Voix et communications unifiées : Cisco Unified Communications Manager (CallManager)

Configurer l'intégration de répertoire de Cisco Unified Communications Manager

18 octobre 2014 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 septembre 2014) | Commentaires


Contenu


Introduction

Ce document fournit des informations sur la façon d'installer, configurer, et dépanner la version 5.0 et ultérieures de Cisco Unified Communications Manager (connu sous le nom de CallManager) avec l'intégration d'Active Directory.

Conditions préalables

Conditions requises

Assurez-vous que vous répondez à ces exigences avant d'essayer cette configuration :

  • Connaissance de base de Microsoft Windows/Répertoire actif (AD)

Composants utilisés

Les informations dans ce document sont basées sur Cisco Unified Communications Manager 6.1(2)

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

Intégration de répertoire

Par défaut, sur Cisco Unified Communications Manager non-intégré (CUCM), il y a deux types d'utilisateurs : utilisateurs finaux et utilisateurs d'application.

  • Utilisateurs finaux — Tous les utilisateurs ont associé avec une personne physique et une procédure de connexion interactive. Cette catégorie inclut tous les utilisateurs de Téléphonie sur IP, aussi bien qu'administrateurs d'Unified CM quand vous utilisez la configuration de groupes d'utilisateurs et de rôles (équivalente à la caractéristique multiniveaux de gestion de Cisco dans des versions antérieures d'Unified CM).

  • Utilisateurs d'application — Tous les utilisateurs associés avec d'autres configurations ou applications de Cisco IP Communications, telles que la console de réception de Cisco, le Cisco IP Contact Center exprès, ou le Cisco Unified Communications Manager Assistant. Ces applications doivent authentifier avec l'Unified CM, mais ces utilisateurs internes n'ont pas une procédure de connexion interactive. Ceci sert purement aux communications internes entre les applications, par exemple, le CCMAdministrator, le courant alternatif, le JTAPI, le RM, le CCMQRTSecureSysUser, le CCMQRTSysUser, le CCMSysUser, l'IPMASecureSysUser, l'IPMASysUser, le WDSecureSysUser, et le WDSysUser.

Quand vous intégrez Cisco Unified Communications Manager avec le Répertoire actif, le processus d'intégration de répertoire utilise un outil interne appelé la synchronisation de répertoire Cisco (DirSync) sur l'Unified CM pour synchroniser un certain nombre d'attributs d'utilisateur (manuellement ou périodiquement) à partir d'un répertoire LDAP entreprise. Quand cette caractéristique est activée, des utilisateurs finaux provisioned automatiquement à partir du répertoire d'entreprise.

Remarque: Des utilisateurs d'application sont maintenus distincts et provisioned toujours par l'interface de gestion d'Unified CM. En d'autres termes, des utilisateurs d'application ne peuvent pas être synchronisés de l'AD.

En résumé, des utilisateurs finaux sont définis dans le répertoire d'entreprise et synchronisés dans la base de données d'Unified CM, alors que des utilisateurs d'application sont enregistrés seulement dans la base de données d'Unified CM et n'ont pas besoin d'être définis dans le répertoire d'entreprise.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Utilisez l'outil Command Lookup Tool (clients enregistrés seulement) pour obtenir plus d'informations sur les commandes utilisées dans cette section.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

Scénario typique d'intégration de répertoire

/image/gif/paws/109379/config_dir_int_call1.gif

  • Répertoire actif : 10.48.79.37

  • Nom de domaine : Eire.com

  • Cisco Unified Communications Manager : 10.48.79.93

Configurations

Ce document utilise les configurations suivantes :

Compte des services dans l'AD

Suivez ces étapes pour créer un compte des services dans l'AD qui permet l'accord de sync cm de se connecter et authentifier à lui.

  1. Ce compte doit pouvoir LIRE tous les objets utilisateurs dans la base désirée de recherche et faire placer un mot de passe pour ne jamais expirer. Dans ce cas, le compte administrateur est utilisé, mais n'importe quel autre compte avec l'accès en lecture à tous les objets utilisateurs dans la base désirée de recherche suffit.

