Omówienie

Podczas obsługi TLS Standardowy klient TLS sprawdza ważność certyfikatu serwera TLS. Gdy Jabber jest wdrażany przez Internet, ta konfiguracja może być podatna na atak "człowiek w środku".

Podczas logowania, jeśli haker przedstawia swojemu serwerowi poprawny certyfikat TLS zamiast oczekiwanego Expressway, Jabber może zaakceptować ten certyfikat ze względu na brak dodatkowych elementów sterujących, co może spowodować połączenie użytkownika ze złośliwym systemem. Aby uniknąć tego problemu, Jabber dodaje dodatkowy krok sprawdzania poprawności, weryfikuje, że domena wprowadzona podczas logowania odpowiada Nazwom Alternatywnym Podmiotu (SAN) w certyfikacie. Jeśli jest zgodny, Jabber próbuje połączyć się z Expressway.

„Każdy wpis SAN w certyfikacie musi być podpisany przez Urząd certyfikacji (CA). Oznacza to, że tylko firma będąca właścicielem domeny może otrzymać certyfikat podpisany przez urząd certyfikacji, a urząd certyfikacji zatwierdza wpisy SAN. Dlatego znacznie trudniej jest fałszować tożsamość Expressway".

W dedykowanym wystąpieniu firma Cisco zarządza certyfikatami aplikacji UC, w związku z czym certyfikaty są podpisywane z domeną dostarczoną przez firmę Cisco, Na przykład customer.amer.wxc-di.webex.com. Jednak aby użytkownik końcowy zalogował się do klienta Jabber z adresem e-mail klienta, można uzyskać następujące opcje:

Opcja 1 – Początkowe logowanie użytkownika końcowego Jabbera

Pierwotne logowanie użytkownika końcowego Jabbera jest najprostszym podejściem, a kroki są szczegółowo podane:

  1. Wprowadź domenę usługi głosowej dostarczoną przez Cisco, na przykład user@customer.amer.wxc-di.webex.com na początkowym ekranie logowania Jabbera.

    Cisco udostępnia domenę usługi głosowej klienta dla każdego regionu po aktywacji usługi Ta informacja jest częścią dokumentu szczegółów dostępu udostępnionego w obszarze aplikacji Webex. Aby uzyskać więcej informacji, zobacz Aktywacja usługi dedykowanego wystąpienia.

  2. Wprowadź nazwę użytkownika lub identyfikator e-mail firmy wraz z hasłem do uwierzytelniania.

    Jeśli SSO jest włączone, IdP wykonuje podobną operację.

    Późniejsze logowanie nie wymaga wykonania kroku 1, chyba że klient Jabber jest zresetowany.

Opcja 2: Użyj domeny usługi głosowej

Dzięki takiemu podejściu klient Jabber może różnicować domenę klienta wprowadzoną przez użytkownika i domenę wykrywania usługi. Jeśli w instalatorze domena usługi głosowej jest ustawiona na customer.amer.wxc-di.webex.com, użytkownik może zalogować się do klienta Jabber za pomocą adresu e-mail swojej firmy, a Jabber może nadal dokonywać wyszukiwania usług na podstawie wartości ustawionej w domenie usługi głosowej. Usuwa to konieczność zapewnienia domeny usługi głosowej w początkowym logowaniu jabber zgodnie z powyższą opcją.

W przypadku okien:

Narzędzia takie jak Microsoft Orca mogą być używane do tworzenia niestandardowych instalatorów Jabber, które mogą obejmować domenę usługi głosowej. Użytkownicy mogą zostać poproszeni o korzystanie z tych instalatorów dla klienta Jabber.

Dla MAC, iOS, Android:

Narzędzia takie jak MDM mogą być używane do tworzenia niestandardowych instalatorów Jabber, które mogą zawierać domenę usługi głosowej.

Opcja 3: Użyj adresu URL konfiguracji

Adres URL konfiguracji służy do ustawiania parametrów Jabbera przed początkowym logowaniem, takich jak domena usług głosowych. Przykład adresu URL konfiguracji: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

Klikając powyższe łącze, domenę usługi głosowej można ustawić w kliencie Jabber działającym na urządzeniach MAC, Android lub iOS.

Ta konfiguracja nie jest trwała, użytkownik musi ponownie kliknąć łącze, jeśli klient Jabber jest zresetowany.

Aplikacja Webex nie ma powyższego wymogu, klient wykonuje kontrolę domeny, ale można dostarczyć domenę usługi głosowej w Control Hub. Gdy aplikacja Webex łączy się z usługą Webex, otrzymuje domenę usług głosowych i rejestruje ją w taki sam sposób. Aby uzyskać więcej informacji na temat konfiguracji połączeń w aplikacji Webex, zobacz temat Integracja aplikacji Webex z dedykowanym wystąpieniem dla połączeń w aplikacji.

Przydatne łącze: Wdrożenie w siedzibie Cisco Jabber 14.0