配置CMS LDAP集成
简介
本文档介绍将轻量级目录访问协议(LDAP)与思科会议服务器(CMS)集成的分步过程。
先决条件
要求
Cisco 建议您了解以下主题:
-
CMS Callbridge版本2.9或更高版本
-
Microsoft轻量级目录访问协议(LDAP)
使用的组件
本文档中的信息基于CMS 3.0。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
本文档重点介绍有关LDAP与CMS集成的多个主题。它还包括有关如何将Active Directory配置从Configuration > Active Directory中的CMS GUI迁移到API的步骤。
配置
您在Web界面中配置LDAP配置的唯一场景是,您有一个要导入到CMS的LDAP源。
Active Directory服务器设置
使用以下命令配置与LDAP服务器的连接:
| 地址 | 这是LDAP服务器的主机名或IP地址。 |
| 端口 | 389用于不安全连接,636用于安全连接(必须选中安全连接复选框) |
| 用户名 | 注册用户的可分辨名称(DN)。您可以创建 专门用于此目的的用户。示例:cn=Tyler Evans,cn=Users,OU=Engineering,dc=YourCompany,dc=com |
| 密码 | 您正在使用的用户名的密码 |
| 安全连接 | 如果使用端口636,请选中此框 |
导入设置
导入设置用于控制导入的用户:
| 基于的可分辨名称 | LDAP树中从中导入用户的节点。 本示例是基础DN导入用户的明智选择 |
示例:cn=Users,dc=sales,dc=YourCompany,dc=com |
| 过滤器 | 用户LDAP中的属性值必须满足的过滤器表达式 录音。Filter字段的语法在rfc4515中描述。 |
示例:mail=* |
字段映射表达式
字段映射表达式控制如何从相应LDAP记录中的字段值构建会议服务器用户记录中的字段值。
| 显示名称 |
| 用户名 |
| 空间名称 |
| 空间 URI 用户部分 |
| 辅助空间URI用户部分 |
| 空间呼叫 ID |
弹性/可扩展的部署
有两种情况需要在API中配置LDAP。一种情况是具有3个或更多节点的集群部署,第二种情况是具有多个要从中导入用户的LDAP源。
Web接口API
通过登录到CMS > Configuration > API的Web管理员导航到API Web界面。您可以在此处进行所有API配置。
LDAP API对象
导航到API后,在过滤器栏中键入“ldap”以显示您可以进行的所有LDAP配置。
位于对象树中“/ldapMappings”、“/ldapServers”和“/ldapSources”节点中的层次结构中的对象与会议服务器与一个或多个LDAP服务器(例如,Active Directory)的交互,这些服务器用于将用户帐户导入到思科会议服务器。
Ldap服务器
必须配置一台或多台LDAP服务器,每台服务器都包含关联的用户名和密码信息,会议服务器使用该信息连接到服务器,以便从服务器检索用户帐户信息。
* =必填
| 地址* | 要连接的LDAP服务器的地址 |
| 名称 | 关联名称(从版本2.9开始) |
| portNumber * | 端口389(不安全)或端口636(安全) |
| 用户名 | 从LDAP服务器检索信息时使用的用户名 |
| 密码 | 与用户名关联的帐户的密码 |
| 安全* | 是否与LDAP服务器建立安全连接。如果“true”,则TLS 使用;如果为“false”,则使用TCP。 |
| usePagedResults | 在搜索过程中是否使用LDAP分页结果控件 LDAP同步;如果未设置,则使用分页结果控件。Oracle Internet 目录要求此参数设置为“false”(从2.1版开始)。 |
Ldap映射
还需要一个或多个LDAP映射,定义从已配置的LDAP服务器导入用户时添加到系统的用户帐户名的形式。
* =必填
| jidMapping* | 用于从关联的LDAP生成用户JID的模板 服务器条目,例如 $sAMAccountName$@example.com。 注意:jidMapping生成的用户JID也用作URI 因此必须是唯一的,并且与任何URI或呼叫ID均不相同。 |
| nameMapping | 用于从关联的生成用户名的模板 LDAP服务器条目;例如“$cn$”,使用公用 姓名 . |
| cdrTagMapping | 用于生成用户cdrTag值的模板。可以设置 转换为固定值或从其他LDAP字段构建 对于该用户。用户的cdrTag用于callLegStart CDR。 有关详细信息,请参阅《思科会议服务器CDR参考》。 |
| coSpaceUri映射 | 如果提供了这些参数,它们可确保每个用户 此LDAP映射生成的帐户具有关联的 个人coSpace。 |