    /image/gif/paws/109379/config_dir_int_call2.gif

  2. Sur Cisco Unified Communications Manager, ouvrez la page de ccmadmin (http://X.X.X.X/ccmadmin) et naviguent vers le système > le système de LDAP de Ldap>.

  3. Cochez l'enable synchronisant de la case de serveur LDAP et choisissez la Microsoft Active Directory pour le type de serveur LDAP et le sAMAccountName pour l'attribut de LDAP pour l'user-id.

    config_dir_int_call3.gif

    Les les utilisateurs finaux que l'Unified CM importe de l'AD sont basés sur un attribut standard d'AD. Dans ce cas, le sAMAccountName est utilisé. D'autres possibilités sont messagerie, employeeNumber, telephoneNumber, ou userPrinicpalName.

  4. De la page de CCMAdmin, naviguez vers le système > le LDAP > le répertoire de LDAP et cliquez sur Add nouveau pour ajouter un nouvel accord de réplication de répertoire.

    config_dir_int_call4.gif

  5. Ces deux fenêtres apparaissent, qui indiquent que n'importe quel utilisateur courant dans le DB cm sera supprimé une fois l'intégration de répertoire est en place.

    /image/gif/paws/109379/config_dir_int_call5.gif

    config_dir_int_call6.gif

  6. Complétez ces champs :

    • Nom de configuration de LDAP : C'est n'importe quel nom que vous voulez assigner à l'intégration.

    • Nom unique de gestionnaire de LDAP : C'est le compte configuré dans l'AD dans l'étape 1. soit sûr d'utiliser un de ces derniers :

      • Nom canonique complet, par exemple, cn=Administrator, dc=eire, dc=com

      • Nom principal d'utilisateur (UPN), par exemple, administrator@eire.com

    • Mot de passe de LDAP : C'est le mot de passe pour le compte configuré dans l'AD dans l'étape 1.

    • Base de recherche d'utilisateur de LDAP : Ce chemin définit d'où l'intégration tire des utilisateurs de l'AD.

    • Programme de synchronisation de répertoire LDAP.

    config_dir_int_call7.gif

  7. Définissez les champs des utilisateurs qui doivent être synchronisés. Ceci définit l'attribut de LDAP de mappage contre l'attribut que les utilisations cm. Par exemple, le samaccountname d'attribut trace contre l'ID utilisateur d'attribut dans la base de données Informix cm. Dans un autre exemple, l'objectguid d'attribut est tracé à l'attribut uniqueidentifier dans la base de données Informix cm.

  8. Ajoutez l'adresse Internet ou l'IP pour le serveur d'AD. Spécifiez le numéro de port (dans ce cas 389) et le contrôle si vous voulez utiliser le SSL.

    /image/gif/paws/109379/config_dir_int_call8.gif

  9. Lancez et commencez le service de Cisco DirSync de la page d'utilité (http://X.X.X.X/ccmservice) usine > activation de service > Tools > Control Center > caractéristique de Cisco DirSync entretient > Cisco DirSync pour terminer la configuration.

    /image/gif/paws/109379/config_dir_int_call9.gif

    Des paramètres de service supplémentaire qui peuvent être configurés, mais ceux-ci peuvent être laissés pour se transférer.

    config_dir_int_call10.gif

  10. Vous pouvez maintenant forcer un sync manuel afin de synchroniser les utilisateurs dans l'AD (et, plus spécifiquement, les utilisateurs dans les cn=Users de conteneur du domaine eire.com) à Cisco Unified Communications Manager. Afin de faire ainsi, naviguer vers le bas de la page d'intégration de répertoire sur Cisco Unified Communications Manager (système > LDAP > répertoire de LDAP) et ouvrir le champ de création récente d'intégration de répertoire. Au bas, cliquez sur l'exécuter que le plein sync se boutonnent maintenant.

