Omówienie

Podczas uzgadniania TLS standardowy klient TLS sprawdza ważność certyfikatu serwera TLS. Ta implementacja może jednak potencjalnie doprowadzić do ataku „man in the middle”, gdy Jabber jest wdrażany za pośrednictwem Internetu. Podczas logowania, jeśli haker przedstawi Jabberowi własny serwer z ważnym certyfikatem TLS zamiast drogi ekspresowej, to Jabber przy braku dalszej kontroli akceptuje ten certyfikat i użytkownik może zostać połączony ze złośliwym systemem. Aby uniknąć tego problemu, Jabber wykonuje dodatkowy krok walidacji, który nie jest częścią standardowego TLS, sprawdza, czy domena wprowadzona podczas procesu logowania przez użytkownika pasuje do Subject Alternative Names (SAN, alternatywnych nazw podmiotu) zawartych w certyfikacie. Jabber próbuje nawiązać połączenie z Expressway, jeśli jest ono dopasowane Każdy wpis SAN dokonany w certyfikacie wymaga podpisania przez Urząd Certyfikacji (CA), co oznacza, że tylko firma będąca właścicielem domeny będzie mogła uzyskać certyfikat podpisany przez CA.

Każdy SAN wpisany do certyfikatu podlega walidacji przez Urząd Certyfikacji (CA), więc tylko firma będąca właścicielem domeny jest w stanie uzyskać certyfikat podpisany przez CA. Dzięki temu znacznie trudniej jest ukraść tożsamość Expressway.

W Instancji Dedykowanej Cisco zarządza certyfikatami dla aplikacji UC i dlatego certyfikaty są podpisywane tylko domeną dostarczoną przez Cisco, np.customer.amer.wxc-di.webex.com. Jednak, aby użytkownik końcowy mógł zalogować się do klienta Jabbera za pomocą adresu e-mail klienta, można to osiągnąć za pomocą następujących opcji:

Opcja 1-Jabber początkowy identyfikator logowania użytkownika końcowego

Użytkownikom można przekazać, że przy pierwszym logowaniu do klienta Jabber muszą użyć domeny usługi głosowej Cisco user@customer.amer.wxc-di.webex.com w początkowym ekranie, a następnie swojej nazwy użytkownika lub firmowego adresu e-mail i hasła na następnym ekranie. Ponieważ jest to najprostsze podejście, kroki można zilustrować bardziej szczegółowo:

  1. Użytkownik musi wprowadzić nazwę domeny usługi głosowej przekazanej przez firmę Cisco, np. user@customer.amer.wxc-di.webex.com na ekranie początkowym logowania Jabber, tak jak pokazano na rysunku poniżej


    Domena usługi głosowej klienta jest udostępniana przez Cisco dla każdego regionu po zakończeniu aktywacji usługi. Ta informacja jest częścią dokumentu szczegółów dostępu udostępnianego w przestrzeni aplikacji Webex. Więcej informacji można znaleźć w sekcji Aktywacja dedykowanych wystąpień usługi.

  2. Użytkownik jest proszony o podanie nazwy użytkownika lub firmowego identyfikatora e-mail wraz z hasłem do uwierzytelnienia, jak pokazano na poniższym rysunku.


    Jeśli SSO jest włączone, podobna operacja zostanie wykonana przez IdP.

    Kolejne logowania po tym nie wymagają od użytkownika wykonania kroku 1, chyba że klient Jabber zostanie zresetowany.

Opcja 2: Użyj domeny usługi głosowej

Przy takim podejściu klient Jabber może rozróżnić domenę klienta wprowadzoną przez użytkownika od domeny odkrycia usługi. W instalatorze, jeśli domena usługi głosowej jest ustawiona na customer.amer.wxc-di.webex.com, użytkownik może zalogować się do klienta Jabber, używając firmowego adresu e-mail, a Jabber nadal może wykonywać wykrywanie usług na podstawie wartości ustawionej w domenie usługi głosowej. Zlikwiduje to konieczność podawania domeny usługi głosowej w początkowym logowaniu do Jabber zgodnie z powyższą opcją.

W przypadku systemu Windows:

Narzędzia takie jak Microsoft Orca mogą być używane do tworzenia niestandardowych instalatorów Jabber, które mogą zawierać domenę usługi głosowej. Użytkownikom można nakazać korzystanie z tych instalatorów w odniesieniu do klienta Jabber.

Dla MAC, iOS, Android:

Narzędzia takie jak MDM mogą być używane do tworzenia niestandardowych instalatorów Jabber, które mogą zawierać domenę usługi głosowej.

Opcja 3: Użyj adresu URL konfiguracji

Do ustawienia parametrów Jabber przed pierwszym logowaniem, takich jak domena usług głosowych, można użyć konfiguracyjnego adresu URL. Przykładowy adres URL konfiguracji: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

Klikając na powyższy link, domenę usługi głosowej można ustawić w kliencie Jabber działającym na urządzeniach MAC, Android lub iOS.


Ta konfiguracja nie jest trwała, użytkownik musiałby ponownie kliknąć na link, gdyby klient Jabber został zresetowany.

Warto zwrócić uwagę, że aplikacja Webex nie ma powyższego wymogu; klient wykonuje sprawdzenie domeny, ale możliwe jest zapewnienie domeny usługi głosowej w Control Hub. Kiedy aplikacja Webex łączy się z Webex, otrzymuje domenę usług głosowych i rejestruje to samo. Więcej informacji na temat konfiguracji połączeń w aplikacji Webex można znaleźć w: Integracja aplikacji Webex z dedykowanym wystąpieniem do wykonywania połączeń w aplikacji.

Przydatne łącze: Wdrożenie lokalne dla Cisco Jabber 14.0