CISCO Configura la sincronizzazione LDAP
Sincronizzazione LDAP terminataview
La sincronizzazione LDAP (Lightweight Directory Access Protocol) ti aiuta a fornire e configurare gli utenti finali per il tuo sistema. Durante la sincronizzazione LDAP, il sistema importa un elenco di utenti e dati utente associati da una directory LDAP esterna nel database di Unified Communications Manager. Puoi anche configurare i tuoi utenti finali durante l'importazione.
Nota Unified Communications Manager supporta LDAPS (LDAP con SSL) ma non supporta LDAP con StartTLS. Assicurati di caricare il certificato del server LDAP in Unified Communications Manager come Tomcat-Trust.
Consultare la matrice di compatibilità per Cisco Unified Communications Manager e IM and Presence Service per informazioni sulle directory LDAP supportate.
La sincronizzazione LDAP annuncia le seguenti funzionalità:
- Importazione di utenti finali: tu può utilizzare la sincronizzazione LDAP durante la configurazione iniziale del sistema per importare l'elenco utenti da una directory LDAP aziendale nel database di Unified Communications Manager. Se hai preconfigurato elementi come modelli di gruppi di funzionalità, user profiles, professionista del serviziofiles, dispositivi universali e modelli di linea, è possibile applicare configurazioni agli utenti e assegnare numeri di directory configurati e URI di directory durante il processo di sincronizzazione. Il processo di sincronizzazione LDAP importa l'elenco di utenti e i dati specifici dell'utente e applica i modelli di configurazione che hai impostato.
Nota Non è possibile apportare modifiche a una sincronizzazione LDAP una volta che la sincronizzazione iniziale è già avvenuta. - Aggiornamenti pianificati: tu può configurare Unified Communications Manager per la sincronizzazione con più directory LDAP a intervalli pianificati per garantire che il database venga aggiornato regolarmente e che i dati utente siano aggiornati.
- Autenticare gli utenti finali: tu può configurare il sistema per autenticare le password degli utenti finali sulla directory LDAP anziché sul database di Cisco Unified Communications Manager. L'autenticazione LDAP offre alle aziende la possibilità di assegnare un'unica password agli utenti finali per tutte le applicazioni aziendali. Questa funzionalità non si applica ai PIN o alle password utente dell'applicazione.
- Utente del server di directory Cercare Client e endpoint Cisco Mobile e Remote Access: tu può eseguire ricerche in un server di directory aziendale anche quando opera all'esterno del firewall aziendale. Quando questa funzione è abilitata, il servizio dati utente (UDS) funge da proxy e invia la richiesta di ricerca dell'utente alla directory aziendale invece di inviarla al database di Unified Communications Manager.
Prerequisiti per la sincronizzazione LDAP
Compiti prerequisiti
Prima di importare gli utenti finali da una directory LDAP, completa le seguenti attività:
- Configura l'accesso utente. Decidi quali gruppi di controllo degli accessi vuoi assegnare ai tuoi utenti. Per molte distribuzioni, i gruppi predefiniti sono sufficienti. Se hai bisogno di personalizzare i tuoi ruoli e gruppi, fai riferimento al capitolo "Gestione dell'accesso utente" della Guida all'amministrazione.
- Configura le credenziali predefinite per un criterio di credenziali che viene applicato per impostazione predefinita agli utenti di cui è stato appena eseguito il provisioning.
- Se stai sincronizzando gli utenti da una directory LDAP, assicurati di disporre di un modello di gruppo di caratteristiche impostato che includa User Profiles, Servizio Profiles e le impostazioni Universal Line and Device Template che si desidera assegnare ai telefoni e agli interni dei propri utenti.
Nota Per gli utenti di cui desideri sincronizzare i dati con il tuo sistema, assicurati che i loro campi ID e-mail sul server Active Directory siano voci univoche o siano lasciati vuoti.
Flusso di attività di configurazione della sincronizzazione LDAP
Utilizzare le attività seguenti per estrarre un elenco di utenti dalla directory LDAP esterna e importarlo nel database di Unified Communications Manager.
