Voz e comunicações unificadas : Cisco Unified Communications Manager Version 8.0

Como configurar a integração de diretório do gerente das comunicações unificadas em um ambiente da Multi-floresta

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento discute como configurar a integração de diretório unificada Cisco do gerente de uma comunicação (CUCM) em um ambiente da Multi-floresta.

Contribuído por engenheiros da Cisco.

Pré-requisitos

Requisitos

Cisco recomenda que você tem:

  1. Conhecimento do desenvolvimento e configuração da integração de diretório CUCM.
  2. Conhecimento do desenvolvimento e configuração do gerenciador de aplicativo do microsoft ative directory (ADAM) 2003 ou serviços de diretório de pouco peso de Microsoft (AD LD) 2008 ou 2012.
  3. Liberação CUCM 9.1(2) ou mais atrasado.
  4. Quando você usa a liberação CUCM 9.1(2) ou o mais atrasado, o filtro LDAP pode ser mudado com a interface da WEB administrativa. 
  5. O número de contas de usuário a ser sincronizadas não deve exceder 60,000 contas pelo editor CUCM. Quando mais de 60,000 contas precisam de ser sincronizadas, o Software Development Kit dos serviços de telefone IP (SDK) deve ser usado a fim fornecer um diretório feito sob encomenda. Veja a rede do colaborador de Cisco para detalhes adicionais. Quando você usa a liberação CM 10.0(1) ou mais atrasado unificado, as contas do número máximo de usuários apoiadas são 160,000.
  6. Microsoft ADAM 2003 ou serviços de diretório de pouco peso 2008 ou 2012.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Prefácio

O serviço de diretório de pouco peso do microsoft ative directory (AD LD), conhecido anteriormente como o modo de aplicativo do diretório ativo (ADAM), pode ser usado para proporcionar serviços de diretório para aplicativos diretório-permitidos. Em vez de usar o banco de dados do serviço do domínio do diretório ativo da sua organização (AD DS) para armazenar os dados do aplicativo diretório-permitidos, o AD LD pode ser usado para armazenar os dados. O AD LD pode ser usado conjuntamente com AD DS de modo que você possa ter um local central para as contas de Segurança (AD DS) e um outro lugar a fim apoiar os dados da configuração do aplicativo e do diretório (AD LD). Com AD LD, você pode reduzir o associado aéreo com replicação AD, você não tem que estender o esquema AD a fim apoiar o aplicativo, e você pode dividir a estrutura do diretório de modo que o serviço AD LD seja distribuído somente aos server que precisam de apoiar o aplicativo diretório-permitido.

  • Instale da geração dos media - A capacidade para criar mídias de instalação para AD LD com o Ntdsutil.exe ou o Dsdbutil.exe.
  • Valores mudados auditoria dentro do serviço de diretório.
  • Ferramenta da montagem do banco de dados - Dá-lhe a capacidade para ver dados dentro dos instantâneos dos arquivos da base de dados.
  • Apoio dos locais e de serviços AD - Dá-lhe a capacidade para usar locais AD e os serviços a fim controlar a replicação dos dados AD LD mudam.
  • Lista dinâmica de arquivos LDIF - Com esta característica, você pode associar arquivos feitos sob encomenda LDIF com os arquivos atuais do padrão LDIF usados para a instalação de AD LD em um server.
  • Perguntas recursivos do Ligar-atributo - As perguntas LDAP podem seguir os links aninhados do atributo a fim determinar propriedades adicionais do atributo, tais como membrasias do clube.

Há muitas diferenças entre ADAM e o AD, ADAM pode somente entregar parte das funções entregado pelo AD.

Visão geral

O objetivo deste documento é explicar os mecanismos que permitem CUCM, ou todos os outros produtos Cisco que se usarem Cisco unificaram o serviço da integração de diretório CM (DirSync), para obter a informação sobre o usuário e executar a autenticação dos domínios diferentes AD que podem existir em florestas diferentes. A fim conseguir este objetivo, ADAM é usado a fim sincronizar sua base de dados de usuário com os controladores de domínio diferentes AD ou as outras fontes LDAP.

ADAM pode criar um banco de dados dos usuários e armazenar seus detalhes. O único sinal na funcionalidade (SSO) é desejado a fim evitar os utilizadores finais que têm que manter grupos diferentes de credenciais em sistemas diferentes; consequentemente, a reorientação do ligamento de ADAM é usada. A reorientação do ligamento de ADAM é uma função especial para os aplicativos que apoiam o ligamento LDAP como um mecanismo da autenticação. Em alguns casos, o esquema especial, ou a nomeação do contexto, puderam forçá-lo a evitar o AD, que faz a ADAM uma escolha necessária. Isto evita os usuários que têm que recordar as senhas múltiplas devido ao emprego de um diretório adicional com seu próprio usuário - identificação e senha.

