Обзор

Во время рукопожатия TLS стандартный клиент TLS проверяет действительность сертификата сервера TLS. При развертывании Jabber через Интернет эта настройка может быть уязвима для атаки "человек в центре".

Если во время входа в систему хакер предоставляет своему серверу действительный сертификат TLS вместо ожидаемого Expressway, Jabber может принять сертификат из-за отсутствия дополнительных элементов управления, что может привести к подключению пользователя к вредоносной системе. Чтобы избежать этой проблемы, Jabber добавляет дополнительный этап проверки, который проверяет, соответствует ли домен, введенный во время входа в систему, альтернативным именам субъекта (SAN) в сертификате. Если он совпадает, Jabber пытается подключиться к Expressway.

"Каждая запись SAN в сертификате должна быть подписана центром сертификации (CA). Это означает, что только компания, владеющая доменом, может получить сертификат, подписанный ЦС, а ЦС проверяет записи SAN. Таким образом, становится значительно труднее подделывать удостоверение Expressway".

В выделенном экземпляре Cisco управляет сертификатами для приложений UC, поэтому сертификаты подписываются с предоставленным Cisco доменом, Например customer.amer.wxc-di.webex.com. Однако для входа конечного пользователя в клиент Jabber с помощью адреса электронной почты клиента можно воспользоваться приведенными ниже параметрами.

Вариант 1. Первоначальный вход конечного пользователя в Jabber

Начальный вход в систему конечного пользователя Jabber – это самый простой способ. Приведенные ниже действия приведены в подробностях.

  1. Введите домен голосовой службы, предоставленный Cisco, например user@customer.amer.wxc-di.webex.com на начальном экране входа в Jabber.

    Cisco предоставляет совместный доступ к домену голосовой службы клиентов для каждого региона после активации службы. Эта информация является частью документа с сведениями о доступе, к которому предоставлен совместный доступ в пространстве приложения Webex. Дополнительные сведения см. в Активация службы выделенного экземпляра.

  2. Введите имя пользователя или идентификатор электронной почты компании вместе с паролем для аутентификации.

    Если SSO включена, поставщик удостоверений выполняет аналогичную операцию.

    После последующего входа в систему это не требует выполнения шага 1, если клиент Jabber не будет сброшен.

Параметр 2: Использовать домен голосовой службы

С помощью этого подхода клиент Jabber может различать домен клиента, введенный пользователем, и домен обнаружения службы. Если в программе установки для домена голосовой службы задано значение customer.amer.wxc-di.webex.com, пользователь может войти в клиент Jabber с помощью адреса электронной почты своей компании, а Jabber по-прежнему может выполнить обнаружение службы на основе значения, заданного в домене голосовой службы. Это устраняет необходимость предоставления домена голосовой службы при первоначальном входе в систему jabber в соответствии с приведенным выше параметром.

Для окон:

Такие инструменты, как Microsoft Orca , могут использоваться для создания пользовательских программ установки Jabber, которые могут включать домен голосовой службы. Пользователи могут получить инструкции по использованию этих программ установки для клиента Jabber.

Для MAC, iOS и Android:

Такие инструменты, как MDM, могут использоваться для создания пользовательских программ установки Jabber, которые могут включать домен голосовой службы.

Вариант 3: Использовать URL конфигурации

URL-адрес конфигурации используется для установки параметров Jabber перед первоначальным входом в систему, таких как домен голосовых служб. Пример URL конфигурации: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

Перейдя по ссылке выше, домен голосовой службы можно задать в клиенте Jabber, работающем на устройствах MAC, Android или iOS.

Эта конфигурация не является постоянной. Пользователь должен повторно щелкнуть ссылку, если клиент Jabber сброшен.

В приложении Webex нет указанных выше требований. Клиент выполняет проверку домена, однако в Control Hub можно подготовить домен голосовой службы. Когда приложение Webex подключается к Webex, оно получает домен голосовых служб и регистрируется таким же образом. Дополнительную информацию о настройке вызовов в приложении Webex см. в статье Интеграция приложения Webex с выделенным экземпляром для вызовов в приложении.

Полезная ссылка: Локальное развертывание Cisco Jabber 14.0