Nota Se hai già sincronizzato la directory LDAP una volta, puoi comunque sincronizzare nuovi elementi dalla tua directory LDAP esterna, ma non puoi aggiungere nuove configurazioni Unified Communications Manager alla sincronizzazione della directory LDAP. In questo caso, è possibile utilizzare lo strumento di amministrazione in blocco e menu come Aggiorna utenti o Inserisci utenti.
Fare riferimento alla Guida all'amministrazione in blocco per Cisco Unified Communications Manager.
Procedura
| Comando o azione | Scopo | |
| Passo 1 | Attivare il servizio Cisco DirSync, a pagina 3 | Accedi a Cisco Unified Serviceability e attiva il servizio Cisco DirSync. |
| Passo 2 | Attiva la sincronizzazione della directory LDAP pagina 4 | Abilitare la sincronizzazione della directory LDAP in Unified Communications Manager. |
| Passo 3 | Creazione di un filtro LDAP, a pagina 4 | Opzionale. Creare un filtro LDAP se si desidera che Unified Communications Manager sincronizzi solo un sottoinsieme di utenti dalla directory LDAP aziendale. |
| Passo 4 | Configurazione della sincronizzazione della directory LDAP, a pagina 5 | Configurare le impostazioni per la sincronizzazione della directory LDAP, ad esempio le impostazioni dei campi, le posizioni dei server LDAP, le pianificazioni della sincronizzazione e le assegnazioni per i gruppi di controllo degli accessi, i modelli dei gruppi di funzioni e gli interni primari. |
| Passo 5 | Configura la ricerca utente nella directory aziendale, a pagina 7 | Opzionale. Configurare il sistema per le ricerche utente del server di directory aziendale. Seguire questa procedura per configurare telefoni e client nel sistema per eseguire ricerche utente su un server di directory aziendale invece che sul database. |
| Passo 6 | Configurazione dell'autenticazione LDAP, a pagina 7 | Opzionale. Se si desidera utilizzare la directory LDAP per l'autenticazione della password dell'utente finale, configurare le impostazioni di autenticazione LDAP. |
| Passo 7 | Personalizza il servizio di accordo LDAP Parametri, a pagina 8 | Opzionale. Configurare i parametri facoltativi del servizio di sincronizzazione LDAP. Per la maggior parte delle distribuzioni, i valori predefiniti sono sufficienti. |
Attiva il servizio Cisco DirSync
Eseguire questa procedura per attivare il servizio Cisco DirSync in Cisco Unified Serviceability. È necessario attivare questo servizio se si desidera sincronizzare le impostazioni dell'utente finale da una directory LDAP aziendale.
Procedura
- Passo 1 Da Cisco Unified Serviceability, scegli Strumenti > Attivazione servizio.
- Passo 2 Dall'elenco a discesa Server, scegli il nodo editore.
- Passo 3 In Servizi di directory, fare clic sul pulsante di opzione Cisco DirSync.
- Passo 4 Fare clic su Salva.
Abilita la sincronizzazione della directory LDAP
Eseguire questa procedura se si desidera configurare Unified Communications Manager per sincronizzare le impostazioni dell'utente finale da una directory LDAP aziendale.
Nota Se hai già sincronizzato la directory LDAP una volta, puoi comunque sincronizzare i nuovi utenti dalla tua directory LDAP esterna, ma non puoi aggiungere nuove configurazioni in Unified Communications Manager alla sincronizzazione della directory LDAP. Inoltre, non è possibile aggiungere modifiche agli elementi di configurazione sottostanti come il modello del gruppo di funzionalità o l'utente professionistafile. Se hai già completato una sincronizzazione LDAP e desideri aggiungere utenti con impostazioni diverse, puoi utilizzare i menu di amministrazione in blocco come Aggiorna utenti o Inserisci utenti.
Procedura
- Passaggio 1 Da Cisco Unified CM Administration, scegliere Sistema > LDAP > Sistema LDAP.
- Passaggio 2 Se si desidera che Unified Communications Manager importi gli utenti dalla directory LDAP, selezionare la casella di controllo Abilita sincronizzazione dal server LDAP.
