Voz e comunicações unificadas : Cisco Unified Communications Manager (CallManager)

Configurando a integração de diretório do gerente das comunicações unificadas de Cisco

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento fornece informações sobre como instalar, configurar e resolver problemas do Cisco Unified Communications Manager (antigo CallManager) Version 5.0 e mais recente com Integração ao Active Directory.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Conhecimento básico de Microsoft Windows/diretório ativo (AD)

Componentes Utilizados

A informação neste documento é baseada no gerente das comunicações unificadas de Cisco 6.1(2)

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Integração de diretório

À revelia, em um gerente NON-integrado das comunicações unificadas de Cisco (CUCM), há dois tipos de usuários: utilizadores finais e usuários do aplicativo.

  • Utilizadores finais — Todos os usuários associados com uma pessoa física e um login interativo. Esta categoria inclui todos os usuários da Telefonia IP, assim como administradores unificados CM quando você usa a configuração dos grupos de usuário e dos papéis (equivalente à característica multinível da administração de Cisco em versões unificadas prévias CM).

  • Usuários do aplicativo — Todos os usuários associados com outros características ou aplicativos das Comunicações IP de Cisco, tais como o console de atendimento de Cisco, o Cisco IP Contact Center expresso, ou o Manager Assistant (MA) das comunicações unificadas de Cisco. Estes aplicativos precisam de autenticar com CM unificado, mas estes usuários internos não têm um login interativo. Isto serve puramente para comunicações internas entre aplicativos, por exemplo, CCMAdministrator, AC, JTAPI, RM, CCMQRTSecureSysUser, CCMQRTSysUser, CCMSysUser, IPMASecureSysUser, IPMASysUser, WDSecureSysUser, e WDSysUser.

Quando você integra o gerente das comunicações unificadas de Cisco com o diretório ativo, o processo de integração de diretório usa uma ferramenta interna chamada sincronização do diretório Cisco (DirSync) no CM unificado para sincronizar um número de atributos de usuário (manualmente ou periodicamente) de um diretório LDAP corporativo. Quando esta característica é permitida, os utilizadores finais são automaticamente fornecida do diretório corporativo.

Nota: Os usuários do aplicativo são mantidos separados e são ainda fornecida através da interface de administração unificada CM. Ou seja os usuários do aplicativo não podem ser sincronizados do AD.

Em resumo, os utilizadores finais estão definidos no diretório corporativo e sincronizados no banco de dados unificado CM, quando os usuários do aplicativo forem armazenados somente no banco de dados unificado CM e não precisam de ser definidos no diretório corporativo.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

Encenação típica da integração de diretório

/image/gif/paws/109379/config_dir_int_call1.gif

  • Diretório ativo: 10.48.79.37

  • Domain Name: Eire.com

  • Gerente das comunicações unificadas de Cisco: 10.48.79.93

Configurações

Este documento utiliza as seguintes configurações:

Conta de serviço no AD

Siga estas etapas para criar uma conta de serviço no AD que permite o acordo da sincronização CM lhe conectar e autenticar.

  1. Esta conta deve poder LER todos os objetos do usuário dentro da base desejada da busca e ter um conjunto de senha a expirar nunca. Neste caso, a conta de administrador é usada, mas toda a outra conta com acesso de leitura a todos os objetos do usuário dentro da base desejada da busca basta.

    /image/gif/paws/109379/config_dir_int_call2.gif

  2. No gerente das comunicações unificadas de Cisco, abra a página do ccmadmin (http://X.X.X.X/ccmadmin) e navega ao sistema > ao sistema de Ldap> Ldap.

  3. Verifique a possibilidade que sincroniza da caixa de verificação do servidor ldap e escolha o microsoft ative directory para o tipo de servidor ldap e o sAMAccountName para o atributo LDAP para o usuário - identificação.

    config_dir_int_call3.gif

    O os utilizadores finais que unificaram importações CM do AD são baseados em um atributo do padrão AD. Neste caso, o sAMAccountName é usado. Outras possibilidades são correio, employeeNumber, telephoneNumber, ou userPrinicpalName.

  4. Da página do ccmadmin, navegue ao sistema > ao Ldap > ao diretório de Ldap e o clique adiciona novo para adicionar um acordo novo da replicação de diretório.

    config_dir_int_call4.gif

  5. Estes dois indicadores aparecem, que indicam que todo o usuário atual no CM DB estará suprimido uma vez a integração de diretório é no lugar.

    /image/gif/paws/109379/config_dir_int_call5.gif

    config_dir_int_call6.gif

  6. Complete estes campos:

    • Nome da configuração ldap: Este é todo o nome que você quiser atribuir à integração.

