService פותח חיבור TLS ל-Webex כדי להשיג את אסימון הגישה, וצריך שיהיו לו את הפריטים הבאים בחנות המהימנה שלו כדי לאמת את כתובת ה-URL של IDBroker ו-Webex:

   • IdenTrust Commercial Root CA 1

   • Go Daddy Root Certificate Authority - G2

   ודא שתעודות אלה קיימות תחת ה-CLI הבא

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> לקבל

   אם לא קיים, הפעל את הפקודה הבאה כדי לייבא את יחסי ברירת המחדל של Java:

   ADP_CLI/System/SSLCommonSettings/Trusts/Defaults> ייבואJavaCATrust

   לחלופין, באפשרותך להוסיף ידנית תעודות אלה כעוגנים של אמון עם הפקודה הבאה:

   ADP_CLI/System/SSLCommonSettings/Trusts/BroadWorks> updateTrust

   אם ה-ADP משודרג ממהדורה קודמת, רשויות האישורים מהמהדורה הישנה מיובאות באופן אוטומטי למהדורה החדשה והן ימשיכו להיות מיובאות עד להסרה ידנית.

   היישום AuthenticationService פטור מהגדרת validatePeerIdentity תחת ADP_CLI/System/SSLCommonSettings/GeneralSettings, ותמיד מאמת את זהות העמית. עיין בCisco Broadworks X509 Certificate Validation FD לקבלת מידע נוסף על הגדרה זו.

5. הגדר את ספקי הזהויות על-ידי הפעלת הפקודות הבאות בכל שרת XSP|ADP:

   XSP|ADP_CLI/יישומים/AuthenticationService/IdentityProviders/Cisco> לקבל

   • הגדר clientId client-Id-From-Step1

   • מוגדר כ-true

   • הגדר clientSecret לקוח-סוד-מן-Step1

   • הגדר ciResponseBodyMaxSizeInBytes 65536

   • הגדר מנפיקName – עבור כתובת ה-URL, הזן את כתובת ה-URL של IssuerName שחלה על אשכול CI שלך. ראה הטבלה הבאה.

   • הגדר issuerUrl – עבור כתובת ה-URL, הזן את IssuerUrl שחל על אשכול CI שלך. ראה את הטבלה הבאה.

   • הגדר tokenInfoUrl – הזן את כתובת ה-URL של IdP Proxy שחלה על אשכול Teams שלך. ראה את הטבלה השנייה הבאה.

   הערה: הגדרת שם מנפיק ומנפיקURL

   אם אשכול CI הוא...	הגדר את שם המנפיק ואת המנפיקURL ל...
   ארה"ב-א	https://idbroker.webex.com/idb
   EU	https://idbroker-eu.webex.com/idb
   US-B	https://idbroker-b-us.webex.com/idb
   אם אינך מכיר את אשכולה- CI שלך , באפשרותך לקבל את המידע מפרטי הלקוח בתצוגת צוות התמיכה של מרכז הבקרה.

   טבלה 2. הגדר טוקןInfoURL

   אם אשכול Teams הוא...	הגדר אסימוןInfoURL ל... (כתובת URL של פרוקסי IdP)
   אח"ם	https://broadworks-idp-proxy-a.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   אפרה	https://broadworks-idp-proxy-k.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   אאור	https://broadworks-idp-proxy-r.wbx2.com/broadworks-idp-proxy/api/v1/idp/authenticate
   אם אינך מכיר את אשכולTeams שלך , באפשרותך לקבל את המידע מפרטי הלקוח בתצוגת צוות התמיכה של מרכז הבקרה. לבדיקה, באפשרותך לאמת שה-tokenInfoURL חוקי על-ידי החלפת החלק "idp/authenticate" של ה-URL ב-ping".

