SBCE IPO 500 V2 TLS

IPO 500 V2 TLS SBCE

说明:本文档参照官方手册“IP Office SIP Phones with ASBCE”编写,只是说官方文档少了具体的操作步骤截图,我给加上了,一步步的做下去。

IPO Server充当CA对IPO 500 V2 和SBCE 签发身份证书,既然是签发证书,就需要确保所有服务器的时间是正确的,不然也会出现问题。

1,下载IPO根证书

使用者备选名称的格式为:IP:XX.XX.XX.XX,IP:YY.YY.YY.YY,DNS:aaa.com,DNS:bbb.com

对于使用IP地址注册的方法,最好把IPO LAN1以及公网IP地址写到备选名称里边,对于使用域名注册的方法,只需要把相关域名信息写进去。

2,给IPO 500 V2 签发身份证书

注意这里的时长一定要小于825天,这个是为了配合安卓10和iOS 13的要求,IPO的版本必须要大于或者等于11.0.4.3.0,才可以满足安卓10和iOS 13对证书时长的要求。

3,通过IPO Manager 安装之前步骤中的IPO 身份证书

4,接下来给SBCE签发身份证书

使用者备选名称的格式为:IP:XX.XX.XX.XX,IP:YY.YY.YY.YY,DNS:aaa.com,DNS:bbb.com

对于使用IP地址注册的方法,最好把SBCE A1、B1的以及公网IP地址写到备选名称里边,对于使用域名注册的方法,只需要把相关域名信息写进去。

5,在SBCE上进行配置

6,SRTP设置

如果你需要对语音流进行加密,那么你需要做的是一方面在IPO上启用SRTP相关功能,另外一方面你需要在SBCE上设置相关的媒体流加密参数。很遗憾的是在IPO 500 V2上无法启用该功能,只有IPO Server 版上可以启用该功能,这一点和文档上写的有出入,不知道是因为操作问题还是其它原因。

Utility 7 恢复root 账号登录?

对于US 7 版本而言还是有很多客户在使用并且AVAYA 也提供最新的技术支持,因为US 8 版本已经没有了文件服务器、话机通话记录备份等等功能,所以建议继续使用US 7版本。

  • 然后按Ctrl+X 组合键,进入到系统救援模式,输入以下命令:
  • mount -o remount,rw /sysroot
  • chroot /sysroot
  • passwd (用于修改root 密码)
  • vi /etc/passwd (用于恢复root账号登录,默认禁用了root账号登录,所以你无法切换到root账号)

touch /.autorelabel
exit
exit
系统会自动重启,现在可以正常使用root 账号了。

无公网IP ,如何实现内网穿透?

FRPS 服务端搭建

  1. 前期准备:由于公司没有公网IP ,所以很多的内网穿透的事情做起来会很麻烦,在这里还好我自己有一台腾讯云的云主机,这台设备肯定是有公网IP的,那么我们可以借助这台主机做外网的中转服务器,然后在该服务器上安装穿透软件FRP,FRP 分为服务端和客户端,那么我们第一步要做的就是在我的云服务器上安装FRP 服务端软件。为什么要使用云服务器呢,目的就是稳定可靠,像现在市面上卖的那些什么花生壳设备也能做到,但是稳定性相对来说会差很多。
  2. FRP 相关知识:我们可以通过https://github.com/fatedier/frp 来对相关知识做进一步的了解,具体的操作如下。
  3. 下载安装包 https://github.com/fatedier/frp/releases

