Aggiornamenti per la versione R21SP1

Installa il servizio di autenticazione XSP (R21SP1)

Utilizzare le procedure seguenti per installare AuthService sul server BroadWorks solo se si esegue R21SP1.

Installa servizio di autenticazione

Su BroadWorks 21SP1, il servizio di autenticazione è un'applicazione predefinita. Installarlo completando le seguenti operazioni:

  1. Scaricare authenticationService_1.0.war (risorsa applicazione Web) da Xchange (https://xchange.broadsoft.com/node/499012).

    Su ciascun XSP utilizzato con Webex, effettuare le seguenti operazioni:

  2. Copiare il file .war in una posizione temporanea su XSP, ad esempio /tmp/

  3. Installare l'applicazione del servizio di autenticazione con il seguente contesto CLI e comando:

    XSP_CLI/Manutenzione/ManagedObjects>'applicazione di installazione /tmp/authenticationService_1.0.war

Configura servizio di autenticazione

I token a lungo termine BroadWorks vengono generati e convalidati dal servizio di autenticazione ospitato su XSP.

Requisiti

  • I server XSP che ospitano il servizio di autenticazione devono disporre di un'interfaccia mTLS.

  • Gli XSP devono condividere le stesse chiavi per la crittografia/decrittografia di token broadworks lunghi. La copia di queste chiavi su ciascun XSP è un processo manuale.

  • Gli XSP devono essere sincronizzati con NTP.

Panoramica sulla configurazione

La configurazione base sugli XSP include:

  • Distribuire il servizio di autenticazione.

  • Configurare la durata del token su almeno 60 giorni (lasciare l'emittente come BroadWorks).

  • Generare e condividere le chiavi RSA su XSP.

  • Fornire l'URL authService al contenitore Web.

Distribuzione del servizio di autenticazione su XSP

Su ciascun XSP utilizzato con Webex:

  1. Attivare l'applicazione del servizio di autenticazione sul percorso /authService (è necessario utilizzare questo percorso):

    XSP_CLI/Manutenzione/ManagedObjects> applicazione authenticationService <version> /authService

    <version>(dove è 1.0 per l'applicazione su 21SP1).

  2. Distribuire l'applicazione:

    XSP_CLI/Manutenzione/ManagedObjects> l'applicazione /authService

Configurazione della durata del token

  1. Controllare la configurazione token esistente (ore):

    Il 21SP1:XSP_CLI/Applications/authenticationService_1.0/TokenManager> ottenere

  2. Impostare la durata su 60 giorni (il massimo è 180 giorni):

    Il 21SP1:XSP_CLI/Applications/authenticationService_1.0/TokenManager> tokenDuration 1440

Genera e condividi chiavi RSA

  • È necessario utilizzare le stesse coppie di chiavi pubbliche/private per la crittografia/decrittografia di token in tutte le istanze del servizio di autenticazione.

  • La coppia di chiavi viene generata dal servizio di autenticazione quando viene richiesto per la prima volta di emettere un token.

A causa di questi due fattori, è necessario generare chiavi su un XSP e copiarle su tutti gli altri XSP.


Se si scorrere le chiavi o modificare la lunghezza della chiave, è necessario ripetere la seguente configurazione e riavviare tutti gli XSP.

  1. Selezionare un XSP da utilizzare per la generazione di una coppia di chiavi.

  2. Utilizzare un client per richiedere un token crittografato da tale XSP, richiedendo il seguente URL dal browser del client:

    https://<XSP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

    (Viene generata una coppia privata/chiave pubblica su XSP, se non ne esiste già una)

  3. (solo 21SP1) Controllare la posizione della chiave configurabile utilizzando il comando seguente:

    XSP_CLI/Applications/authenticationService_1.0/Key> get

  4. (solo 21SP1) Prendere nota del parametro fileLocation restituito.

  5. (solo 21SP1) Copiare l'intera directory di riallocazione, che contiene le directory secondarie pubbliche e private, a tutti gli altri XSP.

Fornire l'URL authService al contenitore Web

Il container Web di XSP richiede l'URL authService in modo da poter convalidare i token.

Su ciascuno dei XSP:

  1. Aggiungere l'URL del servizio di autenticazione come servizio di autenticazione esterno per lo strumento di comunicazione BroadWorks:

    XSP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthService> url impostato http://127.0.0.1/authService

  2. Aggiungere l'URL del servizio di autenticazione al container:

    XSP_CLI/Maintenance/ContainerOptions> aggiungere tomcat bw.authservice.authServiceUrl http://127.0.0.1/authService

    Ciò consente Cisco Webex utilizzare il servizio di autenticazione per convalidare i token presentati come credenziali.

  3. Controllare il parametro con get.

  4. Riavviare XSP.