Обзор

Во время квитирования TLS стандартный клиент TLS проверяет действительность сертификата сервера TLS. Однако выполнение такой проверки потенциально может привести к атаке методом перехвата сообщений, если Jabber развертывается через Интернет. Во время входа в систему, если злоумышленник представляет Jabber свой собственный сервер с действительным сертификатом TLS вместо Expressway, а Jabber затем, при отсутствии последующего контроля со стороны администратора, принимает этот сертификат, пользователь может подключиться к системе злоумышленника. Для того чтобы избежать этой проблемы, Jabber выполняет дополнительный шаг проверки, не являющийся частью стандартной проверки TLS, а именно проверяет, соответствует ли домен, указанный пользователем во время входа в систему, Альтернативному имени субъекта (SAN), включенному в сертификат. В случае соответствия Jabber пытается подключиться к Expressway. Любая запись SAN, внесенная в сертификат, должна быть подписана Центром сертификации (CA), а это означает, что только компания, которой принадлежит домен, может получить подписанный CA сертификат.

Любая запись SAN, вносимая в сертификат, проходит проверку в Центре сертификации (CA), поэтому только компания, которой принадлежит домен, может получить подписанный CA сертификат. Это серьезно усложняет процесс хищения идентификационных данных Expressway.

В выделенном экземпляре Cisco управляет сертификатами для приложений системы унифицированных коммуникаций, и поэтому cертификаты подписываются только с помощью домена, предоставляемого Cisco пользователю, например customer.amer.wxc-di.webex.com. Однако, чтобы конечный пользователь мог войти в клиент Jabber с помощью адреса электронной почты пользователя, можно использовать следующие варианты:

Вариант 1: первоначальный вход конечного пользователя Jabber

Пользователям может быть сообщено, что для их первоначального входа в клиент Jabber необходимо использовать домен службы голосовой связи Cisco — user@customer.amer.wxc-di.webex.com — на исходном экране, а затем ввести имя пользователя или адрес электронной почты компании и пароль на следующем экране. Поскольку это самый простой подход, шаги проиллюстрированы более подробно:

  1. Пользователь должен войти в домен службы голосовой связи Cisco, например user@customer.amer.wxc-di.webex.com, на начальном экране входа в Jabber, как показано на рисунке ниже.


    При завершении активации службы, Cisco сообщит клиентам домен службы голосовой связи для каждого региона. Эта информация является частью документа с подробной информацией о доступе, предоставляемого в пространстве приложения Webex. Дополнительные сведения см. в разделе Активация службы выделенного экземпляра.

  2. Пользователю будет предложено ввести имя пользователя или идентификатор электронной почты компании вместе с паролем для аутентификации, как показано на рисунке ниже.


    Если SSO включен, аналогичная операция будет выполнена с помощью IdP.

    При последующих входах в систему пользователю не потребуется выполнять шаг 1, если только не будет выполнен сброс клиента Jabber.

Вариант 2: используйте домен службы голосовой связи

При таком подходе клиент Jabber может различать домены пользователя, введенные пользователем, и домен обнаружения службы. В программе установки, если домен службы голосовой связи имеет значение customer.amer.wxc-di.webex.com, пользователь может войти в клиент Jabber, используя адрес электронной почты своей компании, а Jabber по-прежнему может выполнять обнаружение службы на основе значения, заданного в домене службы голосовой связи. Это устранит необходимость в предоставлении домена службы голосовой связи при первоначальном входе в Jabber, как описано выше.

Для Windows:

Такие инструменты, как Microsoft Orca, могут использоваться для создания пользовательских программ установки Jabber, содержащих домен службы голосовой связи. Пользователи могут получать инструкции по использованию этих программ установки для клиента Jabber.

Для MAC, iOS, Android:

Такие инструменты, как система управления мобильными устройствами (MDM), могут использоваться для создания пользовательских программ установки Jabber, содержащих домен службы голосовой связи.

Вариант 3: используйте URL-адрес файла конфигурации.

URL-адрес файла конфигурации можно использовать для установки параметров Jabber до первоначального входа, например домена служб голосовой связи. Пример URL-адреса файла конфигурации: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com.

Если нажать на ссылку выше, домен службы голосовой связи можно настроить в клиенте Jabber на устройствах MAC, Android или iOS.


Эта конфигурация не является постоянной: пользователь должен нажать на ссылку еще раз, если клиент Jabber сбрасывается.

Обратите внимание, что описанное выше не является требованием приложения Webex: клиент выполняет проверку домена, но также возможно получить домен службы голосовой связи в Control Hub. Когда приложение Webex подключается к Webex, оно получает домен службы голосовой связи и регистрирует его. Дополнительные сведения о настройке вызовов в приложении Webex см. в разделе Интеграция приложения Webex с выделенным экземпляром для вызовов в приложении.

Полезная ссылка: Развертывание Cisco Jabber 14.0 на устройствах организации.