Um objeto do proxy do usuário do special em ADAM traça a uma conta de usuário regular AD. O proxy do usuário não tem uma senha real armazenada no objeto próprio de ADAM. Quando o aplicativo executa sua operação normal do ligamento, verifica o ID localmente, mas verifica a senha contra o AD sob as tampas segundo as indicações desta figura. O aplicativo não precisa de estar ciente desta interação AD.

A reorientação do ligamento de ADAM deve ser usada somente nos casos especiais onde um aplicativo pode executar um ligamento simples LDAP a ADAM. Contudo, o aplicativo ainda precisa de associar o usuário com um principal da Segurança no AD.

A reorientação do ligamento de ADAM ocorre quando um ligamento a ADAM é tentado com uso de um objeto especial chamado um objeto do proxy. Um objeto do proxy é um objeto em ADAM que representa um principal da Segurança no AD.  Cada objeto do proxy em ADAM contém SID de um usuário no AD. Quando um usuário tenta ligar ao proxy um objeto, ADAM toma SID que é armazenado no objeto do proxy, junto com a senha que é fornecida no tempo do ligamento, e apresenta SID e a senha ao AD para a autenticação. Um objeto do proxy em ADAM não armazena uma senha, e os usuários não podem mudar suas senhas AD através dos objetos do proxy de ADAM.

A senha é apresentada no texto simples a ADAM porque o pedido inicial do ligamento é um pedido simples do ligamento LDAP. Por este motivo, uma conexão SSL é exigida à revelia entre o cliente do diretório e o ADAM. ADAM usa a Segurança API de Windows a fim apresentar a senha ao AD.

Você pode obter mais informação na reorientação do ligamento em compreender a reorientação do ligamento de ADAM.

Nota: A exigência para o SSL quando você usa a reorientação do ligamento não deve ser desabilitada.

Encenação múltipla do apoio da floresta do diretório ativo em CUCM

A fim explicar o método, imagine uma encenação onde o Cisco Systems (floresta 2) adquira outras duas empresas: Tandberg (floresta 3) e WebEx (floresta 1). Na fase da migração, integre a estrutura do diretório ativo (AD) de cada empresa a fim permitir o desenvolvimento de um único conjunto das comunicações unificadas de Cisco.

No exemplo, a empresa Cisco (floresta 2) tem dois domínios dos domínios, da raiz da floresta chamados CISCO (dns cisco.com) e um subdomínio chamado a emergência (dns emerg.cisco.com). Both of these domínios têm um controlador de domínio que seja igualmente um catálogo global, e cada um é hospedado no server SP2 de Windows 2008.

A empresa que Tandberg (floresta 3) o tem um único domínio com um controlador de domínio que seja igualmente um catálogo global, e é hospedada no server SP2 de Windows 2008.

A empresa que o WebEx (floresta 1) o tem um único domínio com um controlador de domínio que seja igualmente um catálogo global, e é hospedada no server R2 SP2 de Windows 2003.

O AD LD é instalado no controlador de domínio para o domínio CISCO, ou pode ser uma máquina separada; de facto poderia estar em qualquer lugar em uma das três florestas. A infraestrutura DNS deve ser no lugar tais que os domínios em uma floresta podem se comunicar com os domínios em outras florestas e estabelecer as relações de confiança e as validações apropriadas entre as florestas.

Relação de confiança do domínio

Para a autenticação dos usuários a trabalhar, você precisa de ter uma confiança entre o domínio onde o exemplo de ADAM é hospedado, e o outro domínio que hospeda as contas de usuário. Esta confiança pode ser uma confiança de sentido único se for necessário (confiança que parte do domínio que hospeda o exemplo de ADAM ao domínio que hospeda as contas de usuário). Esta maneira, o exemplo de ADAM poderá enviar os pedidos de autenticação aos DC naqueles domínios da conta.

Além disso, você precisará de ter uma conta de usuário de ambos os domínios da conta que tenha o acesso a todos os atributos de todas as contas de usuário no domínio. Esta conta é usada por ADAMSync a fim sincronizar os usuários de domínio da conta a ADAM.

Último mas não de menor importância, a máquina que executa ADAM deve poder encontrar todos os domínios (DNS), encontrar controladores de domínio em ambos os domínios (com DNS), e conectá-los a estes controladores de domínio.

