Voz y Comunicaciones unificadas : Cisco Unified Communications Manager (CallManager)

Configurar la Integración del directorio del administrador de las Comunicaciones unificadas de Cisco

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento proporciona información sobre cómo instalar, configurar y resolver problemas de Cisco Unified Communications Manager Versión 5.0 (anteriormente conocido como CallManager) con la integración de Active Directory.

prerrequisitos

Requisitos

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

  • Conocimiento básico de Microsoft Windows/Active Directory (AD)

Componentes Utilizados

La información en este documento se basa en el administrador de las Comunicaciones unificadas de Cisco 6.1(2)

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Antecedentes

Integración del directorio

Por abandono, en un administrador NON-integrado de las Comunicaciones unificadas de Cisco (CUCM), hay dos tipos de usuarios: usuarios finales y usuarios de la aplicación.

  • Usuarios finales — Todos los usuarios asociados a una persona física y a un inicio de sesión interactivo. Esta categoría incluye todos los usuarios de la Telefonía IP, así como a los administradores unificados CM cuando usted utiliza la configuración de los grupos de usuarios y de los papeles (equivalente a la característica de niveles múltiples de la administración de Cisco en las versiones unificadas anteriores CM).

  • Usuarios de la aplicación — Todos los usuarios asociados a otras características o aplicaciones de las Comunicaciones IP de Cisco, tales como Consola de Attendant de Cisco, Cisco IP Contact Center expreso, o asistente del administrador de las Comunicaciones unificadas de Cisco. Estas aplicaciones necesitan autenticar con el CM unificado, pero estos usuarios internos no tienen un inicio de sesión interactivo. Esto sirve puramente para las comunicaciones internas entre las aplicaciones, por ejemplo, CCMAdministrator, el AC, el JTAPI, el RM, CCMQRTSecureSysUser, CCMQRTSysUser, CCMSysUser, IPMASecureSysUser, IPMASysUser, WDSecureSysUser, y WDSysUser.

Cuando usted integra al administrador de las Comunicaciones unificadas de Cisco con el Active Directory, el proceso de Integración del directorio utiliza una herramienta interna llamada sincronización del directorio Cisco (DirSync) en el CM unificado para sincronizar varios atributos de usuario (manualmente o periódicamente) de un directorio LDAP corporativo. Cuando se habilita esta característica, los usuarios finales son automáticamente aprovisionado del Corporate Directory (Directorio corporativo).

Nota: Mantienen separados y siguen siendo aprovisionado a los usuarios de la aplicación a través de la interfaz de la administración unificada CM. Es decir los usuarios de la aplicación no pueden ser sincronizados del AD.

En resumen, definen en Corporate Directory (Directorio corporativo) y se sincronizan a los usuarios finales en la base de datos unificada CM, mientras que salvan solamente en la base de datos unificada CM y no necesitan a los usuarios de la aplicación ser definidos en Corporate Directory (Directorio corporativo).

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Escenario típico de la Integración del directorio

/image/gif/paws/109379/config_dir_int_call1.gif

  • Active Directory: 10.48.79.37

  • Domain Name: Eire.com

  • Administrador de las Comunicaciones unificadas de Cisco: 10.48.79.93

Configuraciones

En este documento, se utilizan estas configuraciones:

Cuenta de servicio en el AD

Siga los siguientes pasos para crear una Cuenta de servicio en el AD que permite el CM sincroniza el acuerdo de conectar y de autenticar a ella.

  1. Esta cuenta debe poder LEER todos los objetos de usuario dentro de la base deseada de la búsqueda y tener una contraseña definida nunca a expirar. En este caso, se utiliza la cuenta del administrador, pero cualquier otra cuenta con el acceso de lectura a todos los objetos de usuario dentro de la base deseada de la búsqueda es suficiente.

