CISCO 配置 LDAP 同步
CISCO 配置 LDAP 同步

內容 隱藏
1 LDAP 同步結束view
2 LDAP 同步先決條件
3 LDAP 同步配置任務流
4 激活 Cisco DirSync 服務
5 啟用 LDAP 目錄同步
6 創建 LDAP 過濾器
7 配置 LDAP 目錄同步
8 配置企業目錄用戶搜索
9 配置 LDAP 身份驗證
10 自定義 LDAP 協議服務參數
11 文件/資源
11.1 參考
12 相關貼文

LDAP 同步結束view

輕型目錄訪問協議 (LDAP) 同步可幫助您​​為系統供應和配置最終用戶。 在 LDAP 同步期間,系統將用戶列表和關聯的用戶數據從外部 LDAP 目錄導入 Unified Communications Manager 數據庫。 您還可以在導入時配置您的最終用戶。

注意圖示 筆記 Unified Communications Manager 支持 LDAPS(帶 SSL 的 LDAP)但不支持帶 StartTLS 的 LDAP。 確保將 LDAP 服務器證書作為 Tomcat-Trust 上傳到 Unified Communications Manager。

有關受支持的 LDAP 目錄的信息,請參閱 Cisco Unified Communications Manager 和 IM and Presence 服務的兼容性列表。

LDAP 同步宣傳以下功能:

  • 導入最終用戶——您 可以在初始系統設置期間使用 LDAP 同步將您的用戶列表從公司 LDAP 目錄導入 Unified Communications Manager 數據庫。 如果您已經預先配置了功能組模板等項目,用戶 profiles, 服務專家files,通用設備和線路模板,您可以將配置應用於您的用戶,並在同步過程中分配配置的目錄號碼和目錄 URI。 LDAP 同步過程導入用戶列表和特定於用戶的數據,並應用您設置的配置模板。
    注意圖示 筆記 一旦初始同步已經發生,您就不能對 LDAP 同步進行編輯。
  • 預定更新——你 可以配置 Unified Communications Manager 以預定的時間間隔與多個 LDAP 目錄同步,以確保數據庫定期更新和用戶數據是最新的。
  • 驗證最終用戶——您 可以將您的系統配置為根據 LDAP 目錄而不是 Cisco Unified Communications Manager 數據庫驗證最終用戶密碼。 LDAP 身份驗證使公司能夠為所有公司應用程序的最終用戶分配一個密碼。 此功能不適用於 PIN 或應用程序用戶密碼。
  • Directory Server User 搜尋 Cisco Mobile and Remote Access Clients and Endpoints—You 即使在企業防火牆外運行,也可以搜索企業目錄服務器。 啟用此功能後,用戶數據服務 (UDS) 充當代理並將用戶搜索請求發送到公司目錄,而不是將其發送到 Unified Communications Manager 數據庫。

LDAP 同步先決條件

先決條件任務
在從 LDAP 目錄導入最終用戶之前,請完成以下任務:

  • 配置用戶訪問。 決定要分配給用戶的訪問控制組。 對於許多部署,默認組就足夠了。 如果您需要自定義您的角色和組,請參閱管理指南的“管理用戶訪問”一章。
  • 為默認應用於新配置用戶的憑證策略配置默認憑證。
  • 如果您從 LDAP 目錄同步用戶,請確保您設置了一個包含 User Pro 的功能組模板files, 服務專家files,以及要分配給用戶電話和電話分機的通用線路和設備模板設置。

注意圖示 筆記 對於您要將其數據同步到系統的用戶,請確保他們在 Active Directory 服務器上的電子郵件 ID 字段是唯一條目或留空。

LDAP 同步配置任務流

使用以下任務從外部 LDAP 目錄中提取用戶列表並將其導入 Unified Communications Manager 數據庫。

注意圖示 筆記 如果您已經同步過 LDAP 目錄一次,您仍然可以從外部 LDAP 目錄同步新項目,但不能將新配置 Unified Communications Manager 添加到 LDAPdirectory 同步。 在這種情況下,您可以使用批量管理工具和菜單,例如更新用戶或插入用戶。
請參閱 Cisco Unified Communications Manager 的批量管理指南。

