Voix et communications unifiées : Cisco Unified Communications Manager Version 8.0

Comment configurer l'intégration de répertoire d'Unified Communications Manager dans un environnement de Multi-forêt

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document discute comment configurer l'intégration de répertoire du gestionnaire de Cisco Unified Communications (CUCM) dans un environnement de Multi-forêt.

Contribué par des ingénieurs de Cisco.

Conditions préalables

Conditions requises

Cisco recommande que vous ayez :

  1. La connaissance du déploiement et de la configuration de l'intégration de répertoire CUCM.
  2. La connaissance du déploiement et de la configuration du gestionnaire d'application de Microsoft Active Directory (ADAM) 2003 ou services de lightweight directory de Microsoft (AD LDS) 2008 ou 2012.
  3. Version CUCM 9.1(2) ou plus tard.
  4. Quand vous utilisez la version CUCM 9.1(2) ou plus tard, le filtre de LDAP peut être changé avec l'interface web administrative. 
  5. Le nombre de comptes utilisateurs à synchroniser ne doit pas dépasser 60,000 comptes par CUCM Publisher. Quand plus de 60,000 comptes doivent être synchronisés, le kit de développement logiciel de services de téléphone IP (SDK) doit être utilisé afin de fournir un répertoire fait sur commande. Voyez le réseau de développeur de Cisco pour des détails supplémentaires. Quand vous utilisez la version d'Unified CM 10.0(1) ou plus tard, le nombre maximal de comptes utilisateurs pris en charge est 160,000.
  6. Microsoft ADAM 2003 ou services de lightweight directory 2008 ou 2012.

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Préface

Le service de lightweight directory de Microsoft Active Directory (AD LDS), autrefois connu sous le nom de mode d'application de Répertoire actif (ADAM), peut être utilisé pour fournir des services d'annuaire pour des applications répertoire-activées. Au lieu d'employer la base de données de service de domaine du Répertoire actif de votre organisation (AD DS) pour enregistrer les données des applications répertoire-activées, l'AD LDS peut être utilisé pour enregistrer les données. L'AD LDS peut être utilisé en même temps que l'AD DS de sorte que vous puissiez avoir un site central pour des comptes de Sécurité (AD DS) et un emplacement différent afin de prendre en charge la configuration d'application et les données de répertoire (AD LDS). Avec l'AD LDS, vous pouvez réduire le temps système associé avec la réplication d'AD, vous ne devez pas étendre le schéma d'AD afin de prendre en charge l'application, et vous pouvez partitionner la structure de répertoire de sorte que le service de l'AD LDS soit seulement déployé vers les serveurs qui doivent prendre en charge l'application répertoire-activée.

  • Installez de la génération de medias - La capacité de créer des medias d'installation pour l'AD LDS avec Ntdsutil.exe ou Dsdbutil.exe.
  • Valeurs changées par audit au sein du service d'annuaire.
  • Outil de support de base de données - Te donne la capacité de visualiser des données dans des instantanés des fichiers de base de données.
  • Sites d'AD et support de services - Te donne la capacité d'utiliser des sites d'AD et les services afin de gérer la réplication des données de l'AD LDS changent.
  • Liste dynamique de fichiers LDIF - Avec cette configuration, vous pouvez associer les fichiers faits sur commande LDIF avec les fichiers du par défaut LDIF de courant utilisés pour l'installation de l'AD LDS sur un serveur.
  • Requêtes récursives de Joindre-attribut - Les requêtes de LDAP peuvent suivre les liens imbriqués d'attribut afin de déterminer les propriétés supplémentaires d'attribut, telles que des adhésions à des associations.

Il y a beaucoup de différences entre ADAM et l'AD, ADAM peut seulement fournir une partie des fonctions fournie par AD.

Aperçu

L'objectif de ce document est d'expliquer les mécanismes qui permettent CUCM, ou tous les autres Produits Cisco qui utilisent le service d'intégration de répertoire de Cisco Unified CM (DirSync), pour obtenir les informations utilisateur et pour exécuter l'authentification des différents domaines d'AD qui peuvent exister dans différentes forêts. Afin d'atteindre cet objectif, ADAM est utilisé afin de synchroniser sa base de données utilisateur avec différents contrôleurs de domaine d'AD ou d'autres sources de LDAP.

ADAM peut créer une base de données des utilisateurs et enregistrer leurs détails. Simple connectez-vous la fonctionnalité (SSO) est désiré afin d'éviter des utilisateurs finaux devant mettre à jour différents ensembles de qualifications dans des autres systèmes ; donc, la redirection de grippage d'ADAM est utilisée. La redirection de grippage d'ADAM est une fonction spéciale pour les applications qui prennent en charge le grippage de LDAP comme mécanisme d'authentification. Dans certains cas, le schéma spécial, ou nommer le contexte, pourrait vous forcer pour éviter l'AD, qui fait à ADAM un choix nécessaire. Ceci évite des utilisateurs devant se souvenir de plusieurs mots de passe dus à l'emploi d'un répertoire supplémentaire avec son propres user-id et mot de passe.