    /image/gif/paws/109379/config_dir_int_call2.gif

  2. En el administrador de las Comunicaciones unificadas de Cisco, abra la página del ccmadmin (http://X.X.X.X/ccmadmin) y navega al sistema > al sistema del ldap de Ldap>.

  3. Marque el permiso que sincroniza de la casilla de verificación del servidor LDAP y elija el Microsoft Active Directory para el tipo de servidor LDAP y el sAMAccountName para el atributo LDAP para la identificación del usuario.

    config_dir_int_call3.gif

    El basan usuarios finales que unificaron las importaciones CM del AD en un atributo estándar AD. En este caso, se utiliza el sAMAccountName. Otras posibilidades son correo, employeeNumber, telephoneNumber, o userPrinicpalName.

  4. De la página del ccmadmin, navegue al sistema > al ldap > al directorio del ldap y el tecleo agrega nuevo para agregar un nuevo acuerdo de la replicación de directorio.

    config_dir_int_call4.gif

  5. Estas dos ventanas aparecen, que indican que borrarán a cualquier Usuario usuario actual en el CM DB una vez la Integración del directorio existe.

    /image/gif/paws/109379/config_dir_int_call5.gif

    config_dir_int_call6.gif

  6. Complete estos campos:

    • Nombre de la Configuración LDAP: Éste es cualquier nombre que usted quiera asignar a la integración.

    • Nombre distintivo del administrador LDAP: Ésta es la cuenta configurada en el AD en el paso 1. esté segura de utilizar uno de éstos:

      • Nombre canónico completo, por ejemplo, cn=Administrator, dc=eire, dc=com

      • Nombre principal del usuario (UPN), por ejemplo, administrator@eire.com

    • Contraseña LDAP: Ésta es la contraseña para la cuenta configurada en el AD en el paso 1.

    • Base de la búsqueda de usuario LDAP: Esta trayectoria define de donde la integración tira de los usuarios del AD.

    • Horario de la sincronización del directorio LDAP.

    config_dir_int_call7.gif

  7. Defina los campos de los usuarios que necesitan ser sincronizados. Esto define el atributo LDAP que asocia contra el atributo que el CM utiliza. Por ejemplo, el samaccountname del atributo asocia contra el atributo userid en la base de datos Informix CM. En otro ejemplo, el objectguid del atributo se asocia al atributo más uniqueidentifier en la base de datos Informix CM.

  8. Agregue el nombre de host o el IP para el servidor AD. Especifique el número del puerto (en este caso 389) y el control independientemente de si usted quiere utilizar el SSL.

    /image/gif/paws/109379/config_dir_int_call8.gif

  9. Active y comience el servicio de Cisco DirSync de la página de la utilidad (http://X.X.X.X/ccmservice) equipa > activación del servicio > Tools (Herramientas) > Control Center (Centro de control) > característica de Cisco DirSync mantiene > Cisco DirSync para acabar la configuración.

    /image/gif/paws/109379/config_dir_int_call9.gif

    Los parámetros del servicio adicional que pueden ser configurados, solamente éstos se pueden dejar para omitir.

    config_dir_int_call10.gif

  10. Usted puede ahora forzar un manual sincroniza para sincronizar los usuarios en el AD (y, más concretamente, a los usuarios en el cn=Users del envase del dominio eire.com) al administrador de las Comunicaciones unificadas de Cisco. Para hacer así pues, navegue a la parte inferior de la página de la Integración del directorio en el administrador de las Comunicaciones unificadas de Cisco (sistema > ldap > directorio del ldap) y abra el campo creado recientemente de la Integración del directorio. En la parte inferior, haga clic la ejecución ahora sincronizan por completo el botón.

    /image/gif/paws/109379/config_dir_int_call11.gif

  11. Una vez los finales del sincronizar, van a las páginas de administración del administrador de las Comunicaciones unificadas de Cisco (http://X.X.X.X/ccmadmin) y navega a User Management (Administración de usuario) > los usuarios finales. Usted puede ahora ver a los usuarios que eran synched del AD en el administrador DB de las Comunicaciones unificadas de Cisco con un estatus activo LDAP.

