<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">I would be a bit wary of HTTP redirects being a convenient attack vector for phishing. Especially if they are happening over unencrypted HTTP and across the Internet.
 But even just behaviorally, I don’t think it is a good practice to get users comfortable seeing the “official” URIs be redirected to ugly technical-looking URIs. Makes it easier to trick them into using a fake page. If they’re used to always seeing a memorable
 simple and pretty URI, then they’re more likely to notice when something is amiss.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">An alternative would be to rewrite URIs with a reverse proxy (or L7 load balancer). This would avoid the need for redirects and would keep the user’s browser
 pointed at a nice pretty URI. As a security bonus, you’d be able to firewall direct L3 access to the application service, and also your client machines wouldn’t need to be allowed to access weird ports.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">Another option is to just not bother with friendly names, push favourites/bookmarks into users’ browsers (e.g. via group policy, mdm) and train them to get to
 the applications that way.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D">-mn<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri",sans-serif"> cisco-voip [mailto:cisco-voip-bounces@puck.nether.net]
<b>On Behalf Of </b>Anthony Holloway<br>
<b>Sent:</b> October-20-16 1:07 PM<br>
<b>To:</b> Cisco VoIP Group <cisco-voip@puck.nether.net><br>
<b>Subject:</b> [cisco-voip] DNS Friendly Names and URL Paths<o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<div>
<p class="MsoNormal">Since the list is slow this week....<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<p class="MsoNormal">Ever since the push for DNS and FQDN over IP Address, I have been giving application servers a Subject Alternative Name (SAN) so that users accessing Self-Care Portal, Finesse, etc. do not have to be bothered with server names.<o:p></o:p></p>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<blockquote style="margin-left:30.0pt;margin-right:0cm">
<div>
<p class="MsoNormal">E.g., <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">Instead of this:<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<blockquote style="margin-left:30.0pt;margin-right:0cm">
<div>
<p class="MsoNormal"><a href="https://mspvmcucm001.company.com/ucmuser">https://mspvmcucm001.company.com/ucmuser</a><o:p></o:p></p>
</div>
</blockquote>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">They would be able to use this:<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<blockquote style="margin-left:30.0pt;margin-right:0cm">
<div>
<p class="MsoNormal"><a href="https://myphone.company.com/ucmuser">https://myphone.company.com/ucmuser</a><o:p></o:p></p>
</div>
</blockquote>
</blockquote>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">That works pretty well, and Tomcat certs are easily signed to support the extra alias.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">However, when it comes to UCCX, it's a little more complicated with the following example:<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<blockquote style="margin-left:30.0pt;margin-right:0cm">
<div>
<p class="MsoNormal"><a href="https://finesse.company.com:8445/desktop">https://finesse.company.com:8445/desktop</a><o:p></o:p></p>
</div>
</blockquote>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Because the alias is not exactly fitting for all things on UCCX, such as:<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<blockquote style="margin-left:30.0pt;margin-right:0cm">
<div>
<p class="MsoNormal"><a href="https://finesse.company.com:8444/cuic">https://finesse.company.com:8444/cuic</a><o:p></o:p></p>
</div>
</blockquote>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">That's confusing, and also because the user still has to remember the port and path on the end.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<blockquote style="margin-left:30.0pt;margin-right:0cm">
<div>
<p class="MsoNormal"><a href="https://finesse.company.com">https://finesse.company.com</a> will not automatically take you to
<a href="https://finesse.company.com:8445/desktop">https://finesse.company.com:8445/desktop</a><o:p></o:p></p>
</div>
</blockquote>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Today I had a co-worker ask me how it might be possible to have both:<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<blockquote style="margin-left:30.0pt;margin-right:0cm">
<div>
<p class="MsoNormal">A) A different alias for each sub-component of the application server (E.g., Finesse vs CUIC)<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">B) Have the port and path appended automatically<o:p></o:p></p>
</div>
</blockquote>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I decided that a shim would be appropriate here.  We would take the various aliases, send them to a web server, which would then initiate an HTTP Header Location redirect to the appropriate port and path.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">A PHP example could be:<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<blockquote style="margin-left:30.0pt;margin-right:0cm">
<div>
<p class="MsoNormal"><span style="font-family:"Courier New"">URL: <a href="https://agent.company.com/">
https://agent.company.com/</a></span><o:p></o:p></p>
</div>
</blockquote>
</div>
<blockquote style="margin-left:30.0pt;margin-right:0cm">
<div>
<p class="MsoNormal"><span style="font-family:"Courier New"">PHP: <?php header('Location:
<a href="https://mspvmuccx001.company.com:8445/desktop''">https://mspvmuccx001.company.com:8445/desktop''</a>); exit; ?></span><o:p></o:p></p>
</div>
</blockquote>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">This uses the <a href="https://en.wikipedia.org/wiki/HTTP_location">
HTTP Location</a> header, which sends an HTTP 3XX response code to the client and let's them know where to go to get the "right" page.  Unfortunately, that does mean that the address changes in your browser from the first URL to the second URL.  This isn't
 terrible, but it does mean that you'll still want a friendly looking CNAME record for your host still, as I described above.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">But, this would require me to install a web server in each environment and configure it, or ask for shared web server space.  A better solution?  The cloud!<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I stumbled across a public service that does just this.  The cloud service I found is:<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<blockquote style="margin-left:30.0pt;margin-right:0cm">
<div>
<p class="MsoNormal"><a href="https://www.easyredir.com/" target="_blank"><span style="font-size:9.5pt">https://www.easyredir.com/</span></a><o:p></o:p></p>
</div>
</blockquote>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">They have both paid and a free plans:<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<blockquote style="margin-left:30.0pt;margin-right:0cm">
<div>
<p class="MsoNormal"><a href="https://www.easyredir.com/free-url-redirection">https://www.easyredir.com/free-url-redirection</a><o:p></o:p></p>
</div>
</blockquote>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I was able to set this up in about 10 minutes and it works exactly like I have explained above.  I have no affiliation to them, and I'm sure there's other services out there.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Icing on the cake I suppose, I was even able to take a public domain record (E.g.,
<a href="http://company.com">company.com</a>) and redirect it to a private domain record (E.g., company.local), proving that your application servers need not be accessible from the internet.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">In fact, your target url doesn't even have to be a public domain either.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<blockquote style="margin-left:30.0pt;margin-right:0cm">
<div>
<p class="MsoNormal">E.g.,<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><a href="https://agent.company.local">https://agent.company.local</a> can point to
<a href="https://mspvmuccx001.company.local:8445/desktop">https://mspvmuccx001.company.local:8445/desktop</a><o:p></o:p></p>
</div>
</blockquote>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">The only requirement is that your client PC can resolve the private record (.local) to the public service host (on
<a href="http://easyredir.com">easyredir.com</a>), and that the returned redirect location (.local again) is also accessible to your client PC.<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Has anyone come across something like this before?  How are you solving all the different ports and paths now under your administrative domain?<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">This does not replace your need for a smart load-balancer in the case of a server failure, though Finesse should at least redirect you to the Master node, should your DNS record point to the Slave.<o:p></o:p></p>
</div>
</div>
</div>
</body>
</html>