CISCO LDAP 同期の設定

LDAP 同期オーバーview

Lightweight Directory Access Protocol (LDAP) 同期は、システムのエンド ユーザーをプロビジョニングおよび構成するのに役立ちます。 LDAP 同期中に、システムはユーザのリストと関連するユーザ データを外部 LDAP ディレクトリから Unified Communications Manager データベースにインポートします。 インポート中にエンド ユーザーを構成することもできます。

注記 Unified Communications Manager は LDAPS (SSL を使用した LDAP) をサポートしていますが、StartTLS を使用した LDAP はサポートしていません。 LDAP サーバ証明書を Tomcat-Trust として Unified Communications Manager にアップロードしていることを確認してください。

サポートされている LDAP ディレクトリについては、Cisco Unified Communications Manager と IM and Presence Service の互換性マトリックスを参照してください。

LDAP 同期は、次の機能をアドバタイズします。

• エンド ユーザーのインポート - あなた は、システムの初期設定時に LDAP 同期を使用して、ユーザ リストを会社の LDAP ディレクトリから Unified Communications Manager データベースにインポートできます。 機能グループ テンプレートなどのアイテムを事前に構成している場合、ユーザー プロfiles、サービスプロfileのユニバーサル デバイスおよび回線テンプレートを使用すると、設定をユーザに適用し、同期プロセス中に設定済みのディレクトリ番号とディレクトリ URI を割り当てることができます。 LDAP 同期プロセスは、ユーザーのリストとユーザー固有のデータをインポートし、設定した構成テンプレートを適用します。
  注記 最初の同期がすでに行われている場合、LDAP 同期を編集することはできません。
• スケジュールされた更新 - あなた スケジュールされた間隔で複数の LDAP ディレクトリと同期するように Unified Communications Manager を設定して、データベースが定期的に更新され、ユーザ データが最新であることを確認できます。
• エンド ユーザーの認証 — あなた Cisco Unified Communications Manager データベースではなく、LDAP ディレクトリに対してエンド ユーザ パスワードを認証するようにシステムを設定できます。 LDAP 認証により、企業はすべての企業アプリケーションのエンド ユーザーに単一のパスワードを割り当てることができます。 この機能は、PIN またはアプリケーション ユーザー パスワードには適用されません。
• Directory Server User 検索する Cisco Mobile and Remote Access Clients and Endpoints—You 企業のファイアウォールの外側で運用している場合でも、企業のディレクトリ サーバーを検索できます。 この機能を有効にすると、ユーザ データ サービス（UDS）がプロキシとして機能し、ユーザ検索要求を Unified Communications Manager データベースではなく社内ディレクトリに送信します。

LDAP 同期の前提条件

前提条件のタスク
LDAP ディレクトリからエンド ユーザーをインポートする前に、次のタスクを完了します。

• ユーザー アクセスを構成します。 ユーザーに割り当てるアクセス制御グループを決定します。 多くの展開では、既定のグループで十分です。 役割とグループをカスタマイズする必要がある場合は、管理ガイドの「ユーザー アクセスの管理」の章を参照してください。
• 新しくプロビジョニングされたユーザーに既定で適用される資格情報ポリシーの既定の資格情報を構成します。
• LDAP ディレクトリからユーザーを同期している場合は、User Pro を含む機能グループ テンプレートが設定されていることを確認してください。files、サービスプロfile、およびユーザの電話機と内線番号に割り当てるユニバーサル ラインおよびデバイス テンプレートの設定。

注記 データをシステムに同期させたいユーザーについては、Active Directory サーバーの電子メール ID フィールドが一意のエントリであるか、空白のままであることを確認してください。

LDAP 同期設定のタスク フロー

次のタスクを使用して、外部 LDAP ディレクトリからユーザ リストを取得し、Unified Communications Manager データベースにインポートします。

注記 LDAP ディレクトリをすでに XNUMX 回同期している場合でも、外部 LDAP ディレクトリから新しい項目を同期できますが、Unified Communications Manager の新しい設定を LDAP ディレクトリ同期に追加することはできません。 この場合、一括管理ツールと、[ユーザーの更新] や [ユーザーの挿入] などのメニューを使用できます。
Cisco Unified Communications Manager の一括管理ガイドを参照してください。

手順

Cisco DirSync サービスを有効にする

Cisco Unified サービスアビリティで Cisco DirSync サービスをアクティブにするには、次の手順を実行します。 企業の LDAP ディレクトリからエンド ユーザーの設定を同期する場合は、このサービスを有効にする必要があります。