    /image/gif/paws/109379/config_dir_int_call12.gif

    Nota: En este entorno, un usuario había existido en el administrador de las Comunicaciones unificadas de Cisco antes de funcionar con la Integración del directorio.

  12. Después de que el sincronizar, este usuario ahora esté en el estado pendiente de la cancelación.

    config_dir_int_call13.gif

  13. Cada noche en 3.15, un proceso interno llamó los funcionamientos del servicio del recolector de desechos. Este proceso borra permanentemente cualquier cuenta que haya estado en el inactivo – borra hasta que finalice el estado por más de 24 horas. El administrador de las Comunicaciones unificadas de Cisco no sincroniza las contraseñas de Active Directory. El administrador de las Comunicaciones unificadas de Cisco no tiene ningún conocimiento del mecanismo de encripción del Microsoft Active Directory. En lugar, en el administrador 5.0 de las Comunicaciones unificadas de Cisco, una contraseña predeterminada del ciscocisco y un PIN predeterminado de 12345 se asignan.

    En el administrador 6.0 de las Comunicaciones unificadas de Cisco y posterior, se utiliza un mecanismo credencial predeterminado de la directiva. Esto se puede activar de las páginas del ccmadmin: User Management (Administración de usuario) > valor por defecto credencial de la directiva.

    /image/gif/paws/109379/config_dir_int_call14.gif

    config_dir_int_call15.gif

  14. La directiva credencial permite que usted configuren una contraseña predeterminada, así como algunas políticas de contraseña. Todos los usuarios que se sincronizan del AD después alimentan de esta plantilla para sus contraseñas.

    /image/gif/paws/109379/config_dir_int_call16.gif

  15. Lo mismo solicita el PIN en el administrador 6.0 de las Comunicaciones unificadas de Cisco y posterior.

    config_dir_int_call17.gif

    Es decir cuando integran al administrador de las Comunicaciones unificadas de Cisco con AD (Integración del directorio) pero la autenticación de directorio no se ha habilitado (más sobre el mecanismo de autenticación más adelante), autentican a todos los usuarios finales que fueron sincronizados localmente, es decir, contra la base de datos Informix en el administrador de las Comunicaciones unificadas de Cisco.

    Porque usted puede autenticar localmente, usted puede cambiar la contraseña del usuario del administrador de las Comunicaciones unificadas de Cisco sí mismo.

    Nota: Éste no es el caso si usted utiliza la autenticación de directorio, también.

    config_dir_int_call18.gif

Autenticación de directorio

La autenticación de directorio está instalada encima de la Sincronización de directorio, así que tener autenticación de directorio, la Integración del directorio es un requisito previó. La idea básica es lo mismo, pero la única diferencia es que autentican a los usuarios contra el directorio externo y no más contra la base de datos Informix del administrador de las Comunicaciones unificadas de Cisco. Es decir todos los intentos de autenticación del usuario final (por ejemplo, acceder las páginas del ccmuser, el etc.) se reorientan al AD.

Nota: La autenticación no se aplica a los usuarios de la aplicación o a los contactos. Por ejemplo, los pedidos de autenticación del PIN de la movilidad de la extensión se autentican localmente (contra la base de datos del administrador de las Comunicaciones unificadas de Cisco) y no con el AD.

/image/gif/paws/109379/config_dir_int_call19.gif

  1. Para configurar la autenticación de directorio, abra la página del ccmadmin (http://X.X.X.X/ccmadmin) y navega al sistema > al ldap > a la autenticación Idap.