6. ציין את הזכאות של Webex שחייבת להיות נוכחת בפרופיל המשתמש ב- Webex על-ידי הפעלת הפקודה הבאה:

   XSP|ADP_CLI/יישומים/AuthenticationService/IdentityProviders/Cisco/Scopes> הגדר היקף broadworks-מחבר:משתמש

7. קבע תצורה של ספקי זהויות עבור איחוד Cisco באמצעות הפקודות הבאות בכל שרת XSP|ADP:

   XSP|ADP_CLI/יישומים/AuthenticationService/IdentityProviders/Cisco/Federation> לקבל

   • הגדר flsUrl https://cifls.webex.com/federation

   • הגדר רענוןPeriodInדקות 60

   • הגדר refreshTokenrefresh-Token-From-Step1

8. הפעל את הפקודה הבאה כדי לאמת שתצורת FLS שלך פועלת. פקודה זו תחזיר את רשימת ספקי הזהויות:

   XSP|ADP_CLI/יישומים/AuthService/IdentityProviders/Cisco/Federation/ClusterMap> קבל

9. קבע תצורה של ניהול אסימונים באמצעות הפקודות הבאות בכל שרת XSP|ADP:

   • XSP|ADP_CLI/יישומים/AuthenticationService/TokenManagement>

   • הגדר אסימוןIssuer BroadWorks

   • הגדר אסימוןDurationInHours 720

10. צור ושתף מפתחות RSA. עליך ליצור מפתחות ב-XSP|ADP אחד ולאחר מכן להעתיק אותם לכל ה-ADP של XSP| האחרים. זאת בשל הגורמים הבאים:

    • עליך להשתמש באותם זוגות מפתחות ציבוריים/פרטיים להצפנה/פענוח של אסימונים בכל המופעים של שירות האימות.

    • זוג המפתחות נוצר על-ידי שירות האימות כאשר הוא נדרש לראשונה להנפיק אסימון.

    אם אתה מחזר מפתחות או משנה את אורך המקש, עליך לחזור על התצורה הבאה ולהפעיל מחדש את כל ה-|ADP של XSP.

    1. בחר XSP|ADP אחד לשימוש ליצירת זוג מפתחות.

    2. השתמש בלקוח כדי לבקש אסימון מוצפן מה-XSP|ADP הזה, על-ידי בקשת ה-URL הבא מדפדפן הלקוח:

       https://<XSP|ADP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

       (פעולה זו יוצרת זוג מפתחות פרטי/ציבורי ב-XSP|ADP, אם לא היה אחד כבר)

    3. מיקום חנות המפתח אינו ניתן להגדרה. ייצא את המפתחות:

       XSP|ADP_CLI/יישומים/authenticationService/KeyManagement> exportKeys

    4. העתק את הקובץ המיוצא /var/broadworks/tmp/authService.keys לאותו מיקום ב-ADP של XSP|ADP האחרים, להחליף קובץ .keys ישן יותר במידת הצורך.

    5. יבא את המפתחות בכל אחד מ-|ADP XSP האחרים:

       XSP|ADP_CLI/יישומים/authenticationService/KeyManagement> ייבואמפתחות /var/broadworks/tmp/authService.keys

11. ספק את כתובת ה- URL authService למיכל האינטרנט. מיכל האינטרנט של XSP|ADP זקוק לכתובת ה-URL של authService כדי שיוכל לאמת אסימונים. בכל אחד מ-XSP|ADPs:

    1. הוסף את כתובת ה- URL של שירות האימות כשירות אימות חיצוני עבור כלי התקשורת של BroadWorks:

       XSP|ADP_CLI/מערכת/תקשורתשירות/ברירת מחדלהגדרות/ExternalAuthentication/AuthService> הגדר כתובת URL http://127.0.0.1:80/authService

    2. הוסף את כתובת ה- URL של שירות האימות לגורם המכיל:

       XSP עברית|אדפ_CLI/תחזוקה/ContainerOptions> הוסף tomcat bw.authservice.authServiceUrl http://127.0.0.1:80/authService

       פעולה זו מאפשרת ל- Webex להשתמש בשירות האימות כדי לאמת אסימונים המוצגים כאישורים.

    3. בדוק את הפרמטר עם get.