手順

• ステップ1 Cisco Unified Serviceability から、[Tools] > [Service Activation] を選択します。
• ステップ2 [サーバー] ドロップダウン リストから、パブリッシャ ノードを選択します。
• ステップ3 [ディレクトリ サービス] の下で、[Cisco DirSync] ラジオ ボタンをクリックします。
• ステップ4 [保存]をクリックします。

LDAP ディレクトリ同期を有効にする

企業の LDAP ディレクトリからエンド ユーザの設定を同期するように Unified Communications Manager を設定する場合は、この手順を実行します。

注記 LDAP ディレクトリをすでに XNUMX 回同期している場合でも、外部 LDAP ディレクトリから新しいユーザを同期できますが、Unified Communications Manager の新しい設定を LDAP ディレクトリ同期に追加することはできません。 また、機能グループ テンプレートやユーザー プロなどの基になる構成アイテムに編集を追加することもできません。file. すでに XNUMX つの LDAP 同期を完了しており、別の設定でユーザーを追加したい場合は、[ユーザーの更新] または [ユーザーの挿入] などの一括管理メニューを使用できます。

手順

• ステップ 1 Cisco Unified CM Administration から、[System] > [LDAP] > [LDAP System] を選択します。
• ステップ 2 Unified Communications Manager で LDAP ディレクトリからユーザをインポートする場合は、[LDAP サーバからの同期を有​​効にする（Enable Synchronizing from LDAP Server）] チェックボックスをオンにします。
• ステップ 3 [LDAP Server Type] ドロップダウン リストから、会社が使用する LDAP ディレクトリ サーバのタイプを選択します。
• ステップ 4 [ユーザ ID の LDAP 属性（LDAP Attribute for User ID）] ドロップダウン リストから、Unified Communications Manager が [エンド ユーザの設定（End User Configuration）] ウィンドウの [ユーザ ID（User ID）] フィールドと同期する社内 LDAP ディレクトリの属性を選択します。
• ステップ5 [保存]をクリックします。

LDAP フィルタの作成

LDAP フィルターを作成して、LDAP 同期を LDAP ディレクトリからのユーザーのサブセットに制限できます。 LDAP フィルタを LDAP ディレクトリに適用すると、Unified Communications Manager はフィルタに一致する LDAP ディレクトリからユーザだけをインポートします。

注記 構成する LDAP フィルターは、R​​FC4515 で指定されている LDAP 検索フィルター標準に準拠する必要があります。

手順

• ステップ 1 Cisco Unified CM Administration で、[System] > [LDAP] > [LDAP Filter] を選択します。
• ステップ 2 [Add New] をクリックして、新しい LDAP フィルタを作成します。
• ステップ 3 [Filter Name] テキスト ボックスに、LDAP フィルタの名前を入力します。
• ステップ 4 [Filter] テキスト ボックスに、フィルタを入力します。 フィルターには最大 1024 文字の UTF-8 文字を含めることができ、括弧 () で囲む必要があります。
• ステップ5 [保存]をクリックします。

LDAP ディレクトリ同期の構成

LDAP ディレクトリと同期するように Unified Communications Manager を設定するには、次の手順を使用します。

LDAP ディレクトリ同期を使用すると、エンド ユーザ データを外部 LDAP ディレクトリから Unified Communications Manager データベースにインポートして、[エンド ユーザの設定（End User Configuration）] ウィンドウに表示することができます。 ユニバーサル回線およびデバイス テンプレートを使用して機能グループ テンプレートをセットアップしている場合は、新しくプロビジョニングされたユーザとその内線番号に設定を自動的に割り当てることができます。

ヒント アクセス コントロール グループまたは機能グループ テンプレートを割り当てる場合、LDAP フィルタを使用して、インポートを同じ設定要件を持つユーザ グループに制限できます。

