Prezentare generală

În timpul dialogului de confirmare TLS, un client TLS standard verifică valabilitatea certificatului de server TLS. Cu toate acestea, această implementare ar putea permite un atac de tip interpunere, atunci când Jabber accesează internetul. În timpul autentificării, dacă un hacker prezintă Jabber propriul server cu un certificat TLS valabil, în loc de Expressway, atunci Jabber, în absența unui control ulterior, acceptă certificatul respectiv, iar utilizatorul poate să fie conectat la un sistem rău intenționat. Pentru a evita această problemă, Jabber efectuează un pas suplimentar de validare, care nu face parte din TLS standard: acesta verifică dacă domeniul introdus în timpul procesului de autentificare de către utilizator se potrivește cu Numele alternative pentru subiect (SAN) incluse în certificat. Jabber încearcă să se conecteze la Expressway numai în cazul în care domeniul se potrivește. Orice intrare SAN efectuată în certificat trebuie să fie semnată de Certification Authority (CA), ceea ce înseamnă numai compania care deține domeniul va putea să obțină un certificat semnat de CA.

Orice SAN introdus în certificat este supus validării din partea Certification Authority (CA), astfel încât numai compania care deține domeniul va putea să obțină un certificat semnat de CA. Acest lucru face mult mai dificil furtul identități Expressway.

În Instanță dedicată, Cisco gestionează certificatele pentru aplicațiile UC și, prin urmare, certificatele sunt semnate numai cu domeniul furnizat de Cisco, de exemplu, de exemplu: customer.amer.wxc-di.webex.com. Cu toate acestea, autentificarea unui utilizator final la clientul Jabber cu adresa de e-mail client se poate realiza prin următoarele opțiuni:

Opțiunea 1: Autentificare inițială utilizator final Jabber

Utilizatorilor li se poate comunica faptul că, pentru autentificarea inițială la clientul Jabber, trebuie să utilizeze domeniul serviciului de voce al Cisco user@customer.amer.wxc-di.webex.com pe ecranul inițial, urmat de propriul nume de utilizator sau de adresa de e-mail a companiei și parola pe ecranul următor. Deoarece aceasta este cea mai simplă abordare, pașii sunt ilustrați mai detaliat:

  1. Utilizatorul trebuie să introducă domeniul serviciului de voce furnizat de Cisco, de exemplu: user@customer.amer.wxc-di.webex.com, pe ecranul de autentificare Jabber inițial, așa cum se arată în imaginea de mai jos.


    Domeniul serviciului de voce al clientului este partajat de Cisco pentru fiecare regiune când este finalizată activarea serviciului. Aceste informații fac parte din documentul cu detalii acces partajat în spațiul aplicației Webex. Pentru detalii suplimentare, consultați Activarea serviciului Instanță dedicată.

  2. Pentru autentificare, utilizatorului i se solicită să introducă numele de utilizator sau ID-ul de e-mail al companiei, împreună cu parola, așa cum se arată în imaginea de mai jos.


    Dacă SSO este activată, o operațiune similară va fi realizată de IdP.

    Autentificările ulterioare nu necesită efectuarea Pasului 1 de către utilizator, cu excepția cazului în care clientul Jabber este resetat.

Opțiunea 2: Utilizarea domeniului serviciului de voce

Cu această abordare, clientul Jabber poate face diferența între domeniul clientului introdus de utilizator și domeniul de descoperire a serviciului. În programul de instalare, dacă domeniul serviciului de voce este setat la customer.amer.wxc-di.webex.com, utilizatorul se poate autentifica la clientul Jabber folosind adresa de e-mail a companiei sale, iar Jabber poate realiza în continuare descoperirea serviciului pe baza valorii setate în domeniul serviciului de voce. Acest lucru va elimina necesitatea de a furniza domeniul serviciului de voce la autentificarea Jabber inițială, în conformitate cu opțiunea de mai sus.

Pentru Windows:

Se pot utiliza instrumente, cum ar fi Microsoft Orca, pentru a crea programe de instalare Jabber personalizate, care pot să includă domeniul serviciului de voce. Utilizatorii pot fi instruiți să utilizeze aceste programe de instalare pentru clientul Jabber.

Pentru MAC, iOS, Android:

Se pot utiliza instrumente, cum ar fi MDM, pentru a crea programe de instalare Jabber personalizate, care pot să includă domeniul serviciului de voce.

Opțiunea 3: Utilizarea URL-ului de configurare

Pe poate utiliza un URL de configurare pentru a seta parametrii Jabber înainte de autentificarea inițială, cum ar fi domeniul serviciilor de voce. Un exemplu de URL de configurare: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

Făcând clic pe linkul de mai sus, domeniul serviciului de voce poate fi setat în clientul Jabber care se execută pe dispozitivele MAC, Android sau iOS.


Această configurare nu este persistentă, așadar utilizatorul ar trebuie să facă din nou clic pe link în cazul în care clientul Jabber este resetat.

Trebuie să rețineți faptul că aplicația Webex nu are cerința de mai sus; clientul efectuează verificarea domeniului, însă este posibilă setarea domeniului serviciului de voce în Control Hub. Atunci când aplicația Webex se conectează la Webex, acesta primește domeniul serviciilor de voce și înregistrează același lucru. Pentru informații suplimentare cu privire la configurarea apelării în aplicația Webex, consultați Integrarea aplicației Webex cu Instanța dedicată pentru apelarea în aplicație.

Link util: Implementarea în rețeaua corporatistă a Cisco Jabber 14.0