Обновления для версии R21SP1

Установка службы аутентификации XSP (R21SP1)

Используйте следующие процедуры для установки службы аутентификации на сервер BroadWorks только в том случае, если вы используете R21SP1.

Установка службы аутентификации

В BroadWorks 21SP1 служба аутентификации является неуправляемым приложением. Чтобы установить его, необходимо выполнить следующие действия:

  1. Скачайте authenticationService_1.0.war (ресурс веб-приложения) из Xchange (https://xchange.broadsoft.com/node/499012).

    На каждом сервере XSP, используемом с Webex, необходимо выполнить следующее:

  2. Скопируйте файл .war во временную папку XSP, например в /tmp/

  3. Установите приложение службы аутентификации со использованием следующего контекста CLI и команды:

    XSP_CLI/Maintenance/ManagedObjects> install application /tmp/authenticationService_1.0.war

Настройка службы аутентификации

Долговременные токены BroadWorks создаются и проверяются службой аутентификации, которая размещена на ваших XSP.

Требования

  • Серверы XSP, на которых размещена служба аутентификации, должны иметь настроенный интерфейс mTLS.

  • XSP должны иметь одинаковые ключи для шифрования и расшифровки долговременных токенов BroadWorks. Копирование этих ключей на каждый сервер XSP является процессом, выполняемым вручную.

  • XSP необходимо синхронизировать с NTP.

Обзор конфигурации

Основные настройки XSP включают в себя:

  • Развертывание службы аутентификации.

  • Настройка длительности существования токена не менее 60 дней (оставьте выпускающим BroadWorks).

  • Создание ключей RSA и их совместное использование на XSP.

  • Укажите URL-адрес authService в веб-контейнере.

Развертывание службы аутентификации в XSP

На каждом сервере XSP, используемом с Webex,

  1. Активируйте приложение службы аутентификации с указанием пути /authService (необходимо использовать этот путь):

    XSP_CLI/Maintenance/ManagedObjects> activate application authenticationService <version> /authService

    (где <version> является 1.0 для неуправляемого приложения на 21SP1).

  2. Развертывание приложения.

    XSP_CLI/Maintenance/ManagedObjects> deploy application /authService

Настройка длительности существования токена

  1. Проверьте существующую конфигурацию токена (часы):

    On 21SP1:XSP_CLI/Applications/authenticationService_1.0/TokenManagement> get

  2. Установите длительность существования 60 дней (максимум 180 дней):

    На 21SP1:XSP_CLI/Applications/authenticationService_1.0/TokenManagement> set tokenDuration 1440

Создание и совместное использование ключей RSA

  • Для шифрования/дешифрования токенов во всех экземплярах службы аутентификации необходимо использовать те же пары открытых и закрытых ключей.

  • Пара ключей создается службой аутентификации при первой необходимости в выпуске токена.

По причине этих двух факторов необходимо сгенерировать ключи на одном XSP и скопировать их на все остальные XSP.


При циклическом изменении ключей или изменении их длины необходимо повторить следующую процедуру настройки и перезапустить все XSP.

  1. Выберите один XSP для создания пары ключей.

  2. Используйте клиент для запроса зашифрованного токена от этого XSP, отправив в браузере клиента следующий URL-запрос:

    https://<XSP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

    (При этом на XSP создается пара закрытого или открытого ключа, если она еще не была создана)

  3. (Только 21SP1) Проверьте настраиваемое местоположение ключа с помощью следующей команды:

    XSP_CLI/Applications/authenticationService_1.0/KeyManagement> get

  4. (Только 21SP1) Запишите возвращенный параметр fileLocation.

  5. (Только 21SP1) Скопируйте весь каталог fileLocation, содержащий открытые и закрытые подкаталоги, на все остальные XSP.

Укажите URL-адрес authService в веб-контейнере.

Для проверки токенов в веб-контейнере XSP необходим URL-адрес authService.

Для каждого XSP:

  1. Добавьте URL службы аутентификации в качестве внешней службы аутентификации для сервиса BroadWorks Communications.

    XSP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1/authService

  2. Добавьте URL службы аутентификации в контейнер:

    XSP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1/authService

    Это позволяет Cisco Webex использовать службу аутентификации для проверки токенов, предоставленных в качестве учетных данных.

  3. Проверьте параметр с помощью команды get.

  4. Перезапустите XSP.