Oversikt

Under TLS-håndhilsenen kontrollerer en standard TLS-klient gyldigheten til TLS-serversertifikat. Denne implementeringen kan potensielt sette i gang et «mannen i midten»-angrep når Jabber tas i bruk over Internett. Hvis en hacker presenterer Jabber på sin egen server med et gyldig TLS-sertifikat i stedet for Expressway under pålogging, vil Jabber godta det sertifikateten ved fravær av ytterligere kontroll, slik at brukeren kan bli tilkoblet et skadelig system. For å unngå dette problemet utfører Jabber et ekstra valideringstrinn som ikke er del av standard TLS. Det kontrollerer at domenet som ble angitt under påloggingsprosessen av brukeren stemmer overens med Alternative navn for subjekt (SAN), inkludert i sertifikatet. Jabber forsøker bare å koble til Expressway hvis det stemmer overens. Enhver SAN-oppføring i sertifikatet krever signering av sertifiseringsautoriteten (CA), noe som innebærer at bare selskapet som eier domenet vil kunne få et CA-signert sertifikat.

Enhver SAN oppført i sertifikatet er underlagt validering fra sertifiseringsautoriteten (CA), slik at bare selskapet som eier domenet kan få et CA-signert sertifikat. Det gjør det mye vanskeligere å stjele identiteten til Expressway.

I Dedikert tilfelle administrerer Cisco sertifikatene for UC-applikasjoner og dermed signeres sertifikatene bare med domener angitt av Cisco, f.eks.customer.amer.wxc-di.webex.com. For en sluttbruker til Jabber-klienten med kunde-e-postadressen kan påloggingen gjennomføres med følgende alternativer:

Alternativ 1 - Jabber første pålogging for sluttbruker

Brukerne kan kommuniseres det for første pålogging til Jabber-klienten. De må bruke Ciscos tjenestedomene for stemme user@customer.amer.wxc-di.webex.com på startskjermen, etterfulgt av brukernavn eller selskapets e-postadresse og passord på neste skjerm. Ettersom dette er den enkleste tilnærmingen, illustreres trinnene mer i detalj:

  1. Brukeren må angi tjenestedomene fra Cisco, f.eks. user@customer.amer.wxc-di.webex.com i første Jabber-påloggingsskjerm som vist i figuren under.


    Kundens tjenestedomene for stemme deles av Cisco for hver region når tjenesteaktiveringen er fullført. Denne informasjonen er del av dokument om tilgangsdetaljer delt i Webex App-området. Se Tjenesteaktivering for dedikert tilfelle for mer informasjon.

  2. Brukeren vil bli bedt om å angi brukernavnet eller selskapets e-post-ID sammen med passord for godkjenning som vist i figuren under.


    Hvis SSO er aktivert, vil en lignende operasjon utføres av ldP.

    Påfølgende påloggingsposter krever ikke at brukeren utfører Trinn 1, med mindre Jabber-klienten tilbakestilles.

Alternativ 2: Bruke tjenestedomene for stemme

Med denne tilnærmingen kan Jabra-klienten skille mellom kundens domene angitt av brukeren og domenet for tjenestefunn. I installatøren, hvis tjenestedomene for stemme er angitt som customer.amer.wxc-di.webex.com, kan brukeren logge på Jabber-klienten med selskapets e-postadresse, og Jabber kan fremdeles utføre tjenestefunn basert på verdien angitt i tjenestedomene for stemme. Dette gjør det unødvendig å angi tjenestedomene for stemme i første Jabber-pålogging i samsvar med alternativet over.

For Windows:

Verktøy som Microsoft Orca kan brukes til å opprette egendefinerte Jabber-installatører, som kan inkludere tjenestedomene for stemme. Brukerne kan instrueres om å bruke disse installatørene for Jabber-klienten.

For MAC, iOS, Android:

Verktøy som MDM kan brukes til å opprette egendefinerte Jabber-installatører, som kan inkludere tjenestedomene for stemme.

Alternativ 3: Bruke konfigurasjons-URL

En konfigurasjons-URL kan brukes til å angi Jabber-parametere før første pålogging, slik som tjenestedomene for stemme. Et eksempel på konfigurasjons-URL: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

Ved å klikke på koblingen over kan tjenestedomene for stemme angis i Jabber-klienten som kjører på MAC, Android og iOS-enheter.


Denne konfigurasjonen er ikke vedvarende. Brukeren må kunne klikke på koblingen igjen hvis Jabber-klienten tilbakestilles.

Det er verdt å merke at Webex App har ikke kravene over: Klienten utfører domenekontrollen, men det er mulig å klargjøre tjenestedomene for stemme i Control Hub. Når Webex App kobler seg til Webex, får den tjenestedomene for stemme og registrerer det samme. For mer informasjon om konfigurasjon av anrop i appen Webex App, kan du se Webex-programmeringsintegrasjon med Dedikert tilfelle for anrop i app.

Nyttig kobling: Distribusjon for Cisco Jabber 14.0 på kontoret