手順

• ステップ 1 Cisco Unified CM Administration から、[System] > [LDAP] > [LDAP Directory] ​​を選択します。
• ステップ 2 次のいずれかの手順を実行します。
  • [検索] をクリックして、既存の LDAP ディレクトリを選択します。
  • [新規追加] をクリックして、新しい LDAP ディレクトリを作成します。
• ステップ 3 [LDAP ディレクトリの設定（LDAP Directory Configuration）] ウィンドウで、次のように入力します。
  a) [LDAP 構成名] フィールドで、一意の名前を LDAP ディレクトリに割り当てます。
  b) [LDAP Manager Distinguished Name] フィールドに、LDAP ディレクトリ サーバーへのアクセス権を持つユーザー ID を入力します。
  c) パスワードの詳細を入力して確認します。
  d) [LDAP User Search Space] フィールドに、検索スペースの詳細を入力します。
  e) [UsersSynchronize の LDAP カスタム フィルター] フィールドで、[ユーザーのみ] または [ユーザーとグループ] のいずれかを選択します。
  f) (オプション)。 特定のプロを満たすユーザーのサブセットのみにインポートを制限したい場合fileで、[グループの LDAP カスタム フィルタ] ドロップダウン リストから LDAP フィルタを選択します。
• ステップ 4 [LDAP ディレクトリ同期スケジュール] フィールドで、Unified Communications Manager がデータを外部 LDAP ディレクトリと同期するために使用するスケジュールを作成します。
• ステップ 5 「同期する標準ユーザ フィールド」セクションに入力します。 [エンド ユーザー] フィールドごとに、LDAP 属性を選択します。 同期プロセスは、LDAP 属性の値を Unified Communications Manager のエンド ユーザ フィールドに割り当てます。
• ステップ 6 URI ダイヤリングを導入している場合は、ユーザのプライマリ ディレクトリ URI アドレスに使用される LDAP 属性を必ず割り当ててください。
• ステップ 7 [同期するカスタム ユーザ フィールド（Custom User Fields To Be Synchronized）] セクションで、カスタム ユーザ フィールド名と必要な LDAP 属性を入力します。
• ステップ 8 インポートされたエンド ユーザを、インポートされたすべてのエンド ユーザに共通のアクセス コントロール グループに割り当てるには、次の手順を実行します。
  a) [アクセス コントロール グループに追加] をクリックします。
  b) ポップアップ ウィンドウで、設定する各アクセス コントロール グループに対応するチェック ボックスをクリックします。
  インポートされたエンド ユーザーに割り当てます。
  c) [選択を追加] をクリックします。
• ステップ 9 機能グループ テンプレートを割り当てる場合は、Feature Group Template ドロップダウン リストからテンプレートを選択します。
  注記 エンド ユーザーは、ユーザーが存在しないときに初めて、割り当てられた機能グループ テンプレートと同期されます。 既存の機能グループ テンプレートが変更され、関連付けられた LDAP に対して完全同期が実行された場合、変更は更新されません。
• ステップ 10 インポートした電話番号にマスクを適用してプライマリ内線番号を割り当てる場合は、次の手順を実行します。
  a) [同期された電話番号にマスクを適用して、挿入されたユーザー用に新しい回線を作成する] チェック ボックスをオンにします。
  b) マスクを入力します。ampインポートされた電話番号が 11 の場合、1145XX のマスクは 8889945 のプライマリ内線番号を作成します。
• ステップ 11 ディレクトリ番号のプールからプライマリ内線番号を割り当てる場合は、次の手順を実行します。
  a) [同期された LDAP 電話番号に基づいて作成されていない場合は、プール リストから新しい行を割り当てる] チェック ボックスをオンにします。
  b) [DN Pool Start] テキスト ボックスと [DN Pool End] テキスト ボックスに、プライマリ内線番号を選択する電話番号の範囲を入力します。
• ステップ 12 [LDAP Server Information] セクションで、LDAP サーバのホスト名または IP アドレスを入力します。
• ステップ 13 TLS を使用して LDAP サーバへの安全な接続を作成する場合は、[Use TLS] チェックボックスをオンにします。
• ステップ14 [保存]をクリックします。
• ステップ 15 LDAP 同期を完了するには、[Perform Full Sync Now] をクリックします。 それ以外の場合は、スケジュールされた同期を待つことができます。

注記

ユーザが LDAP で削除されると、24 時間後に Unified Communications Manager から自動的に削除されます。 また、削除されたユーザーが次のいずれかのデバイスのモビリティ ユーザーとして構成されている場合、これらの非アクティブなデバイスも自動的に削除されます。

• リモート宛先プロfile
• リモート宛先プロfile テンプレート
• モバイル スマート クライアント
• CTI リモート デバイス
• Spark リモート デバイス
• ノキアS60
• iPhone 向けシスコ デュアル モード
• IMS 統合モバイル (基本)
• キャリア一体型モバイル
• Android 向けシスコ デュアル モード