    • Nome destacado do gerente LDAP: Esta é a conta configurada no AD em etapa 1. seja certo usar um destes:

      • Termine o nome canônico, por exemplo, cn=Administrator, dc=eire, dc=com

      • Nome principal do usuário (UPN), por exemplo, administrator@eire.com

    • Senha LDAP: Esta é a senha para a conta configurada no AD em etapa 1.

    • Base da pesquisa de usuário LDAP: Este trajeto define de onde a integração puxa usuários do AD.

    • Programação da sincronização do diretório LDAP.

    config_dir_int_call7.gif

  7. Defina os campos dos usuários que precisam de ser sincronizados. Isto define o atributo de traço LDAP contra o atributo que o CM usa. Por exemplo, o samaccountname do atributo traça contra o atributo userid no banco de dados Informix CM. Em um outro exemplo, o objectguid do atributo é traçado ao atributo mais uniqueidentifier no banco de dados Informix CM.

  8. Adicionar o hostname ou o IP para o server AD. Especifique o número de porta (neste caso 389) e verifique mesmo se você queira usar o SSL.

    /image/gif/paws/109379/config_dir_int_call8.gif

  9. Ative e comece o serviço de Cisco DirSync da página da utilidade (http://X.X.X.X/ccmservice) utiliza ferramentas > ativação do serviço > ferramentas > Control Center > característica de Cisco DirSync presta serviços de manutenção > Cisco DirSync para terminar a configuração.

    /image/gif/paws/109379/config_dir_int_call9.gif

    Os parâmetros do serviço adicional que podem ser configurados, mas estes podem ser deixados para optar.

    config_dir_int_call10.gif

  10. Você pode agora forçar uma sincronização manual a fim sincronizar os usuários no AD (e, mais especificamente, os usuários nos cn=Users do recipiente do domínio eire.com) ao gerente das comunicações unificadas de Cisco. A fim fazer assim, navegar à parte inferior da página da integração de diretório no gerente das comunicações unificadas de Cisco (sistema > Ldap > diretório de Ldap) e abrir o campo recém-criado da integração de diretório. Na parte inferior, clique a execução que a sincronização completa se abotoa agora.

    /image/gif/paws/109379/config_dir_int_call11.gif

  11. Uma vez que a sincronização termina, vá às páginas de admin do gerente das comunicações unificadas de Cisco (http://X.X.X.X/ccmadmin) e navega ao gerenciamento de usuário > aos utilizadores finais. Você pode agora ver os usuários que eram sincronizados do AD no gerente DB das comunicações unificadas de Cisco com um estado ativo LDAP.

    /image/gif/paws/109379/config_dir_int_call12.gif

    Nota: Neste ambiente, um usuário tinha existido no gerente das comunicações unificadas de Cisco antes de executar a integração de diretório.

  12. Após a sincronização, este usuário está agora no estado pendente da supressão.

    config_dir_int_call13.gif

  13. Cada noite em 3.15 am, um processo interno chamou as corridas do serviço do coletor de lixo. Este processo suprime permanentemente de toda a conta que estiver no inativo – suprime durante o estado por mais de 24 horas. O gerente das comunicações unificadas de Cisco não faz senhas de diretório ativo da sincronização. O gerente das comunicações unificadas de Cisco não tem nenhum conhecimento do mecanismo de criptografia do microsoft ative directory. Em lugar de, no gerente 5.0 das comunicações unificadas de Cisco, uma senha padrão do ciscocisco e um PIN do padrão de 12345 são atribuídos.

    No gerente 6.0 das comunicações unificadas de Cisco e mais atrasado, um mecanismo credencial da política do padrão é usado. Isto pode ser ativado das páginas do ccmadmin: Gerenciamento de usuário > padrão credencial da política.

    /image/gif/paws/109379/config_dir_int_call14.gif

    config_dir_int_call15.gif

  14. A política credencial permite que você configurem uma senha padrão, assim como algumas políticas de senha. Todos os usuários que são sincronizados do AD a seguir alimentam fora deste molde para suas senhas.

    /image/gif/paws/109379/config_dir_int_call16.gif

  15. O mesmo aplica-se para o PIN no gerente 6.0 das comunicações unificadas de Cisco e mais atrasado.

    config_dir_int_call17.gif

    Ou seja quando o gerente das comunicações unificadas de Cisco é integrado com AD (integração de diretório) mas a autenticação de diretório não foi permitida (mais sobre o mecanismo da autenticação mais tarde), todos os utilizadores finais que foram sincronizados são autenticados localmente, isto é, contra o banco de dados Informix no gerente das comunicações unificadas de Cisco.

