概觀

在TLS握手期間,標準TLS用戶端會檢查TLS伺服器憑證的有效性。當透過網際網路部署 Jabber 時,此設定可能容易受到「中間人」攻擊。

在登入期間,如果黑客向他們自己的伺服器提供有效的TLS憑證而不是預期的 Expressway,則 Jabber 可能會因為沒有其他控制項而接受該憑證,這可能導致使用者將惡意系統連線。為了避免此問題發生,Jabber 新增了一個額外的驗證步驟,它驗證在登入期間輸入的網域是否符合憑證中的主體別名 (SAN)。如果相符,Jabber 會嘗試連線至 Expressway。

「憑證中的每個 SAN 項目都必須由憑證授權單位 (CA) 簽署。這意味著只有擁有網域的公司才能收到 CA 簽署的憑證,並且 CA 驗證 SAN 項目。因此,偽造 Expressway 的身分變得相當困難。」

在專用實例中, Cisco管理 UC 應用程式的憑證,因此憑證使用Cisco提供的網域簽署,例如, Customer.amer.wxc-di.webex.com 。但是,對於一般使用者使用客戶電子郵件地址登入 Jabber 用戶端,可以透過以下選項來實現:

選項 1 - Jabber 初始一般一般使用者登入

Jabber 的初始一般一般使用者登入是最簡單的方法,下面詳細提供步驟:

  1. 輸入Cisco提供的語音服務網域,例如, user@customer.amer.wxc-di.webex.com 在初始 Jabber 登入螢幕中。

    服務啟動後, Cisco會在每個地區共用客戶語音服務網域 此資訊是在Webex應用程式空間中共用的存取詳細資料文件的一部分。有關更多詳細資訊,請參閱專用實例服務啟動

  2. 輸入使用者名稱或公司電子郵件 ID 以及密碼進行驗證。

    如果SSO已啟用,IdP 會執行類似的操作。

    此後的登入不需要執行步驟 1,除非 Jabber 用戶端已重設。

選項 2:使用語音服務網域

透過此方法,Jabber 用戶端可以區分使用者輸入的客戶網域與服務探索網域。在安裝程式中若語音服務網域設定為Customer.amer.wxc-di.webex.com ,使用者可以使用其公司的電子郵件地址登入 Jabber 用戶端,Jabber 仍然可以根據語音服務網域中設定的值執行服務探索。這樣便無需根據上述選項在初始 Jabber 登入時提供語音服務網域。

對於 Windows:

工具,例如Microsoft逆戟鯨 可用於建立自訂 Jabber 安裝程式,其中可包含語音服務網域。可指示使用者將這些安裝程式用於 Jabber 用戶端。

對於MAC、iOS、 Android:

可使用 MDM 等工具建立可包含語音服務網域的自訂 Jabber 安裝程式。

選項:使用設定URL

配置URL用於在初始登入之前設定 Jabber 的參數,例如語音服務網域。組態URL的一個範例:ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

透過按一下上述鏈結,可在MAC、 Android或 iOS 裝置上執行的 Jabber 用戶端中設定語音服務網域。

此組態不會持續,如果 Jabber 用戶端重設,則使用者需要再次按一下該鏈結。

Webex應用程式沒有上述要求,用戶端會執行網域檢查,但可以在 Control Hub 中佈建語音服務網域。當Webex應用程式連線至Webex時,會取得語音服務網域並進行註冊。如需Webex應用程式 應用程式內通話設定的相關資訊,請參閱Webex應用程式與應用程式內通話的專用實例整合

有用的鏈結:Cisco Jabber 14.0 的內部部署