Un objet spécial de proxy d'utilisateur dans ADAM trace à l'AD un compte utilisateur régulier. Le proxy d'utilisateur n'a pas un mot de passe réel enregistré dans l'objet d'ADAM lui-même. Quand l'application exécute son exécution normale de grippage, elle vérifie l'ID localement, mais vérifie le mot de passe contre l'AD sous les couvertures suivant les indications de cette figure. L'application n'a pas besoin de se rendre compte de cette interaction d'AD.

La redirection de grippage d'ADAM devrait être utilisée seulement dans des cas particuliers où une application peut exécuter un grippage simple de LDAP à ADAM. Cependant, l'application doit toujours associer l'utilisateur avec un principal de Sécurité dans l'AD.

La redirection de grippage d'ADAM se produit quand un grippage à ADAM est tenté avec l'utilisation d'un objet spécial appelé un objet de proxy. Un objet de proxy est un objet dans ADAM qui représente un principal de Sécurité dans l'AD.  Chaque objet de proxy dans ADAM contient le SID d'un utilisateur dans l'AD. Quand les tentatives d'un utilisateur de lier à un proxy objectent, ADAM prend le SID qui est enregistré dans l'objet de proxy, ainsi que le mot de passe qui est fourni au temps de grippage, et présente le SID et le mot de passe à l'AD pour l'authentification. Un objet de proxy dans ADAM n'enregistre pas un mot de passe, et les utilisateurs ne peuvent pas changer leurs mots de passe d'AD par des objets de proxy d'ADAM.

Le mot de passe est présenté en texte brut à ADAM parce que la demande initiale de grippage est une demande simple de grippage de LDAP. Pour cette raison, une connexion SSL est exigée par défaut entre le client de répertoire et ADAM. ADAM emploie la protection windows API afin de présenter le mot de passe à l'AD.

Vous pouvez obtenir plus d'informations sur la redirection de grippage en comprenant la redirection de grippage d'ADAM.

Remarque: La condition requise pour le SSL quand vous utilisez la redirection de grippage ne devrait pas être désactivée.

Plusieurs scénario de support de forêt de Répertoire actif dans CUCM

Afin d'expliquer la méthode, imaginez un scénario où Cisco Systems (la forêt 2) a saisi deux autres sociétés : Tandberg (forêt 3) et WebEx (forêt 1). Pendant la phase de transfert, intégrez la structure de Répertoire actif (AD) de chaque société afin de permettre le déploiement d'une batterie simple de Cisco Unified Communications.

Dans l'exemple, société Cisco (la forêt 2) a deux domaines de domaines, de racine de forêt appelés CISCO (dn cisco.com) et un sous-domaine appelé l'urgence (dn emerg.cisco.com). Chacun des deux domaines ont un contrôleur de domaine qui est également un catalogue global, et chacun est hébergé dans le serveur SP2 de Windows 2008.

Société Tandberg (la forêt 3) a un domaine simple avec un contrôleur de domaine qui est également un catalogue global, et il est hébergé dans le serveur SP2 de Windows 2008.

WebEx de société (la forêt 1) a un domaine simple avec un contrôleur de domaine qui est également un catalogue global, et il est hébergé dans le serveur R2 SP2 de Windows 2003.

L'AD LDS est installé dans le contrôleur de domaine pour le domaine CISCO, ou peut être un ordinateur distinct ; en fait il pourrait être n'importe où dans une des trois forêts. L'infrastructure de DN doit être en place tels que les domaines dans une forêt peuvent communiquer avec des domaines dans d'autres forêts et établir les relations et les validations appropriées de confiance entre les forêts.

Relations de confiance de domaine

Pour l'authentification des utilisateurs à fonctionner, vous devez avoir une confiance entre le domaine où l'exemple d'ADAM est hébergé, et l'autre domaine qui héberge les comptes utilisateurs. Cette confiance peut être une confiance à sens unique s'il y a lieu (confiance sortante du domaine qui héberge l'exemple d'ADAM au domaine qui héberge les comptes utilisateurs). De cette façon, l'exemple d'ADAM pourra expédier les demandes d'authentification à DCS dans ces domaines de compte.

En outre, vous devrez avoir un compte utilisateur de chacun des deux des domaines de compte qui a accès à tous les attributs de tous les comptes utilisateurs dans le domaine. Ce compte est utilisé par ADAMSync afin de synchroniser les utilisateurs de domaine de compte à ADAM.

Enfin et surtout, l'ordinateur qui exécute ADAM doit pouvoir trouver tous les domaines (DN), trouver des contrôleurs de domaine dans les deux domaines (avec des DN), et se connecter à ces contrôleurs de domaine.

Terminez-vous ces étapes afin d'installer les relations d'intertrust :

  1. Les domaines et les confiances ouverts de Répertoire actif, cliquent avec le bouton droit le domaine qui héberge l'AD LDS, et choisissent Properties.

