この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Lightweight Directory Access Protocol(LDAP)の同期は、システムのエンドユーザのプロビジョニングと設定を支援します。LDAP の同期中、システムは外部 LDAP ディレクトリから Cisco Unified Communications Manager データベースにユーザのリストと関連するユーザ データをインポートします。インポートしている間に、エンドユーザを設定することもできます。また、定期的な同期スケジュールを設定すれば、従業員のデータの変更を漏らさず記録できます。
LDAP 同期を使用して、システムの初期設定時にユーザ一覧を会社の LDAP ディレクトリから Cisco Unified Communications Manager のデータベースにインポートできます。LDAP 同期プロセスは、ユーザの一覧、電話番号や電子メール アドレスなどのユーザ独自のデータをインポートし、[エンドユーザ設定(End User Configuration)] ウィンドウの対応するフィールドに保存します。
LDAP インポートを LDAP ディレクトリからのユーザのサブセットに制限するには、LDAP フィルタを LDAP 同期に設定して適用できます。
アクセス制御グループ、クレデンシャル ポリシー、機能グループのテンプレートなどの項目を設定済みの場合は、ユーザのインポート中に、インポートされたエンドユーザを設定することもできます。[LDAP ディレクトリ設定(LDAP Directory Configuration)] ウィンドウを使用して、エンドユーザの次の項目を設定できます。Cisco Unified Communications Manager では、同期中に、インポートされたエンドユーザにこれらの設定を割り当てます。たとえば、エンドユーザに次の項目を指定できます。
エンドユーザをアクセス制御ループに指定する
デフォルトのクレデンシャル ポリシーを指定する
ユニバーサル回線のテンプレートをユーザのプライマリ エクステンションに指定する
ユーザの電話に適用されるユニバーサル デバイス テンプレートを指定する
プライマリ エクステンションを指定する
ユーザが自分の電話機のプロビジョニングをできるようにする
エンドユーザに設定を適用するときには、LDAP フィルタを使用して、特定の要件を満たすエンドユーザにのみエンドユーザの設定が適用されることを確認します。同じ条件を満たすその他のエンドユーザ向けに、Cisco Unified Communications Manager で追加の LDAP ディレクトリの設定をセットアップできます。
Cisco Unified Communications Manager をスケジュールされた間隔で複数の LDAP ディレクトリと同期するように設定できます。これによって確実に、データベースが定期的に更新され、すべてのユーザ データが最新になるようにすることができます。たとえば、同期スケジュールをセットアップし、会社の LDAP ディレクトリの電話番号を更新すると、スケジュールされた次の LDAP 同期が発生したとき、その更新は自動的に Cisco Unified Communications Manager に反映されます。従業員のデータを制御し、更新する単一のリポジトリを作成することにより、同期スケジュールで企業ネットワークを継続的に管理できます。
LDAP 同期を使用して、システムが Cisco Unified Communications Manager データベースではなく、LDAP ディレクトリに対してエンド ユーザ パスワードを認証するように設定できます。LDAP 認証によって、企業は、すべての企業内アプリケーションに対応する単一のパスワードをエンド ユーザに割り当てることができます。この機能は、PIN またはアプリケーション ユーザ パスワードには適用されません。
以前のリリースでは、Cisco Mobile とリモート アクセス クライアント(たとえば、Cisco Jabber)またはエンドポイント(たとえば、Cisco DX 80 電話)を使用しているユーザが企業ファイアウォールの外部でユーザ検索を実行した場合、結果は Cisco Unified Communications Manager に保存されたユーザ アカウントに基づいていました。データベースには、ローカルで設定されたか、または社内ディレクトリから同期されたユーザ アカウントも含まれています。
このリリースでは、Cisco Mobile およびリモート アクセス クライアントとエンドポイントは、企業ファイアウォールの外部で動作している場合でも、社内ディレクトリ サーバを検索できます。この機能を有効にすると、ユーザ データ サービス(UDS)がプロキシとして機能し、Cisco Unified Communications Manager データベースにユーザ検索要求を送信する代わりに、それを社内ディレクトリに送信します。
地理的な場所に関係なく、同じユーザ検索結果を提供する:モバイルおよびリモート アクセス クライアントとエンドポイントは、社内ディレクトリを使用してユーザ検索を実行できます。企業ファイアウォールの外部で接続されている場合でも実行可能です。
Cisco Unified Communications Manager データベースに設定されるユーザ アカウントの数を削減する:モバイル クライアントは、社内ディレクトリ内のユーザを検索できます。以前のリリースでは、ユーザ検索結果はデータベースに設定されているユーザに基づいていました。今回のリリースでは、ユーザ検索のためだけにユーザ アカウントをデータベースに設定または同期する必要がなくなりました。管理者は、クラスタによって管理されているユーザ アカウントを設定すれば作業が完了します。データベース内のユーザ アカウントの合計数が削減すると、データベース全体のパフォーマンスが改善される一方、ソフトウェア アップグレードの時間枠が短縮されます。
この機能を設定するには、[LDAP 検索の設定(LDAP Search Configuration)] ウィンドウで [企業ディレクトリ サーバでのユーザ検索を有効にする(Enable user search to Enterprise Directory Server)] オプションを有効にし、LDAP ディレクトリ サーバの詳細を設定する必要があります。詳細については、エンタープライズ ディレクトリ ユーザ検索の設定の手順を参照してください。
