Áttekintés

A TLS-kézfogás során a szabványos TLS-ügyfél ellenőrzi a TLS-kiszolgáló tanúsítványának érvényességét. Ez a megvalósítás azonban potenciálisan „man-in-the-middle” támadást eredményezhet, amikor a Jabbert az interneten keresztül telepítik. Ha bejelentkezéskor egy hacker a Jabber saját kiszolgálóját mutatja be érvényes TLS-tanúsítvánnyal az Expressway helyett, akkor a Jabber további ellenőrzés hiányában elfogadja ezt a tanúsítványt, és a felhasználó egy rosszindulatú rendszerhez csatlakozhat. E probléma elkerülése érdekében a Jabber egy további érvényesítési lépést hajt végre, amely nem része a szabványos TLS-nek: ellenőrzi, hogy a felhasználó által a bejelentkezés során megadott domain megegyezik-e a tanúsítványban szereplő alanyi alternatív nevekkel (SAN). A Jabber csak akkor próbál meg csatlakozni az Expresswayhez, ha az egyezik. A tanúsítványban szereplő minden SAN-bejegyzést a hitelesítésszolgáltatónak (CA) kell aláírnia, ami azt jelenti, hogy csak a domain tulajdonosa kaphat CA által aláírt tanúsítványt.

A tanúsítványba beírt SAN-t a hitelesítésszolgáltató (CA) hitelesíti, így csak a tartományt birtokló vállalat kaphat CA által aláírt tanúsítványt. Sokkal nehezebbé teszi a gyorsforgalmi út személyazonosságának ellopását.

A Dedikált Instance-en belül a Cisco kezeli az UC-alkalmazások tanúsítványait, ezért a tanúsítványok csak a Cisco által biztosított doaminben kerülnek aláírásra, például customer.amer.wxc-di.webex.com. Azonban a végfelhasználó számára a Jabber ügyfélbe való bejelentkezés az ügyfél e-mail-címével a következő lehetőségekkel érhető el:

1. lehetőség – Jabber kezdeti végfelhasználói bejelentkezés

A felhasználókkal közölni lehet, hogy a Jabber ügyfélbe való első bejelentkezéshez a Cisco hangszolgáltatási domainjét (user@customer.amer.wxc-di.webex.com ) kell használniuk a kezdőképernyőn, majd a következő képernyőn a felhasználónevüket vagy a vállalati e-mail-címüket és jelszavukat. Mivel ez a legegyszerűbb megközelítés, a lépéseket részletesebben illusztráljuk:

  1. A felhasználónak a Cisco által biztosított hangszolgáltatási domaint, például a user@customer.amer.wxc-di.webex.com címet kell megadnia a Jabber kezdeti bejelentkezési képernyőjén, ahogy az alábbi ábrán látható.


    Az ügyfél hangszolgáltatási domainjét a Cisco minden régióban megosztja, amikor a szolgáltatás aktiválása befejeződik. Ez az információ a Webex alkalmazás terében megosztott hozzáférési adatok dokumentum része. További részletekért lásd: Dedicated Instance szolgáltatás aktiválása.

  2. A felhasználónak meg kell adnia a felhasználónevét vagy a vállalati e-mail-azonosítóját a hitelesítéshez szükséges jelszóval együtt, ahogy az alábbi ábrán látható.


    Ha az SSO engedélyezve van, az IdP hasonló műveletet hajt végre.

    Az ezt követő bejelentkezések után a felhasználónak nem kell elvégeznie az 1. lépést, kivéve, ha a Jabber ügyfél alaphelyzetbe kerül.

2. lehetőség: A hangszolgáltatási domain használata

Ezzel a megközelítéssel a Jabber ügyfél különbséget tud tenni a felhasználó által megadott ügyféldomain és a szolgáltatásfelfedezési domain között. Ha a telepítőben a hangszolgáltatás domainje a customer.amer.wxc-di.webex.com értékre van beállítva, a felhasználó a vállalati e-mail-címével bejelentkezhet a Jabber ügyfélbe, és a Jabber továbbra is képes a szolgáltatás felderítésére a hangszolgáltatás domainjében beállított érték alapján. Ezzel megszűnik a hangszolgáltatási domain megadásának szükségessége a kezdeti Jabber bejelentkezéskor a fenti opció szerint.

Windows esetén:

Az olyan eszközök, mint a Microsoft Orca, egyéni Jabber telepítők létrehozására használhatók, amelyek tartalmazhatják a hangszolgáltatási domaint. A felhasználókat utasíthatjuk, hogy ezeket a telepítőket használják a Jabber ügyfélhez.

Mac, iOS, Android esetén:

Az MDM-hez hasonló eszközökkel egyéni Jabber telepítők hozhatók létre, amelyek tartalmazhatják a hangszolgáltatási domaint.

3. lehetőség: A konfigurációs URL használata

A konfigurációs URL segítségével a kezdeti bejelentkezés előtt beállíthatók a Jabber paraméterei, például a hangszolgáltatások domainje. Egy példa a konfigurációs URL-re: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

A fenti linkre kattintva a hangszolgáltatási domain beállítható a Mac, Android vagy iOS eszközökön futó Jabber ügyfélen.


Ez a konfiguráció nem állandó, a felhasználónak újra rá kell kattintania a linkre, ha a Jabber ügyfél újraindul.

Érdemes megjegyezni, hogy a Webex alkalmazás nem írja elő a fenti követelményt; az ügyfél végzi el a domainellenőrzést, de a hangszolgáltatási domaint a Control Hubban lehet biztosítani. Amikor a Webex alkalmazás csatlakozik a Webexhez, megkapja és regisztrálja a hangszolgáltatási domaint. A Webex alkalmazás alkalmazáson belüli hívások beállításával kapcsolatos további információkért lásd: Webex alkalmazásintegráció Dedicated Instance-szel alkalmazáson belüli hívásokhoz.

Hasznos link: Helyszíni telepítés a Cisco Jabber 14.0 számára