Prezentare generală

În timpul agitării manuale TLS, Un client standard TLS verifică valabilitatea certificatului de server TLS. Când Jabber este implementat pe internet, această configurație ar putea fi vulnerabilă la un atac "om-în-mijloc".

În timpul conectării, dacă un hacker își prezintă propriul server cu un certificat TLS valid în loc de Expressway-ul așteptat, Jabber ar putea accepta certificatul din cauza lipsei de controale suplimentare, ceea ce ar putea duce la conectarea utilizatorului la un sistem rău intenționat. Pentru a evita această problemă, Jabber adaugă un pas suplimentar de validare, verifică dacă domeniul introdus în timpul conectării corespunde numelor alternative ale subiectului (SAN) din certificat. Dacă se potrivește, Jabber încearcă să se conecteze la Expressway.

„Fiecare intrare SAN în certificat trebuie să fie semnată de Autoritatea de certificare (CA). Acest lucru înseamnă că numai compania care deține domeniul poate primi un certificat semnat CA, iar CA validează intrările SAN. Prin urmare, devine mult mai greu să falsificăm identitatea Expressway."

În Instanța dedicată, Cisco gestionează certificatele pentru aplicațiile UC și, prin urmare, certificatele sunt semnate cu domeniul furnizat de Cisco, De exemplu, customer.amer.wxc-di.webex.com. Cu toate acestea, pentru ca un utilizator final să se conecteze la clientul Jabber cu adresa de e-mail a clientului, se pot realiza următoarele opțiuni:

Opțiunea 1 - Conectarea inițială a utilizatorului final Jabber

Conectarea inițială a utilizatorului final Jabber este cea mai simplă abordare, iar pașii sunt dați în detaliu:

  1. Introduceți domeniul serviciului de voce furnizat de Cisco, de exemplu, user@customer.amer.wxc-di.webex.com în ecranul inițial de conectare Jabber.

    Cisco partajează domeniul serviciului de voce pentru clienți pentru fiecare regiune după activarea serviciului Aceste informații fac parte din documentul cu detalii de acces partajat în spațiul Aplicației Webex. Pentru mai multe detalii, consultați Activare serviciu instanță dedicată.

  2. Introduceți numele de utilizator sau ID-ul de e-mail al companiei împreună cu parola pentru autentificare.

    Dacă SSO este activat, IdP efectuează operațiunea similară.

    Conectările ulterioare postează acest lucru nu necesită efectuarea Pasului 1, cu excepția cazului în care clientul Jabber este resetat.

Opțiunea 2: Utilizați domeniul serviciului vocal

Cu această abordare, clientul Jabber poate diferenția între domeniul clientului introdus de utilizator și domeniul de descoperire a serviciului. În programul de instalare, dacă domeniul serviciului de voce este setat la customer.amer.wxc-di.webex.com, utilizatorul se poate conecta la clientul Jabber utilizând adresa de e-mail a companiei, iar Jabber poate face în continuare descoperirea serviciului pe baza valorii setate în domeniul serviciului de voce. Acest lucru elimină necesitatea de a furniza domeniul serviciilor vocale în conectarea inițială la jabber, conform opțiunii de mai sus.

Pentru ferestre:

Instrumente precum Microsoft Orca pot fi utilizate pentru a crea instalatori Jabber personalizați, care pot include domeniul serviciului de voce. Utilizatorii pot fi instruiți să utilizeze aceste instalatoare pentru clientul Jabber.

Pentru MAC, iOS, Android:

Instrumentele precum MDM pot fi utilizate pentru a crea instalatori Jabber personalizați care pot include domeniul serviciului de voce.

Opțiunea 3: Utilizați URL-ul de configurare

Un URL de configurare este utilizat pentru a seta parametrii Jabber înainte de conectarea inițială, cum ar fi domeniul serviciilor vocale. Un exemplu de URL de configurare: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

Făcând clic pe link-ul de mai sus, domeniul serviciului de voce poate fi setat în clientul Jabber care rulează pe MAC, Android, sau dispozitive iOS.

Această configurație nu este persistentă, utilizatorul trebuie să facă clic din nou pe link dacă clientul Jabber este resetat.

Aplicația Webex nu are cerința de mai sus, clientul efectuează verificarea domeniului, dar este posibil să furnizați domeniul serviciului vocal în Control Hub. Când Aplicația Webex se conectează la Webex, primește domeniul serviciilor vocale și înregistrează același domeniu. Pentru mai multe informații despre configurarea apelurilor în aplicația Webex, consultați Integrarea Aplicației Webex cu instanța dedicată pentru apelarea în aplicație.

Link util: Implementare locală pentru Cisco Jabber 14.0