LDAP ディレクトリからエンドユーザをインポートする前に、次のタスクを実行します。
自分のシステムにデータを同期するユーザについて、アクティブ ディレクトリ サーバ上の電子メール ID フィールドが確実に単一エントリまたは空白になっているようにします。
Cisco Unified Communications Manager では、次の LDAP ディレクトリとの同期をサポートしています。
Microsoft Active Directory 2003 R1/R2(32 ビット)
Microsoft Active Directory 2008 R1(32 ビット)/R2 (64 ビット)
Microsoft Active Directory アプリケーション モード 2003 R1/R2(32 ビット)
Microsoft Active Directory 2012
Microsoft Lightweight Directory Services 2008 R1 (32 ビット)/R2(64 ビット)
Microsoft Lightweight Directory Services 2012
Sun ONE Directory Server 7.0
LDAP 2.3.39 を開きます
LDAP 2.4 を開きます
Oracle Directory Server Enterprise Edition 11gR1
他の LDAPv3 対応ディレクトリ
企業 LDAP ディレクトリと Cisco Unified Communications Manager データベースを同期するには、次のタスクを実行します。LDAP 同期により、外部 LDAP ディレクトリからユーザ リストをプルし、Cisco Unified Communications Manager のデータベースにインポートできます。このプロセスは、管理者が初めてセットアップする時にエンドユーザをプロビジョニングするのに役立ちます。
(注) | LDAP ディレクトリをすでに一度同期している場合、外部 LDAP ディレクトリから新しい項目を同期することはできますが、Cisco Unified Communications Manager 内の新しい設定を LDAP ディレクトリ同期に追加することはできません。この場合、一括管理ツールと、[ユーザの更新(Update Users)] や [ユーザの挿入(Insert Users)] などのメニューを使用できます。『Bulk Administration Guide for Cisco Unified Communications Manager』を参照してください。 |
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | Cisco DirSync サービスの有効化 |
Cisco Unified Serviceability にログインし、Cisco DirSync サービスを有効にします。 |
ステップ 2 | LDAP ディレクトリの同期化の有効化 |
シスコの LDAP ディレクトリ同期を Cisco Unified Communications Manager を有効化します。 |
ステップ 3 | LDAP フィルタの作成 |
これはオプションです。Cisco Unified Communications Manager に社内 LDAP ディレクトリからユーザのサブセットだけを同期するには、LDAP フィルタを作成します。たとえば、特定のアクセス制御グループに属するユーザ、または特定のユーザ プロファイルを使用するユーザだけをインポートするフィルタを作成できます。 |
ステップ 4 | LDAP ディレクトリの同期の設定 |
アクセス コントロール グループ、機能グループのテンプレートとプライマリ エクステンションのフィールド設定、LDAP サーバの場所、同期スケジュール、および割り当てなどの LDAP ディレクトリ同期を設定します。 |
ステップ 5 | エンタープライズ ディレクトリ ユーザ検索の設定 |
これはオプションです。エンタープライズ ディレクトリ サーバ ユーザを検索するシステムを設定します。システムの電話機とクライアントをデータベースの代わりにエンタープライズ ディレクトリ サーバに対してユーザの検索を実行するように設定するには、次の手順に従います。 |
ステップ 6 | LDAP 認証の設定 |
これはオプションです。エンド ユーザのパスワード認証に LDAP ディレクトリを使用するには、LDAP 認証を設定します。 |
ステップ 7 | LDAP アグリーメント サービス パラメータのカスタマイズ |
これはオプションです。LDAP 同期サービス パラメータを設定します。ほとんどの導入には、デフォルト値で十分です。ただし、次の値を再設定できます。 |
ステップ 8 | LDAP同期済みユーザのローカル ユーザへの変換 |
これはオプションです。LDAP 属性と同期されるエンドユーザ設定を更新する必要があり、LDAP ディレクトリのフィールドを使用しないのであれば、LDAP ユーザをローカル ユーザに変換します。 |
Cisco DirSync サービスをアクティブにするには、Cisco Unified Serviceability で次の手順を実行します。社内 LDAP ディレクトリでエンドユーザの設定を同期するには、このサービスをアクティブにする必要があります。
エンドユーザの設定を社内 LDAP ディレクトリから同期するように Cisco Unified Communications Manager を設定するには、次の手順を実行します。
(注) | LDAP ディレクトリをすでに一度同期している場合、外部 LDAP ディレクトリから新しい項目を同期することはできますが、Cisco Unified Communications Manager 内の新しい設定を LDAP ディレクトリ同期に追加することはできません。この場合、一括管理ツールと、[ユーザの更新(Update Users)] や [ユーザの挿入(Insert Users)] などのメニューを使用できます。『Bulk Administration Guide for Cisco Unified Communications Manager』を参照してください。 |