程式

  命令或行動 目的
步驟1 激活 Cisco DirSync 服務,第 3 登錄到 Cisco Unified Serviceability 並激活 Cisco DirSync 服務。
步驟2 啟用 LDAP 目錄同步,打開 第 4 頁 在 Unified Communications Manager 中啟用 LDAP 目錄同步。
步驟3 創建 LDAP 過濾器,第 4 頁 選修的. 如果您希望 Unified Communications Manager 僅同步公司 LDAP 目錄中的一部分用戶,請創建 LDAP 過濾器。
步驟4 配置 LDAP 目錄同步,第 5 頁 配置 LDAP 目錄同步的設置,例如字段設置、LDAP 服務器位置、同步計劃以及訪問控制組、功能組模板和主要分機的分配。
步驟5 配置企業目錄用戶搜索, 第 7 頁 選修的. 為企業目錄服務器用戶搜索配置系統。 按照此程序在您的系統中配置電話和客戶端以針對企業目錄服務器而不是數據庫執行用戶搜索。
步驟6 配置 LDAP 身份驗證,第 7 頁 選修的. 如果要使用 LDAP 目錄進行最終用戶密碼身份驗證,請配置 LDAP 身份驗證設置。
步驟7 自定義 LDAP 協議服務 參數,第 8 頁 選修的. 配置可選的 LDAP 同步服務參數。 對於大多數部署,默認值就足夠了。

激活 Cisco DirSync 服務

執行此程序以激活 Cisco Unified Serviceability 中的 Cisco DirSync 服務。 如果要從公司 LDAP 目錄同步最終用戶設置,則必須激活此服務。

程式

  • 步驟1 從 Cisco Unified Serviceability 中,選擇工具 > 服務激活。
  • 步驟2 從服務器下拉列表中,選擇發布者節點。
  • 步驟3 在目錄服務下,單擊 Cisco DirSync 單選按鈕。
  • 步驟4 點選“儲存”。

啟用 LDAP 目錄同步

如果要將 Unified Communications Manager 配置為從公司 LDAP 目錄同步最終用戶設置,請執行此程序。

注意圖示 筆記 如果您已經同步過一次 LDAP 目錄,您仍然可以從您的外部 LDAP 目錄同步新用戶,但您不能將 Unified Communications Manager 中的新配置添加到 LDAP 目錄同步。 您也無法對基礎配置項(例如功能組模板或用戶專業版)添加編輯file. 如果您已經完成了一個 LDAP 同步,並且想要添加具有不同設置的用戶,您可以使用批量管理菜單,例如更新用戶或插入用戶。

程式

  • 步驟 1 從 Cisco Unified CM 管理中,選擇系統 > LDAP > LDAP 系統。
  • 步驟 2 如果您希望 Unified Communications Manager 從您的 LDAP 目錄導入用戶,請選中啟用從 LDAP 服務器同步複選框。
  • 步驟 3 從 LDAP 服務器類型下拉列表中,選擇您公司使用的 LDAP 目錄服務器類型。
  • 步驟 4 從用戶 ID 的 LDAP 屬性下拉列表中,選擇您希望 Unified Communications Manager 與最終用戶配置窗口中的用戶 ID 字段同步的公司 LDAP 目錄的屬性。
  • 步驟 5 單擊保存。

創建 LDAP 過濾器

您可以創建 LDAP 過濾器以將 LDAP 同步限制為 LDAP 目錄中的一部分用戶。 當您將 LDAP 過濾器應用於您的 LDAP 目錄時,Unified Communications Manager 僅從 LDAP 目錄導入與過濾器匹配的用戶。

注意圖示 筆記 您配置的任何 LDAP 過濾器都必須符合 RFC4515 中指定的 LDAP 搜索過濾器標準。

程式

  • 步驟 1 在 Cisco Unified CM 管理中,選擇系統 > LDAP > LDAP 過濾器。
  • 步驟 2 單擊新增以創建新的 LDAP 過濾器。
  • 步驟 3 在過濾器名稱文本框中,輸入 LDAP 過濾器的名稱。
  • 步驟 4 在過濾器文本框中,輸入過濾器。 過濾器最多可包含 1024 個 UTF-8 字符,並且必須括在括號 () 中。
  • 步驟 5 單擊保存。

配置 LDAP 目錄同步

使用此過程將 Unified Communications Manager 配置為與 LDAP 目錄同步。

LDAP 目錄同步允許您將最終用戶數據從外部 LDAP 目錄導入 Unified Communications Manager 數據庫,以便它顯示在最終用戶配置窗口中。 如果您設置了帶有通用線路和設備模板的功能組模板,您可以自動將設置分配給新配置的用戶及其分機

