CISCO Настройка синхронизации LDAP
Синхронизация LDAP завершенаview
Синхронизация облегченного протокола доступа к каталогам (LDAP) помогает вам выделить и настроить конечных пользователей для вашей системы. Во время синхронизации LDAP система импортирует список пользователей и связанные данные о пользователях из внешнего каталога LDAP в базу данных Unified Communications Manager. Вы также можете настроить конечных пользователей во время импорта.
Примечание Unified Communications Manager поддерживает LDAPS (LDAP с SSL), но не поддерживает LDAP с StartTLS. Убедитесь, что вы загружаете сертификат сервера LDAP в Unified Communications Manager как Tomcat-Trust.
См. Матрицу совместимости для Cisco Unified Communications Manager и службы обмена мгновенными сообщениями и присутствия для получения информации о поддерживаемых каталогах LDAP.
Синхронизация LDAP рекламирует следующие функции:
- Импорт конечных пользователей — вы может использовать синхронизацию LDAP во время первоначальной настройки системы для импорта списка пользователей из каталога LDAP компании в базу данных Unified Communications Manager. Если вы предварительно настроили такие элементы, как шаблоны групп функций,fileс, сервис проfiles, универсальные шаблоны устройств и линий, вы можете применять конфигурации к своим пользователям и назначать сконфигурированные номера каталогов и URI каталогов в процессе синхронизации. Процесс синхронизации LDAP импортирует список пользователей и пользовательские данные и применяет настроенные вами шаблоны конфигурации.
Примечание Вы не можете вносить изменения в синхронизацию LDAP после того, как первоначальная синхронизация уже выполнена. - Запланированные обновления — вы можно настроить Unified Communications Manager для синхронизации с несколькими каталогами LDAP через запланированные интервалы, чтобы обеспечить регулярное обновление базы данных и актуальность пользовательских данных.
- Аутентифицируйте конечных пользователей — вы можно настроить вашу систему для аутентификации паролей конечных пользователей по каталогу LDAP, а не по базе данных Cisco Unified Communications Manager. Аутентификация LDAP предоставляет компаниям возможность назначать конечным пользователям единый пароль для всех приложений компании. Эта функция не распространяется на PIN-коды или пароли пользователей приложений.
- Directory Server User Искать Cisco Mobile and Remote Access Clients and Endpoints—You может выполнять поиск на корпоративном сервере каталогов, даже если он работает за пределами корпоративного брандмауэра. Когда эта функция включена, служба пользовательских данных (UDS) действует как прокси-сервер и отправляет поисковый запрос пользователя в корпоративный каталог, а не в базу данных Unified Communications Manager.
Предварительные требования для синхронизации LDAP
Предварительные задачи
Прежде чем импортировать конечных пользователей из каталога LDAP, выполните следующие задачи:
- Настройте доступ пользователей. Решите, какие группы управления доступом вы хотите назначить своим пользователям. Для многих развертываний достаточно групп по умолчанию. Если вам нужно настроить свои роли и группы, обратитесь к главе «Управление доступом пользователей» Руководства по администрированию.
- Настройте учетные данные по умолчанию для политики учетных данных, которая по умолчанию применяется к вновь подготовленным пользователям.
- Если вы синхронизируете пользователей из каталога LDAP, убедитесь, что у вас настроен шаблон группы функций, который включает в себя User Pro.fileс, Сервис Проfiles, а также параметры универсального шаблона линии и устройства, которые вы хотите назначить телефонам и добавочным номерам пользователей.
Примечание Для пользователей, чьи данные вы хотите синхронизировать с вашей системой, убедитесь, что их поля идентификатора электронной почты на сервере Active Directory являются уникальными записями или оставлены пустыми.
Поток задач настройки синхронизации LDAP
Используйте следующие задачи, чтобы получить список пользователей из внешнего каталога LDAP и импортировать его в базу данных Unified Communications Manager.
Примечание Если вы уже синхронизировали каталог LDAP один раз, вы по-прежнему можете синхронизировать новые элементы из внешнего каталога LDAP, но вы не можете добавлять новые конфигурации Unified Communications Manager в синхронизацию каталога LDAP. В этом случае вы можете использовать инструмент массового администрирования и такие меню, как «Обновить пользователей» или «Вставить пользователей».
См. Руководство по групповому администрированию для Cisco Unified Communications Manager.