    Remarque: Le niveau fonctionnel de domaine et le niveau fonctionnel de forêt devraient être 2003 ou plus tard.

  2. Cliquez sur l'onglet de confiances, et cliquez sur New la confiance.

  3. Suivez l'assistant et écrivez le nom du domaine que vous voulez établir la confiance avec. Cliquez sur Next (Suivant).

  4. Cliquez sur la case d'option de confiance de forêt. Cliquez sur Next (Suivant).

  5. Sur la direction one-way de confiance seulement « : sortant » est exigé. Cliquez sur l'One-way : case d'option sortante. Cliquez sur Next (Suivant).

  6. Permettez à l'assistant pour configurer les deux domaines. Cliquez sur le ce domaine et la case d'option spécifiée de domaine. Cliquez sur Next (Suivant).

  7. Entrez dans les qualifications pour l'autre domaine. Cliquez sur Next (Suivant).

  8. Cliquez sur la case d'option de la taille de la forêt d'authentification. Cliquez sur Next (Suivant).

  9. Cliquez sur l'oui, confirmez la case d'option sortante de confiance. Cliquez sur Next (Suivant).

C'est le résultat que vous recevez après que vous exécutiez ce processus pour les domaines de Tandberg et de WebEx. L'urgence de domaine est là par défaut puisque c'est un domaine d'enfant.

Installez l'AD LDS

Installez l'AD LDS en 2008

  1. Le gestionnaire du serveur ouvert, les rôles de clic, et cliquent sur Add des rôles.

  2. Cochez la case de services de lightweight directory de Répertoire actif. Cliquez sur Next (Suivant).

  3. La fenêtre de progression d'installation de services de l'AD LDS apparaît.

Installez l'AD LDS en 2012

Terminez-vous ces étapes afin d'installer l'AD LDS en 2012 :

  1. Ouvrez le gestionnaire du serveur et choisissez ajoutent des rôles et des caractéristiques. Cliquez sur Next et cliquez sur le type d'installation afin de se déplacer à la page de type d'installation.

  2. Choisissez les options par défaut et cliquez sur Next.

  3. Cliquez sur le choisi un serveur de la case d'option de groupe de serveur afin de sélectionner le serveur par défaut. Cliquez sur Next (Suivant).

  4. Cochez la case de services de lightweight directory de Répertoire actif et cliquez sur Add les caractéristiques. Continuez l'installation.

  5. Cliquez sur Next dans les pages ultérieures.
  6. Cliquez sur la reprise la case à cocher de serveur cible automatiquement s'il y a lieu et le clic installent afin d'installer la caractéristique.

  7. Après que l'installation soit terminée avec succès, clic étroit afin de fermer l'assistant.

Installez l'exemple pour le plusieurs support de forêt

L'AD LDS peut exécuter différents exemples des services avec différents ports qui tient compte du répertoire d'utilisateur différent « applications » à exécuter sur le même ordinateur. Par AD par défaut LDS choisit les ports 389/LDAP et 636/LDAPS, mais si le système a déjà n'importe quel type services de LDAP qui les exécutent il utilisera les ports 50000/LDAP et 50001/LDAPS. Chaque exemple aura une paire de ports qui incrémentent basé sur les nombres précédents utilisés.

Dans certains cas, en raison d'une bogue de Microsoft, les ports sont déjà utilisés par le serveur DNS de Microsoft et l'assistant d'exemple donne une erreur (qui n'est pas explicite). Cette erreur peut être réparée quand vous réservez les ports dans la pile TCP/IP. Si vous trouvez ce problème, voyez que début de service de l'AD LDS échoue avec l'erreur « installation ne pourrait pas commencer le service… » + code d'erreur 8007041d.

Plusieurs support de forêt en 2008

  1. Dans le gestionnaire du serveur, choisissez les rôles et puis les services de lightweight directory de Répertoire actif.  Le clic a cliquez ici pour créer un exemple de l'AD LDS.

  2. Cliquez sur la seule case d'option d'exemple A. Cliquez sur Next (Suivant).

  3. Dans la zone d'identification d'exemple, écrivez le nom de l'exemple. C'est MultiForest dans cet exemple. Cliquez sur Next (Suivant).

  4. Introduisez le numéro de port sélectionné de LDAP et le numéro de port SSL ou permettez au système pour les choisir pour vous. Cliquez sur Next (Suivant).

  5. Cliquez sur l'oui, créez une case d'option de partition de répertoire d'application. Écrivez le nom de partition dans la zone d'identification de partition. Par exemple, ne fournissez pas une NC comme dans l'exemple de l'assistant, parce que le plus souvent cela crée une erreur dans les schémas. Dans ce scénario, les mêmes partitionnent en tant que contrôleur de domaine d'AD qui héberge l'AD LDS (dc=Cisco, dc=com) a été entré. Cliquez sur Next (Suivant).

  6. Cliquez sur la cette case d'option de compte. Entrez un nom d'utilisateur et un mot de passe afin de mettre en marche le serveur. Cliquez sur Next (Suivant).