    Porque você pode autenticar localmente, você pode mudar a senha do usuário do gerente das comunicações unificadas de Cisco própria.

    Nota: Este não é o caso se você usa a autenticação de diretório, também.

    config_dir_int_call18.gif

Autenticação de diretório

A autenticação de diretório é instalada sobre a sincronização do diretório, assim que para ter a autenticação de diretório, a integração de diretório é uma condição prévia. A ideia básica é a mesma, mas a única diferença é que os usuários estão autenticados contra o diretório externo e já não contra o banco de dados Informix do gerente das comunicações unificadas de Cisco. Ou seja todas as tentativas de autenticação do utilizador final (por exemplo, para alcançar páginas do ccmuser, etc.) são reorientadas ao AD.

Nota: A autenticação não se aplica aos usuários ou aos pinos do aplicativo. Por exemplo, os pedidos de autenticação PIN da mobilidade de extensão são autenticados localmente (contra o banco de dados de gerenciador das comunicações unificadas de Cisco) e não com o AD.

/image/gif/paws/109379/config_dir_int_call19.gif

  1. A fim configurar a autenticação de diretório, abra a página do ccmadmin (http://X.X.X.X/ccmadmin) e navega ao sistema > ao Ldap > à autenticação de Ldap.

  2. Complete os campos segundo as indicações do gráfico:

    • Nome destacado do gerente LDAP: Esta é a conta configurada no AD em etapa 1. seja certo usar um destes:

      • Termine o nome canônico, por exemplo, cn=Administrator, dc=eire, dc=com

      • Nome principal do usuário (UPN), por exemplo, administrator@eire.com

    • Senha LDAP: Esta é a senha para a conta configurada no AD em etapa 1.

    • Base da pesquisa de usuário LDAP.

    config_dir_int_call20.gif

    Nota: Quando a autenticação é permitida, há já não um campo de senha na configuração dos usuários individuais no gerente das comunicações unificadas de Cisco porque as senhas do usuário são controladas do AD e já não do gerente das comunicações unificadas de Cisco.

    /image/gif/paws/109379/config_dir_int_call21.gif

Pesquisar defeitos a integração de diretório (sincronização)

Encenação: Você adicionou o gajo de Joe do usuário no AD e executou manualmente uma sincronização de dentro do gerente das comunicações unificadas de Cisco.

  1. Ajuste os traços de DirSync a detalhado. Navegue à página da utilidade do gerente das comunicações unificadas de Cisco e escolha o Rastrear > Configuração > os serviços de diretório > o DirSync.

    config_dir_int_call22.gif

    config_dir_int_call23.gif

    config_dir_int_call24.gif

    config_dir_int_call25.gif

  2. Em um traço de DirSync, DirSync é invocado do gerente das comunicações unificadas de Cisco:

    2008-12-15 14:42:13,743 DEBUG [DSLDAPMain] dirsync.DSLDAPMain 
       (DSLDAPMain.java:340) - DSLDAPMain[handleIncomingReq] Now start 
       LDAPSyncImpl for agreement=f74f2069-1160-9d4a-7e8a-db6c476dd9d5
    
    2008-12-15 14:42:13,779 INFO  [DSLDAPMain] ldapplugable.DSLDAPSyncImpl 
       (DSLDAPSyncImpl.java:143) - LDAPSync
       (f74f2069-1160-9d4a-7e8a-db6c476dd9d5)
       [DSLDAPSyncImpl] Search base=cn=Users, dc=eire, dc=com
    
  3. A conta que é configurada no gerente das comunicações unificadas de Cisco para buscar os usuários é a conta de administrador:

    2008-12-15 14:42:13,787 INFO  [DSLDAPMain] ldapplugable.DSLDAPSyncImpl 
       (DSLDAPSyncImpl.java:147) - LDAPSync
       (f74f2069-1160-9d4a-7e8a-db6c476dd9d5)
       [DSLDAPSyncImpl] Manager DN=administrator@eire.com
    Password=aa822fb730462e5bee761623f5384aef87bed6fd62280f8ec6ef01a7a4c537
    
    2008-12-15 14:42:13,813 DEBUG [DSLDAPMain] ldapplugable.DSLDAPSyncImpl 
       (DSLDAPSyncImpl.java:224) - LDAPSync
       (f74f2069-1160-9d4a-7e8a-db6c476dd9d5)
       [DSLDAPSyncImpl] Attributes to return - objectguid:samaccountname:
       givenname:middlename:sn:manager:department:telephonenumber:mail:title:
       homephone:mobile:pager:msrtcsip-primaryuseraddress:
    
