Aggiornamenti per la versione R21SP1
Installa il servizio di autenticazione XSP (R21SP1)
Utilizzare le procedure seguenti per installare AuthService sul server BroadWorks solo se si esegue R21SP1.
Installa servizio di autenticazione
Su BroadWorks 21SP1, il servizio di autenticazione è un'applicazione predefinita. Installarlo completando le seguenti operazioni:
Scaricare authenticationService_1.0.war (risorsa applicazione Web) da Xchange (https://xchange.broadsoft.com/node/499012).
Su ciascun XSP utilizzato con Webex, effettuare le seguenti operazioni:
Copiare il file .war in una posizione temporanea su XSP, ad esempio
/tmp/
Installare l'applicazione del servizio di autenticazione con il seguente contesto CLI e comando:
XSP_CLI/Manutenzione/ManagedObjects>'applicazione di installazione /tmp/authenticationService_1.0.war
Configura servizio di autenticazione
I token a lungo termine BroadWorks vengono generati e convalidati dal servizio di autenticazione ospitato su XSP.
Requisiti
I server XSP che ospitano il servizio di autenticazione devono disporre di un'interfaccia mTLS.
Gli XSP devono condividere le stesse chiavi per la crittografia/decrittografia di token broadworks lunghi. La copia di queste chiavi su ciascun XSP è un processo manuale.
Gli XSP devono essere sincronizzati con NTP.
Panoramica sulla configurazione
La configurazione base sugli XSP include:
Distribuire il servizio di autenticazione.
Configurare la durata del token su almeno 60 giorni (lasciare l'emittente come BroadWorks).
Generare e condividere le chiavi RSA su XSP.
Fornire l'URL authService al contenitore Web.
Distribuzione del servizio di autenticazione su XSP
Su ciascun XSP utilizzato con Webex:
Attivare l'applicazione del servizio di autenticazione sul
percorso /authService
(è necessario utilizzare questo percorso):XSP_CLI/Manutenzione/ManagedObjects> applicazione authenticationService <version> /authService
<version>(dove
è1.0
per l'applicazione su 21SP1).Distribuire l'applicazione:
XSP_CLI/Manutenzione/ManagedObjects>
l'applicazione /authService
Configurazione della durata del token
Controllare la configurazione token esistente (ore):
Il 21SP1:
XSP_CLI/Applications/authenticationService_1.0/TokenManager>
ottenere
Impostare la durata su 60 giorni (il massimo è 180 giorni):
Il 21SP1:
XSP_CLI/Applications/authenticationService_1.0/TokenManager>
tokenDuration 1440
Genera e condividi chiavi RSA
È necessario utilizzare le stesse coppie di chiavi pubbliche/private per la crittografia/decrittografia di token in tutte le istanze del servizio di autenticazione.
La coppia di chiavi viene generata dal servizio di autenticazione quando viene richiesto per la prima volta di emettere un token.
A causa di questi due fattori, è necessario generare chiavi su un XSP e copiarle su tutti gli altri XSP.
Se si scorrere le chiavi o modificare la lunghezza della chiave, è necessario ripetere la seguente configurazione e riavviare tutti gli XSP. |
Selezionare un XSP da utilizzare per la generazione di una coppia di chiavi.
Utilizzare un client per richiedere un token crittografato da tale XSP, richiedendo il seguente URL dal browser del client:
https://<XSP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)
(Viene generata una coppia privata/chiave pubblica su XSP, se non ne esiste già una)
(solo 21SP1) Controllare la posizione della chiave configurabile utilizzando il comando seguente:
XSP_CLI/Applications/authenticationService_1.0/Key> get
(solo 21SP1) Prendere nota del parametro
fileLocation
restituito.(solo 21SP1) Copiare l'intera directory di riallocazione, che contiene le directory secondarie pubbliche e
private, a tutti gli altri XSP.
Fornire l'URL authService al contenitore Web
Il container Web di XSP richiede l'URL authService in modo da poter convalidare i token.
Su ciascuno dei XSP:
Aggiungere l'URL del servizio di autenticazione come servizio di autenticazione esterno per lo strumento di comunicazione BroadWorks:
XSP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthService>
url impostato http://127.0.0.1/authService
Aggiungere l'URL del servizio di autenticazione al container:
XSP_CLI/Maintenance/ContainerOptions> aggiungere tomcat bw.authservice.authServiceUrl http://127.0.0.1/authService
Ciò consente Cisco Webex utilizzare il servizio di autenticazione per convalidare i token presentati come credenziali.
Controllare il parametro con
get
.Riavviare XSP.