| coSpaceSecondaryUriMapping | 对于要根据需要设置的coSpace,这些参数 提供用于设置coSpaces URI的模板,如下所示 名称和配置的呼叫ID。例如,设置 到“$cn$ personal coSpace”的coSpaceNameMapping可确保 每个用户的coSpace都标有自己的名称,后面跟着 “个人coSpace”。 |
| coSpaceNameMapping | |
| coSpaceCallIdMapping | |
| authenticationIdMapping | 用于从生成身份验证ID的模板 关联的LDAP服务器条目,例如 "$userPrincipalName$" |
Ldap源
然后,需要配置一组LDAP源,将已配置的LDAP服务器和LDAP映射与其自身的参数连接起来,这些参数对应于一组用户的实际导入。LDAP源采用LDAP服务器/LDAP映射组合,并从该LDAP服务器导入一组经过筛选的用户。此过滤器由LDAP源“baseDn”(可在其中找到用户的LDAP服务器树的节点)和一个过滤器确定,以确保仅为匹配特定模式的LDAP对象创建用户帐户。
* =必填
| 服务器* | 以前配置的LDAP服务器的ID |
| mapping* | 以前配置的LDAP映射的ID( |
| baseDn* | 要从中导入用户的LDAP服务器树中节点的可分辨名称,例如“cn=Users,dc=,dc=com” |
| 过滤器 | |
| 租户 | |
| userProfile | |
| 非成员访问 |
将Web GUI配置迁移到API
本节讨论如何将LDAP Web GUI配置迁移到API。如果您当前在Web GUI中具有Ldap配置,并且希望将此信息迁移到API,则使用此示例可以避免丢失数据。
注意:将AD从GUI移动到API时会发生什么情况?如果在删除GUI Active Directory设置之前先配置API,则用户信息保持不变;呼叫ID和加密也保持不变。但是,如果在配置API之前删除GUI,则会将新的呼叫ID和机密分配给用户。
步骤1:通知Web GUI Active Directory设置
导航到配置> Active Directory,查看Web GUI的LDAP配置。截取此内容的屏幕截图,或复制这些内容并将其粘贴到文本编辑器中,供以后使用。
第2步:导航到API中的LDAP参数
导航到配置(Configurations)> API >在过滤器栏中键入“Ldap”。
显示的是LDAP配置的列表。
第三步:在API内创建ldapServer
在此列表中,单击ldapServers,然后选择“Create New”。有关Web GUI Active Directory中的内容,请参阅屏幕截图或文本编辑器。现在您要从Web Gui将“Active Directory Server Settings”复制到相应的API配置。
第四步:在API内创建ldapMappings
完成步骤4.后,导航到API中的ldapMapping。Configurations > API > Filter "ldapMapping",然后点击Create New。
从Web GUI的Configurations > Active Directory > Field Mapping Expressions复制字段映射表达式。 接下来,导航到Configuration > API > filter "ldapmapping",然后单击Create。
| 字段映射表达式(Web GUI) |
API |
| 显示名称 |
nameMapping |
| 用户名 |
jidMapping |
| 空间名称 |
|
| 空间 URI 用户部分 |
coSpaceURIMapping |
| 空间辅助URI用户部分 |
coSpaceSecondaryUriMapping |
| 空间呼叫 ID |
第五步:在API内创建ldapSources
现在,将企业目录/导入设置从Web GUI迁移到LDAP源API配置,依次选择Configuration > API > filter "ldapSources",然后点击LdapSources旁边的箭头,然后选择create new。
选择您在第3步和第4步中配置的LDAP映射和LDAP服务器。
选择刚配置的LDAP映射和LDAP服务器,然后将baseDN和过滤器从Web Gui添加到API配置。
| 导入设置(Web Gui) |
API LdapSource |
| 基的可区别名称 |
baseDn |
| 过滤器 |
过滤器 |
第六步:通过ldapSync验证设置更改
现在您可以确认它是否有效。导航到API中的ldapSyncs,Configuration > API > filter 'ldapSyncs',点击它并选择Create New。
您无需填写任何内容,只需选择Create。这将开始同步过程。在30秒 — 1分钟后,刷新页面,以验证您是否获得完整状态并返回200 OK。
验证
确保正确配置所有字段。
故障排除
目前没有针对此配置的故障排除信息。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
08-Sep-2021 |
初始版本 |
反馈