Процедура
| Команда или действие | Цель | |
| Шаг 1 | Активируйте службу Cisco DirSync, на стр. 3 | Войдите в Cisco Unified Serviceability и активируйте службу Cisco DirSync. |
| Шаг 2 | Включить синхронизацию каталогов LDAP, вкл. страница 4 | Включите синхронизацию каталогов LDAP в Unified Communications Manager. |
| Шаг 3 | Создание фильтра LDAP, на странице 4 | Необязательный. Создайте фильтр LDAP, если вы хотите, чтобы Unified Communications Manager синхронизировал только подмножество пользователей из вашего корпоративного каталога LDAP. |
| Шаг 4 | Настройка синхронизации каталога LDAP, на странице 5 | Настройте параметры синхронизации каталога LDAP, такие как параметры полей, расположения серверов LDAP, расписания синхронизации и назначения для групп управления доступом, шаблонов функциональных групп и основных внутренних номеров. |
| Шаг 5 | Настройка поиска пользователей корпоративного каталога, на странице 7 | Необязательный. Настройте систему для поиска пользователями корпоративного сервера каталогов. Следуйте этой процедуре, чтобы настроить телефоны и клиенты в вашей системе для выполнения поиска пользователей на корпоративном сервере каталогов, а не в базе данных. |
| Шаг 6 | Настройка аутентификации LDAP, на странице 7 | Необязательный. Если вы хотите использовать каталог LDAP для аутентификации по паролю конечного пользователя, настройте параметры аутентификации LDAP. |
| Шаг 7 | Настройка службы соглашения LDAP Параметры, на стр. 8 | Необязательный. Настройте дополнительные параметры службы синхронизации LDAP. Для большинства развертываний достаточно значений по умолчанию. |
Активируйте службу Cisco DirSync.
Выполните эту процедуру, чтобы активировать службу Cisco DirSync в Cisco Unified Serviceability. Вы должны активировать эту службу, если хотите синхронизировать настройки конечного пользователя из корпоративного каталога LDAP.
Процедура
- Шаг 1 В Cisco Unified Serviceability выберите Инструменты > Активация службы.
- Шаг 2 В раскрывающемся списке Сервер выберите узел издателя.
- Шаг 3 В разделе Службы каталогов щелкните переключатель Cisco DirSync.
- Шаг 4 Нажмите «Сохранить».
Включить синхронизацию каталогов LDAP
Выполните эту процедуру, если вы хотите настроить Unified Communications Manager для синхронизации параметров конечного пользователя из корпоративного каталога LDAP.
Примечание Если вы уже синхронизировали каталог LDAP один раз, вы по-прежнему можете синхронизировать новых пользователей из вашего внешнего каталога LDAP, но вы не можете добавлять новые конфигурации в Unified Communications Manager для синхронизации каталога LDAP. Вы также не можете вносить изменения в базовые элементы конфигурации, такие как шаблон группы функций или профиль пользователя.file. Если вы уже выполнили одну синхронизацию LDAP и хотите добавить пользователей с другими настройками, вы можете использовать меню массового администрирования, например «Обновить пользователей» или «Вставить пользователей».
Процедура
- Шаг 1 В Cisco Unified CM Administration выберите Система > LDAP > Система LDAP.
- Шаг 2. Если вы хотите, чтобы Unified Communications Manager импортировал пользователей из каталога LDAP, установите флажок «Включить синхронизацию с сервера LDAP».
- Шаг 3 В раскрывающемся списке Тип сервера LDAP выберите тип сервера каталогов LDAP, который использует ваша компания.
- Шаг 4 В раскрывающемся списке Атрибут LDAP для идентификатора пользователя выберите атрибут из корпоративного каталога LDAP, с которым вы хотите синхронизировать Unified Communications Manager для поля идентификатора пользователя в окне Конфигурация конечного пользователя.
- Шаг 5 Щелкните Сохранить.
Создайте фильтр LDAP
Вы можете создать фильтр LDAP, чтобы ограничить синхронизацию LDAP подмножеством пользователей из вашего каталога LDAP. Когда вы применяете фильтр LDAP к своему каталогу LDAP, Unified Communications Manager импортирует только тех пользователей из каталога LDAP, которые соответствуют фильтру.
Примечание Любой фильтр LDAP, который вы настраиваете, должен соответствовать стандартам фильтров поиска LDAP, указанным в RFC4515.
Процедура
- Шаг 1 В Cisco Unified CM Administration выберите Система > LDAP > Фильтр LDAP.
- Шаг 2 Щелкните Добавить новый, чтобы создать новый фильтр LDAP.
- Шаг 3. В текстовом поле «Имя фильтра» введите имя вашего фильтра LDAP.
- Шаг 4 В текстовом поле «Фильтр» введите фильтр. Фильтр может содержать не более 1024 символов UTF-8 и должен быть заключен в круглые скобки ().
- Шаг 5 Щелкните Сохранить.
Настройка синхронизации каталога LDAP
Используйте эту процедуру, чтобы настроить Unified Communications Manager для синхронизации с каталогом LDAP.
