Огляд

Під час рукостискання TLS стандартний клієнт TLS перевіряє дійсність сертифіката сервера TLS. Коли Jabber розгортається через інтернет, це налаштування може бути вразливим до атаки "людина в середині".

Під час входу, якщо хакер представляє свій сервер із дійсним сертифікатом TLS замість очікуваного Expressway, Jabber може прийняти сертифікат через відсутність додаткових елементів керування, що може призвести до підключення користувача до зловмисної системи. Щоб запобігти появі цієї проблеми, Jabber додає додатковий крок перевірки, і перевіряє, чи домен, введений під час входу, відповідає альтернативним іменам суб’єктів (SAN) у сертифікаті. Якщо він збігається, Jabber спробує підключитися до Expressway.

"Кожен запис SAN у сертифікаті повинен бути підписаний Центром сертифікації (CA). Це означає, що лише компанія, що володіє доменом, може отримувати підписаний CA сертифікат, а CA перевіряє записи SAN. Тому стає значно важче підробити ідентичність Expressway».

У виділеному екземплярі Cisco керує сертифікатами для застосунків UC, а отже сертифікати підписані з наданим Cisco доменом, Наприклад, customer.amer.wxc-di.webex.com. Однак для кінцевого користувача вхід у клієнт Jabber за допомогою адреси електронної пошти клієнта можна досягти за допомогою таких параметрів:

Варіант 1 – Початковий вхід кінцевого користувача Jabber

Початковий вхід кінцевого користувача Jabber є найпростішим підходом, а кроки наведено детально:

  1. Введіть наданий Cisco домен голосової служби, наприклад user@customer.amer.wxc-di.webex.com , у початковому екрані входу Jabber.

    Cisco ділиться доменом голосової служби клієнта для кожного регіону після активації служби Ця інформація є частиною документа з відомостями про доступ, до якого надано спільний доступ у просторі програми Webex. Додаткову інформацію див. в розділі Активація служби виділеного екземпляра.

  2. Для автентифікації введіть ім’я користувача або ідентифікатор електронної пошти компанії разом із паролем.

    Якщо SSO ввімкнено, IdP виконує аналогічну операцію.

    Наступні спроби входу після цього не потребують виконання кроку 1, якщо клієнт Jabber не буде скинуто.

Варіант 2. Використовувати домен служби голосової пошти

За допомогою цього підходу клієнт Jabber може розрізняти домен клієнта, який вводить користувач, і домен виявлення служби. Якщо в інсталяторі для домену голосової служби встановлено значення customer.amer.wxc-di.webex.com, користувач може увійти до клієнта Jabber, використовуючи адресу електронної пошти своєї компанії, а Jabber усе ще зможе виконати виявлення служби на основі значення, установленого в домені голосової служби. Це усуває необхідність надавати домен голосової служби в початковому вході Jabber згідно з вищезгаданим параметром.

Для вікон:

Такі інструменти, як Microsoft Orca , можна використовувати для створення користувацьких інсталяторів Jabber, які можуть включати домен служби голосової пошти. Користувачів можна навчити використовувати ці інсталятори для клієнта Jabber.

Для MAC, iOS, Android:

Такі інструменти, як MDM, можна використовувати для створення користувацьких інсталяторів Jabber, які можуть включати домен служби голосової пошти.

Варіант 3: Використати URL конфігурації

URL конфігурації використовується для встановлення параметрів Jabber перед початковим входом, як-от домен служби голосової пошти. Приклад URL конфігурації: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

Перейшовши за посиланням вище, можна встановити домен голосової служби в клієнті Jabber, який працює на пристроях MAC, Android або iOS.

Ця конфігурація не є постійною, користувачу потрібно знову клацнути посилання, якщо клієнт Jabber буде скинуто.

Програма Webex не має вищезазначених вимог, клієнт виконує перевірку домену, але можна підготувати домен служби голосової пошти в Control Hub. Коли програма Webex підключається до Webex, вона отримує домен служби голосової пошти й реєструється таким самим чином. Додаткову інформацію про налаштування викликів програми Webex у програмі див. в розділі Інтеграція програми Webex із виділеним екземпляром для викликів у програмі.

Корисне посилання: Локальне розгортання для Cisco Jabber 14.0