Oversikt

Under TLS-håndtrykket kontrollerer En standard TLS-klient gyldigheten av TLS-serversertifikatet. Når Jabber distribueres over Internett, kan dette oppsettet være utsatt for et «mann-i-midten»-angrep.

Hvis en hacker presenterer sin egen server med et gyldig TLS-sertifikat i stedet for forventet Expressway under pålogging, kan Jabber godta sertifikatet på grunn av manglende tilleggskontroller, noe som kan føre til at brukeren kobles til et ondsinnet system. For å unngå dette problemet legger Jabber til et ekstra valideringstrinn, det bekrefter at domenet som ble angitt under pålogging, samsvarer med Subject Alternative Names (SAN) i sertifikatet. Hvis det samsvarer, prøver Jabber å koble til Expressway.

"Hver SAN-oppføring i sertifikatet må være signert av sertifiseringsinstansen (CA). Dette betyr at bare selskapet som eier domenet kan motta et CA-signert sertifikat, og CA validerer SAN-oppføringene. Derfor blir det betydelig vanskeligere å forfalske identiteten til Expressway."

I dedikert forekomst administrerer Cisco sertifikatene for UC-programmene, og derfor signeres sertifikatene med Cisco-domenet, For eksempel customer.amer.wxc-di.webex.com. For at en sluttbruker skal logge på Jabber-klienten med kundens e-postadresse, kan det imidlertid oppnås med følgende alternativer:

Alternativ 1 – Jabber innledende sluttbrukerpålogging

Jabber innledende sluttbrukerpålogging er den enkleste tilnærmingen, og trinnene er gitt i detalj:

  1. Skriv inn domenet for taletjeneste levert av Cisco, for eksempel user@customer.amer.wxc-di.webex.com i den første Jabber-påloggingsskjermen.

    Cisco deler kundens taletjenestedomene for hver region etter tjenesteaktivering. Denne informasjonen er en del av dokumentet med tilgangsdetaljer som deles i området for Webex-appen. Hvis du vil ha mer informasjon, kan du se Aktivering av dedikert forekomst-tjeneste.

  2. Skriv inn brukernavnet eller bedriftens e-post-ID sammen med passordet for godkjenning.

    Hvis SSO er aktivert, utfører IdP den lignende operasjonen.

    Påfølgende pålogginger krever ikke å utføre trinn 1, med mindre Jabber-klienten tilbakestilles.

Opsjon 2: Bruk taletjenestedomenet

Med denne tilnærmingen kan Jabber-klienten skille mellom kundens domene angitt av brukeren og tjenesteoppdagelsesdomenet. I installasjonsprogrammet, hvis taletjenestedomenet er satt til customer.amer.wxc-di.webex.com, kan brukeren logge på Jabber-klienten ved hjelp av selskapets e-postadresse, og Jabber kan fremdeles utføre tjenesteoppdagelsen basert på verdien som er angitt i taletjenestedomenet. Dette fjerner behovet for å gi taletjenestedomene i den første jabber-påloggingen, i henhold til alternativet ovenfor.

For Windows:

Verktøy som Microsoft Orca kan brukes til å opprette egendefinerte Jabber-installatører, som kan inkludere taletjenestedomenet. Brukerne kan bli bedt om å bruke disse installasjonsprogrammene for Jabber-klienten.

For MAC, iOS, Android:

Verktøy som MDM kan brukes til å opprette egendefinerte Jabber-installatører som kan inkludere taletjenestedomenet.

Opsjon 3: Bruk konfigurasjons-URL

En konfigurasjons-URL brukes til å angi Jabber-parametere før den første påloggingen, for eksempel taletjenestedomenet. Et eksempel på en konfigurasjons-URL: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

Ved å klikke på koblingen ovenfor kan taletjenestedomenet angis i Jabber-klienten som kjører på MAC-, Android- eller iOS-enheter.

Denne konfigurasjonen er ikke vedvarende, brukeren må klikke på koblingen igjen hvis Jabber-klienten tilbakestilles.

Webex-appen har ikke kravet ovenfor, klienten utfører domenekontrollen, men det er mulig å klargjøre taletjenestedomenet i Control Hub. Når Webex-appen kobler til Webex, får den taletjenestedomenet og registrerer det samme. Hvis du vil ha mer informasjon om oppsett av anrop i appen for Webex-appen, kan du se Webex-programintegrering med dedikert forekomst for anrop i appen.

Nyttig kobling: Lokal distribusjon for Cisco Jabber 14.0