语音和统一通信 : Cisco Unified Communications Manager (CallManager)

配置Cisco Unified Communications Manager目录集成

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

本文提供信息关于怎样设置,配置和排除故障与激活目录集中的Cisco Unified Communications Manager (以前叫作CallManager)版本5.0和以上。

先决条件

要求

尝试进行此配置之前,请确保满足以下要求:

  • Microsoft Windows/激活目录(AD)基础知识

使用的组件

本文档中的信息根据Cisco Unified Communications Manager 6.1(2)

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

背景信息

目录集成

默认情况下,在一非完整的Cisco Unified Communications Manager (CUCM),有用户的两种类型:最终用户和应用程序用户。

  • 最终用户—所有用户关联与一个物理人和交互式登录。此类别包括所有IP电话用户,以及Unified CM管理员,当您使用用户组和角色配置时(对思科多重管理功能的等同在前期Unified CM版本)。

  • 应用程序用户—所有用户关联与其他思科IP通信功能或应用程序,例如Cisco Attendant Console、Cisco IP Contact Center Express或者Cisco Unified Communications Manager助理。这些应用程序需要验证与Unified CM,但是这些内部用户没有一次交互式登录。这为应用程序,例如, CCMAdministrator、AC、JTAPI、RM、CCMQRTSecureSysUser、CCMQRTSysUser、CCMSysUser, IPMASecureSysUser、IPMASysUser, WDSecureSysUser和WDSysUser之间的内部通信纯粹地服务。

当您集成有活动目录的时Cisco Unified Communications Manager,目录集成进程使用呼叫思科目录同步(DirSync)在Unified CM同步一定数量的用户属性的一个内部工具(手工或周期地)从公司LDAP目录。当此功能启用时,最终用户从公司目录自动地设置。

注意: 应用程序用户被保持分开和通过Unified CM管理界面仍然设置。换句话说,应用程序用户不可能从AD同步。

总之,而应用程序用户在Unified CM数据库在公司目录,仅存储,并且不需要定义最终用户在公司目录定义并且同步到Unified CM数据库。

配置

本部分提供有关如何配置本文档所述功能的信息。

注意: 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

网络图

本文档使用以下网络设置:

典型的目录集成方案

/image/gif/paws/109379/config_dir_int_call1.gif

  • 活动目录:10.48.79.37

  • 域名:Eire.com

  • Cisco Unified Communications Manager:10.48.79.93

配置

本文档使用以下配置:

在AD的服务帐户

遵从这些步骤创建允许CM同步协议连接和验证到它在AD的一个服务帐户。

  1. 此帐户不一定能读在希望的搜索库内的所有用户对象和有超时的密码集合。在这种情况下,使用管理员帐户,但是与读访问的其他帐户对在希望的搜索库内的所有用户对象足够了。

    /image/gif/paws/109379/config_dir_int_call2.gif

  2. 在Cisco Unified Communications Manager,请打开ccmadmin页(http://X.X.X.X/ccmadmin)和导航到系统> Ldap> Ldap系统

  3. 检查同步从LDAP服务器复选框的Enable (event)并且选择LDAP服务器类型的LDAP属性的Microsoft Active DirectorysAMAccountName用户ID的

    config_dir_int_call3.gif

    Unified CM从AD导入的最终用户根据标准AD属性。在这种情况下,使用sAMAccountName。其他可能性是邮件、employeeNumber、telephoneNumber或者userPrinicpalName

  4. 从Ccmadmin页,请导航对系统> Ldap > Ldap目录并且单击添加新的添加新目录复制协定

    config_dir_int_call4.gif

  5. 这两windows出现,表明CM DB的所有当前用户一次将删除目录集成到位。

    /image/gif/paws/109379/config_dir_int_call5.gif

    config_dir_int_call6.gif

  6. 填写这些字段:

    • IDAP配置名称:这是您想要分配对集成的所有名称。

    • LDAP管理器辨别名称:这是在步骤1.的AD配置的帐户是肯定使用这些中的一个:

      • 完整规范名,例如, cn=administrator, dc=eire, dc=com

      • 用户主体名称(UPN),例如, administrator@eire.com

    • LDAP密码:这是在Step1的AD配置的帐户的密码。

    • LDAP用户搜索库:此路径从定义了集成拉从AD的地方用户。

    • LDAP目录同步日程

    config_dir_int_call7.gif

  7. 定义需要同步的用户字段。这定义了映射的LDAP属性与CM使用的属性。例如,属性samaccountname映射在CM Informix数据库的属性userid。在另一示例中,属性objectguid被映射对属性uniqueidentifier在CM Informix数据库。

  8. 添加主机名或IP AD服务器的。指定端口号(在这种情况下389)和检查您是否要使用SSL。

    /image/gif/paws/109379/config_dir_int_call8.gif

  9. 启动并且开始从维护性页(http://X.X.X.X/ccmservice) Tools > Service激活的思科DirSync服务>思科DirSync Tools > Control Center >功能Services>停止配置的思科DirSync

    /image/gif/paws/109379/config_dir_int_call9.gif

    可以配置的其它服务参数,但是这些可以被留下默认。

    config_dir_int_call10.gif

  10. 您能当前强制一手工的同步为了同步AD的用户(并且,特别地,容器cn=users的用户从域eire.com)对Cisco Unified Communications Manager。为了执行如此,请导航到下面在Cisco Unified Communications Manager (系统> Ldap > Ldap目录)的目录集成页并且打开新建立的目录集成字段。在底部,当前请单击执行全双工同步按钮。

    /image/gif/paws/109379/config_dir_int_call11.gif

  11. 一旦同步完成,请去Cisco Unified Communications Manager管理员页面(http://X.X.X.X/ccmadmin)和导航对用户管理>最终用户。您能当前看到从在Cisco Unified Communications Manager DB的AD同步以激活LDAP状态的用户。

    /image/gif/paws/109379/config_dir_int_call12.gif

    注意: 在此环境,用户在Cisco Unified Communications Manager存在运行目录集成之前。

  12. 在同步,此用户当前在删除待定状态后。

    config_dir_int_call13.gif

  13. 每晚在3.15上午,内部进程呼叫碎片收集器服务运行。此进程永久删除在非激活的所有帐户–删除等待状态24个小时。Cisco Unified Communications Manager不同步活动目录密码。Cisco Unified Communications Manager不了解Microsoft Active Directory加密机制。反而,在Cisco Unified Communications Manager 5.0, ciscocisco默认密码和默认PIN 12345分配。

    在Cisco Unified Communications Manager 6.0及以后,使用默认证件策略机制。这可以从Ccmadmin页激活:用户管理>证件策略默认

    /image/gif/paws/109379/config_dir_int_call14.gif

    config_dir_int_call15.gif

  14. 证件策略允许您配置默认密码,以及一些密码策略。从AD同步然后的所有用户提供他们的密码的此模板。

    /image/gif/paws/109379/config_dir_int_call16.gif

  15. 同样申请在Cisco Unified Communications Manager 6.0的PIN及以后。

    config_dir_int_call17.gif

    换句话说,当Cisco Unified Communications Manager集成与AD (目录集成)时,但是目录验证未启用(更多关于后的认证机制),同步的所有最终用户验证本地,即,在Cisco Unified Communications Manager的Informix数据库。

    由于您能本地验证,您能更改用户的密码从Cisco Unified Communications Manager的。

    注意: 这不是实际情形是否使用目录验证。

    config_dir_int_call18.gif

目录验证

目录验证安装在目录同步顶部,因此有目录验证,目录集成是前提条件。基本想法是相同的,但是唯一的差异是用户验证外部目录和不再Cisco Unified Communications Manager Informix数据库。换句话说,所有最终用户认证尝试(例如,访问ccmuser页等等)重定向对AD。

注意: 验证不适用于应用程序用户或管脚。例如, Extension Mobility PIN认证请求验证本地(Cisco Unified Communications Manager数据库)和不通过AD。

/image/gif/paws/109379/config_dir_int_call19.gif

  1. 为了配置目录验证,请打开ccmadmin页(http://X.X.X.X/ccmadmin)和导航对系统> Ldap > LDAP认证

  2. 如图形所显示,填写字段:

    • LDAP管理器辨别名称:这是在步骤1.的AD配置的帐户是肯定使用这些中的一个:

      • 完整规范名,例如, cn=administrator, dc=eire, dc=com

      • 用户主体名称(UPN),例如, administrator@eire.com

    • LDAP密码:这是在Step1的AD配置的帐户的密码。

    • LDAP用户搜索库

    config_dir_int_call20.gif

    注意: 当验证启用时,不再有个人用户的配置的一密码字段Cisco Unified Communications Manager的,因为用户密码管理从AD和不再从Cisco Unified Communications Manager。

    /image/gif/paws/109379/config_dir_int_call21.gif

排除故障目录集成(同步)

方案:您添加了AD的用户Joe男人和手工执行同步从Cisco Unified Communications Manager的内部。

  1. 设置DirSync跟踪详细。导航对Cisco Unified Communications Manager维护性页并且选择Trace > Configuration >目录服务> DirSync

    config_dir_int_call22.gif

    config_dir_int_call23.gif

    config_dir_int_call24.gif

    config_dir_int_call25.gif

  2. DirSync Trace, DirSync从Cisco Unified Communications Manager被调用:

    2008-12-15 14:42:13,743 DEBUG [DSLDAPMain] dirsync.DSLDAPMain 
       (DSLDAPMain.java:340) - DSLDAPMain[handleIncomingReq] Now start 
       LDAPSyncImpl for agreement=f74f2069-1160-9d4a-7e8a-db6c476dd9d5
    
    2008-12-15 14:42:13,779 INFO  [DSLDAPMain] ldapplugable.DSLDAPSyncImpl 
       (DSLDAPSyncImpl.java:143) - LDAPSync
       (f74f2069-1160-9d4a-7e8a-db6c476dd9d5)
       [DSLDAPSyncImpl] Search base=cn=Users, dc=eire, dc=com
    
  3. 在Cisco Unified Communications Manager配置拿来用户的帐户是管理员帐户:

    2008-12-15 14:42:13,787 INFO  [DSLDAPMain] ldapplugable.DSLDAPSyncImpl 
       (DSLDAPSyncImpl.java:147) - LDAPSync
       (f74f2069-1160-9d4a-7e8a-db6c476dd9d5)
       [DSLDAPSyncImpl] Manager DN=administrator@eire.com
    Password=aa822fb730462e5bee761623f5384aef87bed6fd62280f8ec6ef01a7a4c537
    
    2008-12-15 14:42:13,813 DEBUG [DSLDAPMain] ldapplugable.DSLDAPSyncImpl 
       (DSLDAPSyncImpl.java:224) - LDAPSync
       (f74f2069-1160-9d4a-7e8a-db6c476dd9d5)
       [DSLDAPSyncImpl] Attributes to return - objectguid:samaccountname:
       givenname:middlename:sn:manager:department:telephonenumber:mail:title:
       homephone:mobile:pager:msrtcsip-primaryuseraddress:
    
    LDAPSync(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)[makeConnection] 
       Successful LDAP connection to : ldap://10.48.79.37:389
    
  4. 出去对AD并且搜索根据SamAccountName和objectguid的所有用户在指定的用户搜索库内。寻找新用户Joe男人:

    LDAPSync(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)
       [sendUserData] Directory entry is CN=Joe Bloke: null:null:
       {mail=mail: jbloke@eire.com, objectguid=objectGUID: 
       [B@1ce3fc5, givenname=givenName: Joe, 
       samaccountname=sAMAccountName: jbloke, sn=sn: Bloke}
    2008-12-15 14:42:15,351 DEBUG [DSLDAPSyncImpl
       (f74f2069-1160-9d4a-7e8a-db6c476dd9d5)] 
       ldapplugable.DSLDAPSyncImpl (DSLDAPSyncImpl.java:926) - 
       LDAPSync(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)[sendUserData] 
       Getting ObjectGUID
    
  5. 切记拿来某些AD属性(例如, samaccountnameobjectguidgivenname部门telephonenumber等等)。给他们在Informix公司DB的一个对应的值。例如,请映射“objectguid”在AD对“UniqueIdentifier”在Cisco Unified Communications Manager的Informix公司内。这是AD映射的一小示例对Informix公司。此列表是仅小的子集。有在本文没有包括的几更多。

    /image/gif/paws/109379/config_dir_int_call26.gif

  6. 在这种情况下,请映射为用户jbloke被找到的ObjectGuid并且给一个对应的值对在Cisco Unified Communications Manager的UniqueIdentifier值:

    LDAPSync(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)[sendUserData] 
       ObjectGUID value=cc15b7817840b947990b83551140cf86
    db6c476dd9d5)] ldapplugable.DSLDAPSyncImpl (DSLDAPSyncImpl.java:1560) 
       - LDAPSync(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)[formUserObject] 
       Name=uniqueidentifier Value=cc15b7817840b947990b83551140cf86
    
  7. 如果有此特定的UniqueIdentifier属性的一个用户已经存在,下请登记Informix公司:

    2008-12-15 14:42:15,692 DEBUG [DirSync-DBInterface] 
       DSDBInterface.updateUserInfo Check update using uniq id. 
       SQL-SELECT * FROM  EndUser WHERE uniqueidentifier
       ='cc15b7817840b947990b83551140cf86'
    
  8. 然后请添加用户在最终用户表里在Cisco Unified Communications Manager的Informix公司中:

    2008-12-15 14:42:15,724 DEBUG [DirSync-DBInterface] common.
       DSDBInterface (DSDBInterface.java:377) - DSDBInterface.insert 
       SQL-INSERT INTO EndUser(userid,firstname,mailid,uniqueidentifier,
       lastname,fkdirectorypluginconfig,status) values 
       ('jbloke','Joe','jbloke@eire.com','cc15b7817840b947990b83551140cf86',
       'Bloke','f74f2069-1160-9d4a-7e8a-db6c476dd9d5','1')
    

排除故障目录集成(验证)

方案:您登录与用户ID “寇特”验证的Ccmuser页重定向对AD。

  1. 采取在Cisco Unified Communications Manager的嗅探器跟踪。

  2. 您看到搜索请求。

    config_dir_int_call27.gif

    您也看到SearchResponse从AD到Cisco Unified Communications Manager为有问题的用户。

    config_dir_int_call28.gif

验证

当前没有可用于此配置的验证过程。

故障排除

本部分提供的信息可用于对配置进行故障排除。

错误消息:错误,当连接对ldap时

此错误消息出现,当尝试进行LDAP集成与Cisco Unified Communications Manager时:

Error while Connecting to ldap://10.1.1.2:636, 
javax.net.ssl.SSLException: java.lang.RuntimeException: 
Unexpected error: java.security.InvalidAlgorithmParameterException: 
the trustAnchors parameter must be non-empty

为了解决问题,请确保相关安全证书上传在CUCM OS管理/安全/证书管理下。并且,请重新启动从Windows服务的DirSyn和Tomcat服务。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 109379