Termine estas etapas a fim estabelecer os relacionamentos do intertrust:

  1. Abra domínios e confianças do diretório ativo, clicar com o botão direito o domínio que hospeda AD LD, e escolha propriedades.

    Nota: O nível funcional do domínio e o nível funcional da floresta devem estar 2003 ou mais atrasados.

  2. Clique a aba das confianças, e clique a confiança nova.

  3. Siga o assistente e dê entrada com o nome do domínio que você quer estabelecer a confiança com. Clique em Next.

  4. Clique o botão de rádio da confiança da floresta. Clique em Next.

  5. No sentido one-way da confiança somente “: que parte” é exigido. Clique o One-way: botão de rádio que parte. Clique em Next.

  6. Permita que o assistente configure ambos os domínios. Clique este domínio e botão de rádio do domínio especificado. Clique em Next.

  7. Incorpore as credenciais para o outro domínio. Clique em Next.

  8. Clique o botão de rádio Floresta-largo da autenticação. Clique em Next.

  9. Clique o Yes, confirme o botão de rádio que parte da confiança. Clique em Next.

Este é o resultado que você recebe depois que você executa este processo para os domínios de Tandberg e de WebEx. A emergência do domínio está lá à revelia desde que é um domínio infantil.

Instale AD LD

Instale AD LD em 2008

  1. Abra o gerenciador do servidor, clique papéis, e o clique adiciona papéis.

  2. Verifique a caixa de verificação de pouco peso dos serviços de diretório do diretório ativo. Clique em Next.

  3. O indicador do progresso da instalação dos serviços AD LD aparece.

Instale AD LD em 2012

Termine estas etapas a fim estabelecer AD LD em 2012:

  1. Abra o gerenciador do servidor e escolha-o adicionam papéis e características. Clique em seguida e clique o tipo da instalação a fim mover-se para o tipo página da instalação.

  2. Escolha as opções padrão e clique-as em seguida.

  3. Clique o seleto um server do botão de rádio do pool do server a fim selecionar o server do padrão. Clique em Next.

  4. Verifique a caixa de verificação de pouco peso dos serviços de diretório do diretório ativo e o clique adiciona características. Continue com a instalação.

  5. Clique em seguida nas páginas subsequentes.
  6. Clique o reinício a caixa de seleção do servidor de destino automaticamente se for necessário e o clique instala a fim instalar a característica.

  7. Depois que a instalação é terminada com sucesso, clique próximo a fim fechar o assistente.

Instale o exemplo para o apoio múltiplo da floresta

O AD LD pode executar exemplos diferentes dos serviços com portas diferentes que permite o diretório de usuário diferente “aplicativos” ser sido executado na mesma máquina. À revelia o AD LD escolhe as portas 389/LDAP e 636/LDAPS, mas se o sistema já tem qualquer tipo dos serviços LDAP que os executam ele usará as portas 50000/LDAP e 50001/LDAPS. Cada exemplo terá um par de portas que o incremento baseou nos números precedentes usados.

Em alguns casos, devido a um erro de Microsoft, as portas são usadas já pelo servidor DNS de Microsoft e o assistente do exemplo dá um erro (que não é evidente). Este erro pode ser fixo quando você reserva as portas na pilha TCP/IP. Se você encontra este problema, veja que começo do serviço AD LD falha com erro “instalação não poderia começar o serviço…” + código de erro 8007041d.

Apoio múltiplo da floresta em 2008

  1. No gerenciador do servidor, escolha papéis e então serviços de diretório do peso leve do diretório ativo.  Clique clicam aqui para criar um exemplo AD LD.

  2. Clique o botão de rádio original do exemplo A. Clique em Next.

  3. No campo de nome de instância, dê entrada com o nome do exemplo. É MultiForest neste exemplo. Clique em Next.

  4. Entre no número de porta selecionado LDAP e no número de porta SSL ou permita que o sistema escolha-os para você. Clique em Next.

  5. Clique o Yes, crie um botão de rádio da separação do diretório do aplicativo. Dê entrada com o nome da separação no campo de nome da separação. Por exemplo, não forneça uma NC como no exemplo do assistente, porque na maioria das vezes isso cria um erro nos esquemas. Nesta encenação, a mesma separação que o controlador de domínio AD que hospeda AD LD (dc=cisco, dc=com) foi entrada. Clique em Next.

  6. Clique este botão de rádio da conta. Incorpore um nome de usuário e uma senha a fim ligar o server. Clique em Next.

  7. Clique o botão de rádio atualmente entrado do usuário. Dê entrada com o nome do usuário com permissões administrativas. Clique em Next.

