CISCO 配置 LDAP 同步
CISCO 配置 LDAP 同步

内容 隐藏
1 LDAP 同步结束view
2 LDAP 同步先决条件
3 LDAP 同步配置任务流
4 激活 Cisco DirSync 服务
5 启用 LDAP 目录同步
6 创建 LDAP 过滤器
7 配置 LDAP 目录同步
8 配置企业目录用户搜索
9 配置 LDAP 身份验证
10 自定义 LDAP 协议服务参数
11 文件/资源
11.1 参考
12 相关文章

LDAP 同步结束view

轻型目录访问协议 (LDAP) 同步可帮助您为系统供应和配置最终用户。 在 LDAP 同步期间,系统将用户列表和关联的用户数据从外部 LDAP 目录导入 Unified Communications Manager 数据库。 您还可以在导入时配置您的最终用户。

注释图标 笔记 Unified Communications Manager 支持 LDAPS(带 SSL 的 LDAP)但不支持带 StartTLS 的 LDAP。 确保将 LDAP 服务器证书作为 Tomcat-Trust 上传到 Unified Communications Manager。

有关支持的 LDAP 目录的信息,请参阅 Cisco Unified Communications Manager 和 IM and Presence 服务的兼容性列表。

LDAP 同步宣传以下功能:

  • 导入最终用户——您 可以在初始系统设置期间使用 LDAP 同步将您的用户列表从公司 LDAP 目录导入 Unified Communications Manager 数据库。 如果您已经预先配置了功能组模板等项目,用户 profiles, 服务专家files,通用设备和线路模板,您可以将配置应用于您的用户,并在同步过程中分配配置的目录号码和目录 URI。 LDAP 同步过程导入用户列表和特定于用户的数据,并应用您设置的配置模板。
    注释图标 笔记 一旦初始同步已经发生,您就不能对 LDAP 同步进行编辑。
  • 预定更新——你 可以配置 Unified Communications Manager 以预定的时间间隔与多个 LDAP 目录同步,以确保数据库定期更新和用户数据是最新的。
  • 验证最终用户——您 可以将您的系统配置为根据 LDAP 目录而不是 Cisco Unified Communications Manager 数据库验证最终用户密码。 LDAP 身份验证使公司能够为所有公司应用程序的最终用户分配一个密码。 此功能不适用于 PIN 或应用程序用户密码。
  • Directory Server User 搜索 Cisco Mobile and Remote Access Clients and Endpoints—You 即使在企业防火墙外运行,也可以搜索企业目录服务器。 启用此功能后,用户数据服务 (UDS) 充当代理并将用户搜索请求发送到公司目录,而不是将其发送到 Unified Communications Manager 数据库。

LDAP 同步先决条件

先决条件任务
在从 LDAP 目录导入最终用户之前,请完成以下任务:

  • 配置用户访问。 决定要分配给用户的访问控制组。 对于许多部署,默认组就足够了。 如果您需要自定义您的角色和组,请参阅管理指南的“管理用户访问”一章。
  • 为默认应用于新配置用户的凭证策略配置默认凭证。
  • 如果您从 LDAP 目录同步用户,请确保您设置了一个包含 User Pro 的功能组模板files, 服务专家files,以及要分配给用户电话和电话分机的通用线路和设备模板设置。

注释图标 笔记 对于您要将其数据同步到系统的用户,请确保他们在 Active Directory 服务器上的电子邮件 ID 字段是唯一条目或留空。

LDAP 同步配置任务流

使用以下任务从外部 LDAP 目录中提取用户列表并将其导入 Unified Communications Manager 数据库。

注释图标 笔记 如果您已经同步过 LDAP 目录一次,您仍然可以从外部 LDAP 目录同步新项目,但不能将新配置 Unified Communications Manager 添加到 LDAPdirectory 同步。 在这种情况下,您可以使用批量管理工具和菜单,例如更新用户或插入用户。
请参阅 Cisco Unified Communications Manager 的批量管理指南。

