语音和统一通信 : Cisco Unified Attendant Consoles

与Microsoft AD的CUAC集成

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文描述轻量级目录访问协议(LDAP)工作在Cisco Unified Attendant Console的方式(CUAC)之间和Microsoft Active Directory (AD)和步骤用于为了集成两个系统。

贡献用Alok辛哈, Cisco TAC工程师。

先决条件

要求

Cisco 建议您了解以下主题:

  • CUCM
  • CUAC
  • LDAP
  • AD

使用的组件

本文档中的信息根据CUAC版本10.x。 

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

背景信息

在初期的CUAC版本中,服务器直接地从Cisco Unified Communications Manager (CUCM)得到用户通过预定义的查询和过滤器。使用CUAC优质版本(CUACPE),管理员允许集成和导入用户直接地从AD。这授权灵活性给属性的他们自己的选择和需求实施和过滤器的管理员。

注意:CUACPE用版本10和以上的CUAC提前的版本当前替换。

集成与CUAC的AD并且导入从AD的用户

完成这些步骤为了集成与AD的CUAC和导入从AD的用户:

  1. 启用AD的目录同步在CUAC。



  2. 选择Microsoft Active Directory并且检查Enable (event)同步复选框:





  3. 输入激活目录服务器的配置细节:



    对于此示例, administrator@aloksin.lab使用验证:



  4. 在属性设置部分,请送进唯一属性的配置细节,一次出现您回车其他详细信息并且点击“Save”


    注意:这是每个条目的一一个唯一值在AD。如果有重复的值, CUAC只拉一个条目。

  5. 在容器部分,请送进基础DN的配置细节,是在AD的用户搜索范围。

    AD用于对象Class字段为了确定请求的搜索范围。默认情况下,它设置接触,因此意味着AD寻找联系方式(不是用户)在请求的搜索库。为了导入CUAC的用户,请更改设置对用户的对象类:



  6. 保存设置,点击Directory字段映射,并且配置您希望为所有用户导入的所有属性。 这是在本例中使用的配置:



  7. 导航对目录来源页并且点击目录规则



  8. 单击添加新并且创建规则。当您增加一个目录规则时,默认情况下规则过滤器出现。


    注意:没有需要更换规则过滤器。它导入安排一个电话号码配置的所有用户。

  9. 为了配置与AD的自同步,请点击目录同步选项卡。



  10. 配置现已完成。导航对设计>服务管理并且重新启动插件的LDAP为了手工开始同步。

在CUAC和AD之间的LDAP功能

LDAP进程摘要

这是LDAP进程的摘要在CUAC和AD之间的:

  1. TCP会话建立在两个服务器之间(CUAC和AD)。

  2. CUAC发送BIND请求对AD并且通过在验证设置配置的用户验证。

  3. 一旦AD成功验证用户,发送BIND成功通知对CUACPE。

  4. CUAC发送搜索请求对AD,有搜索范围信息、过滤器搜索的和属性所有已过滤用户的。

  5. AD为请求的对象扫描(配置在对象类设置)在搜索库。它过滤匹配标准的对象(过滤器)选派在Search请求消息。

  6. AD响应对与搜索结果的CUAC。

这是说明这些步骤的嗅探器捕获:

LDAP进程详细资料

一旦在CUAC的配置完成,并且插件的LDAP重新启动, CUAC服务器安装有AD的一TCP会话。

CUAC然后发送BIND请求为了用AD服务器验证。如果验证是成功的, AD发送对CUAC的一种BIND成功响应。使用此,两个服务器尝试设置端口的389一会话为了同步用户和他们的信息。

这是在定义了辨别名称,使用验证在BIND处理的服务器的配置:

这些消息在数据包捕获出现:

  • 这是TCP握手,跟随由BIND请求:



  • 这是BIND请求的扩展:



  • 这是BIND答复扩展,指示用户(在本例中的管理员的)成功认证:

在成功的捆绑,服务器发送搜索请求对AD为了导入用户。此搜索请求包含由AD使用的过滤器和属性。AD然后搜索在定义搜索库内的用户(详情参见Search请求消息),执行在过滤器和属性验证的标准。

这是由CUCM发送搜索请求的示例:

Lightweight Directory Access Protocol
    LDAPMessage searchRequest(2) "dc=aloksin,dc=lab" wholeSubtree
        messageID: 2
        protocolOp: searchRequest (3)
            searchRequest
                baseObject: dc=aloksin,dc=lab
               scope: wholeSubtree
(2)
                derefAliases: derefAlways (3)
                sizeLimit: 0
                timeLimit: 0
                typesOnly: False
                Filter: (&(&(objectclass=user)(!(objectclass=Computer)))
(!(UserAccountControl:1.2.840.113556.1.4.803:=2)))

                    filter: and (0)
                        and: (&(&(objectclass=user)(!(objectclass=Computer)))
(!(UserAccountControl:1.2.840.113556.1.4.803:=2)))
                            and: 3 items
                                Filter: (objectclass=user)
                                    and item: equalityMatch (3)
                                        equalityMatch
                                            attributeDesc: objectclass
                                            assertionValue: user
                                Filter: (!(objectclass=Computer))
                                    and item: not (2)
                                        Filter: (objectclass=Computer)
                                            not: equalityMatch (3)
                                                equalityMatch
                                                    attributeDesc: objectclass
                                                    assertionValue: Computer
                                Filter: (!(UserAccountControl:1.2.840.113556.1.4.
803:=2))
                                    and item: not (2)
                                        Filter: (UserAccountControl:1.2.840.113556
.1.4.803:=2)
                                            not: extensibleMatch (9)
                                                extensibleMatch UserAccountControl
                                                    matchingRule: 1.2.840.113556.
1.4.803
                                                    type: UserAccountControl
                                                    matchValue: 2
                                                    dnAttributes: False
               attributes: 15 items
                    AttributeDescription: objectguid
                    AttributeDescription: samaccountname
                    AttributeDescription: givenname
                    AttributeDescription: middlename
                    AttributeDescription: sn
                    AttributeDescription: manager
                    AttributeDescription: department
                    AttributeDescription: telephonenumber
                    AttributeDescription: mail
                    AttributeDescription: title
                    AttributeDescription: homephone
                    AttributeDescription: mobile
                    AttributeDescription: pager
                    AttributeDescription: msrtcsip-primaryuseraddress
                    AttributeDescription: msrtcsip-primaryuseraddress

        [Response In: 103]
        controls: 1 item
            Control
                controlType: 1.2.840.113556.1.4.319 (pagedResultsControl)
                criticality: True
                SearchControlValue
                    size: 250
                    cookie: <MISSING>

当AD收到从CUCM时的此请求,搜索baseObject的用户:dc=aloksin, dc=lab,满足过滤器。不完成需求由过滤器选派的所有用户被留下。AD响应对与所有的CUCM已过滤用户并且发送请求的属性的值。

注意:对象不可能导入。只有用户导入。这是因为在Search请求消息发送的过滤器包括objectclass=user。因此, AD仅搜索用户,不是联系方式。默认情况下CUCM有所有这些映射和过滤器。

默认情况下CUAC没有配置;没有映射选派已配置的为了导入用户的属性,因此您必须手工输入这些详细信息。为了创建这些映射,请导航对系统配置>目录源管理>活动目录> Directory字段映射

管理员允许映射每他们自己的需求的字段。示例如下:

Source字段信息发送对在Search请求消息的AD。当AD传送搜索响应消息时,这些值在CUACPE的目的区域存储。

注意默认情况下CUAC有对联系方式的设置的对象类。如果使用此默认设置,发送对AD的过滤器出现如显示此处:

                Filter: (&(&(objectclass=contact)(  ............

使用此过滤器, AD从未返回所有用户对CUACPE,因为搜索在搜索库的联系方式,不是用户。为此,您必须更改对用户的对象类:

至此点,这些设置在CUAC配置:

  • 连接详细信息
  • 验证(约束的著名的用户)
  • 容器设置
  • 目录映射

在本例中,唯一属性配置作为sAMAccountName。如果重新启动LDAP插件在CUAC并且检查Search请求消息,不包含属性或过滤器除了ObjectClass=user

Lightweight Directory Access Protocol
    LDAPMessage searchRequest(224) "dc=aloksin,dc=lab" wholeSubtree
        messageID: 224
        protocolOp: searchRequest (3)
            searchRequest
                baseObject: dc=aloksin,dc=lab
                scope: wholeSubtree (2)
                derefAliases: neverDerefAliases (0)
                sizeLimit: 1
                timeLimit: 0
                typesOnly: True
                Filter: (ObjectClass=user)
                    filter: equalityMatch (3)
                        equalityMatch
                            attributeDesc: ObjectClass
                            assertionValue: user
                attributes: 0 items
        [Response In: 43]

注意目录规则未命中此处。为了同步与AD的联系方式,您必须创建规则。默认情况下,没有配置的目录规则。当一个人创建,过滤器已经存在。 没有需要更换过滤器,您必须有一个电话号码用户的import all。 

重新启动插件的LDAP为了启动与AD的一同步和导入用户。这是从CUAC的搜索请求:

Lightweight Directory Access Protocol
    LDAPMessage searchRequest(4) "dc=aloksin,dc=lab" wholeSubtree
        messageID: 4
        protocolOp: searchRequest (3)
            searchRequest
                baseObject: dc=aloksin,dc=lab
               scope: wholeSubtree (2)

                derefAliases: neverDerefAliases (0)
                sizeLimit: 0
                timeLimit: 15
                typesOnly: False
                Filter: (&(&(objectclass=user)(telephoneNumber=*))
(!(UserAccountControl:1.2.840.113556.1.4.803:=2)))
                    filter: and (0)
                        and: (&(&(objectclass=user)(telephoneNumber=*))
(!(UserAccountControl:1.2.840.113556.1.4.803:=2)))
                            and: 3 items
                                Filter: (objectclass=user)
                                    and item: equalityMatch (3)
                                        equalityMatch
                                            attributeDesc: objectclass
                                            assertionValue: user
                                Filter: (telephoneNumber=*)
                                    and item: present (7)
                                        present: telephoneNumber
                                Filter: (!(UserAccountControl:1.2.840.113556.
1.4.803:=2))
                                    and item: not (2)
                                        Filter: (UserAccountControl:1.2.840.113556.
1.4.803:=2)
                                            not: extensibleMatch (9)
                                                extensibleMatch UserAccountControl
                                                    matchingRule: 1.2.840.113556.1.
4.803
                                                    type: UserAccountControl
                                                    matchValue: 2
                                                    dnAttributes: False
                attributes: 10 items
                    AttributeDescription: TELEPHONENUMBER
                    AttributeDescription: MAIL
                    AttributeDescription: GIVENNAME
                    AttributeDescription: SN
                    AttributeDescription: sAMAccountName
                    AttributeDescription: ObjectClass
                    AttributeDescription: whenCreated
                    AttributeDescription: whenChanged
                    AttributeDescription: uSNCreated
                    AttributeDescription: uSNChanged
        [Response In: 11405]
        controls: 1 item
            Control
                controlType: 1.2.840.113556.1.4.319 (pagedResultsControl)
                SearchControlValue
                    size: 500
                    cookie: <MISSING>

如果AD寻找匹配在Search请求消息选派的标准的用户,则传送包含用户信息的SearchResEntry信息。

这是SearchResEntry消息:

Lightweight Directory Access Protocol
    LDAPMessage searchResEntry(4) "CN=Suhail Angi,CN=Users,DC=aloksin,DC=lab" [4 results]
        messageID: 4
        protocolOp: searchResEntry (4)
            searchResEntry
                objectName: CN=Suhail Angi,CN=Users,DC=aloksin,DC=lab
                attributes: 9 items
                    PartialAttributeList item objectClass
                        type: objectClass
                        vals: 4 items
                            top
                            person
                            organizationalPerson
                            user
                    PartialAttributeList item sn
                        type: sn
                        vals: 1 item
                            Angi
                    PartialAttributeList item telephoneNumber
                        type: telephoneNumber
                        vals: 1 item
                            1002
                    PartialAttributeList item givenName
                        type: givenName
                        vals: 1 item
                            Suhail
                    PartialAttributeList item whenCreated
                        type: whenCreated
                        vals: 1 item
                            20131222000850.0Z
                    PartialAttributeList item whenChanged
                        type: whenChanged
                        vals: 1 item
                            20131222023413.0Z
                    PartialAttributeList item uSNCreated
                        type: uSNCreated
                        vals: 1 item
                            12802
                    PartialAttributeList item uSNChanged
                        type: uSNChanged
                        vals: 1 item
                            12843
                    PartialAttributeList item sAMAccountName
                        type: sAMAccountName
                        vals: 1 item
                            sangi
        [Response To: 11404]
        [Time: 0.001565000 seconds]
Lightweight Directory Access Protocol
    LDAPMessage searchResEntry(4) "CN=Pragathi NS,CN=Users,DC=aloksin,DC=lab" [5 results]
        messageID: 4
        protocolOp: searchResEntry (4)
            searchResEntry
                objectName: CN=Pragathi NS,CN=Users,DC=aloksin,DC=lab
                attributes: 9 items
                    PartialAttributeList item objectClass
                        type: objectClass
                        vals: 4 items
                            top
                            person
                            organizationalPerson
                            user
                    PartialAttributeList item sn
                        type: sn
                        vals: 1 item
                            NS
                    PartialAttributeList item telephoneNumber
                        type: telephoneNumber
                        vals: 1 item
                            1000
                           .......
                           ....{message truncated}..........
                           .....

注意:没有在答复的MAIL,即使此属性是请求的。这是因为MAIL ID未为AD的用户配置。

一旦这些值由CUAC接收,在结构化查询语言(SQL)表里存储他们。您能然后登录控制台,并且控制台拿来从此SQL表的用户列表在CUACPE服务器。


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 118862