Ви можете використовувати власний домен у клієнті Jabber для входу. Необхідно розуміти, як працює автентифікація клієнта Jabber і чому для певних записів SAN відбувається перевірка сертифікатів.
Огляд
Під час TLS-знайомства стандартний клієнт TLS перевіряє дійсність сертифіката сервера TLS. Однак це потенційно може призвести до «атаки посередника» під час Інтернет-розгортання Jabber. Якщо під час входу хакер надасть Jabber адрес власного сервера з дійсним сертифікатом TLS замість сервера Expressway, тоді Jabber за відсутності подальшого контролю прийме цей сертифікат, і користувача може бути підключено до шкідливої системи. Щоб уникнути цієї проблеми, Jabber виконує додатковий етап перевірки, який не є частиною стандарту TLS. Він перевіряє, чи домен, введений користувачем під час входу в систему, відповідає альтернативним іменам суб’єктів (SAN), включеним у сертифікат. Jabber підключатиметься до Expressway лише за наявності співпадіння імен. Будь-який запис SAN у сертифікаті повинен мати підпис у центрі сертифікації (CA). Це означатиме, що лише компанія, яка володіє доменом, зможе отримати сертифікат з підписом CA.
Будь-який SAN, указаний у сертифікаті, підлягає перевірці Центром сертифікації (CA), тому лише компанія, яка володіє доменом, може отримати сертифікат з підписом CA. Це значно ускладнює крадіжку ідентичності сервера Expressway.
Через функцію Dedicated Instance Cisco керує сертифікатами для програм UC, тому сертифікати мають підпис лише від домена, наданого Cisco, наприклад, customer.amer.wxc-di.webex.com. Проте, щоб кінцевий користувач міг увійти до клієнта Jabber за допомогою адреси електронної пошти клієнта, можна скористатися такими параметрами:
Варіант 1. Виконайте перший вхід кінцевого користувача Jabber
Користувачам можна повідомити, що для їхнього першого входу до клієнта Jabber їм потрібно використовувати домен голосової служби Cisco user@customer.amer.wxc-di.webex.com на початковому екрані, а потім ввести ім’я користувача або адресу електронної пошти та пароль компанії на наступному екрані. Оскільки це найпростіший підхід, далі процес показано поетапно та детальніше:
-
Користувачеві потрібно ввести домен голосової служби, наданий Cisco, наприклад, user@customer.amer.wxc-di.webex.com на початковому екрані входу в Jabber, як показано на рисунку нижче.
Після завершення активації послуги Cisco надає спільний доступ до домену голосової служби клієнта для кожного регіону. Ця інформація є частиною документа з деталями доступу, який поширюється в програмному середовищі Webex. Дізнатися деталі можна в статті Активація служби Dedicated Instance.
-
Користувачеві пропонується ввести ім’я користувача або ідентифікатор електронної пошти компанії разом із паролем для автентифікації, як показано на рисунку нижче.
Якщо ввімкнено SSO, подібну дію виконуватиме IdP.
Подальші входи в систему не вимагають від користувача виконання кроку 1, якщо не відбудеться скиданні клієнта Jabber.
Варіант 2. Використовуйте домен голосової служби
Завдяки такому підходу у клієнті Jabber може розрізнятися домен клієнта, введений користувачем, і домен виявлення служби. Якщо в інсталяторі встановлено домен голосової служби customer.amer.wxc-di.webex.com, користувач може ввійти до клієнта Jabber, використовуючи адресу електронної пошти своєї компанії, і Jabber все одно зможе виявити службу на основі значення, встановленого в домені голосової служби. Це позбавить від необхідності вводити домен голосової служби під час першого входу в систему Jabber, як зазначено вище.
Для Windows:
Інструменти як-от Microsoft Orca використовуються для створення спеціальних інсталяторів Jabber, які можуть містити домен голосової служби. Користувачам можна повідомити про використання таких інсталяторів для клієнта Jabber.
Для MAC, iOS, Android:
Інструменти як-от MDM використовуються для створення спеціальних інсталяторів Jabber, які можуть містити домен голосової служби.
Варіант 3. Використовуйте URL-адресу конфігурації
URL-адресу конфігурації можна використовувати для встановлення параметрів Jabber перед першим входом, наприклад для домена голосових служб. Приклад URL-адреси конфігурації: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com
Натиснувши на посилання вище, ви можете ввести домен голосової служби в клієнті Jabber, який працює на MAC пристроях Android або iOS.
Ця конфігурація не є постійною, користувачеві потрібно буде натискати на посилання ще раз, якщо відбудеться скидання клієнта Jabber. Варто зазначити, що для додатку Webex вищевказана вимога не є обов’язковою: клієнт виконує перевірку домену, але домен голосової служби можна ввести в Control Hub. Коли програма Webex підключається до Webex, вона отримує домен голосових послуг і реєструє його. Щоб отримати додаткові відомості про Webex App In-App Calling, див. Інтеграція програми Webex з Dedicated Instance для In-App Calling. |
Корисне посилання: Локальне розгортання для Cisco Jabber 14.0