- Passaggio 3 Dall'elenco a discesa Tipo di server LDAP, scegliere il tipo di server di directory LDAP utilizzato dall'azienda.
- Passaggio 4 Dall'elenco a discesa Attributo LDAP per ID utente, scegliere l'attributo dalla directory LDAP aziendale con cui si desidera sincronizzare Unified Communications Manager per il campo ID utente nella finestra Configurazione utente finale.
- Passaggio 5 Fare clic su Salva.
Crea un filtro LDAP
Puoi creare un filtro LDAP per limitare la sincronizzazione LDAP a un sottoinsieme di utenti dalla tua directory LDAP. Quando si applica il filtro LDAP alla directory LDAP, Unified Communications Manager importa dalla directory LDAP solo gli utenti che corrispondono al filtro.
Nota Qualsiasi filtro LDAP configurato deve essere conforme agli standard del filtro di ricerca LDAP specificati in RFC4515.
Procedura
- Passaggio 1 In Cisco Unified CM Administration, scegliere Sistema > LDAP > Filtro LDAP.
- Passaggio 2 Fare clic su Aggiungi nuovo per creare un nuovo filtro LDAP.
- Passaggio 3 Nella casella di testo Nome filtro, immettere un nome per il filtro LDAP.
- Passaggio 4 Nella casella di testo Filtro immettere un filtro. Il filtro può contenere un massimo di 1024 caratteri UTF-8 e deve essere racchiuso tra parentesi ().
- Passaggio 5 Fare clic su Salva.
Configura la sincronizzazione della directory LDAP
Utilizzare questa procedura per configurare Unified Communications Manager per la sincronizzazione con una directory LDAP.
La sincronizzazione della directory LDAP consente di importare i dati dell'utente finale da una directory LDAP esterna nel database di Unified Communications Manager in modo che vengano visualizzati nella finestra Configurazione utente finale. Se si dispone di modelli di gruppo di funzioni di configurazione con modelli di linea e dispositivo universali, è possibile assegnare automaticamente le impostazioni agli utenti di cui è stato appena eseguito il provisioning e ai relativi interni
Mancia Se si assegnano gruppi di controllo dell'accesso o modelli di gruppi di funzionalità, è possibile utilizzare un filtro LDAP per limitare l'importazione al gruppo di utenti con gli stessi requisiti di configurazione.
Procedura
- Passaggio 1 Da Cisco Unified CM Administration, scegliere Sistema > LDAP > Directory LDAP.
- Passaggio 2 Eseguire uno dei seguenti passaggi:
• Fare clic su Trova e selezionare una directory LDAP esistente.
• Fare clic su Aggiungi nuovo per creare una nuova directory LDAP. - Passaggio 3 Nella finestra Configurazione directory LDAP, immettere quanto segue:
a) Nel campo Nome configurazione LDAP, assegnare un nome univoco alla directory LDAP.
b) Nel campo LDAP Manager Distinguished Name, immettere un ID utente con accesso al server di directory LDAP.
c) Immettere e confermare i dettagli della password.
d) Nel campo Spazio di ricerca utente LDAP, immettere i dettagli dello spazio di ricerca.
e) Nel campo LDAP Custom Filter for UsersSynchronize, selezionare Solo utenti o Utenti e gruppi.
f) (Facoltativo). Se desideri limitare l'importazione solo a un sottoinsieme di utenti che soddisfano uno specifico professionistafile, dall'elenco a discesa Filtro personalizzato LDAP per gruppi selezionare un filtro LDAP. - Passaggio 4 Nei campi Pianificazione sincronizzazione directory LDAP, creare una pianificazione che Unified Communications Manager utilizza per sincronizzare i dati con la directory LDAP esterna.
- Passaggio 5 Completare la sezione Campi utente standard da sincronizzare. Per ogni campo Utente finale, scegli un attributo LDAP. Il processo di sincronizzazione assegna il valore dell'attributo LDAP al campo dell'utente finale in Unified Communications Manager.