程序

  命令或行动 目的
步骤 1 激活 Cisco DirSync 服务,第 3 登录到 Cisco Unified Serviceability 并激活 Cisco DirSync 服务。
步骤 2 启用 LDAP 目录同步,打开 第 4 页 在 Unified Communications Manager 中启用 LDAP 目录同步。
步骤 3 创建 LDAP 过滤器,第 4 页 选修的. 如果您希望 Unified Communications Manager 仅同步公司 LDAP 目录中的一部分用户,请创建 LDAP 过滤器。
步骤 4 配置 LDAP 目录同步,第 5 页 配置 LDAP 目录同步的设置,例如字段设置、LDAP 服务器位置、同步计划以及访问控制组、功能组模板和主要分机的分配。
步骤 5 配置企业目录用户搜索, 第 7 页 选修的. 为企业目录服务器用户搜索配置系统。 按照此程序在您的系统中配置电话和客户端以针对企业目录服务器而不是数据库执行用户搜索。
步骤 6 配置 LDAP 身份验证,第 7 页 选修的. 如果要使用 LDAP 目录进行最终用户密码身份验证,请配置 LDAP 身份验证设置。
步骤 7 自定义 LDAP 协议服务 参数,第 8 页 选修的. 配置可选的 LDAP 同步服务参数。 对于大多数部署,默认值就足够了。

激活 Cisco DirSync 服务

执行此程序以激活 Cisco Unified Serviceability 中的 Cisco DirSync 服务。 如果要从公司 LDAP 目录同步最终用户设置,则必须激活此服务。

程序

  • 步骤 1 从 Cisco Unified Serviceability 中,选择工具 > 服务激活。
  • 步骤 2 从服务器下拉列表中,选择发布者节点。
  • 步骤 3 在目录服务下,单击 Cisco DirSync 单选按钮。
  • 步骤 4 单击保存。

启用 LDAP 目录同步

如果要将 Unified Communications Manager 配置为从公司 LDAP 目录同步最终用户设置,请执行此程序。

注释图标 笔记 如果您已经同步过一次 LDAP 目录,您仍然可以从您的外部 LDAP 目录同步新用户,但您不能将 Unified Communications Manager 中的新配置添加到 LDAP 目录同步。 您也无法对基础配置项(例如功能组模板或用户专业版)添加编辑file. 如果您已经完成了一个 LDAP 同步,并且想要添加具有不同设置的用户,您可以使用批量管理菜单,例如更新用户或插入用户。

程序

  • 步骤 1 从 Cisco Unified CM 管理中,选择系统 > LDAP > LDAP 系统。
  • 步骤 2 如果您希望 Unified Communications Manager 从您的 LDAP 目录导入用户,请选中启用从 LDAP 服务器同步复选框。
  • 步骤 3 从 LDAP 服务器类型下拉列表中,选择您公司使用的 LDAP 目录服务器类型。
  • 步骤 4 从用户 ID 的 LDAP 属性下拉列表中,选择您希望 Unified Communications Manager 与最终用户配置窗口中的用户 ID 字段同步的公司 LDAP 目录的属性。
  • 步骤 5 单击“保存”。

创建 LDAP 过滤器

您可以创建 LDAP 过滤器以将 LDAP 同步限制为 LDAP 目录中的一部分用户。 当您将 LDAP 过滤器应用于您的 LDAP 目录时,Unified Communications Manager 仅从 LDAP 目录导入与过滤器匹配的用户。

注释图标 笔记 您配置的任何 LDAP 过滤器都必须符合 RFC4515 中指定的 LDAP 搜索过滤器标准。

程序

  • 步骤 1 在 Cisco Unified CM 管理中,选择系统 > LDAP > LDAP 过滤器。
  • 步骤 2 单击新增以创建新的 LDAP 过滤器。
  • 步骤 3 在过滤器名称文本框中,输入 LDAP 过滤器的名称。
  • 步骤 4 在过滤器文本框中,输入过滤器。 过滤器最多可包含 1024 个 UTF-8 字符,并且必须括在括号 () 中。
  • 步骤 5 单击“保存”。

配置 LDAP 目录同步

使用此过程将 Unified Communications Manager 配置为与 LDAP 目录同步。

LDAP 目录同步允许您将最终用户数据从外部 LDAP 目录导入 Unified Communications Manager 数据库,以便它显示在最终用户配置窗口中。 如果您设置了带有通用线路和设备模板的功能组模板,您可以自动将设置分配给新配置的用户及其分机