次のいずれかの手順を実行します。
LDAP フィルタの作成 LDAP 同期をユーザのサブセットに制限する場合
LDAP ディレクトリの同期の設定 LDAP ディレクトリの設定
LDAP フィルタを作成して LDAP 同期を LDAP ディレクトリのユーザのサブネットに制限する場合は、このオプションの手順を実行します。LDAP フィルタを LDAP ディレクトリに適用する場合、Cisco Unified Communications Manager は、フィルタに一致するユーザのみを LDAP ディレクトリからインポートします。
LDAP フィルタを設定する場合は、RFC4515 に指定されている LDAP 検索フィルタ標準に準拠する必要があります。
LDAP ディレクトリの同期の設定 に移動して、LDAP フィルタを LDAP ディレクトリに適用します。
LDAP ディレクトリと同期するよう Cisco Unified Communications Manager を設定するには、次の手順を使用します。LDAP ディレクトリの同期により、エンドユーザのデータを外部の LDAP ディレクトリから Cisco Unified Communications Manager データベースにインポートして、[エンド ユーザの設定(End User Configuration)] ウィンドウに表示できます。定期的に LDAP ディレクトリの更新が Cisco Unified Communications Manager に伝達されるよう、同期スケジュールをセットアップできます。
また、アクセス コントロール グループ、機能グループ テンプレート、ユニバーサル回線やユニバーサル デバイス テンプレートをすでに計画済みの場合は、アクセス コントロール グループ、プライマリ内線番号、セルフプロビジョニング機能により、インポートしたエンド ユーザを即座に設定できます。
ヒント | アクセス コントロール グループまたは機能グループ テンプレートを割り当てる場合は、LDAP フィルタを使用して、インポートを同じ設定要件のユーザ グループに限定できます。 |
LDAP フィルタの作成 LDAP の同期をユーザのサブセットに限定する場合。
データベースではなくエンタープライズ ディレクトリ サーバに対してユーザ検索を実行するように、システムの電話機とクライアントを設定するには、次の手順を使用します。
ステップ 1 | Cisco Unified CM の管理で、 を選択します。 |
ステップ 2 | エンタープライズ LDAP ディレクトリ サーバを使用してユーザ検索を実行するには、[エンタープライズ ディレクトリ サーバのユーザ検索を有効にする(Enable user search to Enterprise Directory Server)] チェックボックスをオンにします。 このウィンドウのフィールドはすべて有効です。 |
ステップ 3 | [LDAP 検索の設定(LDAP Search Configuration)] ウィンドウで各フィールドを設定します。フィールドとその設定オプションの詳細については、オンライン ヘルプを参照してください。 |
ステップ 4 | [保存(Save)] をクリックします。 |
次の表に、[エンタープライズ ディレクトリ サーバに対するユーザ検索を有効化(Enable user search to Enterprise Directory Server)] オプションが有効になっている場合に、UDS ユーザ検索要求で使用される LDAP 属性の一覧を示します。このようなタイプのディレクトリ要求の場合、UDS はプロキシとして機能して、社内ディレクトリ サーバに検索要求をリレーします。
(注) | UDS ユーザの応答タグは、いずれかの LDAP 属性にマッピングされることがあります。属性のマッピングは、[LDAP サーバ タイプ(LDAP Server Type)] ドロップダウン リストから選択するオプションによって決まります。このドロップダウン リストには、 ウィンドウからアクセスします。 |
UDS ユーザの応答タグ |
LDAP 属性 |
---|---|
userName |
|
firstName |
givenName |
lastName |
sn |
middleName |
|
nickName |
nickName |
displayName |
displayName |
phoneNumber |
|
homeNumber |
homephone |
mobileNumber |
mobile |
|
メール アドレス |
directoryUri |
|
部署 |
|
manager |
manager |
タイトル |
タイトル |
ポケットベル |
ポケットベル |
LDAP 認証を有効にして、会社の LDAP ディレクトリに割り当てられているパスワードに対してエンド ユーザのパスワードが認証されるようにするには、この手順を実行します。LDAP 認証により、システム管理者は会社のすべてのアプリケーションに対してエンド ユーザの 1 つのパスワードを割り当てることができます。この設定は、エンド ユーザのパスワードにのみ適用され、エンド ユーザの PIN またはアプリケーション ユーザのパスワードには適用されません。
ステップ 1 | Cisco Unified CM の管理で、 を選択します。 |
ステップ 2 | [エンド ユーザ用 LDAP 認証の使用(Use LDAP Authentication for End Users)] チェックボックスをオンにして、ユーザ認証に LDAP ディレクトリを使用します。 |
ステップ 3 | [LDAP マネージャ識別名(LDAP Manager Distinguished Name)] フィールドに、LDAP ディレクトリにアクセス権がある LDAP マネージャのユーザ ID を入力します。 |
ステップ 4 | [パスワード(Password)] フィールドに、LDAP マネージャのパスワードを入力します。 |
ステップ 5 | [保存(Save)] をクリックします。 |
LDAP アグリーメントのシステム レベル設定をカスタマイズするサービス パラメータを設定するには、次の手順を実行します。これらのサービス パラメータを設定しない場合、Cisco Unified Communications Manager により、LDAP ディレクトリ統合のデフォルト設定が適用されます。
.