  8. Importe os arquivos destacados do padrão LDIF a fim construir o esquema. Clique em Next.

Nota: Se ADAM é instalado em Windows 2003 separe, a seguir a tela precedente terá somente quatro opções:  MS-AZMan.LDF, MS-InetOrgPerson.LDF, MS-User.LDF, e MS-UserProxy.LDF. Destes quatro, verifique somente as caixas de seleção para ver se há MS-User.LDF e MS-InetOrgPerson.LDF.

Apoio múltiplo da floresta em 2012

  1. Abra as ferramentas administrativas e fazer duplo clique o assistente de configuração de pouco peso dos serviços de diretório do diretório ativo.

  2. Clique em Next.

  3. Verifique o botão de rádio original do exemplo A. Clique em Next.

  4. Incorpore um nome de instância e uma descrição para o exemplo. O nome “MultiForest” é dado entrada com aqui. Clique em Next.

  5. Entre nos números de porta LDAP e SSL. As portas preferidas são 389 e 636 respectivamente. Se o servidor de domínio é um server da criança e se o domínio do pai usa estas portas, a seguir os números de porta diferentes estarão povoados à revelia. Nesse caso, não os mude e continue-o com a instalação. Clique em Next.

  6. Aqui, à revelia, outros números de porta foram povoados. Clique em Next.

  7. Clique o Yes, crie um botão de rádio da separação do diretório do aplicativo. Dê entrada com o nome da separação. Crie a separação para LD como cisco.com. Todo o valor apropriado pode ser fornecido. Clique em Next.

  8. Escolha as opções padrão em páginas subsequentes e continue.

  9. Verifique as caixas de seleção MS-InetOrgPerson.LDF, MS-User.LDF, MS-UserProxy.LDF, e MS-UserProxyFull.LDF. Clique em Next.

  10. Clique em seguida a fim começar a instalação.

  11. A instalação é terminada com sucesso. Clique em Finish.

Crie uma separação do diretório para que cada domínio sincronize

Se há usuários múltiplos com o mesmo usuário - identificação (sAMAccountName) nos domínios diferentes das florestas diferentes, você precisa de criar uma separação do diretório do aplicativo em AD LD para cada domínio que você quer sincronizar.

Refira o documento de Microsoft em como criar uma separação do diretório do aplicativo, a etapa 5: Pratique trabalhar com as separações do diretório do aplicativo.

Neste exemplo, há um domínio cisco.com da parte superior, e haverá quatro separações do diretório (domain1, domain2, domain3, domain4) criadas sob ele, um para cada domínio que você quer sincronizar com o AD LD.

Nota: O ObjectClass precisa de ser domainDNS e não recipiente como provido no documento de Microsoft.

Este processo para criar uma separação do diretório para cada domínio que você quer sincronizar contra trabalhos baseou na referência LDAP (RFC 2251) e exige que o cliente de LDAP (CUCM, COPO, e assim por diante) apoia referências. 

Copie o esquema de cada domínio a ADAM. Este processo precisa de ser repetido para cada domínio (neste exemplo que você precisaria de repetir este quatro vezes, uma por cada controlador de domínio que você tem) esse você necessidade de sincronizar a.

Nota: Este exemplo mostra somente o processo contra um dos domínios na encenação.

  1. Abra o analisador do esquema AD DS/LDS (ADSchemaAnalyzer.exe) no diretório c:\windows\adam.
  2. Escolha esquema do alvo do arquivo > da carga.

  3. Forneça as credenciais do controlador de domínio da fonte AD de que você quer importar. Clique a aprovação.

  4. Escolha o esquema baixo do arquivo > da carga.

  5. Especifique o AD LD a que você quer conectar e estenda o esquema. Clique a aprovação.

  6. Escolha o esquema > o Mark todos os elementos NON-atuais como incluídos.

  7. Escolha o arquivo > criam o arquivo LDIF.  Neste exemplo, o arquivo criado através desta etapa é diff-schema.ldf. A fim simplificar o processo o arquivo deve ser criado em c:\windows\adam.

    Uma opção disponível para ajudar a organizar os arquivos que precisam de ser gerados é criar um diretório separado a fim permitir estes arquivos ser separado do diretório principal de c:\windows\adam. Abra um comando prompt e crie um diretório do log em c:\windows\adam.

    cd \windows\adam
    mkdir logs
  8. Importe o esquema do ldif, criado com o analisador de ADSchema, a AD LD.
    ldifde -i -s localhost:50000 -c CN=Configuration,DC=X
    #ConfigurationNamingContext -f diff-schema.ldf -j c:\windows\adam\logs

    Refira a utilização da LDIFDE para importar e exportar objetos de diretório ao diretório ativo para opções e formatos de comando adicionais da ldifde.

