概覽

在 TLS 交換期間,標準 TLS 用戶端會檢查 TLS 伺服器憑證的有效性。 不過,當 Jabber 在網際網絡上部署時,此實施可能會帶來「中間人」攻擊攻擊。 在登入期間,如果駭客透過有效的 TLS 憑證而非 Expressway 來向 Jabber 提供自己的伺服器,則 Jabber 不會進一步控制,而是接受該憑證,然後使用者就會連接到惡意系統。 為避免此問題,Jabber 會執行一個不屬於標準 TLS 的額外驗證步驟;此步驟會檢查使用者在登入過程中輸入的網域與憑證中包含的主體別名 (SAN) 是否一致。 只有在一致時,Jabber 才會嘗試連接到 Expressway。 憑證中的任何 SAN 項目都需要由憑證授權單位 (CA) 簽名,這意味著只有擁有該網域的公司才能獲得 CA 簽名憑證。

在憑證中輸入的任何 SAN 都要經過憑證授權單位 (CA) 的驗證,所以只有擁有該網域名的公司才能獲得 CA 簽名憑證。 這使得竊取 Expressway 的身份變得更加困難。

在專用執行個體中,Cisco 會管理 UC 應用程式的憑證,因此憑證只會使用 Cisco 提供的網域簽名,例如 customer.amer.wxc-di.webex.com。 不過,對於一般使用者來說,可以透過以下選項來使用客戶的電子郵件地址登入 Jabber 用戶端:

選項 1 - Jabber 初始一般使用者登入

可以通知使用者,在初次登入 Jabber 用戶端時,他們需要在初始螢幕上使用 Cisco 的語音服務網域 user@customer.amer.wxc-di.webex.com,然後在下一個螢幕上使用其使用者名稱或公司的電子郵件地址和密碼。 由於這是最簡單的方法,所以對其步驟進行了更詳細的說明:

  1. 使用者需要在初始 Jabber 登入畫面中輸入 Cisco 提供的語音服務網域,例如user@customer.amer.wxc-di.webex.com (如下圖所示)。


    當服務啟動完成之後,客戶的語音服務網域會由 Cisco 在每個區域共用。 這些資訊是 Webex 應用程式空間中共用的存取詳細資訊文件的一部分。 有關詳細資訊,請參閱專用執行個體服務啟動

  2. 系統將提示使用者輸入使用者名稱或公司的電子郵件 ID 以及用於驗證的密碼 (如下圖所示)。


    如果啟用了 SSO,則 IdP 將執行類似的操作。

    除非 Jabber 用戶端重設,此後的登入不要求使用者執行步驟 1。

選項 2:使用語音服務網域

透過這種方法,Jabber 用戶端可以區分使用者輸入的客戶網域與服務發現網域。 在安裝程式中,如果語音服務網域設定為 customer.amer.wxc-di.webex.com,則使用者可以使用公司的電子郵件地址登入到 Jabber 用戶端,並且 Jabber 仍可基於語音服務網域中設定的值來執行服務發現。 這樣一來,就不必在初始 Jabber 登入時按上述選項提供語音服務網域。

Windows:

Microsoft Orca 之類的工具可用於建立自訂的 Jabber 安裝程式,其中可包括語音服務網域。 可以指示使用者使用這些安裝程式來安裝 Jabber 用戶端。

MAC、iOS、Android:

MDM 之類的工具可用於建立自訂的 Jabber 安裝程式,其中可包括語音服務網域。

選項 3:使用組態 URL

組態 URL 可用於在初始登入之前設定 Jabber 參數,例如語音服務網域。 組態 URL 的例子:ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

按一下上方連結,可以在 MAC、Android 或 iOS 裝置上執行的 Jabber 用戶端中設定語音服務網域。


此組態並非永久;如果 Jabber 用戶端被重設,則使用者需要再次按一下該連結。

請注意:Webex 應用程式並無上述要求;用戶端會執行網域檢查,但可以在 Control Hub 中配置語音服務網域。 當 Webex 應用程式連接到 Webex 時,將獲取語音服務網域並註冊相同的網域。 有關 Webex 應用程式內置通話安裝的詳細資訊,請參閱 Webex 應用程式整合與應用程式內通話的專用執行個體

實用連結:Cisco Jabber 14.0 的內部部署