提示图标 提示 如果要分配访问控制组或功能组模板,则可以使用 LDAP 过滤器将导入限制为具有相同配置要求的用户组。

程序

  • 步骤 1 从 Cisco Unified CM 管理中,选择系统 > LDAP > LDAP 目录。
  • 步骤 2 执行以下步骤之一:
    • 单击查找并选择一个现有的 LDAP 目录。
    • 单击新增以创建新的 LDAP 目录。
  • 步骤 3 在 LDAP 目录配置窗口中,输入以下内容:
    a) 在 LDAP 配置名称字段中,为 LDAP 目录分配一个唯一的名称。
    b) 在 LDAP 管理器专有名称字段中,输入可以访问 LDAP 目录服务器的用户 ID。
    c) 输入并确认密码详细信息。
    d) 在 LDAP 用户搜索空间字段中,输入搜索空间详细信息。
    e) 在 UsersSynchronize 字段的 LDAP 自定义过滤器中,选择仅用户或用户和组。
    f) (可选)。 如果您想将导入限制为仅满足特定专业人士的一部分用户file,从组的 LDAP 自定义过滤器下拉列表中,选择一个 LDAP 过滤器。
  • 步骤 4 在 LDAP 目录同步计划字段中,创建 Unified Communications Manager 用于与外部 LDAP 目录同步数据的计划。
  • 步骤 5 完成要同步的标准用户字段部分。 对于每个最终用户字段,选择一个 LDAP 属性。 同步过程将 LDAP 属性的值分配给 Unified Communications Manager 中的最终用户字段。
  • 步骤 6 如果您要部署 URI 拨号,请确保分配将用于用户主目录 URI 地址的 LDAP 属性。
  • 步骤 7 在要同步的自定义用户字段部分,输入具有所需 LDAP 属性的自定义用户字段名称。
  • 步骤 8 要将导入的最终用户分配给所有导入的最终用户通用的访问控制组,请执行以下操作
    a) 单击添加到访问控制组。
    b) 在弹出窗口中,单击您要访问的每个访问控制组对应的复选框
    分配给导入的最终用户。
    c) 单击添加所选。
  • 步骤 9 如果要分配功能组模板,请从功能组模板下拉列表中选择模板。
    注释图标 笔记 最终用户仅在用户不存在时才第一次与分配的功能组模板同步。 如果修改现有功能组模板并为关联的 LDAP 执行完全同步,则不会更新修改。
  • 步骤 10 如果要通过对导入的电话号码应用掩码来分配主要分机,请执行以下操作:
    a) 选中将掩码应用到同步的电话号码以为插入的用户创建新线路复选框。
    b) 输入掩码。例如amp例如,如果导入的电话号码是 11,掩码 1145XX 将创建主分机 8889945。
  • 步骤 11 如果您要从目录号码池中分配主要分机,请执行以下操作:
    a) 勾选如果一个线路不是基于同步的 LDAP 电话号码创建的,则从池列表中分配新线路复选框。
    b) 在 DN Pool Start 和 DN Pool End 文本框中,输入要从中选择主要分机的目录号码范围。
  • 步骤 12 在 LDAP 服务器信息部分,输入 LDAP 服务器的主机名或 IP 地址。
  • 步骤 13 如果要使用 TLS 创建到 LDAP 服务器的安全连接,请选中使用 TLS 复选框。
  • 步骤 14 单击“保存”。
  • 步骤 15 要完成 LDAP 同步,请单击立即执行完全同步。 否则,您可以等待预定的同步。

注释图标 笔记

在 LDAP 中删除用户后,他们将在 24 小时后自动从 Unified Communications Manager 中删除。 此外,如果已删除的用户被配置为以下任何设备的移动用户,这些非活动设备也将被自动删除:

  • 远程目的地临file
  • 远程目的地临file 模板
  • 移动智能客户端
  • CTI远程设备
  • 星火遥控器
  • 诺基亚 S60
  • 适用于 iPhone 的思科双模
  • IMS 集成移动(基本)
  • 运营商一体化移动
  • 适用于 Android 的思科双模式