Синхронизация каталога LDAP позволяет импортировать данные конечного пользователя из внешнего каталога LDAP в базу данных Unified Communications Manager, чтобы они отображались в окне «Конфигурация конечного пользователя». Если у вас есть шаблоны группы функций настройки с универсальными шаблонами линий и устройств, вы можете автоматически назначать настройки вновь подготовленным пользователям и их добавочным номерам.
Кончик Если вы назначаете группы управления доступом или шаблоны групп функций, вы можете использовать фильтр LDAP, чтобы ограничить импорт группой пользователей с одинаковыми требованиями к конфигурации.
Процедура
- Шаг 1 В Cisco Unified CM Administration выберите Система > LDAP > Каталог LDAP.
- Шаг 2 Выполните один из следующих шагов:
• Нажмите «Найти» и выберите существующий каталог LDAP.
• Щелкните Добавить новый, чтобы создать новый каталог LDAP. - Шаг 3 В окне конфигурации каталога LDAP введите следующее:
a) В поле Имя конфигурации LDAP назначьте уникальное имя каталогу LDAP.
b) В поле Отличительное имя диспетчера LDAP введите идентификатор пользователя с доступом к серверу каталогов LDAP.
c) Введите и подтвердите данные пароля.
d) В поле Пространство поиска пользователя LDAP введите сведения о пространстве поиска.
e) В поле «Пользовательский фильтр LDAP для синхронизации пользователей» выберите «Только пользователи» или «Пользователи и группы».
е) (необязательно). Если вы хотите ограничить импорт только подмножеством пользователей, отвечающих определенным требованиямfile, в раскрывающемся списке Пользовательский фильтр LDAP для групп выберите фильтр LDAP. - Шаг 4 В полях Расписание синхронизации каталога LDAP создайте расписание, которое Unified Communications Manager использует для синхронизации данных с внешним каталогом LDAP.
- Шаг 5 Заполните раздел Стандартные пользовательские поля для синхронизации. Для каждого поля конечного пользователя выберите атрибут LDAP. В процессе синхронизации значение атрибута LDAP присваивается полю конечного пользователя в Unified Communications Manager.
- Шаг 6. Если вы развертываете набор URI-адресов, обязательно назначьте атрибут LDAP, который будет использоваться для URI-адреса основного каталога пользователя.
- Шаг 7 В разделе Пользовательские поля для синхронизации введите имя пользовательского поля с требуемым атрибутом LDAP.
- Шаг 8 Чтобы назначить импортированных конечных пользователей группе управления доступом, общей для всех импортированных конечных пользователей, выполните следующие действия.
а) Щелкните Добавить в группу управления доступом.
b) Во всплывающем окне установите соответствующий флажок для каждой группы управления доступом, которую вы хотите
назначать импортированным конечным пользователям.
в) Нажмите Добавить выбранное. - Шаг 9. Если вы хотите назначить шаблон группы функций, выберите шаблон в раскрывающемся списке Шаблон группы функций.
Примечание Конечные пользователи синхронизируются с назначенным шаблоном группы функций только в первый раз, когда пользователи отсутствуют. Если изменить существующий шаблон группы функций и выполнить полную синхронизацию для связанного с ним LDAP, изменения не будут обновлены. - Шаг 10 Если вы хотите назначить основной добавочный номер, применяя маску к импортированным телефонным номерам, сделайте следующее:
а) Установите флажок Применить маску к синхронизированным телефонным номерам, чтобы создать новую строку для вставленных пользователей.
б) Введите маску. Напримерample, маска 11XX создает основной добавочный номер 1145, если импортированный телефонный номер — 8889945. - Шаг 11. Если вы хотите назначить первичные добавочные номера из пула абонентских номеров, сделайте следующее:
a) Установите флажок Назначить новую линию из списка пулов, если она не была создана на основе синхронизированного телефонного номера LDAP.
b) В текстовых полях Начало пула DN и Конец пула DN введите диапазон номеров каталогов, из которых следует выбирать первичные добавочные номера. - Шаг 12. В разделе «Информация о сервере LDAP» введите имя хоста или IP-адрес сервера LDAP.
- Шаг 13. Если вы хотите использовать TLS для создания безопасного подключения к серверу LDAP, установите флажок Использовать TLS.
- Шаг 14 Щелкните Сохранить.
- Шаг 15 Чтобы завершить синхронизацию LDAP, щелкните Выполнить полную синхронизацию сейчас. В противном случае вы можете дождаться запланированной синхронизации.
Примечание
Когда пользователи удаляются в LDAP, они автоматически удаляются из Unified Communications Manager через 24 часа. Кроме того, если удаленный пользователь настроен как мобильный пользователь для любого из следующих устройств, эти неактивные устройства также будут автоматически удалены:
- Удаленный пункт назначения Profile
- Удаленный пункт назначения Profile Шаблон
- Мобильный смарт-клиент
- Удаленное устройство CTI
- Удаленное устройство Spark
- Нокиа С60
- Двойной режим Cisco для iPhone
- IMS-интегрированная мобильная связь (базовая)
- Интегрированный с оператором мобильной связи
- Двойной режим Cisco для Android
Настройка поиска пользователей корпоративного каталога
Используйте эту процедуру для настройки телефонов и клиентов в вашей системе для выполнения пользователями поиска по корпоративному серверу каталогов, а не по базе данных.