    /image/gif/paws/109379/config_dir_int_call11.gif

  11. Une fois que le sync termine, allez aux pages d'admin de Cisco Unified Communications Manager (http://X.X.X.X/ccmadmin) et naviguent vers la gestion des utilisateurs > les utilisateurs. Vous pouvez maintenant voir les utilisateurs qui synched de l'AD dans le DB de Cisco Unified Communications Manager avec un état actif de LDAP.

    /image/gif/paws/109379/config_dir_int_call12.gif

    Remarque: Dans cet environnement, un utilisateur avait existé sur Cisco Unified Communications Manager avant d'exécuter l'intégration de répertoire.

  12. Après le sync, cet utilisateur est maintenant dans l'état Pending d'effacement.

    config_dir_int_call13.gif

  13. Chaque nuit à 3h15 du matin, un processus interne a appelé les passages de service d'éboueur. Ce processus supprime de manière permanente n'importe quel compte qui a été dans l'inactif ? suppriment l'état Pending pendant plus de 24 heures. Cisco Unified Communications Manager ne fait pas des mots de passe de Répertoire actif de sync. Cisco Unified Communications Manager n'a aucune connaissance de mécanisme de chiffrement de Microsoft Active Directory. Au lieu de cela, dans Cisco Unified Communications Manager 5.0, un mot de passe par défaut de ciscocisco et un PIN de par défaut de 12345 sont assignés.

    Dans Cisco Unified Communications Manager 6.0 et plus tard, un mécanisme de créance par défaut de stratégie est utilisé. Ceci peut être lancé des pages de CCMAdmin : Gestion des utilisateurs > par défaut de créance de stratégie.

    /image/gif/paws/109379/config_dir_int_call14.gif

    config_dir_int_call15.gif

  14. La stratégie de créance permet à vous pour configurer un mot de passe par défaut, aussi bien qu'à quelques politiques de mot de passe. Tous les utilisateurs qui sont synchronisés de l'AD puis alimentent outre de ce modèle pour leurs mots de passe.

    /image/gif/paws/109379/config_dir_int_call16.gif

  15. Le même s'applique pour le PIN dans Cisco Unified Communications Manager 6.0 et plus tard.

    config_dir_int_call17.gif

    En d'autres termes, quand Cisco Unified Communications Manager est intégré avec l'AD (intégration de répertoire) mais l'authentification de répertoire n'a pas été activée (plus au sujet du mécanisme d'authentification plus tard), tous les utilisateurs finaux qui ont été synchronisés sont authentifiés localement, c.-à-d., contre la base de données Informix dans Cisco Unified Communications Manager.

    Puisque vous pouvez authentifier localement, vous pouvez changer le mot de passe de l'utilisateur de Cisco Unified Communications Manager lui-même.

    Remarque: Ce n'est pas le cas si vous utilisez l'authentification de répertoire, aussi bien.

    config_dir_int_call18.gif

Authentification de répertoire

L'authentification de répertoire est installée sur la synchronisation de répertoire, ainsi pour avoir l'authentification de répertoire, l'intégration de répertoire est une condition préalable. L'idée de base est identique, mais la seule différence est que des utilisateurs sont authentifiés contre le répertoire externe et plus contre la base de données Informix de Cisco Unified Communications Manager. En d'autres termes, toutes les tentatives d'authentification d'utilisateur final (par exemple, pour accéder à des pages de ccmuser, etc.) sont réorientées à l'AD.

Remarque: L'authentification n'applique pas aux utilisateurs ou aux broches d'application. Par exemple, des demandes d'authentification PIN de mobilité d'extension sont authentifiées localement (contre la base de données de Cisco Unified Communications Manager) et pas par l'AD.

/image/gif/paws/109379/config_dir_int_call19.gif

  1. Afin de configurer l'authentification de répertoire, ouvrez la page de ccmadmin (http://X.X.X.X/ccmadmin) et naviguent vers le système > le LDAP > l'authentification de LDAP.