4. 将刚刚下载好的安装包上传至云服务器并且执行解压缩安装,在安装之前按照文档内容执行一些参数配置即可。

tar -zxvf frp_0.33.0_linux_amd64.tar.gz  将解压后的文件夹目录名字修改为frp

mv -t /frp/ /tmp/frp/

frpc.ini 就是客户端的配置文件

frps.ini 就是服务端的配置文件

5. FRP 官方文档指导,我们通过这个官方文档来查看如何做配置,https://github.com/fatedier/frp/blob/master/README_zh.md

6. 编辑 frps.ini 配置文件

7. 启动FRPS

./frps -c ./frps.ini

8. 修改云主机的安全组规则

9. 在云服务器添加防火墙端口开放规则

systemctl enable firewalld
systemctl start firewalld

firewall-cmd –zone=public –add-port=7000/tcp –permanent( 你需要开放哪些端口,你就按照这条命令执行即可 )

firewall-cmd –reload

10. FRPS 服务自启动脚本

vi /lib/systemd/system/frps.service

[Unit]

Description=fraps service

After=network.target syslog.target

Wants=network.target

[Service]

Type=simple

ExecStart=/root/frp/frps -c /root/frp/frps.ini  ( #此处安实际情况修改,也就是你的frp 的安装路径在哪里 )

[Install]

WantedBy=multi-user.target

启动frps 服务  systemctl start frps

systemctl enable frps  (开机自启动)

reboot  (重启云服务器)

ps -aux |grep frps (查看frps 服务进程)

11. FRPS 重启服务?

对于FRPS 来说,有些配置是重启 服务后生效,最简单粗暴的方式就是先查看服务进程,然后杀进程,然后再重启,操作如下:

ps -ef |grep frp 查看服务PID 号

kill -9 PID 号

nohup ./frps -c frps.ini &  (服务重启)

FRPC 客户端搭建

  1. 我们通过在本地的服务器上搭建FRPC,在配置文件里边填写好本地IP地址端口号以及远端(FRPS)所对应的端口号,一一映射,从而实现我们内网穿透。
  2. 在本地搭建一台CentOS 7 系统,然后将FRP安装包上传,执行安装。CentOS 7 系统安装部分此处略过。
  3. 编辑 frpc.ini 配置文件

4. 启动FRPC

./frpc -c ./frpc.ini

这里需要注意的是如果云服务器的防火墙里边没有添加端口开放规则,那么你是无法正常启动连接的。所以这点一定要注意。

5. FRPC 服务自启动

vi /lib/systemd/system/frpc.service

[Unit]

Description=frapc service

After=network.target syslog.target

Wants=network.target

[Service]

Type=simple

ExecStart=/root/frp/frpc -c /root/frp/frpc.ini  ( #此处安实际情况修改,也就是你的frp 的安装路径在哪里 )

[Install]

WantedBy=multi-user.target

systemctl start frpc

systemctl enable frpc

6. FRP 服务端面板查看

http://云服务器IP:7500/static/#/proxies/tcp(前提在服务器端的防火墙打开7500端口)

AES 内置WebLM 密码恢复?

方法很多,只供参考,目的是为了让你灵活运用,在其它系统也可以采用类似方法。

AES 默认安装的WebLM 在如下路径下:
/usr/share/tomcat-6.0.35/webapps (不同的AES 内置的tomcat 版本可能不一样,因此路径自行更改)

