概觀

標準TLS用戶端在TLS握手期間檢查TLS伺服器憑證的有效性。 但是,當 Jabber 部署在網際網路上時,此設定可能容易受到「中間人」攻擊。 在登入期間,如果駭客向 Jabber 提供使用有效TLS憑證而不是 Expressway 的伺服器,則 Jabber 在沒有進一步控制的情況下,會接受該憑證,並且使用者可以連線至惡意系統。 為了避免此問題發生,Jabber 會執行一個不屬於標準TLS的額外驗證步驟,該步驟會檢查使用者在登入過程中輸入的網域是否符合憑證中包含的主體別名 (SAN)。 只有相符時,Jabber 才會嘗試連線至 Expressway。 在憑證中建立的任何 SAN 項目都需要由憑證授權單位 (CA) 簽署,這意味著只有擁有網域的公司才能取得 CA 簽署的憑證。

憑證中輸入的任何 SAN 都必須經過憑證授權單位 (CA) 的驗證,因此只有擁有網域的公司才能取得 CA 簽署的憑證。 這使竊取 Expressway 的身分變得更加困難。

在專用實例中, Cisco管理 UC 應用程式的憑證,因此憑證僅使用Cisco提供的網域簽署,例如Customer.amer.wxc-di.webex.com 。 但是,對於一般使用者使用客戶電子郵件地址登入 Jabber 用戶端,可以透過以下選項來實現:

選項 1 - Jabber 初始一般一般使用者登入

Jabber 的初始一般一般使用者登入是最簡單的方法,下面詳細提供步驟:

  1. 輸入Cisco提供的語音服務網域,例如, user@customer.amer.wxc-di.webex.com在初始 Jabber 登入螢幕中。


     

    服務啟動後, Cisco會在每個地區共用客戶語音服務網域 此資訊是在Webex應用程式空間中共用的存取詳細資料文件的一部分。 有關更多詳細資訊,請參閱專用實例服務啟動

  2. 輸入使用者名稱或公司電子郵件 ID 以及密碼進行驗證。


     

    如果SSO已啟用,IdP 會執行類似的操作。


     
    此後的登入不需要執行步驟 1,除非 Jabber 用戶端已重設。

選項 2: 使用語音服務網域

透過此方法,Jabber 用戶端可以區分使用者輸入的客戶網域與服務探索網域。 在安裝程式中若語音服務網域設定為Customer.amer.wxc-di.webex.com ,使用者可以使用其公司的電子郵件地址登入 Jabber 用戶端,Jabber 仍然可以根據語音服務網域中設定的值執行服務探索。 這樣便無需根據上述選項在初始 Jabber 登入時提供語音服務網域。

對於 Windows:

可使用Microsoft Orca 等工具來建立自訂 Jabber 安裝程式,其中可以包含語音服務網域。 可指示使用者將這些安裝程式用於 Jabber 用戶端。

對於MAC、iOS、 Android:

可使用 MDM 等工具建立可包含語音服務網域的自訂 Jabber 安裝程式。

選項 3: 使用設定URL

配置URL用於在初始登入之前設定 Jabber 的參數,例如語音服務網域。 組態URL的一個範例: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

透過按一下上述鏈結,可在MAC、 Android或 iOS 裝置上執行的 Jabber 用戶端中設定語音服務網域。


 

此組態不會持續,如果 Jabber 用戶端重設,則使用者需要再次按一下該鏈結。

Webex應用程式沒有上述要求,用戶端會執行網域檢查,但可以在 Control Hub 中佈建語音服務網域。 當Webex應用程式連線至Webex時,會取得語音服務網域並進行註冊。 如需Webex應用程式 應用程式內通話設定的相關資訊,請參閱Webex應用程式與應用程式內通話的專用實例整合

有用的鏈結: Cisco Jabber 14.0 的內部部署