    LDAPSync(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)[makeConnection] 
       Successful LDAP connection to : ldap://10.48.79.37:389
    
  4. Saia ao AD e procure por todos os usuários baseados em SamAccountName e em objectguid dentro da base da busca de usuário especificado. Encontre o gajo de Joe do novo usuário:

    LDAPSync(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)
       [sendUserData] Directory entry is CN=Joe Bloke: null:null:
       {mail=mail: jbloke@eire.com, objectguid=objectGUID: 
       [B@1ce3fc5, givenname=givenName: Joe, 
       samaccountname=sAMAccountName: jbloke, sn=sn: Bloke}
    2008-12-15 14:42:15,351 DEBUG [DSLDAPSyncImpl
       (f74f2069-1160-9d4a-7e8a-db6c476dd9d5)] 
       ldapplugable.DSLDAPSyncImpl (DSLDAPSyncImpl.java:926) - 
       LDAPSync(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)[sendUserData] 
       Getting ObjectGUID
    
  5. Recorde buscar determinados atributos AD (por exemplo, samaccountname, objectguid, givenname, departamento, telephonenumber, etc.). Dê-lhes um valor correspondente em Informix DB. Por exemplo, trace o “objectguid” no AD a “UniqueIdentifier” dentro de Informix no gerente das comunicações unificadas de Cisco. Este é um exemplo pequeno do mapeamento do AD a Informix. Esta lista é somente um subconjunto pequeno. Há diversos mais que não são incluídas neste documento.

    /image/gif/paws/109379/config_dir_int_call26.gif

  6. Neste caso, trace o ObjectGuid que foi encontrado para o jbloke do usuário e dê um valor correspondente ao valor de UniqueIdentifier no gerente das comunicações unificadas de Cisco:

    LDAPSync(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)[sendUserData] 
       ObjectGUID value=cc15b7817840b947990b83551140cf86
    db6c476dd9d5)] ldapplugable.DSLDAPSyncImpl (DSLDAPSyncImpl.java:1560) 
       - LDAPSync(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)[formUserObject] 
       Name=uniqueidentifier Value=cc15b7817840b947990b83551140cf86
    
  7. Seguinte verifique dentro Informix se um usuário com este atributo particular de UniqueIdentifier já existe:

    2008-12-15 14:42:15,692 DEBUG [DirSync-DBInterface] 
       DSDBInterface.updateUserInfo Check update using uniq id. 
       SQL-SELECT * FROM  EndUser WHERE uniqueidentifier
       ='cc15b7817840b947990b83551140cf86'
    
  8. Adicionar então o usuário na tabela do utilizador final em Informix no gerente das comunicações unificadas de Cisco:

    2008-12-15 14:42:15,724 DEBUG [DirSync-DBInterface] common.
       DSDBInterface (DSDBInterface.java:377) - DSDBInterface.insert 
       SQL-INSERT INTO EndUser(userid,firstname,mailid,uniqueidentifier,
       lastname,fkdirectorypluginconfig,status) values 
       ('jbloke','Joe','jbloke@eire.com','cc15b7817840b947990b83551140cf86',
       'Bloke','f74f2069-1160-9d4a-7e8a-db6c476dd9d5','1')
    

Pesquisando defeitos a integração de diretório (autenticação)

Encenação: Você registrou nas páginas do CCMUser com o usuário - autenticação identificação “Kurt” reorientada ao AD.

  1. Tome um farejador de rastreamento no gerente das comunicações unificadas de Cisco.

  2. Você vê uma solicitação de pesquisa.

    config_dir_int_call27.gif

    Você igualmente vê um SearchResponse do AD ao gerente das comunicações unificadas de Cisco para o usuário na pergunta.

    config_dir_int_call28.gif

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Mensagem de Erro: Erro ao conectar ao ldap

Este Mensagem de Erro aparece ao tentar executar a integração LDAP com o gerente das comunicações unificadas de Cisco:

Error while Connecting to ldap://10.1.1.2:636, 
javax.net.ssl.SSLException: java.lang.RuntimeException: 
Unexpected error: java.security.InvalidAlgorithmParameterException: 
the trustAnchors parameter must be non-empty

A fim resolver a edição, certifique-se de que o Security Certificate relevante está transferido arquivos pela rede sob a administração/Segurança/gerenciamento certificado do OS CUCM. Também, reinicie os serviços de DirSyn e de Tomcat dos serviços de Windows.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 109379