  2. Complete los campos tal y como se muestra en del gráfico:

    • Nombre distintivo del administrador LDAP: Ésta es la cuenta configurada en el AD en el paso 1. esté segura de utilizar uno de éstos:

      • Nombre canónico completo, por ejemplo, cn=Administrator, dc=eire, dc=com

      • Nombre principal del usuario (UPN), por ejemplo, administrator@eire.com

    • Contraseña LDAP: Ésta es la contraseña para la cuenta configurada en el AD en el paso 1.

    • Base de la búsqueda de usuario LDAP.

    config_dir_int_call20.gif

    Nota: Cuando se habilita la autenticación, hay no más un campo de contraseña en la configuración de los usuarios individuales en el administrador de las Comunicaciones unificadas de Cisco porque las contraseñas del usuario se manejan del AD y no más del administrador de las Comunicaciones unificadas de Cisco.

    /image/gif/paws/109379/config_dir_int_call21.gif

Resolviendo problemas la Integración del directorio (sincronice)

Escenario: Usted agregó al tío de Joe del usuario en el AD y realizó manualmente un sincronizar dentro del administrador de las Comunicaciones unificadas de Cisco.

  1. Fije las trazas de DirSync a detallado. Navegue a la página de la utilidad del administrador de las Comunicaciones unificadas de Cisco y elija el Trace > Configuration > los servicios de directorio > DirSync.

    config_dir_int_call22.gif

    config_dir_int_call23.gif

    config_dir_int_call24.gif

    config_dir_int_call25.gif

  2. En una traza de DirSync, DirSync se invoca del administrador de las Comunicaciones unificadas de Cisco:

    2008-12-15 14:42:13,743 DEBUG [DSLDAPMain] dirsync.DSLDAPMain 
       (DSLDAPMain.java:340) - DSLDAPMain[handleIncomingReq] Now start 
       LDAPSyncImpl for agreement=f74f2069-1160-9d4a-7e8a-db6c476dd9d5
    
    2008-12-15 14:42:13,779 INFO  [DSLDAPMain] ldapplugable.DSLDAPSyncImpl 
       (DSLDAPSyncImpl.java:143) - LDAPSync
       (f74f2069-1160-9d4a-7e8a-db6c476dd9d5)
       [DSLDAPSyncImpl] Search base=cn=Users, dc=eire, dc=com
    
  3. La cuenta que se configura en el administrador de las Comunicaciones unificadas de Cisco para traer a los usuarios es la cuenta del administrador:

    2008-12-15 14:42:13,787 INFO  [DSLDAPMain] ldapplugable.DSLDAPSyncImpl 
       (DSLDAPSyncImpl.java:147) - LDAPSync
       (f74f2069-1160-9d4a-7e8a-db6c476dd9d5)
       [DSLDAPSyncImpl] Manager DN=administrator@eire.com
    Password=aa822fb730462e5bee761623f5384aef87bed6fd62280f8ec6ef01a7a4c537
    
    2008-12-15 14:42:13,813 DEBUG [DSLDAPMain] ldapplugable.DSLDAPSyncImpl 
       (DSLDAPSyncImpl.java:224) - LDAPSync
       (f74f2069-1160-9d4a-7e8a-db6c476dd9d5)
       [DSLDAPSyncImpl] Attributes to return - objectguid:samaccountname:
       givenname:middlename:sn:manager:department:telephonenumber:mail:title:
       homephone:mobile:pager:msrtcsip-primaryuseraddress:
    
    LDAPSync(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)[makeConnection] 
       Successful LDAP connection to : ldap://10.48.79.37:389
    
  4. Salga al AD y busque para todos los usuarios basados en SamAccountName y el objectguid dentro de la base de la búsqueda de usuario específicado. Encuentre al tío de Joe del usuario nuevo:

    LDAPSync(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)
       [sendUserData] Directory entry is CN=Joe Bloke: null:null:
       {mail=mail: jbloke@eire.com, objectguid=objectGUID: 
       [B@1ce3fc5, givenname=givenName: Joe, 
       samaccountname=sAMAccountName: jbloke, sn=sn: Bloke}
    2008-12-15 14:42:15,351 DEBUG [DSLDAPSyncImpl
       (f74f2069-1160-9d4a-7e8a-db6c476dd9d5)] 
       ldapplugable.DSLDAPSyncImpl (DSLDAPSyncImpl.java:926) - 
       LDAPSync(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)[sendUserData] 
       Getting ObjectGUID
    
  5. Recuerde traer ciertos atributos AD (por ejemplo, samaccountname, objectguid, givenname, departamento, telephonenumber, etc.). Déles un valor correspondiente en el Informix DB. Por ejemplo, asocie el “objectguid” en el AD a “UniqueIdentifier” dentro del Informix en el administrador de las Comunicaciones unificadas de Cisco. Éste es un pequeño ejemplo de la asignación del AD al Informix. Esta lista es solamente un pequeño subconjunto. Hay varios más que no se incluyen en este documento.

    /image/gif/paws/109379/config_dir_int_call26.gif

  6. En este caso, asocie el ObjectGuid que fue encontrado para el jbloke del usuario y dé un valor correspondiente al valor de UniqueIdentifier en el administrador de las Comunicaciones unificadas de Cisco:

    LDAPSync(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)[sendUserData] 
       ObjectGUID value=cc15b7817840b947990b83551140cf86
    db6c476dd9d5)] ldapplugable.DSLDAPSyncImpl (DSLDAPSyncImpl.java:1560) 
       - LDAPSync(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)[formUserObject] 
       Name=uniqueidentifier Value=cc15b7817840b947990b83551140cf86
    
  7. Informix siguiente del incorporar si existe un usuario con este atributo determinado de UniqueIdentifier ya:

    2008-12-15 14:42:15,692 DEBUG [DirSync-DBInterface] 
       DSDBInterface.updateUserInfo Check update using uniq id. 
       SQL-SELECT * FROM  EndUser WHERE uniqueidentifier
       ='cc15b7817840b947990b83551140cf86'
    
  8. Entonces agregue al usuario en la tabla del usuario final en el Informix en el administrador de las Comunicaciones unificadas de Cisco:

    2008-12-15 14:42:15,724 DEBUG [DirSync-DBInterface] common.
       DSDBInterface (DSDBInterface.java:377) - DSDBInterface.insert 
       SQL-INSERT INTO EndUser(userid,firstname,mailid,uniqueidentifier,
       lastname,fkdirectorypluginconfig,status) values 
       ('jbloke','Joe','jbloke@eire.com','cc15b7817840b947990b83551140cf86',
       'Bloke','f74f2069-1160-9d4a-7e8a-db6c476dd9d5','1')
    

Resolviendo problemas la Integración del directorio (autenticación)

Escenario: Usted registró en el CCMUser las páginas con la autenticación de “Kurt” de la identificación del usuario reorientada al AD.

  1. Tome una traza de sniffer en el administrador de las Comunicaciones unificadas de Cisco.

  2. Usted ve una petición de búsqueda.

    config_dir_int_call27.gif

    Usted también ve un SearchResponse del AD al administrador de las Comunicaciones unificadas de Cisco para el usuario en la pregunta.

    config_dir_int_call28.gif

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

Mensaje de error: Error mientras que conecta con el ldap

Este mensaje de error aparece al intentar realizar la integración LDAP con el administrador de las Comunicaciones unificadas de Cisco:

Error while Connecting to ldap://10.1.1.2:636, 
javax.net.ssl.SSLException: java.lang.RuntimeException: 
Unexpected error: java.security.InvalidAlgorithmParameterException: 
the trustAnchors parameter must be non-empty

Para resolver el problema, aseegurese que el Security Certificate relevante está cargado bajo la administración/la Seguridad/administración de certificados CUCM OS. También, recomience los servicios de DirSyn y de Tomcat de los servicios de Windows.


Información Relacionada


Document ID: 109379