- Passaggio 6 Se si distribuisce la composizione URI, assicurarsi di assegnare l'attributo LDAP che verrà utilizzato per l'indirizzo URI della directory principale dell'utente.
- Passaggio 7 Nella sezione Campi utente personalizzati da sincronizzare, immettere il nome del campo utente personalizzato con l'attributo LDAP richiesto.
- Passaggio 8 Per assegnare gli utenti finali importati a un gruppo di controllo dell'accesso comune a tutti gli utenti finali importati, procedere come segue
a) Fare clic su Aggiungi al gruppo di controllo accessi.
b) Nella finestra a comparsa, fare clic sulla casella di controllo corrispondente per ogni gruppo di controllo accessi che si desidera
assegnare agli utenti finali importati.
c) Fare clic su Aggiungi selezionati. - Passaggio 9 Se si desidera assegnare un modello di gruppo di funzioni, selezionare il modello dall'elenco a discesa Modello di gruppo di funzioni.
Nota Gli utenti finali vengono sincronizzati con il modello di gruppo di funzioni assegnato solo per la prima volta quando gli utenti non sono presenti. Se un modello di gruppo di caratteristiche esistente viene modificato e viene eseguita una sincronizzazione completa per l'LDAP associato, le modifiche non verranno aggiornate. - Passaggio 10 Se si desidera assegnare l'interno principale applicando una maschera ai numeri di telefono importati, procedere come segue:
a) Selezionare la casella di controllo Applica maschera ai numeri di telefono sincronizzati per creare una nuova linea per gli utenti inseriti.
b) Immettere una maschera. Ad esample, una maschera di 11XX crea un interno primario di 1145 se il numero di telefono importato è 8889945. - Passaggio 11 Se si desidera assegnare gli interni primari da un pool di numeri di rubrica, procedere come segue:
a) Selezionare la casella di controllo Assegna nuova linea dall'elenco pool se non ne è stata creata una basata su un numero di telefono LDAP sincronizzato.
b) Nelle caselle di testo Inizio pool DN e Fine pool DN, immettere l'intervallo di numeri di rubrica da cui selezionare gli interni primari. - Passaggio 12 Nella sezione Informazioni sul server LDAP, immettere il nome host o l'indirizzo IP del server LDAP.
- Passaggio 13 Se si desidera utilizzare TLS per creare una connessione protetta al server LDAP, selezionare la casella di controllo Usa TLS.
- Passaggio 14 Fare clic su Salva.
- Passaggio 15 Per completare una sincronizzazione LDAP, fare clic su Esegui sincronizzazione completa ora. In caso contrario, puoi attendere la sincronizzazione pianificata.
Nota
Quando gli utenti vengono eliminati in LDAP, verranno automaticamente rimossi da Unified Communications Manager dopo 24 ore. Inoltre, se l'utente eliminato è configurato come utente in mobilità per uno dei seguenti dispositivi, anche questi dispositivi inattivi verranno eliminati automaticamente:
- Destinazione remota Profile
- Destinazione remota Profile Modello
- Cliente intelligente mobile
- Dispositivo remoto CTI
- Scintilla dispositivo remoto
- Il Nokia S60
- Modalità doppia Cisco per iPhone
- Mobile integrato con IMS (di base)
- Mobile integrato con l'operatore
- Modalità doppia Cisco per Android
Configura la ricerca utente nella directory aziendale
Utilizzare questa procedura per configurare telefoni e client nel proprio sistema per eseguire ricerche utente su un server di directory aziendale invece che sul database.
Prima di iniziare
- Assicurarsi che i server primario, secondario e terziario, scelti per la ricerca utente LDAP, siano raggiungibili in rete dai nodi sottoscrittori di Unified Communications Manager.
- Da Sistema > LDAP > Sistema LDAP, configurare il tipo di server LDAP dall'elenco a discesa Tipo di server LDAP nella finestra Configurazione sistema LDAP.
Procedura
- Passaggio 1 In Cisco Unified CM Administration, scegliere Sistema > LDAP > Ricerca LDAP.