エンタープライズ ディレクトリ ユーザー検索の構成

この手順を使用して、システム内の電話機とクライアントを設定し、データベースではなくエンタープライズ ディレクトリ サーバに対してユーザ検索を実行します。

始める前に

• LDAP ユーザ検索用に選択したプライマリ サーバ、セカンダリ サーバ、およびターシャリ サーバが、Unified Communications Manager サブスクライバ ノードに到達可能なネットワークであることを確認します。
• [システム] > [LDAP] > [LDAP システム] から、[LDAP システム構成] ウィンドウの [LDAP サーバー タイプ] ドロップダウン リストから LDAP サーバーのタイプを構成します。

手順

• ステップ 1 Cisco Unified CM Administration で、[System] > [LDAP] > [LDAP Search] を選択します。
• ステップ 2 エンタープライズ LDAP ディレクトリ サーバを使用してユーザ検索を実行できるようにするには、[エンタープライズ ディレクトリ サーバへのユーザ検索を有効にする] チェックボックスをオンにします。
• ステップ 3 [LDAP Search Configuration] ウィンドウでフィールドを設定します。 フィールドとその構成オプションの詳細については、オンライン ヘルプを参照してください。
• ステップ4 [保存]をクリックします。
  注記 OpenLDAP サーバーで Room オブジェクトとして表される会議室を検索するには、カスタム フィルターを (| (objectClass=intOrgPerson)(objectClass=rooms)) として構成します。 これにより、Cisco Jabber クライアントは名前で会議室を検索し、会議室に関連付けられた番号をダイヤルできます。
  会議室は、部屋オブジェクトの OpenLDAP サーバーで givenName または sn または mail または displayName または telephonenumber 属性が構成されている場合に検索可能です。

LDAP 認証の構成

会社の LDAP ディレクトリで割り当てられたパスワードに対してエンド ユーザーのパスワードが認証されるように、LDAP 認証を有効にする場合は、この手順を実行します。 この構成は、エンド ユーザーのパスワードにのみ適用され、エンド ユーザーの PIN またはアプリケーション ユーザーのパスワードには適用されません。

手順

• ステップ 1 Cisco Unified CM Administration で、[System] > [LDAP] > [LDAP Authentication] を選択します。
• ステップ 2 ユーザ認証に LDAP ディレクトリを使用するには、[Use LDAP Authentication for End Users] チェックボックスをオンにします。
• ステップ 3 [LDAP Manager Distinguished Name] フィールドに、LDAP ディレクトリへのアクセス権を持つ LDAP Manager のユーザ ID を入力します。
• ステップ 4 Confirm Password フィールドに、LDAP マネージャのパスワードを入力します。
• ステップ 5 [LDAP User Search Base] フィールドに、検索条件を入力します。
• ステップ 6 [LDAP Server Information] セクションで、LDAP サーバのホスト名または IP アドレスを入力します。
• ステップ 7 TLS を使用して LDAP サーバへの安全な接続を作成する場合は、[Use TLS] チェックボックスをオンにします。
• ステップ8 [保存]をクリックします。

次に何をすべきか
LDAP アグリーメント サービス パラメータのカスタマイズ, （8 ページ）

LDAP アグリーメント サービス パラメータのカスタマイズ

LDAP アグリーメントのシステムレベル設定をカスタマイズするオプションのサービス パラメータを設定するには、次の手順を実行します。 これらのサービス パラメータを設定しない場合、Unified Communications Manager は LDAP ディレクトリ統合のデフォルト設定を適用します。 パラメーターの説明については、ユーザー インターフェイスでパラメーター名をクリックしてください。

サービス パラメータを使用して、以下の設定をカスタマイズできます。

• 契約書の最大数 - デフォルト値は 20 です。
• ホストの最大数 - デフォルト値は 3 です。
• ホスト障害時の再試行遅延 (秒) - ホスト障害のデフォルト値は 5 です。
• ホットリスト失敗時の再試行遅延 (分) — ホストリスト失敗のデフォルト値は 10 です。
• LDAP 接続タイムアウト (秒) - デフォルト値は 5 です。
• 遅延同期開始時間 (分) - デフォルト値は 5 です。
• ユーザー カスタマー マップの監査時間

手順

• ステップ 1 Cisco Unified CM Administration から、[System] > [Service Parameters] を選択します。
• ステップ 2 [Server] ドロップダウン リスト ボックスから、パブリッシャ ノードを選択します。
• ステップ 3 [Service] ドロップダウン リスト ボックスから、[Cisco DirSync] を選択します。
• ステップ 4 Cisco DirSync サービス パラメータの値を設定します。
• ステップ5 [保存]をクリックします。

ドキュメント / リソース

CISCO LDAP 同期の設定 [pdf] ユーザーガイド LDAP 同期の構成、LDAP 同期、同期

参考文献

• ユーザーマニュアル