  7. Cliquez sur la case d'option actuellement ouverte une session d'utilisateur. Écrivez le nom d'utilisateur avec des autorisations administratives. Cliquez sur Next (Suivant).

  8. Importez les fichiers par défaut mis en valeur LDIF afin de construire le schéma. Cliquez sur Next (Suivant).

Remarque: Si ADAM est installé sur Windows 2003 divisez, alors l'écran précédent aura seulement quatre options :  MS-AZMan.LDF, MS-InetOrgPerson.LDF, MS-User.LDF, et MS-UserProxy.LDF. De ces quatre, vérifiez seulement les cases pour MS-User.LDF et MS-InetOrgPerson.LDF.

Plusieurs support de forêt en 2012

  1. Ouvrez les outils d'administration et double-cliquer l'assistant de configuration de services de lightweight directory de Répertoire actif.

  2. Cliquez sur Next (Suivant).

  3. Vérifiez la seule case d'option d'exemple A. Cliquez sur Next (Suivant).

  4. Écrivez un nom et une description d'exemple pour l'exemple. Le nom « MultiForest » est écrit ici. Cliquez sur Next (Suivant).

  5. Introduisez les numéros de port de LDAP et SSL. Les ports préférés sont 389 et 636 respectivement. Si le serveur de domaine est un serveur d'enfant et si le domaine de parent utilise ces ports, alors par différents numéros de port par défaut sera rempli. Dans ce cas, ne les changez pas et continuez l'installation. Cliquez sur Next (Suivant).

  6. Ici, par défaut, d'autres numéros de port ont été remplis. Cliquez sur Next (Suivant).

  7. Cliquez sur l'oui, créez une case d'option de partition de répertoire d'application. Écrivez le nom de partition. Créez la partition pour LDS comme cisco.com. N'importe quelle valeur appropriée peut être fournie. Cliquez sur Next (Suivant).

  8. Choisissez les options par défaut en pages ultérieures et continuez.

  9. Vérifiez les cases MS-InetOrgPerson.LDF, MS-User.LDF, MS-UserProxy.LDF, et MS-UserProxyFull.LDF. Cliquez sur Next (Suivant).

  10. Cliquez sur Next afin de mettre sur pied l'installation.

  11. L'installation est terminée avec succès. Cliquez sur Finish (Terminer).

Créez une partition de répertoire pour chaque domaine pour synchroniser

S'il y a des plusieurs utilisateurs avec le même user-id (sAMAccountName) dans les différents domaines des différentes forêts, vous devez créer une partition de répertoire d'application dans l'AD LDS pour chaque domaine que vous voulez synchroniser.

Référez-vous au document de Microsoft sur la façon dont créer une partition de répertoire d'application, étape 5 : Pratique fonctionnant avec des partitions de répertoire d'application.

Dans cet exemple, il y a un domaine cisco.com de dessus, et il y aura quatre partitions de répertoire (domain1, domain2, domain3, domain4) créées sous lui, un pour chaque domaine que vous voulez pour synchroniser avec l'AD LDS.

Remarque: L'ObjectClass doit être domainDNS et pas conteneur comme référencé dans le document de Microsoft.

Ce processus pour créer une partition de répertoire pour chaque domaine que vous voulez pour synchroniser contre des travaux a basé sur la référence de LDAP (RFC 2251) et exige que le client de LDAP (CUCM, TASSE, et ainsi de suite) prend en charge des références. 

Copiez le schéma de chaque domaine sur ADAM. Ce processus doit être répété pour chaque domaine (dans cet exemple que vous devriez répéter ceci quatre fois, une par chaque contrôleur de domaine que vous avez) ce vous le besoin de synchroniser à.

Remarque: Cet exemple affiche seulement le processus contre un des domaines dans le scénario.

  1. Ouvrez l'analyseur de schéma de l'AD DS/LDS (ADSchemaAnalyzer.exe) dans le répertoire c:\windows\adam.
  2. Schéma choisissez de fichier > de chargement cible.

  3. Fournissez les qualifications du contrôleur de domaine d'AD de source du lequel vous voulez importer. Cliquez sur OK.

  4. Choisissez le schéma de base de fichier > de chargement.

  5. Spécifiez l'AD LDS auquel vous voulez se connecter et étendez le schéma. Cliquez sur OK.

  6. Choisissez le schéma > la marque tous les éléments non-actuels comme inclus.

  7. Choisissez le fichier > créent le fichier LDIF.  Dans cet exemple, le fichier créé par l'intermédiaire de cette étape est diff-schema.ldf. Afin de simplifier le processus le fichier devrait être créé dans c:\windows\adam.

