Огляд

Під час TLS-знайомства стандартний клієнт TLS перевіряє дійсність сертифіката сервера TLS. Однак це потенційно може призвести до «атаки посередника» під час Інтернет-розгортання Jabber. Якщо під час входу хакер надасть Jabber адрес власного сервера з дійсним сертифікатом TLS замість сервера Expressway, тоді Jabber за відсутності подальшого контролю прийме цей сертифікат, і користувача може бути підключено до шкідливої системи. Щоб уникнути цієї проблеми, Jabber виконує додатковий етап перевірки, який не є частиною стандарту TLS. Він перевіряє, чи домен, введений користувачем під час входу в систему, відповідає альтернативним іменам суб’єктів (SAN), включеним у сертифікат. Jabber підключатиметься до Expressway лише за наявності співпадіння імен. Будь-який запис SAN у сертифікаті повинен мати підпис у центрі сертифікації (CA). Це означатиме, що лише компанія, яка володіє доменом, зможе отримати сертифікат з підписом CA.

Будь-який SAN, указаний у сертифікаті, підлягає перевірці Центром сертифікації (CA), тому лише компанія, яка володіє доменом, може отримати сертифікат з підписом CA. Це значно ускладнює крадіжку ідентичності сервера Expressway.

Через функцію Dedicated Instance Cisco керує сертифікатами для програм UC, тому сертифікати мають підпис лише від домена, наданого Cisco, наприклад, customer.amer.wxc-di.webex.com. Проте, щоб кінцевий користувач міг увійти до клієнта Jabber за допомогою адреси електронної пошти клієнта, можна скористатися такими параметрами:

Варіант 1. Виконайте перший вхід кінцевого користувача Jabber

Користувачам можна повідомити, що для їхнього першого входу до клієнта Jabber їм потрібно використовувати домен голосової служби Cisco user@customer.amer.wxc-di.webex.com на початковому екрані, а потім ввести ім’я користувача або адресу електронної пошти та пароль компанії на наступному екрані. Оскільки це найпростіший підхід, далі процес показано поетапно та детальніше:

  1. Користувачеві потрібно ввести домен голосової служби, наданий Cisco, наприклад, user@customer.amer.wxc-di.webex.com на початковому екрані входу в Jabber, як показано на рисунку нижче.


    Після завершення активації послуги Cisco надає спільний доступ до домену голосової служби клієнта для кожного регіону. Ця інформація є частиною документа з деталями доступу, який поширюється в програмному середовищі Webex. Дізнатися деталі можна в статті Активація служби Dedicated Instance.

  2. Користувачеві пропонується ввести ім’я користувача або ідентифікатор електронної пошти компанії разом із паролем для автентифікації, як показано на рисунку нижче.


    Якщо ввімкнено SSO, подібну дію виконуватиме IdP.

    Подальші входи в систему не вимагають від користувача виконання кроку 1, якщо не відбудеться скиданні клієнта Jabber.

Варіант 2. Використовуйте домен голосової служби

Завдяки такому підходу у клієнті Jabber може розрізнятися домен клієнта, введений користувачем, і домен виявлення служби. Якщо в інсталяторі встановлено домен голосової служби customer.amer.wxc-di.webex.com, користувач може ввійти до клієнта Jabber, використовуючи адресу електронної пошти своєї компанії, і Jabber все одно зможе виявити службу на основі значення, встановленого в домені голосової служби. Це позбавить від необхідності вводити домен голосової служби під час першого входу в систему Jabber, як зазначено вище.

Для Windows:

Інструменти як-от Microsoft Orca використовуються для створення спеціальних інсталяторів Jabber, які можуть містити домен голосової служби. Користувачам можна повідомити про використання таких інсталяторів для клієнта Jabber.

Для MAC, iOS, Android:

Інструменти як-от MDM використовуються для створення спеціальних інсталяторів Jabber, які можуть містити домен голосової служби.

Варіант 3. Використовуйте URL-адресу конфігурації

URL-адресу конфігурації можна використовувати для встановлення параметрів Jabber перед першим входом, наприклад для домена голосових служб. Приклад URL-адреси конфігурації: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

Натиснувши на посилання вище, ви можете ввести домен голосової служби в клієнті Jabber, який працює на MAC пристроях Android або iOS.


Ця конфігурація не є постійною, користувачеві потрібно буде натискати на посилання ще раз, якщо відбудеться скидання клієнта Jabber.

Варто зазначити, що для додатку Webex вищевказана вимога не є обов’язковою: клієнт виконує перевірку домену, але домен голосової служби можна ввести в Control Hub. Коли програма Webex підключається до Webex, вона отримує домен голосових послуг і реєструє його. Щоб отримати додаткові відомості про Webex App In-App Calling, див. Інтеграція програми Webex з Dedicated Instance для In-App Calling.

Корисне посилання: Локальне розгортання для Cisco Jabber 14.0