  • 注意在这里我们看到了一个WebLM.war 的文件,这个是官方初始war 包,也就是说里边是干净的,也就意味着用户名密码都是默认的admin/weblmadmin,所以我们如果想要做密码恢复后边就会用到它。
  • 当然你也可以自己新搭建一个纯净的AES ,然后什么都不做,只需要将执行安装脚本后的WebLM这个文件夹里边的Users.xml替换掉密码丢失的那台AES 相同路径下的这个文件即可,那么建议你可以将这个Users.xml 文件留存到你的本地PC ,以备不时之需。下边的方法稍微繁琐一点,但是不需要你先重新搭建AES系统。
  • 我在这里做一个实验,我先将AES 内置的WebLM默认密码改掉,然后执行恢复操作,使其密码恢复至初始密码weblmadmin,具体操作如下:
这就是首次登录,我重新设置了密码,那么我接下来需要做的就是将其重置成默认密码
  • cd /usr/share/tomcat-6.0.35/webapps/
  • mkdir /tmp/WebLMwar
  • cp /usr/share/tomcat-6.0.35/webapps/WebLM.war /tmp/WebLMwar/
  • cd /tmp/WebLMwar/
  • jar xvf WebLM.war
  • 查看以及备份原来的用户信息(就是你不知道密码的那个用户信息)
在这里我们可以很清楚的看到重置密码是false ,注意这个和默认的配置是不一样的,默认的那个是true ,也就意味着你可以修改weblmadmin,闲话不多说,其实如下两步你可以不用操作,就是备份不知道密码的Users.xml 文件
  • cp /usr/share/tomcat-6.0.35/webapps/WebLM/admin/Users.xml /tmp/WebLMwar/Users.xml.bkup
  • cp /usr/share/tomcat-6.0.35/webapps/WebLM/admin/Users.xml /usr/share/tomcat-6.0.35/webapps/WebLM/admin/Users.xml.bkup
  • cd /tmp/WebLMwar/admin/
  • cp Users.xml /usr/share/tomcat-6.0.35/webapps/WebLM/admin/Users.xml (将默认的那个密码是weblmadmin 的配置文件拷贝)  

cat /usr/share/tomcat-6.0.35/webapps/WebLM/admin/Users.xml (再次验证一下)

可以很清晰的看到此处的重置密码参数是True ,说明该密码已经是weblmadmin了

chmod 666 /usr/share/tomcat-6.0.35/webapps/WebLM/admin/Users.xml

这样就恢复成默认密码了,然后你重新输入新密码即可。

Avaya 7.1-8.x root 账号密码恢复

我们知道很多的Avaya 产品我们会受限于权限管控的原因,收回了root 账号,导致很多的事情我们做不了。这些东西怎么说呢,是一把双刃剑,一方面对于管理员来说权限管控的越严格,那么对于系统的安全、稳定运行有非常大的帮助。但是另一方面对于用户来说也是一种“苦难”,因为有时候我们需要做某些特殊操作的时候,会发觉真的是“受制于人”。今天在这里把这些恢复的方法写出来,也仅仅是供紧急状态下使用,还是非常建议你联系原厂、填写相关的密码恢复申请来对root 账号密码完成恢复。另外如果你购买了Avaya 的原厂服务器,安装了定制版的VMware ESXi (AVP)平台的话,那么在执行安装部署的时候,会提示你是否启用root 账号,那么该账号也被称作是customer root account ,Aavaya 的相关产品也有相对应的脚本会来检测这个 customer root account 激活状态。

恢复方法:其实这个方法也就是常用的RHEL 的root 账号恢复方法,该方法在RHEL官方手册里边也是可以查到的,包括各大网站都有,方法有好几种,今天只是说一种方法即可。

1,在开机启动的时候,我们通过上下方向键( “↑”,“↓”  ),然后输入“e(edit)”来对启动内核进行编辑;

2,在内核参数linux16 参数这一行的最后面加入 “rd.break”(有些文档写要删除 The rhgb and quiet parameters must be removed in order to enable system messages。我此次实施的过程中没有删除也是可以的,这个视具体情况而定。

3,修改完毕后,根据提示按住Ctrl+x 进入到紧急救援模式

4,执行如下命令即可:

  • mount -o remount,rw /sysroot (重新挂载并且将默认的只读权限修改为读写)
  • chroot /sysroot
  • passwd (开始修改root 密码)
  • touch /.autorelabel (创建.autorelabel文件 | selinux标签验证)
  • exit
  • exit
  • 系统会重启

至此root 账号密码恢复完毕。

扩展:从安全的角度出发,Avaya 已经默认创建了定期修改你安装系统时候所创建的用户的密码规则,默认是2个月你必须修改一次。那么在有些客户环境下,可能不太想这么做,那么我们只需要执行如下命令即可:

chage -l 用户名 –>显示密码老化详细信息
chage -m0 -M-1 -E-1 -I-1 用户名 –>禁用密码老化