    Une option disponible pour aider à organiser les fichiers qui doivent être générés est de créer un répertoire distinct afin de tenir compte pour que ces fichiers soient séparés à partir du répertoire principal de c:\windows\adam. Ouvrez une invite de commande et créez un répertoire de log dans c:\windows\adam.

    cd \windows\adam
    mkdir logs
  8. Importez le schéma de ldif, créé avec l'analyseur d'ADSchema, à l'AD LDS.
    ldifde -i -s localhost:50000 -c CN=Configuration,DC=X
    #ConfigurationNamingContext -f diff-schema.ldf -j c:\windows\adam\logs

    Référez-vous en employant LDIFDE pour importer et exporter des objets de répertoire au Répertoire actif pour des options de ldifde et des formats de commande supplémentaires.

Étendez le schéma de l'AD LDS avec les objets d'Utilisateur-proxy

L'objet pour l'authentification de proxy doit être créé et l'utilisateur des classes d'objet » ne sera pas utilisé. La classe d'objets qui est créée, userProxy, est ce qui permet la redirection de grippage. Le détail de classe d'objets doit être créé dans un fichier de ldif. Le fichier est une création d'un nouveau fichier, qui dans cet exemple est MS-UserProxy-Cisco.ldf.  Ce nouveau fichier est généré de l'original MS-UserProxy.ldf et édité, utilisez un texte éditent le programme, pour avoir ce contenu :

#==================================================================
# @@UI-Description: AD LDS simple userProxy class.
#
# This file contains user extensions for default ADAM schema.
# It should be imported with the following command:
# ldifde -i -f MS-UserProxy.ldf -s server:port -b username domain password -k -j . -c
"CN=Schema,CN=Configuration,DC=X" #schemaNamingContext
#
#==================================================================

dn: CN=User-Proxy,CN=Schema,CN=Configuration,DC=X
changetype: ntdsSchemaAdd
objectClass: top
objectClass: classSchema
cn: User-Proxy
subClassOf: top
governsID: 1.2.840.113556.1.5.246
schemaIDGUID:: bxjWYLbzmEiwrWU1r8B2IA==
rDNAttID: cn
showInAdvancedViewOnly: TRUE
adminDisplayName: User-Proxy
adminDescription: Sample class for bind proxy implementation.
objectClassCategory: 1
lDAPDisplayName: userProxy
systemOnly: FALSE
possSuperiors: domainDNS
possSuperiors: organizationalUnit
possSuperiors: container
possSuperiors: organization
defaultSecurityDescriptor:
D:(OA;;CR;ab721a53-1e2f-11d0-9819-00aa0040529b;;PS)S:
defaultHidingValue: TRUE
defaultObjectCategory: CN=User-Proxy,CN=Schema,CN=Configuration,DC=X
systemAuxiliaryClass: msDS-BindProxy
systemMayContain: userPrincipalName
systemMayContain: givenName
systemMayContain: middleName
systemMayContain: sn
systemMayContain: manager
systemMayContain: department
systemMayContain: telephoneNumber
systemMayContain: mail
systemMayContain: title
systemMayContain: homephone
systemMayContain: mobile
systemMayContain: pager
systemMayContain: msDS-UserAccountDisabled
systemMayContain: samAccountName
systemMayContain: employeeNumber

dn:
changetype: modify
add: schemaUpdateNow
schemaUpdateNow: 1
Save MS-UserProxy-Cisco.ldf file in C:\windows\adam

Importez la nouvelle classe d'objets à l'AD LDS.

ldifde -i -s localhost:50000 -c CN=Configuration,DC=X #ConfigurationNamingContext -f
MS-UserProxy-Cisco.ldf -j c:\windows\adam\logs

Importez les utilisateurs du C.C d'AD à l'AD LDS

L'utilisateur de chaque domaine doit maintenant être importé à l'AD LDS. Cette étape doit être répétée pour chaque domaine qui doit synchroniser. Cet exemple affiche seulement le processus contre un des domaines. Le début avec l'original MS-AdamSyncConf.xml et créent un fichier XML pour chaque domaine qui doit être synchronisé et modifient le fichier avec les détails spécifiques à chaque domaine pour avoir ce contenu :