配置企业目录用户搜索

使用此程序在您的系统中配置电话和客户端以针对企业目录服务器而不是数据库执行用户搜索。

开始之前

  • 确保您为 LDAP 用户搜索选择的主要、次要和第三服务器可通过网络访问 Unified Communications Manager 订阅者节点。
  • 在系统 > LDAP > LDAP 系统中,从 LDAP 系统配置窗口的 LDAP 服务器类型下拉列表中配置 LDAP 服务器的类型。

程序

  • 步骤 1 在 Cisco Unified CM 管理中,选择系统 > LDAP > LDAP 搜索。
  • 步骤 2 要启用使用企业 LDAP 目录服务器执行的用户搜索,请选中启用用户搜索到企业目录服务器复选框。
  • 步骤 3 在 LDAP 搜索配置窗口中配置字段。 有关字段及其配置选项的更多信息,请参阅联机帮助。
  • 步骤 4 单击“保存”。
    注释图标 笔记 要在 OpenLDAP 服务器中搜索表示为 Room 对象的会议室,请将自定义过滤器配置为(|(objectClass=intOrgPerson)(objectClass=rooms))。 这允许 Cisco Jabber 客户端按名称搜索会议室并拨打与房间关联的号码。
    如果在 OpenLDAP 服务器中为房间对象配置了 givenName 或 sn 或 mail 或 displayName 或 telephonenumber 属性,则会议室是可搜索的。

配置 LDAP 身份验证

如果要启用 LDAPauthentication 以便根据公司 LDAP 目录中分配的密码对最终用户密码进行身份验证,请执行此过程。 此配置仅适用于最终用户密码,不适用于最终用户 PIN 或应用程序用户密码。

程序

  • 步骤 1 在 Cisco Unified CM 管理中,选择系统 > LDAP > LDAP 身份验证。
  • 步骤 2 选中对最终用户使用 LDAP 身份验证复选框以使用您的 LDAP 目录进行用户身份验证。
  • 步骤 3 在 LDAP Manager Distinguished Name 字段中,输入有权访问 LDAP 目录的 LDAP Manager 的用户 ID。
  • 步骤 4 在确认密码字段中,输入 LDAP 管理器的密码。
  • 步骤 5 在 LDAP 用户搜索库字段中,输入搜索条件。
  • 步骤 6 在 LDAP 服务器信息部分,输入 LDAP 服务器的主机名或 IP 地址。
  • 步骤 7 如果要使用 TLS 创建到 LDAP 服务器的安全连接,请选中使用 TLS 复选框。
  • 步骤 8 单击“保存”。

下一步做什么
自定义 LDAP 协议服务参数,第 8 页

自定义 LDAP 协议服务参数

执行此过程以配置可选服务参数,这些参数自定义 LDAP 协议的系统级设置。 如果您不配置这些服务参数,Unified Communications Manager 会应用 LDAP 目录集成的默认设置。 有关参数说明,请单击用户界面中的参数名称。

您可以使用服务参数来自定义以下设置:

  • 最大协议数 - 默认值为 20。
  • 最大主机数 - 默认值为 3。
  • 主机故障重试延迟(秒)— 主机故障的默认值为 5。
  • HotList 失败时的重试延迟(分钟)— 主机列表失败的默认值为 10。
  • LDAP 连接超时(秒)— 默认值为 5。
  • 延迟同步开始时间(分钟)— 默认值为 5。
  • 用户客户图谱审核时间

程序

  • 步骤 1 从 Cisco Unified CM 管理中,选择系统 > 服务参数。
  • 步骤 2 从服务器下拉列表框中,选择发布者节点。
  • 步骤 3 从服务下拉列表框中,选择 Cisco DirSync。
  • 步骤 4 配置 Cisco DirSync 服务参数的值。
  • 步骤 5 单击“保存”。

文件/资源

CISCO 配置 LDAP 同步 [pdf] 用户指南
配置 LDAP 同步,LDAP 同步,同步

参考

相关文章

发表评论

您的电子邮件地址不会被公开。 必填字段已标记 *