提示圖標 提示 如果要分配訪問控制組或功能組模板,則可以使用 LDAP 過濾器將導入限制為具有相同配置要求的用戶組。

程式

  • 步驟 1 從 Cisco Unified CM 管理中,選擇系統 > LDAP > LDAP 目錄。
  • 步驟 2 執行以下步驟之一:
    • 單擊查找並選擇一個現有的 LDAP 目錄。
    • 單擊新增以創建新的 LDAP 目錄。
  • 步驟 3 在 LDAP 目錄配置窗口中,輸入以下內容:
    a) 在 LDAP 配置名稱字段中,為 LDAP 目錄分配一個唯一的名稱。
    b) 在 LDAP 管理器專有名稱字段中,輸入可以訪問 LDAP 目錄服務器的用戶 ID。
    c) 輸入並確認密碼詳細信息。
    d) 在 LDAP 用戶搜索空間字段中,輸入搜索空間詳細信息。
    e) 在 UsersSynchronize 字段的 LDAP 自定義過濾器中,選擇僅用戶或用戶和組。
    f) (可選)。 如果您想將導入限制為僅滿足特定專業人士的一部分用戶file,從組的 LDAP 自定義過濾器下拉列表中,選擇一個 LDAP 過濾器。
  • 步驟 4 在 LDAP 目錄同步計劃字段中,創建 Unified Communications Manager 用於與外部 LDAP 目錄同步數據的計劃。
  • 步驟 5 完成要同步的標準用戶字段部分。 對於每個最終用戶字段,選擇一個 LDAP 屬性。 同步過程將 LDAP 屬性的值分配給 Unified Communications Manager 中的最終用戶字段。
  • 步驟 6 如果您要部署 URI 撥號,請確保分配將用於用戶主目錄 URI 地址的 LDAP 屬性。
  • 步驟 7 在要同步的自定義用戶字段部分,輸入具有所需 LDAP 屬性的自定義用戶字段名稱。
  • 步驟 8 要將導入的最終用戶分配給所有導入的最終用戶通用的訪問控制組,請執行以下操作
    a) 單擊添加到訪問控制組。
    b) 在彈出窗口中,單擊您要訪問的每個訪問控制組對應的複選框
    分配給導入的最終用戶。
    c) 單擊添加所選。
  • 步驟 9 如果要分配功能組模板,請從功能組模板下拉列表中選擇模板。
    注意圖示 筆記 最終用戶僅在用戶不存在時才第一次與分配的功能組模板同步。 如果修改現有功能組模板並為關聯的 LDAP 執行完全同步,則不會更新修改。
  • 步驟 10 如果要通過對導入的電話號碼應用掩碼來分配主要分機,請執行以下操作:
    a) 選中將掩碼應用到同步的電話號碼以為插入的用戶創建新線路複選框。
    b) 輸入掩碼。例如amp例如,如果導入的電話號碼是 11,掩碼 1145XX 將創建主分機 8889945。
  • 步驟 11 如果您要從目錄號碼池中分配主要分機,請執行以下操作:
    a) 勾選如果一個線路不是基於同步的 LDAP 電話號碼創建的,則從池列表中分配新線路複選框。
    b) 在 DN Pool Start 和 DN Pool End 文本框中,輸入要從中選擇主要分機的目錄號碼範圍。
  • 步驟 12 在 LDAP 服務器信息部分,輸入 LDAP 服務器的主機名或 IP 地址。
  • 步驟 13 如果要使用 TLS 創建到 LDAP 服務器的安全連接,請選中使用 TLS 複選框。
  • 步驟 14 單擊保存。
  • 步驟 15 要完成 LDAP 同步,請單擊立即執行完全同步。 否則,您可以等待預定的同步。

注意圖示 筆記

在 LDAP 中刪除用戶後,他們將在 24 小時後自動從 Unified Communications Manager 中刪除。 此外,如果已刪除的用戶被配置為以下任何設備的移動用戶,這些非活動設備也將被自動刪除:

  • 遠程目的地臨file
  • 遠程目的地臨file 範本
  • 移動智能客戶端
  • CTI遠程設備
  • 星火遙控器
  • 諾基亞S60
  • 適用於 iPhone 的思科雙模
  • IMS 集成移動(基本)
  • 運營商一體化移動
  • 適用於 Android 的思科雙模式

