Pregled

Tijekom uspostavljanja kontakta putem protokola TLS, standardni TLS klijent provjerava valjanost certifikata TLS poslužitelja. Međutim, ova implementacija potencijalno može dovesti do napada „Čovjek u sredini”, kada Jabber implementira preko interneta. Ako tijekom vaše prijave na platformu Jabber haker prikaže vlastiti poslužitelj s valjanim TLS certifikatom umjesto pristupnika Expressway, tada Jabber u nedostatku daljnje kontrole prihvaća taj certifikat i korisnik se može povezati sa zlonamjernim sustavom. Kako bi izbjegao ovaj problem, Jabber izvodi dodatni korak provjere valjanosti koji nije dio standardnog TLS protokola, provjeravajući podudara li se domena koju je korisnik unio tijekom postupka prijave s alternativnim imenima subjekta (SAN) uključenim u certifikat. Samo ako se podudaraju, Jabber se pokušava povezati s pristupnikom Expressway. Svaki unos SAN-a u certifikat mora biti potpisan od strane tijela za izdavanje certifikata (CA), što znači da će samo tvrtka koja posjeduje domenu moći dobiti certifikat potpisan od strane CA.

Svaki SAN koji je unesen u certifikat podliježe provjeri valjanosti od strane tijela nadležnog za izdavanje certifikata (CA), tako da samo poduzeće koje je vlasnik domene može nabaviti certifikat potpisan od strane tijela nadležnog za izdavanje certifikata. Time se poprilično otežava krađa identiteta pristupnika Expressway.

U Namjenskoj instanci Cisco upravlja certifikatima za aplikacije UC i stoga se certifikati potpisuju samo domenom koju pruža Cisco, npr.customer.amer.wxc-di.webex.com. Međutim, prijava krajnjeg korisnika na klijenta platforme Jabber s pomoću korisničke adrese e-pošte može se postići putem sljedećih mogućnosti:

Mogućnost 1 – Jabber početna prijava krajnjeg korisnika

Korisnicima se može priopćiti da za svoju početnu prijavu na klijenta platforme Jabber moraju upotrebljavati domenu tvrtke Cisco za glasovne usluge user@customer.amer.wxc-di.webex.com na početnom zaslonu, nakon čega slijedi njihovo korisničko ime ili adresa e-pošte tvrtke i lozinka na sljedećem zaslonu. Budući da je ovo najjednostavniji pristup, koraci su podrobnije prikazani:

  1. Korisnik mora unijeti domenu glasovne usluge koju pruža Cisco, za npr. user@customer.amer.wxc-di.webex.com, na početnom zaslonu za prijavu na platformu Jabber kao što je prikazano na slici u nastavku.


    Kada se aktivacija usluge dovrši, Cisco dijeli domenu glasovne usluge kupca za svaku regiju. Ovaj podatak dio je dokumenta s pojedinostima o pristupu koji se dijeli u prostoru aplikacije Webex. Dodatne informacije potražite u odjeljku Aktivacija usluge namjenske instance.

  2. Od korisnika se traži da unese korisničko ime ili ID e-pošte tvrtke zajedno s lozinkom za provjeru autentičnosti kao što je prikazano na slici u nastavku.


    Ako je omogućen SSO, sličnu operaciju će izvršiti IdP.

    Naknadne prijave nakon toga ne zahtijevaju od korisnika da izvede Korak 1, osim ako se klijent platforme Jabber vrati na zadane vrijednosti.

Mogućnost 2: upotrijebite domenu glasovne usluge

Ovim pristupom klijent platforme Jabber može razlikovati domenu klijenta koju je unio korisnik i domenu za otkrivanje usluge. Ako je domena glasovne usluge u instalacijskom programu postavljena na customer.amer.wxc-di.webex.com, korisnik se može prijaviti na klijenta platforme Jabber s pomoću adrese e-pošte svoje tvrtke, a Jabber i dalje može otkriti uslugu na temelju vrijednosti postavljene u domeni glasovne usluge. Ovo će ukloniti potrebu za pružanjem domene glasovne usluge u početnoj prijavi na platformu Jabber prema prethodno navedenoj mogućnosti.

Za sustav Windows:

Alati kao što je Microsoft Orca mogu se upotrebljavati za stvaranje prilagođenih instalacijskih alata platforme Jabber, koji mogu uključivati domenu glasovne usluge. Korisnicima se mogu dati upute da upotrebljavaju ove instalacijske alate za klijent platforme Jabber.

Za MAC, iOS, Android:

Alati kao što je MDM mogu se upotrebljavati za stvaranje prilagođenih instalacijskih alata platforme Jabber, koji mogu uključivati domenu glasovne usluge.

Mogućnost 3: upotrijebite konfiguracijsku URL-adresu

Konfiguracijska URL-adresa može se upotrebljavati za postavljanje parametara platforme Jabber prije početne prijave, kao što su domene glasovne usluge. Primjer konfiguracijske URL-adrese: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

Klikom na gornju vezu, domenu glasovne usluge možete postaviti u klijenta platforme Jabber koji radi na MAC, Android ili iOS uređajima.


Ova konfiguracija nije trajna pa bi korisnik trebao ponovno kliknuti na vezu ako se klijent platforme Jabber vrati na zadane postavke.

Vrijedno je napomenuti da aplikacija Webex nema prethodno navedeni zahtjev. Klijent obavlja provjeru domene, ali je moguće osigurati domenu glasovne usluge u Kontrolnom centru. Kada se aplikacija Webex poveže s platformom Webex, dobiva domenu glasovnih usluga i registrira je. Dodatne informacije koje se odnose na aplikaciju Webex za postavljanje pozivanja u aplikaciji potražite u odjeljku Integracija aplikacije Webex s namjenskom instancom za pozivanje u aplikaciji.

Korisne veze: lokalna implementacija za Cisco Jabber 14.0