<?xml version="1.0"?>
<doc>
 <configuration> 
  <description>Adam-Sync1</description> 
  <security-mode>object</security-mode>        
  <source-ad-name>ad2k8-1</source-ad-name> 
  <source-ad-partition>dc=cisco,dc=com</source-ad-partition>
  <source-ad-account></source-ad-account>              
  <account-domain></account-domain>
  <target-dn>dc=cisco,dc=com</target-dn> 
  <query>  
   <base-dn>dc=cisco,dc=com</base-dn>
    <object-filter>
(&#124;(&amp;(!cn=Administrator)(!cn=Guest) (!cn=ASPNET)
(!cn=krbtgt)(sAMAccountType=805306368))(&amp;(objectClass=user)(isDeleted=TRUE)))
    </object-filter>
   <attributes>
    <include>objectSID</include>
    <include>mail</include>
    <include>userPrincipalName</include>
    <include>middleName</include>
    <include>manager</include>
    <include>givenName</include>
    <include>sn</include>
    <include>department</include>
    <include>telephoneNumber</include>
    <include>title</include>
    <include>homephone</include>
    <include>mobile</include>
    <include>pager</include>
    <include>msDS-UserAccountDisabled</include>
    <include>samAccountName</include>
    <include>employeeNumber</include>
    <exclude></exclude>
   </attributes> 
  </query>
 <user-proxy>
    <source-object-class>user</source-object-class>
    <target-object-class>userProxy</target-object-class>
  </user-proxy> 
  <schedule>  
   <aging>   
    <frequency>0</frequency>   
    <num-objects>0</num-objects>  
   </aging>  
   <schtasks-cmd></schtasks-cmd> 
  </schedule>
 </configuration>
 <synchronizer-state> 
  <dirsync-cookie></dirsync-cookie> 
  <status></status> 
  <authoritative-adam-instance></authoritative-adam-instance>
  <configuration-file-guid></configuration-file-guid> 
  <last-sync-attempt-time></last-sync-attempt-time> 
  <last-sync-success-time></last-sync-success-time> 
  <last-sync-error-time></last-sync-error-time> 
  <last-sync-error-string></last-sync-error-string> 
  <consecutive-sync-failures></consecutive-sync-failures> 
  <user-credentials></user-credentials> 
  <runs-since-last-object-update></runs-since-last-object-update>
  <runs-since-last-full-sync></runs-since-last-full-sync>
 </synchronizer-state>
</doc>

Dans ce fichier, ces balises devraient être remplacées pour apparier le domaine :

  • <source-ad-name> - Utilisez le nom du domaine d'hôte.
  • <source-ad-partition> - Utilisez la partition racine du C.C d'AD de source du lequel vous voulez importer (par exemple dc=Cisco, dc=com, ou dc=Tandberg, dc=com).
  • <base-dn> - Choisissez le conteneur de dont pour importer. Par exemple, si tous les utilisateurs du domaine sont priés ceci devrait être identique que le <source-ad-partition>, mais si les utilisateurs sont à partir d'une unité organisationnelle spécifique (telle que l'OU de finances), il devrait être semblable à OU=Finance, DC=Cisco, DC=com.

Référez-vous à la référence du fichier de configuration XML d'Adamsync pour des informations sur le fichier de configuration d'Adamsync XML.

Référez-vous à la syntaxe de filtre de recherche pour plus d'informations sur la façon créer un <object-filter>.

Sauvegardez le fichier XML de création récente dans C:\windows\adam.

Ouvrez une fenêtre de commandes, cd \ fenêtres \ Adam.

Sélectionnez la commande, ADAMSync /install localhost:50000 c:\windows\ADAM\AdamSyncConf1.xml /log c:\windows\adam\logs\install.log.

Vérifiez que le fichier AdamSyncConf1.xml est le fichier XML de création récente.

Synchronisez les utilisateurs avec la commande ADAMSync /sync localhost:50000 « dc=cisco, dc=com » /log c:\windows\adam\logs\sync.log.

Le résultat devrait être semblable à :

Afin de se terminer un sync automatique d'AD à ADAM, utilisez le programmateur de tâche dans Windows.

Créez un fichier .bat avec ce contenu dans lui : 

« C:\Windows\ADAM\ADAMSync » /install localhost:50000 c:\windows\ADAM\AdamSyncConf1.xml /log c:\windows\adam\logs\install.log

« C:\Windows\ADAM\ADAMSync » /sync localhost:50000 « dc=cisco, dc=com » /log c:\windows\adam\logs\syn.log

Programmez la tâche d'exécuter le fichier .bat au fur et à mesure des besoins. Ceci prend soin des ajouts, les modifications, et les suppressions qui se produisent dans l'AD à refléter aussi bien dans ADAM.

Vous pouvez créer un autre fichier .bat et le programmer pour se terminer un sync automatique de l'autre forêt.

Créez l'utilisateur dans l'AD LDS pour la synchronisation et l'authentification CUCM

  1. ADSI ouverts éditent des outils d'administrateur dans le menu de démarrage.
  2. Choisissez le fichier > la connexion (ou l'action > connectez à).
  3. Connectez pour baser le dn de l'arborescence de l'AD LDS (DC=Cisco, DC=com) et pour spécifier l'hôte et pour mettre en communication où il est hébergé (localhost:50000). Cliquez sur OK.

  4. Cliquez avec le bouton droit le DN de base et choisissez nouveau > objet.

  5. Choisissez l'utilisateur. Cliquez sur Next (Suivant).

  6. Dans le domaine de valeur, écrivez le nom d'objet choisi. Dans cet exemple « racine » est le nom choisi (n'importe quel nom pourrait être choisi ici). Cliquez sur Next (Suivant).

  7. Afin de fournir un mot de passe au nouvel utilisateur, cliquez avec le bouton droit l'utilisateur et choisissez le mot de passe de remise.

  8. Le nouvel utilisateur est désactivé par défaut. Afin d'activer le nouvel utilisateur, cliquez avec le bouton droit l'utilisateur et choisissez Properties.

