概述

在TLS握手期间,标准TLS客户端会检查TLS服务器证书的有效性。当Jabber通过互联网部署时,此设置可能容易受到“中间人”攻击。

在登录期间,如果黑客向自己的服务器出示了有效的TLS证书,而不是预期的Expressway,Jabber可能会接受该证书,因为没有额外的控制,这可能会导致用户连接到恶意系统。为避免此问题,Jabber添加了额外的验证步骤,它会验证在登录期间输入的域是否与证书中的使用者备用名称(SAN)匹配。如果匹配,Jabber会尝试连接到Expressway。

"证书中的每个SAN条目都必须由证书颁发机构(CA)签署。这意味着只有拥有该域的公司才能收到CA签名的证书,并且CA验证SAN条目。因此,伪造高速公路的身份变得困难得多。 ”

在专用实例中,Cisco管理UC应用程序的证书,因此证书与Cisco提供的域签署,例如customer.amer.wxc-di.webex.com。但是,要让最终用户使用客户电子邮件地址登录Jabber客户端,可以通过以下选项实现:

选项1 - Jabber初始最终用户登录

Jabber初始最终用户登录是最简单的方法,详细介绍了步骤:

  1. 输入Cisco提供的语音服务域,例如,user@customer.amer.wxc-di.webex.com 在初始Jabber登录屏幕中。

    服务激活后,Cisco为每个区域共享客户语音服务域此信息是在Webex应用程序空间中共享的访问详细信息文档的一部分。有关更多详细信息,请参阅专用实例服务激活

  2. 输入用于验证的用户名或公司电子邮件标识以及密码。

    如果启用SSO,IdP将执行类似的操作。

    后续登录后不需要执行步骤1,除非重置Jabber客户端。

选项 2:使用语音服务域

通过这种方法,Jabber客户端可以区分用户输入的客户域和服务发现域。在安装程序中,如果语音服务域设置为 customer.amer.wxc-di.webex.com,则用户可以使用其公司的电子邮件地址登录到Jabber客户端,并且Jabber仍然可以根据语音服务域中设置的值执行服务发现。这样就无需按照上述选项在初始jabber登录中提供语音服务域。

对于Windows:

Microsoft ca 等工具可用于创建自定义Jabber安装程序,其中可以包括语音服务域。可以指示用户对Jabber客户端使用这些安装程序。

对于MAC、iOS和Android:

MDM等工具可用于创建可以包含语音服务域的自定义Jabber安装程序。

选项:使用配置URL

配置URL用于在初始登录前设置Jabber参数,例如语音服务域。配置URL的示例:ciscojabber:// ?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

单击上面的链接,可以在运行在MAC、Android或iOS设备上的Jabber客户端中设置语音服务域。

此配置不是永久性的,如果重置Jabber客户端,用户需要再次单击链接。

Webex应用程序没有上述要求,客户端执行域检查,但可以在Control Hub中预配置语音服务域。当Webex应用程序连接到Webex时,它将获取语音服务域并注册相同的域。有关Webex应用程序内呼叫设置的更多信息,请参阅 bex应用程序与应用程序内呼叫专用实例的集成

有用链接:Cisco Jabber 14.0的内部部署