  2. Complétez les champs suivant les indications du graphique :

    • Nom unique de gestionnaire de LDAP : C'est le compte configuré dans l'AD dans l'étape 1. soit sûr d'utiliser un de ces derniers :

      • Nom canonique complet, par exemple, cn=Administrator, dc=eire, dc=com

      • Nom principal d'utilisateur (UPN), par exemple, administrator@eire.com

    • Mot de passe de LDAP : C'est le mot de passe pour le compte configuré dans l'AD dans l'étape 1.

    • Base de recherche d'utilisateur de LDAP.

    config_dir_int_call20.gif

    Remarque: Quand l'authentification est activée, il n'y a plus un champ de mot de passe sur la configuration des utilisateurs individuels dans Cisco Unified Communications Manager parce que des mots de passe utilisateur sont gérés de l'AD et plus de Cisco Unified Communications Manager.

    /image/gif/paws/109379/config_dir_int_call21.gif

Dépannage de l'intégration de répertoire (sync)

Scénario : Vous avez ajouté le type de Joe d'utilisateur dans l'AD et avez manuellement exécuté un sync de Cisco Unified Communications Manager.

  1. Placez les suivis de DirSync à détaillé. Naviguez vers la page d'utilité de Cisco Unified Communications Manager et choisissez le suivi > la configuration > les services d'annuaire > le DirSync.

    config_dir_int_call22.gif

    config_dir_int_call23.gif

    config_dir_int_call24.gif

    config_dir_int_call25.gif

  2. Dans un suivi de DirSync, DirSync est appelé de Cisco Unified Communications Manager :

    2008-12-15 14:42:13,743 DEBUG [DSLDAPMain] dirsync.DSLDAPMain 
       (DSLDAPMain.java:340) - DSLDAPMain[handleIncomingReq] Now start 
       LDAPSyncImpl for agreement=f74f2069-1160-9d4a-7e8a-db6c476dd9d5
    
    2008-12-15 14:42:13,779 INFO  [DSLDAPMain] ldapplugable.DSLDAPSyncImpl 
       (DSLDAPSyncImpl.java:143) - LDAPSync
       (f74f2069-1160-9d4a-7e8a-db6c476dd9d5)
       [DSLDAPSyncImpl] Search base=cn=Users, dc=eire, dc=com
    
  3. Le compte qui est configuré dans Cisco Unified Communications Manager pour chercher les utilisateurs est le compte administrateur :

    2008-12-15 14:42:13,787 INFO  [DSLDAPMain] ldapplugable.DSLDAPSyncImpl 
       (DSLDAPSyncImpl.java:147) - LDAPSync
       (f74f2069-1160-9d4a-7e8a-db6c476dd9d5)
       [DSLDAPSyncImpl] Manager DN=administrator@eire.com
    Password=aa822fb730462e5bee761623f5384aef87bed6fd62280f8ec6ef01a7a4c537
    
    2008-12-15 14:42:13,813 DEBUG [DSLDAPMain] ldapplugable.DSLDAPSyncImpl 
       (DSLDAPSyncImpl.java:224) - LDAPSync
       (f74f2069-1160-9d4a-7e8a-db6c476dd9d5)
       [DSLDAPSyncImpl] Attributes to return - objectguid:samaccountname:
       givenname:middlename:sn:manager:department:telephonenumber:mail:title:
       homephone:mobile:pager:msrtcsip-primaryuseraddress:
    
    LDAPSync(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)[makeConnection] 
       Successful LDAP connection to : ldap://10.48.79.37:389
    
  4. Sortez à l'AD et recherchez tous les utilisateurs basés sur SamAccountName et objectguid dans la base spécifiée de recherche d'utilisateur. Trouvez le nouveau type de Joe d'utilisateur :