  9. Parcourez à l'attribut msDS-UserAccountDisabled et cliquez sur Edit.

  10. Cliquez sur la case d'option fausse afin d'activer le compte utilisateur. Cliquez sur OK.

  11. Cliquez sur la case d'option vraie afin de s'assurer que le mot de passe n'expirera jamais. Cliquez sur OK.

  12. Les nouveaux besoins de l'utilisateur d'être ajouté à un groupe qui a l'autorisation de lecture à l'AD LDS, qui dans des administrateurs de cet exemple a été choisie. Parcourez à CN=Roles > à CN=Administrators. Cliquez avec le bouton droit CN=Administrators et choisissez Properties.

  13. Choisissez le membre d'attribut et cliquez sur Edit.

  14. Écrivez le nouveau DN qui a été créé précédemment, cn=root, dc=Cisco, dc=com, à ce groupe. Cliquez sur OK.

  15. Choisissez le schéma de mise à jour maintenant et redémarrez l'AD LDS.

Configurez la redirection de grippage

Par défaut, lier à ADAM avec la redirection de grippage exige une connexion SSL. Le SSL exige l'installation et l'utilisation des Certificats sur l'ordinateur qui exécute ADAM et sur l'ordinateur qui connecte à ADAM en tant que client. Si des Certificats ne sont pas installés dans votre environnement de test d'ADAM, vous pouvez désactiver la condition requise pour le SSL comme alternative.

Remarque: Désactiver la condition requise pour le SSL pour la redirection de grippage fait passer le mot de passe d'un principal de protection windows à l'ordinateur qui exécute ADAM sans cryptage. Ainsi, vous devriez seulement désactiver la condition requise SSL dans un environnement de test.

Par défaut, le SSL est activé. Afin de faire le travail de protocole de LDAP dans ADAM/LDS que vous devrez générer un certificat.

Dans cet exemple, le serveur d'autorité de certification de Microsoft est utilisé afin de délivrer le certificat. Afin de demander un certificat, allez à la page Web de Microsoft CA - http:// <MSFT CA hostname>/certsrv et terminez-vous ces étapes :

  1. Demande de clic un certificat.
  2. Demande de certificat avancée par clic.
  3. Cliquez sur créent et soumettent une demande à ce CA.
  4. Dans la zone de texte de nom, écrivez le plein nom DNS du serveur ADAM/AD LDS.
  5. Assurez que le type de certificat est certificat d'authentification de serveur.
  6. Pour le format, choisissez PCKS10.
  7. Choisissez les clés de marque comme exportables.
  8. Sur option, complétez les autres informations.
  9. Dans la zone de texte amicale de nom, écrivez le plein nom de dn du serveur ADAM/AD LDS.
  10. Cliquez sur Submit.

Retournez à l'interface d'autorité de certification et cliquez sur le répertoire en attente de Certificats. Cliquez avec le bouton droit le certificat requête effectuée par l'ordinateur ADAM/AD-LDS et délivrez le certificat.

Le certificat a été maintenant créé et réside dans le répertoire « de Certificats délivrés ». Ensuite, vous devez télécharger et installer le certificat :

  1. Ouvrez http:// <MSFT CA hostname>/certsrv.
  2. Cliquez sur la vue le statut d'une demande en attente de certificat.
  3. Cliquez sur la demande de certificat.

Cliquez sur le certificat afin de l'installer.

Afin de permettre ADAM entretenez l'utilisation le certificat, vous doivent mettre le certificat dans la mémoire personnelle du service d'ADAM :

  1. Dès le début le menu, choisissent le passage. Type MMC. Ceci ouvre la console de gestion.
  2. Fichier \ ajout/suppression de clic SNAP-dans.
  3. Cliquez sur Add et choisissez les Certificats.
  4. A choisi le compte des services.
  5. Choisissez l'ordinateur local.
  6. Choisissez votre service d'exemple d'ADAM.
  7. Ajoutez un nouveau certificat SNAP-dans, mais cette fois choisissent mon compte utilisateur au lieu du compte des services.
  8. Clic étroit et ok de clic.
  9. Dans les Certificats - L'utilisateur-arborescence en cours, ouvrent le répertoire personnel.
  10. Sélectionnez le certificat et copiez-le dans le même emplacement sous des « Certificats - nom d'exemple d'Adam ».

Grant a lu l'autorisation sur le certificat d'authentification de serveur au compte de service réseau.

  1. Naviguez vers ce répertoire par défaut où les Certificats installés ou importés sont enregistrés - C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys.
  2. Cliquez avec le bouton droit le certificat approprié d'authentification de serveur. Cliquez sur Properties.
  3. Cliquez sur la Sécurité tableau cliquent sur Edit.
  4. Dans la boîte de dialogue d'autorisations, cliquez sur Add.
  5. Dans les utilisateurs choisis, la boîte de dialogue d'ordinateurs, ou de groupes, entrent dans le service réseau. Cliquez sur OK.
  6. Redémarrez votre exemple d'ADAM.