- Passaggio 2 Per consentire l'esecuzione delle ricerche utente utilizzando un server di directory LDAP aziendale, selezionare la casella di controllo Abilita ricerca utente su Enterprise Directory Server.
- Passaggio 3 Configurare i campi nella finestra Configurazione ricerca LDAP. Vedere la guida in linea per ulteriori informazioni sui campi e le relative opzioni di configurazione.
- Passaggio 4 Fare clic su Salva.
Nota Per cercare sale conferenza rappresentate come oggetti Stanza in OpenLDAP Server, configurare il filtro personalizzato come (| (objectClass=intOrgPerson)(objectClass=rooms)). Ciò consente al client Cisco Jabber di cercare le sale conferenze in base al nome e comporre il numero associato alla sala.
Le stanze conferenza sono ricercabili a condizione che l'attributo givenName o sn o mail o displayName o telephonenumber sia configurato nel server OpenLDAP per un oggetto stanza.
Configura l'autenticazione LDAP
Eseguire questa procedura se si desidera abilitare LDAPauthentication in modo che le password degli utenti finali vengano autenticate in base alla password assegnata nella directory LDAP dell'azienda. Questa configurazione si applica solo alle password degli utenti finali e non ai PIN degli utenti finali o alle password degli utenti delle applicazioni.
Procedura
- Passaggio 1 In Cisco Unified CM Administration, scegliere Sistema > LDAP > Autenticazione LDAP.
- Passaggio 2 Selezionare la casella di controllo Usa autenticazione LDAP per utenti finali per utilizzare la directory LDAP per l'autenticazione utente.
- Passaggio 3 Nel campo Nome distinto del gestore LDAP, immettere l'ID utente del gestore LDAP che dispone dei diritti di accesso alla directory LDAP.
- Passaggio 4 Nel campo Conferma password, immettere la password per il gestore LDAP.
- Passaggio 5 Nel campo Base di ricerca utente LDAP, immettere i criteri di ricerca.
- Passaggio 6 Nella sezione Informazioni sul server LDAP, immettere il nome host o l'indirizzo IP del server LDAP.
- Passaggio 7 Se si desidera utilizzare TLS per creare una connessione protetta al server LDAP, selezionare la casella di controllo Usa TLS.
- Passaggio 8 Fare clic su Salva.
Cosa fare dopo
Personalizzazione dei parametri del servizio dell'accordo LDAP, a pagina 8
Personalizza i parametri del servizio dell'accordo LDAP
Eseguire questa procedura per configurare i parametri di servizio facoltativi che personalizzano le impostazioni a livello di sistema per gli accordi LDAP. Se non si configurano questi parametri del servizio, Unified Communications Manager applica le impostazioni predefinite per l'integrazione della directory LDAP. Per le descrizioni dei parametri, fare clic sul nome del parametro nell'interfaccia utente.
È possibile utilizzare i parametri di servizio per personalizzare le seguenti impostazioni:
- Numero massimo di accordi: il valore predefinito è 20.
- Numero massimo di host: il valore predefinito è 3.
- Ritardo tentativi in caso di errore dell'host (sec): il valore predefinito per l'errore dell'host è 5.
- Retry Delay On HotList failure (mins): il valore predefinito per l'errore dell'elenco host è 10.
- Timeout connessione LDAP (sec): il valore predefinito è 5.
- Ora di inizio della sincronizzazione ritardata (minuti): il valore predefinito è 5.
- Tempo di verifica della mappa del cliente dell'utente
Procedura
- Passaggio 1 Da Cisco Unified CM Administration, scegliere Sistema > Parametri di servizio.
- Passaggio 2 Dalla casella di riepilogo a discesa Server, scegliere il nodo editore.
- Passaggio 3 Dalla casella di riepilogo a discesa Servizio, scegliere Cisco DirSync.
- Passaggio 4 Configurare i valori per i parametri del servizio Cisco DirSync.
- Passaggio 5 Fare clic su Salva.
Documenti / Risorse
 |
CISCO Configura la sincronizzazione LDAP [pdf] Guida utente Configura sincronizzazione LDAP, sincronizzazione LDAP, sincronizzazione |