配置企業目錄用戶搜索

使用此程序在您的系統中配置電話和客戶端以針對企業目錄服務器而不是數據庫執行用戶搜索。

開始之前

  • 確保您為 LDAP 用戶搜索選擇的主要、次要和第三服務器可通過網絡訪問 Unified Communications Manager 訂閱者節點。
  • 在系統 > LDAP > LDAP 系統中,從 LDAP 系統配置窗口的 LDAP 服務器類型下拉列表中配置 LDAP 服務器的類型。

程式

  • 步驟 1 在 Cisco Unified CM 管理中,選擇系統 > LDAP > LDAP 搜索。
  • 步驟 2 要啟用使用企業 LDAP 目錄服務器執行的用戶搜索,請選中啟用用戶搜索到企業目錄服務器複選框。
  • 步驟 3 在 LDAP 搜索配置窗口中配置字段。 有關字段及其配置選項的更多信息,請參閱聯機幫助。
  • 步驟 4 單擊保存。
    注意圖示 筆記 要在 OpenLDAP 服務器中搜索表示為 Room 對象的會議室,請將自定義過濾器配置為(|(objectClass=intOrgPerson)(objectClass=rooms))。 這允許 Cisco Jabber 客戶端按名稱搜索會議室並撥打與房間關聯的號碼。
    如果在 OpenLDAP 服務器中為房間對象配置了 givenName 或 sn 或 mail 或 displayName 或 telephonenumber 屬性,則會議室是可搜索的。

配置 LDAP 身份驗證

如果要啟用 LDAPauthentication 以便根據公司 LDAP 目錄中分配的密碼對最終用戶密碼進行身份驗證,請執行此過程。 此配置僅適用於最終用戶密碼,不適用於最終用戶 PIN 或應用程序用戶密碼。

程式

  • 步驟 1 在 Cisco Unified CM 管理中,選擇系統 > LDAP > LDAP 身份驗證。
  • 步驟 2 選中對最終用戶使用 LDAP 身份驗證複選框以使用您的 LDAP 目錄進行用戶身份驗證。
  • 步驟 3 在 LDAP Manager Distinguished Name 字段中,輸入有權訪問 LDAP 目錄的 LDAP Manager 的用戶 ID。
  • 步驟 4 在確認密碼字段中,輸入 LDAP 管理器的密碼。
  • 步驟 5 在 LDAP 用戶搜索庫字段中,輸入搜索條件。
  • 步驟 6 在 LDAP 服務器信息部分,輸入 LDAP 服務器的主機名或 IP 地址。
  • 步驟 7 如果要使用 TLS 創建到 LDAP 服務器的安全連接,請選中使用 TLS 複選框。
  • 步驟 8 單擊保存。

接下來做什麼
自定義 LDAP 協議服務參數,第 8 頁

自定義 LDAP 協議服務參數

執行此過程以配置可選服務參數,這些參數自定義 LDAP 協議的系統級設置。 如果您不配置這些服務參數,Unified Communications Manager 會應用 LDAP 目錄集成的默認設置。 有關參數說明,請單擊用戶界面中的參數名稱。

您可以使用服務參數來自定義以下設置:

  • 最大協議數 - 默認值為 20。
  • 最大主機數 - 默認值為 3。
  • 主機故障重試延遲(秒)— 主機故障的默認值為 5。
  • HotList 失敗時的重試延遲(分鐘)— 主機列表失敗的默認值為 10。
  • LDAP 連接超時(秒)— 默認值為 5。
  • 延遲同步開始時間(分鐘)— 默認值為 5。
  • 用戶客戶圖譜審核時間

程式

  • 步驟 1 從 Cisco Unified CM 管理中,選擇系統 > 服務參數。
  • 步驟 2 從服務器下拉列錶框中,選擇發布者節點。
  • 步驟 3 從服務下拉列錶框中,選擇 Cisco DirSync。
  • 步驟 4 配置 Cisco DirSync 服務參數的值。
  • 步驟 5 單擊保存。

文件/資源

CISCO 配置 LDAP 同步 [pdf] 使用者指南
配置 LDAP 同步,LDAP 同步,同步

參考

相關貼文

發表評論

您的電子郵件地址不會被公開。 必填欄位已標記 *