    4. הפעל מחדש את XSP|ADP.

הסרת דרישת אימות לקוח עבור שירות Auth (R24 בלבד)

אם יש לך את תצורת שירות האימות עם אימות אסימוני CI ב- R24, עליך גם להסיר את דרישת אימות הלקוח עבור שירות האימות. הפעל את הפקודה הבאה CLI:

ADP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> הגדר Authenticationלקוח שירותAuthReq false

קביעת תצורה של TLS ו- Ciphers בממשקי HTTP (עבור XSI ושירות אימות)

יישומי שירות האימות, Xsi-Actions ו-Xsi-Events משתמשים בממשקי שרת HTTP. רמות התצורה של TLS עבור יישומים אלה הן כדלקמן:

הכללי ביותר = > > תעבורת > HTTP ממשק שרת HTTP > = הספציפי ביותר

ההקשרים של CLI שבהם אתה משתמש כדי להציג או לשנות את הגדרות SSL השונות הם:

קריאת תצורת ממשק TLS של שרת HTTP ב-XSP|ADP

1. היכנס ל-XSP|ADP ונווט אל XSP|ADP_CLI/Interface/Http/HttpServer>

2. הזן את הפקודה קבל וקרא את התוצאות. אתה אמור לראות את הממשקים (כתובות IP) ועבור כל אחד מהם, האם הם מאובטחים והאם הם דורשים אימות לקוח.

Apache tomcat מחייב אישור עבור כל ממשק מאובטח; המערכת יוצרת אישור בחתימה עצמית אם היא זקוקה לו.

XSP|ADP_CLI/ממשק/Http/HttpServer> קבל

הוספת פרוטוקול TLS 1.2 לממשק שרת HTTP

יש להגדיר את ממשק ה- HTTP המקיים אינטראקציה עם ענן Webex עבור TLSv1.2. הענן אינו מנהל משא ומתן על גרסאות קודמות של פרוטוקול TLS.

כדי לקבוע את תצורת פרוטוקול TLSv1.2 בממשק שרת HTTP:

1. היכנס ל-XSP|ADP ונווט אל XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

2. הזן את הפקודה get 443 כדי לראות אילו פרוטוקולים כבר נמצאים בשימוש בממשק זה.

3. הזן את הפקודה הוסף 443 TLSv1.2 כדי להבטיח שהממשק יכול להשתמש ב-TLS 1.2 בעת תקשורת עם הענן.

עריכת תצורת צפנים TLS בממשק שרת HTTP

כדי להגדיר את הצפנים הנדרשים:

1. היכנס ל-XSP|ADP ונווט אל XSP|ADP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

2. הזן את הפקודה get 443 כדי לראות אילו צופנים כבר נמצאים בשימוש בממשק זה. חייבת להיות לפחות אחת מהחבילות המומלצות של Cisco (ראה XSP עברית|דרישות זהות ואבטחה של ADP בסעיף 'סקירה').

3. הזן את הפקודה הוסף 443 כדי להוסיף צופן לממשק שרת HTTP.

   XSP|ADP CLI דורש את שם חבילת ההצפנה הסטנדרטית של IANA, ולא את שם חבילת ההצפנה openSSL. לדוגמה, כדי להוסיף את צופן openSSL ECDHE-ECDSA-CHACHA20-POLY1305 לממשק שרת HTTP, השתמש ב: XSP|ADP_CLI/ממשק/Http/HttpServer/SSLSettings/Ciphers>הוסף 192.0.2.7 443 TLS_ECDHE_ECDSA_עם_CHACHA20_POLY1305

   ראה https://ciphersuite.info/ למצוא את הסוויטה בכל אחד מהשמות.

קבע את התצורה של ניהול מכשירים ב-XSP|ADP, שרת יישומים ושרת פרופיל

שרת פרופיל ו-XSP|ADP הם הכרחיים לניהול מכשירים. יש להגדיר אותם בהתאם להוראות במדריךהתצורה של ניהול ההתקנים של BroadWorks.