Plus d'informations peuvent être trouvées dans l'annexe A : Configurer le LDAP au-dessus des conditions requises SSL pour l'AD LDS.

Ensuite, téléchargez le certificat du CA qui a fourni le certificat à l'ordinateur ADAM/AD LDS comme une confiance de répertoire CUCM.

Référez-vous au guide d'administration système d'exécutions de Cisco Unified Communications pour des détails supplémentaires.

Choisissez la case à cocher afin d'utiliser le SSL en page de répertoire LDAP et page d'authentification LDAP.

Écrivez 50001 (dans cet exemple) pour le port de LDAP, qui est le numéro de port SSL donné quand vous avez installé l'exemple ADAM/AD LDS.

Afin de désactiver la condition requise SSL pour la redirection de grippage, terminez-vous ces étapes :

  1. Cliquez sur le début, indiquez des outils d'administration, et le clic ADSI éditent.
  2. Sur le menu Action, choisissez se connectent à.
  3. Dans l'informatique, écrivez localhost:50000 (c'est hôte et port de theADAM.).

  4. Dans la section de point de connexion, cliquez sur le choisi une case d'option nommante réputée de contexte. De la liste déroulante, choisissez la configuration. Cliquez sur OK.
  5. Dans l'arborescence de la console, parcourez à cet objet de conteneur dans la partition de configuration : Service de CN=Directory, CN= Windows NT, CN=Services.
  6. Cliquez avec le bouton droit le service de CN=Directory et choisissez Properties.

  7. Dans les attributs, msDS-Autre-configurations de clic. Cliquez sur Edit.
  8. En valeurs, le clic RequireSecureProxyBind=1 et cliquent sur alors retirent.
  9. En valeur à ajouter, écrivez RequireSecureProxyBind=0, cliquez sur Add, et puis cliquez sur OK.
  10. Redémarrez l'AD LDS pour les modifications pour le prendre effet.

Le pour en savoir plus, se rapportent à gérer l'authentification dans ADAM.

Configurez CUCM

La synchronisation et l'authentification ADAM/AD LDS est prise en charge dans la version 9.1(2) et ultérieures CUCM.

  1. Choisissez le système > le système de LDAP > de LDAP.
  2. Microsoft choisi ADAM ou services de lightweight directory.
  3. Vous pouvez choisir l'un de ces attributs d'ID utilisateur de LDAP : messagerie, nombre des employés, ou numéro de téléphone.

    l'uid est seulement utilisé avec ADAM/AD autonome LDS et pas avec le support de multi-forêt d'AD.

    Actuellement, pour le mode de services de lightweight directory de type de serveur LDAP « Microsoft ADAM ou », samAccountName n'est pas inclus dans l'attribut de LDAP pour le déroulant d'ID utilisateur. La raison est que ce n'est pas un attribut pris en charge avec ADAM/AD autonome LDS.

  4. Configurez la synchronisation de LDAP avec les qualifications du créé par l'utilisateur dans l'AD LDS.

  5. Configurez l'authentification LDAP avec les qualifications du créé par l'utilisateur dans l'AD LDS.

Filtres de LDAP dans CUCM

L'utilisateur de classe d'objets n'est plus utilisé. Par conséquent, le filtre de LDAP doit être changé pour utiliser l'userProxy au lieu de l'utilisateur.

Le filtre par défaut est :
(et (objectclass=user) (! (objectclass=Computer))(! (msDS-UserAccountDisabled=TRUE)))

Afin de modifier ce filtre, ouvrez une session à CCMAdmin avec un navigateur Web et choisissez l'option de filtre personnalisé de LDAP du menu de configuration de LDAP.

Ce filtre est utilisé dans l'accord de synchronisation de LDAP de lors de la configuration de page de répertoire LDAP suivant les indications de la section « configurent CUCM ».

Si vous utilisez une version de CUCM qui est plus tôt que 9.x, vous êtes requis d'employer la boîte à outils de SAVON AXL afin de changer le filtre par défaut de LDAP.

Contactez votre équipe de compte Cisco locale afin d'obtenir le whitepaper qui explique comment réaliser ceci avec AXL. C'est intitulé « utilisateur filtrant pour la synchronisation et l'authentification de répertoire ».

Votre script AXL devrait ressembler à ceci :

<?xml version="1.0" encoding="UTF-8"?>
<!--DTD generated by XMLSPY v5 rel. 4 U (http://www.xmlspy.com)-->
<!DOCTYPE data [
      <!ELEMENT data (sql+)>
      <!ELEMENT sql EMPTY>
      <!ATTLIST sql
      query CDATA #IMPLIED
             update CDATA #IMPLIED
>
]>
<data>
      <sql update="update ldapfilter set filter ='(&amp;(objectclass=userProxy)
(!(objectclass=Computer))(!(msDS-UserAccountDisabled=TRUE)))' where tkldapserver=4"/>
      <sql query="select * from ldapfilter where tkldapserver=4"/>
</data>

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 111979