R21SP1 版本更新

安装 XSP 身份验证服务 (R21SP1)

只有在您运行的版本是 R21SP1 时,方可使用以下程序在 BroadWorks 服务器上安装 AuthService。

安装身份验证服务

BroadWorks 21SP1 上的身份验证服务是非托管应用程序。 请完成以下步骤以便安装:

  1. 从 Xchange (https://xchange.broadsoft.com/node/499012)下载 authenticationService_1.0.war(Web 应用程序资源)。

    在 Webex 使用的每个 XSP 上执行以下操作:

  2. 将 .war 文件复制到 XSP 上的临时位置,例如 /tmp/

  3. 使用以下 CLI 上下文和命令安装身份验证服务应用程序:

    XSP_CLI/Maintenance/ManagedObjects> install application /tmp/authenticationService_1.0.war

配置身份验证服务

BroadWorks 长效令牌由托管在 XSP 上的身份验证服务生成并验证。

要求

  • 托管身份验证服务的 XSP 服务器必须配置 mTLS 接口。

  • 所有 XSP 用于加密/解密 BroadWorks 长效令牌的密钥必须相同。 将这些密钥复制到每个 XSP 是手动过程。

  • XSP 必须与 NTP 同步。

配置概述

XSP 上的基本配置包括:

  • 部署身份验证服务。

  • 将令牌持续时间配置为至少 60 天(颁发者保留为 BroadWorks)。

  • 生成 RSA 密钥并在所有 XSP 上共享。

  • 向 Web 容器提供 authService URL。

在 XSP 上部署身份验证服务

对于 Webex 使用的每个 XSP:

  1. 在路径 /authService(必须使用此路径)上激活身份验证服务应用程序:

    XSP_CLI/Maintenance/ManagedObjects> activate application authenticationService <version> /authService

    (其中对于 21SP1 上未托管的应用程序,<version>1.0)。

  2. 部署应用程序:

    XSP_CLI/Maintenance/ManagedObjects> deploy application /authService

配置令牌持续时间

  1. 检查现有令牌配置(小时):

    在 21SP1 上:XSP_CLI/Applications/authenticationService_1.0/TokenManagement> get

  2. 将持续时间设为 60 天(最长为 180 天):

    在 21SP1 上:XSP_CLI/Applications/authenticationService_1.0/TokenManagement> set tokenDuration 1440

生成并共享 RSA 密钥

  • 身份验证服务的所有实例必须使用相同的公钥/私钥对进行令牌加密/解密。

  • 首次收到颁发令牌要求时,身份验证服务会生成密钥对。

由于以上两个因素,您需要在一个 XSP 上生成密钥,然后将密钥复制到所有其他 XSP。


如果循环密钥或更改密钥长度,需要重复以下配置并重启所有 XSP。

  1. 选择一个 XSP 用于生成密钥对。

  2. 使用客户端向该 XSP 请求加密令牌,方式是从客户端浏览器请求以下 URL:

    https://<XSP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

    (如果 XSP 上没有私钥/公钥对,则会生成一个私钥/公钥对)

  3. (仅适用于 21SP1)使用以下命令检查可配置密钥的位置:

    XSP_CLI/Applications/authenticationService_1.0/KeyManagement> get

  4. (仅适用于 21SP1)请注意返回的 fileLocation 参数。

  5. (仅适用于 21SP1)将整个 fileLocation 目录(包含公共私有子目录)复制到其他所有 XSP 中。

向 Web 容器提供 authService URL

XSP 的 Web 容器需要 authService URL 以便验证令牌。

在每个 XSP 上:

  1. 添加身份验证服务 URL 作为 BroadWorks Communications Utility 的外部身份验证服务:

    XSP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1/authService

  2. 将身份验证服务 URL 添加到容器:

    XSP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1/authService

    这样,Cisco Webex 即可使用身份验证服务来验证作为凭据提交的令牌。

  3. get 检查参数。

  4. 重启 XSP。