Estenda o esquema AD LD com os objetos do USER-proxy

O objeto para a autenticação de proxy precisa de ser criado e a classe de objeto “usuário” não será usada. A classe de objeto que é criada, userProxy, é o que permite a reorientação do ligamento. O detalhe da classe de objeto precisa de ser criado em um arquivo do ldif. O arquivo é uma criação de um arquivo novo, que neste exemplo seja MS-UserProxy-Cisco.ldf.  Este arquivo novo é gerado do MS-UserProxy.ldf original e editado, use um texto editam o programa, para ter este índice:

#==================================================================
# @@UI-Description: AD LDS simple userProxy class.
#
# This file contains user extensions for default ADAM schema.
# It should be imported with the following command:
# ldifde -i -f MS-UserProxy.ldf -s server:port -b username domain password -k -j . -c
"CN=Schema,CN=Configuration,DC=X" #schemaNamingContext
#
#==================================================================

dn: CN=User-Proxy,CN=Schema,CN=Configuration,DC=X
changetype: ntdsSchemaAdd
objectClass: top
objectClass: classSchema
cn: User-Proxy
subClassOf: top
governsID: 1.2.840.113556.1.5.246
schemaIDGUID:: bxjWYLbzmEiwrWU1r8B2IA==
rDNAttID: cn
showInAdvancedViewOnly: TRUE
adminDisplayName: User-Proxy
adminDescription: Sample class for bind proxy implementation.
objectClassCategory: 1
lDAPDisplayName: userProxy
systemOnly: FALSE
possSuperiors: domainDNS
possSuperiors: organizationalUnit
possSuperiors: container
possSuperiors: organization
defaultSecurityDescriptor:
D:(OA;;CR;ab721a53-1e2f-11d0-9819-00aa0040529b;;PS)S:
defaultHidingValue: TRUE
defaultObjectCategory: CN=User-Proxy,CN=Schema,CN=Configuration,DC=X
systemAuxiliaryClass: msDS-BindProxy
systemMayContain: userPrincipalName
systemMayContain: givenName
systemMayContain: middleName
systemMayContain: sn
systemMayContain: manager
systemMayContain: department
systemMayContain: telephoneNumber
systemMayContain: mail
systemMayContain: title
systemMayContain: homephone
systemMayContain: mobile
systemMayContain: pager
systemMayContain: msDS-UserAccountDisabled
systemMayContain: samAccountName
systemMayContain: employeeNumber

dn:
changetype: modify
add: schemaUpdateNow
schemaUpdateNow: 1
Save MS-UserProxy-Cisco.ldf file in C:\windows\adam

Importe a classe de objeto nova a AD LD.

ldifde -i -s localhost:50000 -c CN=Configuration,DC=X #ConfigurationNamingContext -f
MS-UserProxy-Cisco.ldf -j c:\windows\adam\logs

Importe os usuários de AD DC a AD LD

O usuário de cada domínio precisa agora de ser importado a AD LD. Esta etapa precisa de ser repetida para cada domínio que precisa de sincronizar. Este exemplo mostra somente o processo contra um dos domínios. Comece com o MS-AdamSyncConf.xml original e crie um arquivo XML para cada domínio que precisa de ser sincronizado e altere o arquivo com os detalhes específicos a cada domínio para ter este índice:

<?xml version="1.0"?>
<doc>
 <configuration> 
  <description>Adam-Sync1</description> 
  <security-mode>object</security-mode>        
  <source-ad-name>ad2k8-1</source-ad-name> 
  <source-ad-partition>dc=cisco,dc=com</source-ad-partition>
  <source-ad-account></source-ad-account>              
  <account-domain></account-domain>
  <target-dn>dc=cisco,dc=com</target-dn> 
  <query>  
   <base-dn>dc=cisco,dc=com</base-dn>
    <object-filter>
(&#124;(&amp;(!cn=Administrator)(!cn=Guest) (!cn=ASPNET)
(!cn=krbtgt)(sAMAccountType=805306368))(&amp;(objectClass=user)(isDeleted=TRUE)))
    </object-filter>
   <attributes>
    <include>objectSID</include>
    <include>mail</include>
    <include>userPrincipalName</include>
    <include>middleName</include>
    <include>manager</include>
    <include>givenName</include>
    <include>sn</include>
    <include>department</include>
    <include>telephoneNumber</include>
    <include>title</include>
    <include>homephone</include>
    <include>mobile</include>
    <include>pager</include>
    <include>msDS-UserAccountDisabled</include>
    <include>samAccountName</include>
    <include>employeeNumber</include>
    <exclude></exclude>
   </attributes> 
  </query>
 <user-proxy>
    <source-object-class>user</source-object-class>
    <target-object-class>userProxy</target-object-class>
  </user-proxy> 
  <schedule>  
   <aging>   
    <frequency>0</frequency>   
    <num-objects>0</num-objects>  
   </aging>  
   <schtasks-cmd></schtasks-cmd> 
  </schedule>
 </configuration>
 <synchronizer-state> 
  <dirsync-cookie></dirsync-cookie> 
  <status></status> 
  <authoritative-adam-instance></authoritative-adam-instance>
  <configuration-file-guid></configuration-file-guid> 
  <last-sync-attempt-time></last-sync-attempt-time> 
  <last-sync-success-time></last-sync-success-time> 
  <last-sync-error-time></last-sync-error-time> 
  <last-sync-error-string></last-sync-error-string> 
  <consecutive-sync-failures></consecutive-sync-failures> 
  <user-credentials></user-credentials> 
  <runs-since-last-object-update></runs-since-last-object-update>
  <runs-since-last-full-sync></runs-since-last-full-sync>
 </synchronizer-state>
</doc>

Neste arquivo, estas etiquetas devem ser substituídas para combinar o domínio:

  • <source-ad-name> - Use o nome de host do domínio.
  • <source-ad-partition> - Use a separação da raiz da fonte AD DC de que você quer importar (por exemplo dc=cisco, dc=com, ou dc=Tandberg, dc=com).
  • <base-dn> - Escolha o recipiente de que para importar. Por exemplo, se todos os usuários do domínio são exigidos este deve ser o mesmo que o <source-ad-partition>, mas se os usuários são de uma unidade organizacional específica (tal como a finança OU), deve ser similar a OU=Finance, dc=cisco, dc=com.

Refira a referência do arquivo de configuração XML de Adamsync para obter informações sobre do arquivo de configuração de Adamsync XML.

Refira a sintaxe do filtro da busca para obter mais informações sobre de como criar um <object-filter>.

Salvar o arquivo recém-criado XML em C:\windows\adam.

Abra uma janela de comando, CD \ indicadores \ adam.

Incorpore o comando, ADAMSync /install localhost:50000 c:\windows\ADAM\AdamSyncConf1.xml /log c:\windows\adam\logs\install.log.

Verifique que o arquivo AdamSyncConf1.xml é o arquivo recém-criado XML.

Sincronize os usuários com o comando ADAMSync /sync localhost:50000 “dc=cisco, dc=com” /log c:\windows\adam\logs\sync.log.

O resultado deve ser similar a:

A fim terminar uma sincronização automática do AD a ADAM, use o task scheduler em Windows.

Crie um arquivo do .bat com este índice nele: 

“C:\Windows\ADAM\ADAMSync” /install localhost:50000 c:\windows\ADAM\AdamSyncConf1.xml /log c:\windows\adam\logs\install.log

“C:\Windows\ADAM\ADAMSync” /sync localhost:50000 “dc=cisco, dc=com” /log c:\windows\adam\logs\syn.log

Programe a tarefa executar de acordo com as necessidades o arquivo do .bat. Isto tomam das adições, as alterações, e os supressões que acontecem no AD a ser refletido também em ADAM.

Você pode criar um outro arquivo do .bat e programá-lo para terminar uma sincronização automática da outra floresta.

Crie o usuário em AD LD para a sincronização e a autenticação CUCM

  1. O ADSI aberto edita das ferramentas do administrador no menu de inicialização.
  2. Escolha o arquivo > a conexão (ou a ação > conecte a).
  3. Conecte para basear o dn da árvore AD LD (dc=cisco, dc=com) e para especificar o host e para mover onde é hospedado (localhost:50000). Clique em OK.

  4. Clicar com o botão direito a base DN e escolha novo > objeto.

  5. Escolha o usuário. Clique em Next.

  6. No campo de valor, dê entrada com o nome de objeto escolhido. Neste exemplo “raiz” é o nome escolhido (todo o nome poderia ser escolhido aqui). Clique em Next.

  7. A fim fornecer uma senha ao novo usuário, clicar com o botão direito o usuário e escolha a senha da restauração.

  8. O novo usuário é desabilitado à revelia. A fim permitir o novo usuário, clicar com o botão direito o usuário e escolha propriedades.

