Обзор

Стандартный клиент TLS проверяет действительность сертификата сервера TLS во время рукопожатия TLS. Однако эта настройка может быть уязвима для атаки "человек в центре", когда Jabber развернут через Интернет. Если во время входа в систему хакер представляет Jabber собственный сервер с действительным сертификатом TLS вместо expressway, то Jabber при отсутствии дополнительного контроля принимает этот сертификат, и пользователь может быть подключен к вредоносной системе. Чтобы избежать этой проблемы, Jabber выполняет дополнительный этап проверки, который не является частью стандартного TLS. Он проверяет, соответствует ли домен, введенный пользователем в процессе входа, альтернативным именам субъекта (SAN), включенным в сертификат. Jabber пытается подключиться к Expressway только в том случае, если оно совпадает. Любая запись SAN, сделанная в сертификате, должна быть подписана центром сертификации (CA), что означает, что только компания, владеющая доменом, сможет получить сертификат, подписанный CA.

Любое SAN, введенное в сертификат, подлежит проверке в Центре сертификации (CA), поэтому получить сертификат, подписанный CA, может только компания, владеющая доменом. Это значительно усложняет процесс кражи удостоверений Expressway.

В выделенном экземпляре Cisco управляет сертификатами для приложений UC, поэтому сертификаты подписываются только с предоставленным Cisco доменом, например customer.amer.wxc-di.webex.com. Однако для входа конечного пользователя в клиент Jabber с помощью адреса электронной почты клиента можно воспользоваться приведенными ниже параметрами.

Вариант 1. Первоначальный вход конечного пользователя в Jabber

Начальный вход в систему конечного пользователя Jabber – это самый простой способ. Приведенные ниже действия приведены в подробностях.

  1. Введите домен голосовой службы, предоставленный Cisco, например user@customer.amer.wxc-di.webex.com на начальном экране входа в Jabber.


     

    Cisco предоставляет совместный доступ к домену голосовой службы клиентов для каждого региона после активации службы. Эта информация является частью документа с сведениями о доступе, к которому предоставлен совместный доступ в пространстве приложения Webex. Дополнительные сведения см. в Активация службы выделенного экземпляра.

  2. Введите имя пользователя или идентификатор электронной почты компании вместе с паролем для аутентификации.


     

    Если SSO включена, поставщик удостоверений выполняет аналогичную операцию.


     
    После последующего входа в систему это не требует выполнения шага 1, если клиент Jabber не будет сброшен.

Параметр 2: Использовать домен голосовой службы

С помощью этого подхода клиент Jabber может различать домен клиента, введенный пользователем, и домен обнаружения службы. Если в программе установки для домена голосовой службы задано значение customer.amer.wxc-di.webex.com, пользователь может войти в клиент Jabber с помощью адреса электронной почты своей компании, а Jabber по-прежнему может выполнить обнаружение службы на основе значения, заданного в домене голосовой службы. Это устраняет необходимость предоставления домена голосовой службы при первоначальном входе в систему jabber в соответствии с приведенным выше параметром.

Для окон:

Такие инструменты, как Microsoft Orca, могут использоваться для создания пользовательских программ установки Jabber, которые могут включать домен голосовой службы. Пользователи могут получить инструкции по использованию этих программ установки для клиента Jabber.

Для MAC, iOS и Android:

Такие инструменты, как MDM, могут использоваться для создания пользовательских программ установки Jabber, которые могут включать домен голосовой службы.

Вариант 3: Использовать URL конфигурации

URL-адрес конфигурации используется для установки параметров Jabber перед первоначальным входом в систему, таких как домен голосовых служб. Пример URL конфигурации: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

Перейдя по ссылке выше, домен голосовой службы можно задать в клиенте Jabber, работающем на устройствах MAC, Android или iOS.


 

Эта конфигурация не является постоянной. Пользователь должен повторно щелкнуть ссылку, если клиент Jabber сброшен.

В приложении Webex нет указанных выше требований. Клиент выполняет проверку домена, однако в Control Hub можно подготовить домен голосовой службы. Когда приложение Webex подключается к Webex, оно получает домен голосовых служб и регистрируется таким же образом. Дополнительную информацию о настройке вызовов в приложении Webex см. в статье Интеграция приложения Webex с выделенным экземпляром для вызовов в приложении.

Полезная ссылка: Локальное развертывание Cisco Jabber 14.0