Обновления для версии R21SP1
Установка службы аутентификации XSP (R21SP1)
Используйте следующие процедуры для установки службы аутентификации на сервер BroadWorks только в том случае, если вы используете R21SP1.
Установка службы аутентификации
В BroadWorks 21SP1 служба аутентификации является неуправляемым приложением. Чтобы установить его, необходимо выполнить следующие действия:
Скачайте authenticationService_1.0.war (ресурс веб-приложения) из Xchange (https://xchange.broadsoft.com/node/499012).
На каждом сервере XSP, используемом с Webex, необходимо выполнить следующее:
Скопируйте файл .war во временную папку XSP, например в
/tmp/
Установите приложение службы аутентификации со использованием следующего контекста CLI и команды:
XSP_CLI/Maintenance/ManagedObjects> install application /tmp/authenticationService_1.0.war
Настройка службы аутентификации
Долговременные токены BroadWorks создаются и проверяются службой аутентификации, которая размещена на ваших XSP.
Требования
Серверы XSP, на которых размещена служба аутентификации, должны иметь настроенный интерфейс mTLS.
XSP должны иметь одинаковые ключи для шифрования и расшифровки долговременных токенов BroadWorks. Копирование этих ключей на каждый сервер XSP является процессом, выполняемым вручную.
XSP необходимо синхронизировать с NTP.
Обзор конфигурации
Основные настройки XSP включают в себя:
Развертывание службы аутентификации.
Настройка длительности существования токена не менее 60 дней (оставьте выпускающим BroadWorks).
Создание ключей RSA и их совместное использование на XSP.
Укажите URL-адрес authService в веб-контейнере.
Развертывание службы аутентификации в XSP
На каждом сервере XSP, используемом с Webex,
Активируйте приложение службы аутентификации с указанием пути
/authService
(необходимо использовать этот путь):XSP_CLI/Maintenance/ManagedObjects> activate application authenticationService <version> /authService
(где
<version>
является1.0
для неуправляемого приложения на 21SP1).Развертывание приложения.
XSP_CLI/Maintenance/ManagedObjects>
deploy application /authService
Настройка длительности существования токена
Проверьте существующую конфигурацию токена (часы):
On 21SP1:
XSP_CLI/Applications/authenticationService_1.0/TokenManagement>
get
Установите длительность существования 60 дней (максимум 180 дней):
На 21SP1:
XSP_CLI/Applications/authenticationService_1.0/TokenManagement>
set tokenDuration 1440
Создание и совместное использование ключей RSA
Для шифрования/дешифрования токенов во всех экземплярах службы аутентификации необходимо использовать те же пары открытых и закрытых ключей.
Пара ключей создается службой аутентификации при первой необходимости в выпуске токена.
По причине этих двух факторов необходимо сгенерировать ключи на одном XSP и скопировать их на все остальные XSP.
При циклическом изменении ключей или изменении их длины необходимо повторить следующую процедуру настройки и перезапустить все XSP. |
Выберите один XSP для создания пары ключей.
Используйте клиент для запроса зашифрованного токена от этого XSP, отправив в браузере клиента следующий URL-запрос:
https://<XSP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)
(При этом на XSP создается пара закрытого или открытого ключа, если она еще не была создана)
(Только 21SP1) Проверьте настраиваемое местоположение ключа с помощью следующей команды:
XSP_CLI/Applications/authenticationService_1.0/KeyManagement> get
(Только 21SP1) Запишите возвращенный параметр
fileLocation
.(Только 21SP1) Скопируйте весь каталог
fileLocation
, содержащийоткрытые
изакрытые
подкаталоги, на все остальные XSP.
Укажите URL-адрес authService в веб-контейнере.
Для проверки токенов в веб-контейнере XSP необходим URL-адрес authService.
Для каждого XSP:
Добавьте URL службы аутентификации в качестве внешней службы аутентификации для сервиса BroadWorks Communications.
XSP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService>
set url http://127.0.0.1/authService
Добавьте URL службы аутентификации в контейнер:
XSP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1/authService
Это позволяет Cisco Webex использовать службу аутентификации для проверки токенов, предоставленных в качестве учетных данных.
Проверьте параметр с помощью команды
get
.Перезапустите XSP.