개요

TLS 핸드셰이크 중에 표준 TLS 클라이언트는 TLS 서버 인증서의 유효성을 확인합니다. 그러나 이 구현은 Jabber가 인터넷을 통해 배포할 때 잠재적으로 '중간자' 공격을 초래할 수 있습니다. 로그인하는 동안 해커가 Expressway 대신 유효한 TLS 인증서를 Jaber에 자체 서버를 제공하는 경우 Jabber는 추가 제어가 없는 상태에서 인증서를 수락하고 사용자는 악의적인 시스템에 연결될 수 있습니다. 이 문제를 방지하기 위해 Jabber는 표준 TLS에 속하지 않는 추가 유효성 검사 단계를 수행하며 사용자가 로그인 프로세스 중에 입력한 도메인이 인증서에 포함된 SAN(주체 대체 이름)과 일치하는지 확인합니다. 일치하는 경우에만 Jabber가 Expressway에 연결을 시도합니다. 인증서에 생성된 모든 SAN 항목은 CA(인증 기관)의 서명을 받아야 합니다. 즉, 도메인을 소유한 회사만 CA 서명 인증서를 얻을 수 있습니다.

인증서에 입력된 모든 SAN은 CA(인증 기관)의 유효성 검사를 받아야 하므로 도메인을 소유한 회사만 CA 서명된 인증서를 얻을 수 있습니다. 따라서 Expressway의 ID를 도용하는 것이 훨씬 더 어려워집니다.

전용 인스턴스에서 Cisco는 UC 애플리케이션의 인증서를 관리하므로 인증서는 Cisco에서 제공하는 도메인(예: customer.amer.wxc-di.webex.com)으로만 서명됩니다. 그러나 최종 사용자가 고객 이메일 주소를 사용하여 Jabber 클라이언트에 로그인하려면 다음 옵션을 사용할 수 있습니다.

옵션 1 - Jabber 초기 최종 사용자 로그인

사용자는 Jabber 클라이언트에 초기 로그인을 위해 초기 화면에서 Cisco의 음성 서비스 도메인 user@customer.amer.wxc-di.webex.com을 사용하고 다음 화면에서 사용자 이름 또는 회사의 이메일 주소와 암호를 사용해야 합니다. 이것은 가장 간단한 방법이므로 단계를 자세히 설명합니다.

  1. 사용자는 Cisco에서 제공하는 음성 서비스 도메인(예: user@customer.amer.wxc-di.webex.com)은 아래 그림과 같이 초기 Jabber 로그인 화면에 표시됩니다.


    서비스 활성화가 완료되면 고객의 음성 서비스 도메인이 모든 지역에 대해 Cisco에 의해 공유됩니다. 이 정보는 Webex 앱 공간에서 공유하는 액세스 세부 사항 문서의 일부입니다. 자세한 내용은 전용 인스턴스 서비스 활성화를 참조하십시오.

  2. 아래 그림과 같이 인증을 위한 암호와 함께 사용자 이름 또는 회사의 이메일 ID를 입력하라는 메시지가 표시됩니다.


    SSO가 활성화된 경우 IdP에서 유사한 작업을 수행합니다.

    이후 로그인 후 Jabber 클라이언트를 재설정하지 않는 한 사용자가 1단계를 수행할 필요가 없습니다.

옵션 2: 음성 서비스 도메인 사용

이 접근 방식을 통해 Jabber 클라이언트는 사용자가 입력한 고객의 도메인과 서비스 검색 도메인을 구별할 수 있습니다. 설치 프로그램에서 음성 서비스 도메인이 customer.amer.wxc-di.webex.com로 설정된 경우 사용자는 회사의 이메일 주소를 사용하여 Jabber 클라이언트에 로그인할 수 있으며 Jabber는 음성 서비스 도메인에 설정된 값을 기반으로 서비스 검색을 수행할 수 있습니다. 이렇게 하면 위의 옵션에 따라 초기 Jabber 로그인에서 음성 서비스 도메인을 제공할 필요가 없어집니다.

Windows의 경우:

Microsoft Orca와 같은 도구를 사용하여 음성 서비스 도메인을 포함할 수 있는 사용자 지정 Jabber 설치 프로그램을 만들 수 있습니다. 사용자는 Jabber 클라이언트에 대해 이러한 설치 관리자를 사용하도록 지시할 수 있습니다.

MAC, iOS, Android용:

MDM과 같은 도구를 사용하여 음성 서비스 도메인을 포함할 수 있는 사용자 지정 Jabber 설치 프로그램을 만들 수 있습니다.

옵션 3: 구성 URL 사용

구성 URL을 사용하여 음성 서비스 도메인과 같은 초기 로그인 전에 Jabber 매개 변수를 설정할 수 있습니다. 구성 URL의 예: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

위의 링크를 클릭하면 MAC, Android 또는 iOS 장치에서 실행 중인 Jabber 클라이언트에서 음성 서비스 도메인을 설정할 수 있습니다.


이 구성은 영구적이지 않으므로, 사용자는 Jabber 클라이언트가 재설정된 경우 링크를 다시 클릭해야 합니다.

Webex 앱에는 위의 요구 사항이 없습니다. 클라이언트가 도메인 검사를 수행하지만 제어 허브에서 음성 서비스 도메인을 프로비저닝할 수 있습니다. Webex 앱이 Webex에 연결되면 음성 서비스 도메인을 가져오고 동일하게 등록합니다. Webex 앱의 앱 내 호출 설정에 대한 자세한 내용은 앱 내 호출을 위한 전용 인스턴스와의 Webex 애플리케이션 통합을 참조하십시오.

유용한 링크: Cisco Jabber 14.0의 온프레미스 구축