Прежде чем начать
- Убедитесь, что первичный, вторичный и третичный серверы, которые вы выбираете для поиска пользователей LDAP, доступны по сети для абонентских узлов Unified Communications Manager.
- В разделе Система > LDAP > Система LDAP настройте тип сервера LDAP в раскрывающемся списке Тип сервера LDAP в окне Конфигурация системы LDAP.
Процедура
- Шаг 1 В Cisco Unified CM Administration выберите Система > LDAP > Поиск LDAP.
- Шаг 2 Чтобы разрешить поиск пользователей с использованием сервера каталогов LDAP предприятия, установите флажок Разрешить поиск пользователей на сервере каталогов предприятия.
- Шаг 3 Настройте поля в окне конфигурации поиска LDAP. Дополнительную информацию о полях и параметрах их конфигурации см. в интерактивной справке.
- Шаг 4 Щелкните Сохранить.
Примечание Для поиска конференц-залов, представленных в виде объектов Room на сервере OpenLDAP, настройте пользовательский фильтр как (| (objectClass=intOrgPerson)(objectClass=rooms)). Это позволяет клиенту Cisco Jabber искать конференц-залы по имени и набирать номер, связанный с помещением.
Конференц-залы доступны для поиска при условии, что на сервере OpenLDAP для объекта «комната» настроены атрибуты GivenName, sn, mail, displayName или phonenumber.
Настройка аутентификации LDAP
Выполните эту процедуру, если вы хотите включить аутентификацию LDAP, чтобы пароли конечных пользователей аутентифицировались по паролю, назначенному в каталоге LDAP компании. Эта конфигурация применяется только к паролям конечных пользователей и не применяется к PIN-кодам конечных пользователей или паролям пользователей приложений.
Процедура
- Шаг 1 В Cisco Unified CM Administration выберите Система > LDAP > Аутентификация LDAP.
- Шаг 2 Установите флажок Использовать аутентификацию LDAP для конечных пользователей, чтобы использовать каталог LDAP для аутентификации пользователей.
- Шаг 3 В поле Отличительное имя диспетчера LDAP введите идентификатор пользователя диспетчера LDAP, у которого есть права доступа к каталогу LDAP.
- Шаг 4 В поле Подтвердите пароль введите пароль для диспетчера LDAP.
- Шаг 5 В поле База поиска пользователей LDAP введите критерии поиска.
- Шаг 6. В разделе «Информация о сервере LDAP» введите имя хоста или IP-адрес сервера LDAP.
- Шаг 7. Если вы хотите использовать TLS для создания безопасного подключения к серверу LDAP, установите флажок Использовать TLS.
- Шаг 8 Щелкните Сохранить.
Что делать дальше?
Настройка параметров службы соглашения LDAP, на странице 8
Настройка параметров службы соглашения LDAP
Выполните эту процедуру, чтобы настроить дополнительные параметры службы, которые настраивают параметры системного уровня для соглашений LDAP. Если вы не настроите эти параметры службы, Unified Communications Manager применит параметры по умолчанию для интеграции каталога LDAP. Чтобы просмотреть описания параметров, щелкните имя параметра в пользовательском интерфейсе.
Вы можете использовать сервисные параметры для настройки следующих параметров:
- Максимальное количество соглашений — значение по умолчанию — 20.
- Максимальное количество хостов — значение по умолчанию равно 3.
- Задержка повторной попытки при сбое хоста (сек) — значение по умолчанию для сбоя хоста равно 5.
- Задержка повтора при сбое HotList (мин) — значение по умолчанию для сбоя списка хостов равно 10.
- Время ожидания подключения LDAP (сек) — значение по умолчанию — 5.
- Время начала отложенной синхронизации (мин.) — значение по умолчанию — 5.
- Время аудита карты пользователей и клиентов
Процедура
- Шаг 1 В Cisco Unified CM Administration выберите System > Service Parameters.
- Шаг 2 В раскрывающемся списке Сервер выберите узел издателя.
- Шаг 3 В раскрывающемся списке «Сервис» выберите Cisco DirSync.
- Шаг 4 Настройте значения для параметров службы Cisco DirSync.
- Шаг 5 Щелкните Сохранить.
Документы/Ресурсы
 |
CISCO Настройка синхронизации LDAP [pdf] Руководство пользователя Настройка синхронизации LDAP, Синхронизация LDAP, Синхронизация |
