R21SP1 版的更新

安裝 XSP 驗證服務 (R21SP1)

只有當您執行 R21SP1 時,才使用下列程序將 AuthService 安裝在 BroadWorks 伺服器上。

安裝驗證服務

在 BroadWorks 21SP1 上,驗證服務是未受管理的應用程式。 請完成下列步驟來安裝它:

  1. 從 Xchange (https://xchange.broadsoft.com/node/499012) 下載 authenticationService_1.0.war(Web 應用程式資源)檔案。

    在搭配 Webex 使用的每個 XSP 上,執行以下操作:

  2. 將 .war 檔案複製到 XSP 上的臨時位置,如 /tmp/

  3. 使用下列 CLI 內容與指令安裝驗證服務應用程式:

    XSP_CLI/Maintenance/ManagedObjects> install application /tmp/authenticationService_1.0.war

設定驗證服務

BroadWorks 長時間使用權杖會由您 XSP 上託管的驗證服務產生及驗證。

需求

  • 託管驗證服務的 XSP 伺服器必須已設定 mTLS 介面。

  • XSP 必須共用相同的金鑰,以加密/解密 BroadWorks 長時間使用權杖。 將這些金鑰複製到每個 XSP 是一個手動過程。

  • XSP 必須與 NTP 同步。

組態概觀

您的 XSP 上的基本組態包括:

  • 部署驗證服務。

  • 將權杖持續時間設定為至少 60 天(將簽發者保留為 BroadWorks)。

  • 跨 XSP 產生和共用 RSA 金鑰。

  • 向 Web 容器提供 authService URL。

在 XSP 上部署驗證服務

在搭配 Webex 使用的每個 XSP 上:

  1. 在路徑 /authService 上啟動驗證服務應用程式(您必須使用此路徑):

    XSP_CLI/Maintenance/ManagedObjects> activate application authenticationService <version> /authService

    (其中,對於 21SP1 上未受管理的應用程式,<version>1.0)。

  2. 部署應用程式:

    XSP_CLI/Maintenance/ManagedObjects> deploy application /authService

設定權杖持續時間

  1. 檢查現有的權杖組態(小時):

    在 21SP1 上:XSP_CLI/Applications/authenticationService_1.0/TokenManagement> get

  2. 將持續時間設定為 60 天(最長為 180 天):

    在 21SP1 上:XSP_CLI/Applications/authenticationService_1.0/TokenManagement> set tokenDuration 1440

產生及共用 RSA 金鑰

  • 您必須在驗證服務的所有實例之間使用相同的公開/私密金鑰組進行權杖加密/解密。

  • 首次要求發出權杖時,驗證服務會產生金鑰組。

由於這兩個因素,您需要在一個 XSP 上產生金鑰,然後將金鑰複製到所有其他 XSP。


如果您迴圈金鑰或變更金鑰長度,您需要重複下列組態並重新啟動所有 XSP。

  1. 選取一個 XSP 用於產生金鑰組。

  2. 使用用戶端從該 XSP 請求加密權杖,方法是從用戶端的瀏覽器請求下列 URL:

    https://<XSP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

    (如果還沒有的話,這會在 XSP 上產生私密/公開金鑰組)

  3. (僅 21SP1)使用下列指令檢查可設定金鑰位置:

    XSP_CLI/Applications/authenticationService_1.0/KeyManagement> get

  4. (僅 21SP1)記下傳回的 fileLocation 參數。

  5. (僅 21SP1)將整個 fileLocation 目錄(其包含 publicprivate 子目錄)複製到所有其他 XSP。

向 Web 容器提供 authService URL

XSP 的 Web 容器需要 authService URL,才能驗證權杖。

在每個 XSP 上:

  1. 新增驗證服務 URL 作為 BroadWorks Communications Utility 的外部驗證服務:

    XSP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1/authService

  2. 新增驗證服務 URL 至容器:

    XSP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1/authService

    這可讓 Cisco Webex 使用驗證服務來驗證呈現為認證的權杖。

  3. 使用 get 檢查參數。

  4. 重新啟動 XSP。