CUCM перенаправляет на IP при входе в систему.
-
У нас установлен CUCM 15.
Если я перехожу на сайт CUCM, используя DNS-имя, я попадаю на страницу выбора (Manager или Self Care) с DNS-именем в адресной строке. Выбрав Cisco Unified Communications Manager, я попадаю на страницу входа в систему управления, также используя DNS-имя.
Введя свои учетные данные и нажав «Вход», я вхожу в систему, НО адрес меняется на IP-адрес, что нарушает HTTPS, поскольку IP-адрес не указан в сертификате. Мы не можем добавить IP-адрес в сертификат.
Что мне нужно изменить, чтобы страница управления, на которой я вошел, использовала DNS-имя?
Может ли это DNS-имя быть псевдонимом? -
Привет,
@TechnoNOtice
,
Вы посмотрели шаг 14 здесь, чтобы понять, может ли это помочь?
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/install/15/cucm_b_install-guide-cucm-imp-15/cucm_m_postinstallation-tasks.html#postinstall-tasks-for-cisco-unified-communications-manager Шаг 14
Убедитесь, что вы настроили
список
доверенных хостов в HTTP Referer/Host Header
и добавили публичный IP-адрес или псевдоним DNS на странице Cisco Unified CM Administration Enterprise Parameters.
Эта настройка необходима, если в топологии вашей сети для внешних интерфейсов настроен публичный IP-адрес, а для отдельных узлов в кластере — частный IP-адрес. Теперь Unified CM сначала проверит IP-адрес или имя хоста, указанное в заголовке Host, с серверами, настроенными в кластере Unified CM, прежде чем разрешить доступ к Unified CM. Вы также должны настроить псевдоним DNS, используемый для доступа к Unified CM, в конфигурации списка доверенных хостов. Например, если ваш сервер — cm1.example.local, и вы используете phone.example.local для доступа к серверу, вы должны добавить phone.example.local в конфигурацию списка доверенных хостов.
Из частной сети, использующей частный IP-адрес, перейдите в пользовательский интерфейс Cisco Unified CM Administration и выберите
System > Enterprise Parameters
(Система > Параметры предприятия), чтобы настроить используемые внешние IP-адреса или псевдонимы DNS.
После выполнения этой операции необходимо перезапустить службу Cisco Tomcat, чтобы все веб-страницы загружались правильно. -
Вы не можете добавить IP-адрес к сертификату CUCM. Это действительно проблема? ![Response Signature]
-
Это ненормально. Я не помню, чтобы раньше такое было. У вас настроено SAML SSO? Если да, проверьте настройки IdP, чтобы убедиться, что он перенаправляет клиента обратно на URL DNS FQDN, а не IPv4. Если SSO отсутствует, мое следующее предположение будет: Система > Серверы: они определены по FQDN или IPv4? Если по IPv4, не меняйте их спонтанно; это огромное изменение. Я поищу документацию, если они IP.
-
Спасибо, Джонатан, за ответ.
Мы не используем SAML SSO. Все пользователи являются локальными для CUCM.
В разделе «Система» > «Серверы» оба сервера указаны с их полными доменными именами (FQDN).
Для проверки я использовал FQDN, указанный в разделе «Система» > «Серверы», и при входе в систему адрес по-прежнему использует FQDN.
Если используется псевдоним, то адрес возвращается к IP-адресу. -
Я бы предпочел использовать псевдоним, так как правила именования серверов в компании довольно неудобны для человека.
-
Хорошо, тогда это немного другая проблема. Псевдонимы обычно тоже не являются проблемой; я обычно добавляю их по той же причине, что и вы. Включен ли псевдоним в сертификат Tomcat в качестве дополнительного альтернативного имени субъекта?
-
Да, псевдоним включен в сертификат для веб-сайта CUCM.
-
Здравствуйте.
Спасибо за подробный ответ. Именно в этом и была причина.
У нас были псевдонимы для версии 12.x, но из-за ошибки в одном из выпусков они были удалены. Администратор забыл об этом и так и не восстановил запись.
![:disappointed_face:] Это вызвало пересмотр всех системных параметров для их проверки по нашей внутренней документации.
-
Политика и системы компании блокируют добавление IP-адресов к сертификатам.
Кроме того, согласно
CA Browser Forum (следуя браузерам), выдача сертификатов на зарезервированные IP-адреса не допускается. (1 октября 2016 г.) -
https://cabforum.org/working-groups/server/baseline-requirements/documents/CA-Browser-Forum-TLS-BR-2.1.7.pdf
См. раздел 4.2.2, 7.1.2.7.12 (хотя в этом документе он указан в изменениях как 7.1.4.2.1 )
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти