Cisco Unified Communications Manager Release 10.0(1) での IM and Presence Service の設定と管理
LDAP ディレクトリ統合
LDAP ディレクトリ統合

目次

LDAP ディレクトリ統合

LDAP サーバ名、アドレス、およびプロファイル設定

IM and Presence Service の LDAP サーバ名、アドレス、およびプロファイル設定は、Cisco Unified Communications Manager に移動されました。詳細については、『Cisco Unified Communications Manager Administration Guide, Release 9.0(1)』を参照してください。

Cisco Unified Communications Manager との LDAP ディレクトリの統合のタスク リスト

次のワークフロー図に、Cisco Unified Communications Manager と LDAP ディレクトリを統合するためのハイレベルな手順を示します。

図 1. Cisco Unified Communications Manager との LDAP ディレクトリの統合のワークフロー



次の表に、タスクを Cisco Unified Communications Manager との LDAP ディレクトリの統合を実行するためのタスクを示します。詳細な手順については、関連するタスクを参照してください。

表 1 LDAP ディレクトリを統合するためのタスク リスト

タスク

説明

セキュアな Cisco Unified Communications Manager と LDAP ディレクトリとの接続

Cisco Unified Communications Manager の LDAP サーバで Secure Socket Layer(SSL)接続をイネーブルにします。

ヒント   

Cisco Unified Communications Manager Release 8.x 以降では、LDAP の SSL 証明書を tomcat-trust 証明書としてアップロードする必要があります。

ユーザ プロビジョニングのための LDAP 同期の設定

Cisco Unified Communications Manager で Cisco Directory Synchronization(DirSync)ツールを有効にし、社内ディレクトリからユーザを自動的にプロビジョニングするか、ユーザ ディレクトリ情報を手動で同期することができます。

ヒント   

LDAP 同期は Cisco Unified Communications Manager のアプリケーション ユーザに適用されません。Cisco Unified CM Administration の GUI を使用して、アプリケーション ユーザを手動でプロビジョニングします。

LDAP サーバ証明書のアップロード

Cisco Unified Communications Manager LDAP 認証がセキュア モード(ポート 363 または 3269)に対して設定されている場合、すべての LDAP 認証サーバ証明書と中間証明書を "tomcat-trust" として IM and Presence Service ノードにアップロードする必要があります。

LDAP サーバ認証の設定

Cisco Unified Communications Manager を有効にして、ユーザ パスワードを社内 LDAP ディレクトに対して認証します。

ヒント   

LDAP 認証は、アプリケーション ユーザのパスワードには適用されません。

IM and Presence Service と LDAP ディレクトリ間のセキュア接続の設定

Cisco Unified Communications Manager と LDAP ディレクトリ間にセキュアな接続を設定した場合は、クラスタのすべての IM and Presence Service ノード上でこのタスクを実行します。

Cisco Unified Communications Manager と LDAP ディレクトリとの間のセキュア接続

Cisco Unified Communications Manager ノードと LDAP ディレクトリ サーバとの間の接続をセキュリティで保護するには、Cisco Unified Communications Manager で LDAP サーバの Secure Socket Layer(SSL)接続を有効にし、SSL 証明書を Cisco Unified Communications Manager にアップロードします。Cisco Unified Communications Manager Release 8.x 以降では、LDAP の SSL 証明書を tomcat-trust 証明書としてアップロードする必要があります。

LDAP の SSL 証明書をアップロードしたら、Cisco Unified Communications Manager で次のサービスを再起動する必要があります。

  • ディレクトリ サービス

  • Tomcat サービス

Cisco Unified Communications Manager への証明書のアップロードの詳細については、Cisco Unified Communications Manager のマニュアルを参照してください。

ユーザ プロビジョニングのための LDAP 同期の設定

LDAP 同期は Cisco Unified Communications Manager で Cisco Directory Synchronization(DirSync)ツールを使用して、社内 LDAP ディレクトリから情報を(手動または定期的に)同期します。DirSync サービスを有効にすると、Cisco Unified Communications Manager が自動的に社内ディレクトリからのユーザをプロビジョニングします。Cisco Unified Communications Manager は引き続きローカル データベースを使用しますが、そのファシリティを無効にしてユーザ アカウントの作成を可能にします。LDAP ディレクトリ インターフェイスを使用して、ユーザ アカウントを作成および管理します。

はじめる前に
  • Cisco Unified Communications Manager で LDAP 固有の設定を試行する前に、LDAP サーバがインストールされていることを確認してください。

  • Cisco Unified Communications Manager で Cisco DirSync サービスをアクティブにします。

制約事項

LDAP 同期は Cisco Unified Communications Manager のアプリケーション ユーザに適用されません。Cisco Unified CM の管理インターフェイスでアプリケーション ユーザを手動でプロビジョニングする必要があります。

手順
    ステップ 1   [Cisco Unified CM の管理(Cisco Unified CM Administration)] > [システム(System)] > [LDAP(LDAP)] > [LDAP システム(LDAP System)] を選択します。
    ステップ 2   [新規追加(Add New)] をクリックします。
    ステップ 3   LDAP サーバのタイプおよび属性を設定します。
    ステップ 4   [LDAP サーバからの同期を有効にする(Enable Synchronizing from LDAP Server)] を選択します。
    ステップ 5   [Cisco Unified CM の管理(Cisco Unified CM Administration)] > [システム(System)] > [LDAP(LDAP)] > [LDAP ディレクトリ(LDAP Directory)] を選択します。
    ステップ 6   次の項目を設定します。
    1. LDAP ディレクトリ アカウント設定
    2. 同期対象のユーザ属性
    3. 同期スケジュール
    4. LDAP サーバ ホスト名または IP アドレスおよびポート番号
    ステップ 7   Secure Socket Layer(SSL)を使用して LDAP ディレクトリと通信するには、[SSL を使用(Use SSL)] をオンにします。
    ヒント   
    • LDAP over SSL を設定するには、LDAP ディレクトリ証明書を Cisco Unified Communications Manager にアップロードします。

    • 特定の LDAP 製品のアカウント同期メカニズムおよび LDAP 同期の一般的なベスト プラクティスの詳細については、Cisco Unified Communications Manager SRND の LDAP ディレクトリの情報を参照してください。


    次の作業

    LDAP 認証サーバ証明書のアップロードに進みます。

    LDAP 認証サーバ証明書のアップロード

    Cisco Unified Communications Manager LDAP 認証をセキュア モード(ポート 636 または 3269)に設定する場合は、認証局(CA)のルート証明書や他のすべての中間証明書などの LDAP 認証サーバ証明書を、「tomcat-trust」 として個別に IM and Presence Service ノードにアップロードする必要があります。

    手順
      ステップ 1   [Cisco Unified IM and Presence OS の管理(Cisco Unified IM and Presence OS Administration)] > [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
      ステップ 2   [証明書のアップロード(Upload Certificate)] をクリックします。
      ステップ 3   [証明書名(Certificate Name)] メニューから [tomcat-trust] を選択します。
      ステップ 4   ローカル コンピュータから LDAP サーバ ルート証明書を参照し、選択します。
      ステップ 5   [ファイルのアップロード(Upload File)] をクリックします。
      ステップ 6   他のすべての中間証明書に対して上記の手順を繰り返します。

      次の作業

      LDAP 認証の設定に進みます。

      LDAP 認証の設定

      LDAP 認証機能を使用すると、社内 LDAP ディレクトリに対して Cisco Unified Communications Manager でユーザ パスワードを認証できます。

      はじめる前に

      Cisco Unified Communications Manager で LDAP 同期を有効にします。

      制約事項

      LDAP 認証は、アプリケーション ユーザのパスワードには適用されません。Cisco Unified Communications Manager は、内部データベースのアプリケーション ユーザを認証します。

      手順
        ステップ 1   [Cisco Unified CM の管理(Cisco Unified CM Administration)] > [システム(System)] > [LDAP(LDAP)] > [LDAP 認証(LDAP Authentication)] を選択します。
        ステップ 2   ユーザに対する LDAP 認証を有効にします。
        ステップ 3   LDAP 認証設定を指定します。
        ステップ 4   LDAP サーバ ホスト名または IP アドレスおよびポート番号を設定します。
        (注)     

        Secure Socket Layer(SSL)を使用して LDAP ディレクトリと通信するには、[SSL を使用(Use SSL)] をオンにします。

        [SSL を使用(Use SSL)] チェックボックスをオンにした場合、IP アドレスまたはホスト名または LDAP サーバの証明書のサブジェクト CN と一致する FQDN を入力します。LDAP サーバの証明書のサブジェクト CN は、IP アドレス、ホスト名、または FQDN である必要があります。この条件を満たさない場合は、Cisco Unified CM IM and Presence の管理、Cisco Unified IM and Presence Serviceability、Cisco Unified IM and Presence リポーティング、Cisco Jabber ログイン、サードパーティ製 XMPP クライアントおよび Cisco Unified Communications Manager の他のアプリケーション、さらにユーザ認証を実行するLDAPに接続している IM and Presence Service のログインの失敗を招くので、[SSL を使用(Use SSL)] のチェックボックスをオンにしないでください。



        ヒント


        LDAP over SSL を設定するには、LDAP ディレクトリ証明書を Cisco Unified Communications Manager にアップロードします。


        次の作業

        IM and Presence サービスと LDAP ディレクトリ間のセキュア接続の設定

        IM and Presence サービスと LDAP ディレクトリ間のセキュア接続の設定

        このトピックは、Cisco Unified Communications Manager と LDAP ディレクトリとの間のセキュア接続を設定する場合にのみ適用されます。


        (注)  


        クラスタ内のすべての IM and Presence サービス ノードでこの手順を実行します。


        はじめる前に

        Cisco Unified Communications Manager で LDAP の SSL を有効にし、LDAP ディレクトリ証明書を Cisco Unified Communications Manager にアップロードします。

        手順
          ステップ 1   [Cisco Unified IM and Presence OS の管理(Cisco Unified IM and Presence OS Administration)] > [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
          ステップ 2   [証明書のアップロード(Upload Certificate)] をクリックします。
          ステップ 3   [証明書の名前(Certificate Name)] メニューから [tomcat-trust] を選択します。
          ステップ 4   ローカル コンピュータから LDAP サーバ証明書を参照し、選択します。
          ステップ 5   [ファイルのアップロード(Upload File)] をクリックします。
          ステップ 6   コマンド utils service restart Cisco Tomcat を使用して、CLI から Tomcat サービスを再起動します。

          次の作業

          Cisco Jabber と LDAP ディレクトリを統合します。

          XMPP クライアントにおける連絡先検索のための LDAP ディレクトリ統合

          次のトピックでは、サードパーティ製 XMPP クライアントのユーザが LDAP ディレクトリから連絡先を検索および追加できるように IM and Presence Service で LDAP 設定を行う方法について説明します。

          IM and Presence Service の JDS コンポーネントは、LDAP ディレクトリとのサードパーティ製 XMPP クライアント通信を処理します。サードパーティ製 XMPP クライアントは、IM and Presence Service の JDS コンポーネントにクエリを送信します。JDS コンポーネントは、プロビジョニングされた LDAP サーバに LDAP クエリを送信し、XMPP クライアントに結果を返します。

          ここで説明する設定を実行する前に、XMPP クライアントを Cisco Unified Communications Manager および IM and Presence Service に統合するための設定を実行します。サードパーティ製 XMPP クライアント アプリケーションの統合に関するトピックを参照してください。

          図 2. XMPP クライアントにおける連絡先検索のための LDAP ディレクトリ統合のワークフロー. 次のワークフローの図は、XMPP クライアントで連絡先を検索するために LDAP ディレクトリを統合する手順の概要です。



          次の表に、XMPP クライアントで連絡先を検索するために LDAP ディレクトリを統合するタスクのリストを示します。詳細な手順については、関連するタスクを参照してください。
          表 2 XMPP クライアントにおける連絡先検索のための LDAP ディレクトリ統合のタスク リスト

          タスク

          説明

          XMPP クライアントの LDAP サーバの名前とアドレスの設定

          LDAP サーバと IM and Presence Service の間で SSL を有効にし、セキュア接続を設定していた場合は、ルート CA 証明書を xmpp-trust-certificate として IM and Presence Service にアップロードします。

          ヒント   

          証明書のサブジェクト CN は LDAP サーバの FQDN と一致する必要があります。

          XMPP クライアントの LDAP 検索の設定

          IM and Presence Service でサードパーティ製 XMPP クライアントの連絡先を検索できるように LDAP 検索設定を指定する必要があります。プライマリ LDAP サーバ 1 台とバックアップ LDAP サーバを最大 2 台指定できます。

          ヒント   

          オプションとして、LDAP サーバから vCard の取得をオンにすることや、vCard を IM and Presence Service のローカル データベースに保存することができます。

          Cisco XCP ディレクトリ サービスのオン

          サードパーティ製 XMPP クライアントのユーザが LDAP ディレクトリから連絡先を検索および追加できるようにするには、XCP ディレクトリ サービスをオンにする必要があります。

          ヒント   

          LDAP サーバの設定およびサードパーティ製 XMPP クライアントの LDAP 検索設定を行うまでは、Cisco XCP ディレクトリ サービスをオンにしないでください。そのようにしないと、サービスは実行を停止します。

          LDAP アカウント ロックの問題

          サードパーティ製 XMPP クライアントに対して設定する LDAP サーバのパスワードを間違って入力し、IM and Presence Service で XCP サービスを再起動すると、JDS コンポーネントは、不正なパスワードで LDAP サーバに複数回サインインしようとします。数回失敗した後でアカウントをロックアウトするように LDAP サーバが設定されている場合、LDAP サーバはある時点で JDS コンポーネントをロックアウトする可能性があります。JDS コンポーネントが LDAP に接続する他のアプリケーション(IM and Presence Service で必要とは限らないアプリケーション)と同じ資格情報を使用している場合、これらのアプリケーションも LDAP からロックアウトされます。

          この問題を解決するには、既存の LDAP ユーザと同じロールと特権を持つ別のユーザを設定し、JDS だけがこの 2 番目のユーザとしてサインインできるようにします。LDAP サーバに間違ったパスワードを入力した場合は、JDS コンポーネントだけが LDAP サーバからロックアウトされます。

          XMPP クライアントの LDAP サーバの名前とアドレスの設定

          Secure Socket Layer(SSL)を有効にする場合は、LDAP サーバと IM and Presence Service の間にセキュア接続を設定し、cup-xmpp-trust 証明書としてルート認証局(CA)証明書を IM and Presence Service にアップロードします。証明書のサブジェクト共通名(CN)は、LDAP サーバの完全修飾ドメイン名(FQDN)に一致させる必要があります。

          証明書チェーン(ルート ノードから信頼できるノードへの複数の証明書)をインポートする場合は、リーフ ノードを除くチェーン内のすべての証明書をインポートします。たとえば、CA が LDAP サーバの証明書に署名した場合は、CA 証明書のみをインポートし、LDAP サーバの証明書はインポートしません。

          はじめる前に

          LDAP ディレクトリのホスト名または IP アドレスを取得します。

          手順
            ステップ 1   [Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence Administration)] > [アプリケーション(Application)] > [サードパーティ製クライアント(Third-Party Clients)] > [サードパーティ製 LDAP サーバ(Third-Party LDAP Servers)] を選択します。
            ステップ 2   [新規追加(Add New)] をクリックします。
            ステップ 3   LDAP サーバの ID を入力します。
            ステップ 4   LDAPサーバのホスト名を入力します。
            ステップ 5   TCP または SSL 接続をリッスンする LDAP サーバのポート番号を指定します。

            デフォルト ポートは 389 です。SSL を有効にする場合は、ポート 636 を指定します。

            ステップ 6   LDAP サーバのユーザ名とパスワードを指定します。これらの値は、LDAP サーバで設定したクレデンシャルと一致する必要があります。

            この情報については、LDAP ディレクトリのマニュアルまたは LDAP ディレクトリの設定を確認してください。

            ステップ 7   SSL を使用して LDAP サーバと通信するには、[SSL の有効化(Enable SSL)] をオンにします。
            (注)     

            SSL が有効になっている場合、入力できるホスト名の値は、LDAP サーバのホスト名または FQDN です。使用する値は、セキュリティ証明書の CN または SAN フィールドの値と一致している必要があります。

            IP アドレスを使用する必要がある場合は、この値が証明書の CN または SAN フィールドにも使用されている必要があります。

            ステップ 8   [保存(Save)] をクリックします。
            ステップ 9   クラスタ内のすべてのノードで Cisco XCP Router サービスを起動します(このサービスがまだ動作していない場合)。


            ヒント


            • SSL を有効にすると、IM and Presence Service が SSL 接続を確立した後で、SSL 接続の設定およびデータの暗号化と復号化のときにネゴシエーション手順が実行されるため、XMPP の連絡先検索が遅くなる可能性があります。その結果、ユーザが展開内で XMPP の連絡先検索を広範囲に実行する場合、これがシステム全体のパフォーマンスに影響を与えることがあります。

            • LDAP サーバの証明書のアップロード後、LDAP サーバのホスト名とポート値で通信を確認するには、証明書インポート ツールを使用できます。[Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence Administration)] > [システム(System)] > [セキュリティ(Security)] > [証明書インポート ツール(Certificate Import Tool)] を選択します。

            • サードパーティ製 XMPP クライアント用の LDAP サーバの設定を更新した場合は、Cisco XCP ディレクトリ サービスを再起動します。[Cisco Unified IM and Presence のサービスアビリティ(Cisco Unified IM and Presence Serviceability)] > [ツール(Tools)] > [コントロール センターの機能サービス(Control Center - Feature Services)] を選択して、このサービスを再起動します。


            次の作業

            XMPP クライアントの LDAP 検索の設定に進みます。

            XMPP クライアントの LDAP 検索設定

            IM and Presence サービスでサードパーティ製 XMPP クライアントの連絡先を検索できるようにする LDAP 検索設定を指定する必要があります。

            サードパーティ製 XMPP クライアントは、検索のたびに LDAP サーバに接続します。プライマリ サーバへの接続に失敗しすると、XMPP クライアントは最初のバックアップ LDAP サーバを試し、それが使用不可能な場合は、2 番目のバックアップ サーバを試します(以下同様)。システムのフェールオーバー中に処理中の LDAP クエリーがあると、その LDAP クエリーは次に使用可能なサーバで完了します。

            オプションで LDAP サーバからの vCard の取得をオンにできます。vCard の取得をオンにした場合:

            • 社内 LDAP ディレクトリは vCards を保存します。
            • XMPP クライアントが自身の vCard、または連絡先の vCard を検索すると、vCard は JDS サービスによって LDAP から取得されます。
            • クライアントは、社内 LDAP ディレクトリを編集することを許可されていないため、自身の vCard を設定または変更できません。

            LDAP サーバからの vCard の取得をオフにした場合

            • IM and Presence サービスはローカル データベースに vCard を保存します。
            • XMPP クライアントが自身の vCard、または連絡先の vCard を検索すると、vCard はローカルの IM and Presence サービス データベースから取得されます。
            • クライアントは、自身の vCard を設定または変更できます。
            次の表はXMPP クライアントの LDAP 検索の設定の一覧です。

            表 3 XMPP クライアントの LDAP 検索設定

            フィールド

            設定

            [LDAPサーバタイプ(LDAP Server Type)]

            LDAP サーバ タイプをこのリストから選択します。

            • Microsoft Active Directory
            • [汎用ディレクトリ サーバ(Generic Directory Server)] :他のサポートされている LDAP サーバ タイプ(iPlanet、Sun ONE、または OpenLDAP)を使用する場合は、このメニュー項目を選択します。

            User Object Class(ユーザ オブジェクト クラス)

            LDAP サーバ タイプに適切なユーザ オブジェクト クラスの値を入力します。この値は、LDAP サーバで設定されたユーザ オブジェクト クラスの値と一致する必要があります。

            Microsoft Active Directory を使用する場合、デフォルト値は [ユーザ(user)] です。

            Base Context(ベース コンテキスト)

            LDAP サーバに適切なベース コンテキストを入力します。この値は、LDAP サーバの設定済みドメインおよび/または組織構造と一致している必要があります。

            User Attribute(ユーザ属性)

            LDAP サーバ タイプに適切なユーザ属性値を入力します。この値は、LDAP サーバで設定されたユーザ属性値と一致する必要があります。

            Microsoft Active Directory を使用する場合、デフォルト値は [sAMAccountName] です。

            ディレクトリ URI IM アドレス スキームが使用され、ディレクトリ URI がメールまたは msRTCSIPPrimaryUserAddress にマッピングされた場合、メールまたは msRTCSIPPrimaryUserAddress はユーザ属性として指定する必要があります。

            LDAP Server 1(LDAP サーバ 1)

            プライマリ LDAP サーバを選択します。

            LDAP Server 2(LDAP サーバ 2)

            (任意)バックアップ LDAP サーバを選択します。

            LDAP Server 3(LDAP サーバ 3)

            (任意)バックアップ LDAP サーバを選択します。

            はじめる前に

            XMPP クライアントの LDAP サーバの名前とアドレスを指定します。

            手順
              ステップ 1   [Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence Administration)] > [アプリケーション(Application)] > [サードパーティ クライアント(Third-Party Clients)] > [サードパーティ LDAP 設定(Third-Party LDAP Settings)] を選択します。
              ステップ 2   次の各フィールドに情報を入力します。
              ステップ 3   ユーザが連絡先の vCard を要求し、LDAP サーバから vCard 情報を取得できるようにする場合は、[LDAP から vCard を作成(Build vCards from LDAP)] をオンにします。ユーザが連絡先リストに参加するときにクライアントが自動的に vCard を要求できるようにする場合は、チェックボックスをオフのままにします。この場合、クライアントはローカル IM and Presence サービス データベースから vCard 情報を取得します。
              ステップ 4   vCard FN フィールドを作成するために必要な LDAP フィールドを入力します。ユーザが連絡先の vCard を要求すると、クライアントは、vCard FN フィールドの値を使用して連絡先リストに連絡先の名前を表示します。
              ステップ 5   検索可能な LDAP 属性テーブルで、適切な LDAP ユーザ フィールドにクライアント ユーザ フィールドをマッピングします。

              Microsoft Active Directory を使用すると、IM and Presence サービスはテーブルにデフォルト属性値を読み込みます。

              ステップ 6   [保存(Save)] をクリックします。
              ステップ 7   Cisco XCP Router サービスを起動します(このサービスがまだ動作していない場合)。
              ヒント   

              サードパーティ製 XMPP クライアント用の LDAP 検索の設定を更新した場合は、Cisco XCP ディレクトリ サービスを再起動します。[Cisco Unified IM and Presence のサービスアビリティ(Cisco Unified IM and Presence Serviceability)] > [ツール(Tools)] > [コントロール センター - 機能サービス(Control Center - Feature Services)] を選択して、このサービスを再起動します。


              次の作業

              Cisco XCP ディレクトリ サービスをオンに設定します。

              Cisco XCP ディレクトリ サービスのオン

              サードパーティ製 XMPP クライアントのユーザが LDAP ディレクトリから連絡先を検索および追加できるようにするには、Cisco XCP ディレクトリ サービスをオンにする必要があります。クラスタ内のすべてのノードで Cisco XCP ディレクトリ サービスをオンにします。


              (注)  


              LDAP サーバおよびサードパーティ製 XMPP クライアントの LDAP 検索設定を設定するまでは、Cisco XCP ディレクトリ サービスをオンにしないでください。Cisco XCP ディレクトリ サービスをオンにするが、LDAP サーバおよびサードパーティ製 XMPP クライアントの LDAP 検索を設定しない場合、サービスは開始してから再度停止します。


              はじめる前に

              LDAP サーバおよびサードパーティ製 XMPP クライアントの LDAP 検索を設定します。

              手順
                ステップ 1   [Cisco Unified IM and Presence Serviceability] > [ツール(Tools)] > [サービスの開始(Service Activation)] を選択します。
                ステップ 2   [サーバ(Server)] メニューから [IM and Presence サービス(IM and Presence Service)] ノードを選択します。
                ステップ 3   [Cisco XCP ディレクトリ サービス(Cisco XCP Directory Service)] を選択します。
                ステップ 4   [保存(Save)] をクリックします。