ステップ 1 | [Cisco Unified CM の管理(Cisco Unified CM Administration)] で、 の順に選択します。 |
ステップ 2 | [サーバ(Server)] ドロップダウン リスト ボックスからパブリッシャ ノードを選択します。 |
ステップ 3 | [サービス(Service)] ドロップダウン リスト ボックスから、[Cisco DirSync] を選択します。 |
ステップ 4 | Cisco DirSync サービス パラメータの値を設定します。サービス パラメータの説明については、「関連項目」を参照してください。 |
ステップ 5 | [保存(Save)] をクリックします。 |
サービス パラメータ |
説明 |
---|---|
Maximum Number of Agreements |
自分で設定できる LDAP ディレクトリの最大数。デフォルト設定は 20 です。 |
Maximum Number of Hosts |
フェールオーバ用に設定できる LDAP ホスト名の最大数。デフォルト値は 3 です。 |
Retry Delay on Host Failure (secs) |
ホストで障害が発生した後、Cisco Unified Communications Manager が最初の LDAP サーバ(ホスト名)への接続を再試行する前の遅延秒数です。デフォルト値は 5 です。 |
Retry Delay on HostList Failure (mins) |
ホスト リストで障害が発生した後、Cisco Unified Communications Manager が設定された各 LDAP サーバ(ホスト名)への接続を再試行する前の遅延分数です。デフォルトは 10 です。 |
LDAP Connection Timeout (secs) |
Cisco Unified Communications Manager が LDAP 接続を確立できる秒数です。指定した時間内に接続を確立できない場合、LDAP サービス プロバイダーは接続試行を中止します。デフォルトは 5 です。 |
Delayed Sync Start Time (mins) |
Cisco DirSync サービスの起動後に、Cisco Unified Communications Manager がディレクトリ同期プロセスを開始するまでの遅延分数です。デフォルトは 5 です。 |
LDAP ディレクトリと Cisco Unified Communications Manager を同期すると、LDAP に同期されたエンド ユーザについては、ローカル ユーザに変換しないかぎり、[エンド ユーザの設定(End User Configuration)] ウィンドウ内のフィールドは編集できません。
[エンド ユーザの設定(End User Configuration)] ウィンドウで LDAP 同期ユーザのフィールドを編集するには、そのユーザをローカル ユーザに変換します。ただし、この変換を行うと、Cisco Unified Communications Manager を LDAP ディレクトリと同期したときにエンド ユーザが更新されなくなります。
LDAP と同期するユーザをアクセス コントロール グループに割り当てるには、次の手順を実行します。
エンド ユーザと外部 LDAP ディレクトリが同期されるように Cisco Unified Communications Manager を設定する必要があります。
ステップ 1 | Cisco Unified CM の管理で、 を選択します。 | ||
ステップ 2 | [検索(Find)] をクリックし、設定した LDAP ディレクトリを選択します。 | ||
ステップ 3 | [アクセス コントロール グループに追加(Add to Access Control Group)] ボタンをクリックします。 | ||
ステップ 4 | この LDAP ディレクトリのエンド ユーザに適用するアクセス コントロール グループを選択します。 | ||
ステップ 5 | [選択項目の追加(Add Selected)] をクリックします。 | ||
ステップ 6 | [Save] をクリックします。 | ||
ステップ 7 | [完全同期を実施(Perform Full Sync)] をクリックします。 Cisco Unified Communications Manager が外部 LDAP ディレクトリと同期し、同期したユーザが正しいアクセス コントロール グループに挿入されます。
|