  9. Consulte ao atributo MSD-UserAccountDisabled e ao clique editam.

  10. Clique o botão de rádio falso a fim permitir a conta de usuário. Clique em OK.

  11. Clique o botão de rádio verdadeiro a fim assegurar-se de que a senha nunca expire. Clique em OK.

  12. O novo usuário precisa de ser adicionado a um grupo que tem a permissão da leitura ao AD LD, que no este os administradores de exemplo foram escolhidos. Consulte a CN=Roles > a CN=Administrators. Clicar com o botão direito CN=Administrators e escolha propriedades.

  13. Escolha o membro do atributo e o clique edita.

  14. Incorpore o DN novo que foi criado previamente, cn=root, dc=cisco, dc=com, a este grupo. Clique em OK.

  15. Escolha o esquema da atualização agora e reinicie AD LD.

Configurar a reorientação do ligamento

À revelia, ligar a ADAM com reorientação do ligamento exige uma conexão SSL. O SSL exige a instalação e o uso dos Certificados no computador que executa ADAM e no computador que conecta a ADAM como um cliente. Se os Certificados não são instalados em seu ambiente de teste de ADAM, você pode desabilitar a exigência para o SSL como uma alternativa.

Nota: Desabilitar a exigência para o SSL para a reorientação do ligamento faz com que a senha de um principal da Segurança de Windows passe ao computador que executa ADAM sem criptografia. Assim, você deve somente desabilitar a exigência SSL em um ambiente de teste.

À revelia, o SSL é permitido. A fim fazer o trabalho do protocolo LDAP em ADAM/LDS que você precisará de gerar um certificado.

Neste exemplo, o server da autoridade de certificação de Microsoft é usado a fim emitir o certificado. A fim pedir um certificado, vá ao página da web de Microsoft CA - http:// <MSFT CA hostname>/certsrv e termine estas etapas:

  1. Clique o pedido um certificado.
  2. Clique pedido do certificado avançado.
  3. O clique cria e submete um pedido a este CA.
  4. Na caixa de texto do nome, dê entrada com o nome de DNS completo do server ADAM/AD LD.
  5. Assegure-se de que o tipo de certificado seja certificado de autenticação de servidor.
  6. Para o formato, escolha PCKS10.
  7. Escolha chaves de Mark como exportable.
  8. Opcionalmente, preencha a outra informação.
  9. Na caixa de texto amigável do nome, dê entrada com o nome completo dns do server ADAM/AD LD.
  10. Clique em Submit.

Vá para trás à relação da autoridade de certificação e clique o dobrador pendente dos Certificados. Clicar com o botão direito o pedido do certificado feito pela máquina ADAM/AD-LDS e emita o certificado.

O certificado agora tem sido criado e reside “no dobrador dos Certificados emitidos”. Em seguida, você precisa de transferir e instalar o certificado:

  1. Abra http:// <MSFT CA hostname>/certsrv.
  2. Clique a vista o estado de um pedido do certificado pendente.
  3. Clique o pedido do certificado.

Clique o certificado a fim instalá-lo.

A fim deixar o ADAM prestar serviços de manutenção ao uso o certificado, você precisa de pôr o certificado na loja pessoal do serviço de ADAM:

  1. Desde o início o menu, escolhe a corrida. Datilografe o mmc. Isto abre o console de gerenciamento.
  2. O arquivo do clique \ adiciona/remove pressão-em.
  3. Clique adicionam e escolhem Certificados.
  4. Escolheu a conta de serviço.
  5. Escolha o computador local.
  6. Escolha seu serviço do exemplo de ADAM.
  7. Adicionar um certificado novo pressão-em, mas esta vez escolhe minha conta de usuário em vez da conta de serviço.
  8. Clique próximo e aprovação do clique.
  9. Nos Certificados - A user-árvore atual, abre a pasta pessoal.
  10. Selecione o certificado e copie-o no mesmo lugar sob “Certificados - nome de instância de adam”.

Grant leu a permissão no certificado de autenticação de servidor à conta de serviço de rede.

  1. Navegue a este diretório padrão onde os Certificados instalados ou importados são armazenados - C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys.
  2. Clicar com o botão direito o certificado de autenticação de servidor apropriado. Clique em Propriedades.
  3. Clique na guia Security. O clique edita.
  4. Na caixa de diálogo das permissões, o clique adiciona.
  5. No selecionar Caixa de Diálogo de Usuários, Computadores ou Grupos, inscrevem o serviço de rede. Clique em OK.
  6. Reinicie seu exemplo de ADAM.

