您可以将 Cisco Jabber 设置为使用 OAuth 协议来授权用户对服务的访问权限。 如果用户登录到启用 OAuth 的环境,则无需在每次用户登录时都输入凭证。但是,如果服务器没有启用 OAuth,则 Jabber 可能无法正常工作。
如果您使用 Cisco Unified Communication Manager 12.5 或更高版本,您也可以启用 SIP OAuth。 它允许 Jabber 向 SIP 自行授权,从而允许 Jabber 通过 TLS 连接到 SIP 服务。
它还可让 Jabber 通过安全连接 (sRTP) 发送媒体。 SIP OAuth 意味着不再需要 CAPF 注册来启用安全 SIP 和媒体。
先决条件:
-
如果部署为功能,则必须跨所有这些组件打开 OAuth 刷新令牌
-
Cisco Unified Communication Manager、Cisco Unified Communication ManagerInstant Messaging and Presence 以及 Cisco Unity Connection
必须是版本 11.5(SU3) 或 12.0
-
Cisco Expressway for Mobile and Remote Access 版本 X8.10 或更高版本
-
对于 SIP OAuth:Cisco Unified Communication Manager 12.5 或更高版本、Cisco Expressway for Mobile and Remote Access 版本 X12.5 或更高版本。
在配置 OAuth 之前,请检查您拥有的部署类型:
默认情况下,这些服务器上禁用 OAuth。 要在这些服务器上启用 OAuth:
当在任何这些服务器上启用或禁用 OAuth 时,Jabber 会在配置重新提取间隔内识别它,并让用户注销并登录到 Jabber。
在注销期间,Jabber 会删除缓存中存储的用户凭证,然后让用户使用常规登录流登录,其中 Jabber 首先获取所有配置信息,然后让用户访问 Jabber 服务。
要配置 Cisco Unified Communication Manager 上的 OAuth:
-
转至 。
-
将 O-Auth 访问令牌到期计时器(分钟)设置为所需的值。
-
将 O-Auth 刷新令牌到期计时器(天)设置为所需的值。
-
点击保存按钮。
要在 Cisco Expressway 上配置 OAuth:
-
转至。
-
将 O-Auth 本地身份验证设置为“开”。
要在 Cisco Unity 上配置 OAuth:
-
转至 AuthZ 服务器并选择新增。
-
在所有字段中输入详细信息,然后选择“忽略证书错误”。
-
单击保存。
限制
Jabber 触发自动入侵保护
条件:
Jabber 执行以下一项操作:
-
从桌面休眠恢复
-
恢复网络连接
-
在注销后几个小时尝试快速登录
行为:
症状:
受影响的 Jabber 客户端的 IP 地址将添加到 HTTP 代理授权失败类别中 Expressway-E 的被阻止地址列表 。 您可以在上查看这些地址。
暂时解决办法:
您可以通过两种方式解决此问题;您可以增加该特定类别的检测阈值,也可以为受影响的客户端创建例外。 我们在此处介绍阈值选项,因为例外在您的环境中可能不实用。
- 转至。
-
单击 HTTP 代理授权失败。
-
将触发器级别从 5 更改为 10。10 必须足以容许显示到期令牌的 Jabber 模块。
-
保存配置,此操作会立即生效。
-
取消阻止任何受影响的客户端。