    LDAPSync(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)
       [sendUserData] Directory entry is CN=Joe Bloke: null:null:
       {mail=mail: jbloke@eire.com, objectguid=objectGUID: 
       [B@1ce3fc5, givenname=givenName: Joe, 
       samaccountname=sAMAccountName: jbloke, sn=sn: Bloke}
    2008-12-15 14:42:15,351 DEBUG [DSLDAPSyncImpl
       (f74f2069-1160-9d4a-7e8a-db6c476dd9d5)] 
       ldapplugable.DSLDAPSyncImpl (DSLDAPSyncImpl.java:926) - 
       LDAPSync(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)[sendUserData] 
       Getting ObjectGUID
    
  5. Souvenez-vous pour chercher certains attributs d'AD (par exemple, samaccountname, objectguid, givenname, service, telephonenumber, etc.). Donnez-leur une valeur correspondante dans le DB d'Informix. Par exemple, carte « objectguid » dans l'AD à « UniqueIdentifier » dans Informix sur Cisco Unified Communications Manager. C'est un petit exemple du mappage de l'AD à Informix. Cette liste est seulement un petit sous-ensemble. Il y a plusieurs plus qui ne sont pas inclus dans ce document.

    /image/gif/paws/109379/config_dir_int_call26.gif

  6. Dans ce cas, tracez l'ObjectGuid qui a été trouvé pour le jbloke d'utilisateur et donnez une valeur correspondante à la valeur d'UniqueIdentifier dans Cisco Unified Communications Manager :

    LDAPSync(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)[sendUserData] 
       ObjectGUID value=cc15b7817840b947990b83551140cf86
    db6c476dd9d5)] ldapplugable.DSLDAPSyncImpl (DSLDAPSyncImpl.java:1560) 
       - LDAPSync(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)[formUserObject] 
       Name=uniqueidentifier Value=cc15b7817840b947990b83551140cf86
    
  7. Prochain signez Informix si un utilisateur avec cet attribut particulier d'UniqueIdentifier existe déjà :

    2008-12-15 14:42:15,692 DEBUG [DirSync-DBInterface] 
       DSDBInterface.updateUserInfo Check update using uniq id. 
       SQL-SELECT * FROM  EndUser WHERE uniqueidentifier
       ='cc15b7817840b947990b83551140cf86'
    
  8. Ajoutez alors l'utilisateur dans la table d'utilisateur dans Informix dans Cisco Unified Communications Manager :

    2008-12-15 14:42:15,724 DEBUG [DirSync-DBInterface] common.
       DSDBInterface (DSDBInterface.java:377) - DSDBInterface.insert 
       SQL-INSERT INTO EndUser(userid,firstname,mailid,uniqueidentifier,
       lastname,fkdirectorypluginconfig,status) values 
       ('jbloke','Joe','jbloke@eire.com','cc15b7817840b947990b83551140cf86',
       'Bloke','f74f2069-1160-9d4a-7e8a-db6c476dd9d5','1')
    

Dépannage de l'intégration de répertoire (authentification)

Scénario : Vous vous êtes connecté dans les pages de CCMUser avec l'authentification de « Kurt » d'user-id réorientée à l'AD.

  1. Prenez un tracé de renifleur sur Cisco Unified Communications Manager.

  2. Vous voyez une demande de recherche.

    config_dir_int_call27.gif

    Vous voyez également un SearchResponse d'AD à Cisco Unified Communications Manager pour l'utilisateur en question.

    config_dir_int_call28.gif

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Message d'erreur : Erreur tout en se connectant au LDAP

Ce message d'erreur apparaît en essayant d'exécuter l'intégration de LDAP avec Cisco Unified Communications Manager :

Error while Connecting to ldap://10.1.1.2:636, 
javax.net.ssl.SSLException: java.lang.RuntimeException: 
Unexpected error: java.security.InvalidAlgorithmParameterException: 
the trustAnchors parameter must be non-empty

Afin de résoudre le problème, assurez-vous que le Security Certificate approprié est téléchargé sous la Gestion de gestion/Sécurité/certificat de SYSTÈME D'EXPLOITATION CUCM. En outre, redémarrez les services du DirSyn et de Tomcat des services windows.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 109379