Mais informação pode ser encontrada no apêndice A: Configurando o LDAP sobre exigências SSL para AD LD.

Em seguida, transfira arquivos pela rede o certificado de CA que emitiu o certificado à máquina ADAM/AD LD como uma confiança do diretório CUCM.

Refira o Guia de Administração de Sistema das operações das comunicações unificadas de Cisco para detalhes adicionais.

Escolha a caixa de seleção a fim usar o SSL na página do diretório LDAP e na página da autenticação LDAP.

Incorpore 50001 (neste exemplo) para a porta LDAP, que é o número de porta SSL dado quando você instalou o exemplo ADAM/AD LD.

A fim desabilitar a exigência SSL para a reorientação do ligamento, termine estas etapas:

  1. Clique o começo, aponte às ferramentas administrativas, e o clique ADSI edita.
  2. No menu de ação, escolha conectam a.
  3. No campo de computador, incorpore localhost:50000 (esta é host e porta do theADAM.).

  4. Na seção do ponto de conexão, clique o seleto um botão de rádio de nomeação conhecido do contexto. Da lista de drop-down, escolha a configuração. Clique em OK.
  5. Na árvore de console, consulte a este objeto do recipiente na separação da configuração: Serviço de CN=Directory, Windows NT CN=, CN=Services.
  6. Clicar com o botão direito o serviço de CN=Directory e escolha propriedades.

  7. Nos atributos, clique MSD-Outro-ajustes. O clique edita.
  8. Nos valores, o clique RequireSecureProxyBind=1 e clica então remove.
  9. No valor a adicionar, incorpore RequireSecureProxyBind=0, clique adicionam, e clicam então a APROVAÇÃO.
  10. Reinicie AD LD para que as mudanças tomem o efeito.

Para mais informação, refira controlando a autenticação em ADAM.

Configurar CUCM

A sincronização e a autenticação ADAM/AD LD são apoiadas na versão 9.1(2) e mais recente CUCM.

  1. Escolha o sistema > o sistema LDAP > LDAP.
  2. Selecione Microsoft ADAM ou serviços de diretório de pouco peso.
  3. Você pode escolher qualquens um atributos LDAP userid: correio, número de empregado, ou número de telefone.

    o uid é usado somente com ADAM/AD autônomo LD e não com apoio da multi-floresta AD.

    Atualmente, para o tipo de servidor ldap de “modo Microsoft ADAM ou dos serviços de diretório de pouco peso”, o samAccountName não é incluído no atributo LDAP para a gota-para baixo Userid. A razão é que não é um atributo apoiado com ADAM/AD autônomo LD.

  4. Configurar a sincronização LDAP com as credenciais do usuário criado em AD LD.

  5. Configurar a autenticação LDAP com as credenciais do usuário criado em AD LD.

Filtros LDAP em CUCM

O usuário da classe de objeto é usado já não. Consequentemente, o filtro LDAP precisa de ser mudado para usar o userProxy em vez do usuário.

O filtro do padrão é:
(& (objectclass=user) (! (objectclass=Computer))(! (msDS-UserAccountDisabled=TRUE)))

A fim alterar este filtro, entre ao ccmadmin com um navegador da Web e escolha a opção de filtro feita sob encomenda LDAP do menu da configuração ldap.

Este filtro é usado na página do diretório LDAP ao configurar o acordo da sincronização LDAP segundo as indicações “configura da seção CUCM”.

Se você usa uma versão de CUCM que está mais adiantado do que 9.x, você é exigido usar o conjunto de ferramentas do SABÃO AXL a fim mudar o filtro do padrão LDAP.

Contacte seu equipe de conta da Cisco local a fim obter o whitepaper que explica como conseguir isto com AXL. É intitulado “usuário que filtra para a sincronização do diretório e a autenticação”.

Seu script AXL deve olhar como este:

<?xml version="1.0" encoding="UTF-8"?>
<!--DTD generated by XMLSPY v5 rel. 4 U (http://www.xmlspy.com)-->
<!DOCTYPE data [
      <!ELEMENT data (sql+)>
      <!ELEMENT sql EMPTY>
      <!ATTLIST sql
      query CDATA #IMPLIED
             update CDATA #IMPLIED
>
]>
<data>
      <sql update="update ldapfilter set filter ='(&amp;(objectclass=userProxy)
(!(objectclass=Computer))(!(msDS-UserAccountDisabled=TRUE)))' where tkldapserver=4"/>
      <sql query="select * from ldapfilter where tkldapserver=4"/>
</data>

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 111979