Voz y Comunicaciones unificadas : Cisco Unified Communications Manager Version 8.0

Cómo configurar la Integración del directorio del administrador de las Comunicaciones unificadas en un entorno del Multi-bosque

25 Agosto 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (17 Julio 2015) | Comentarios

Introducción

Este documento discute cómo configurar la Integración del directorio unificada Cisco del administrador de la comunicación (CUCM) en un entorno del Multi-bosque.

Contribuido por los ingenieros de Cisco.

Prerrequisitos

Requisitos

Cisco recomienda que usted tiene:

  1. Conocimiento del despliegue y configuración de la Integración del directorio CUCM.
  2. Conocimiento del despliegue y configuración del administrador de aplicaciones del Microsoft Active Directory (ADÁN) servicios de directorio Lightweight de 2003 o de Microsoft (AD LD) 2008 o 2012.
  3. Versión CUCM 9.1(2) o más adelante.
  4. Cuando usted utiliza la versión CUCM 9.1(2) o más adelante, el filtro LDAP se puede cambiar con la interfaz Web administrativa. 
  5. El número de cuentas de usuario que se sincronizarán no debe exceder 60,000 cuentas por CUCM Publisher. Cuando más de 60,000 cuentas necesitan ser sincronizadas, el Software Development Kit de los servicios del teléfono del IP (SDK) se debe utilizar para proporcionar un directorio de encargo. Vea la red del desarrollador de Cisco para los detalles adicionales. Cuando usted utiliza la versión CM 10.0(1) o más adelante unificada, las cuentas de la cantidad máxima de usuario soportadas son 160,000.
  6. Microsoft ADÁN 2003 o servicios de directorio Lightweight 2008 o 2012.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Prefacio

El servicio de directorio Lightweight del Microsoft Active Directory (AD LD), conocido antes como modo de aplicación del Active Directory (ADÁN), se puede utilizar para proporcionar los servicios de directorio para las aplicaciones directorio-habilitadas. En vez de usar la base de datos del servicio del dominio de Active Directory de su organización (AD DS) para salvar los datos de aplicación directorio-habilitados, el AD LD se puede utilizar para salvar los datos. El AD LD se puede utilizar conjuntamente con AD DS de modo que usted pueda tener una ubicación central para las cuentas de Seguridad (AD DS) y otra ubicación para soportar la configuración de aplicación y los datos de directorio (AD LD). Con AD LD, usted puede reducir el asociado de arriba con la replicación AD, usted no tiene que extender el esquema AD para soportar la aplicación, y usted puede dividir la estructura de directorios para desplegar el servicio AD LD solamente a los servidores que necesitan soportar la aplicación directorio-habilitada.

  • Instale de la generación de los media - La capacidad de crear el medio de instalación para AD LD con Ntdsutil.exe o Dsdbutil.exe.
  • Valores cambiados auditoría dentro del servicio de directorio.
  • Herramienta del montaje de la base de datos - Le da la capacidad de ver los datos dentro de las fotos de los archivos de base de datos.
  • Soporte de los sitios y de servicios AD - Le da la capacidad de utilizar los sitios AD y los servicios para manejar la replicación de los datos AD LD cambian.
  • Lista dinámica de archivos LDIF - Con esta característica, usted puede asociar los archivos de encargo LDIF a los archivos actuales del valor por defecto LDIF usados para la configuración de AD LD en un servidor.
  • Interrogaciones recurrentes del Conectar-atributo - Las interrogaciones del LDAP pueden seguir los links jerarquizados del atributo para determinar las propiedades adicionales del atributo, tales como calidades de miembro de grupo.

Hay muchas diferencias entre ADÁN y el AD, ADÁN puede entregar solamente la parte de que las funciones entregaron por el AD.

Información general

El objetivo de este documento es explicar los mecanismos que permiten CUCM, o cualquier otro producto de Cisco que utilice Cisco unificó el servicio de la Integración del directorio CM (DirSync), para conseguir la información del usuario y para realizar la autenticación de diversos dominios AD que pueden existir en diversos bosques. Para alcanzar este objetivo, utilizan a ADÁN para sincronizar sus bases de datos de usuarios con diversos controladores de dominio AD u otras fuentes LDAP.

ADÁN puede crear una base de datos de los usuarios y salvar sus detalles. La sola muestra en las funciones (SSO) se desea para evitar a los usuarios finales que tienen que mantener diversos conjuntos de las credenciales en diversos sistemas; por lo tanto, se utiliza el cambio de dirección del lazo de ADÁN. El cambio de dirección del lazo de ADÁN es una función especial para las aplicaciones que soportan el lazo LDAP como mecanismo de autenticación. En algunos casos, el esquema especial, o el nombramiento del contexto, pudo forzarle a evitar el AD, que toma ADÁN una decisión necesaria. Esto evita a los usuarios que tienen que recordar las contraseñas múltiples debido al empleo de un directorio adicional con su propia identificación del usuario y contraseña.

Un objeto del proxy del usuario del special en ADÁN asocia a una cuenta de usuario regular AD. El proxy del usuario no tiene una contraseña real salvada en el objeto sí mismo de ADÁN. Cuando la aplicación realiza su operación normal del lazo, marca el ID localmente, pero marca la contraseña contra el AD bajo cubiertas tal y como se muestra en de esta figura. La aplicación no necesita ser consciente de esta interacción AD.

El cambio de dirección del lazo de ADÁN se debe utilizar solamente en los casos especiales donde una aplicación puede realizar un lazo simple LDAP a ADÁN. Sin embargo, la aplicación todavía necesita asociar al usuario a un principal de la Seguridad en el AD.

El cambio de dirección del lazo de ADÁN ocurre cuando un lazo a ADÁN se intenta con el uso de un objeto especial llamado un objeto del proxy. Un objeto del proxy es un objeto en ADÁN que represente un principal de la Seguridad en el AD.  Cada objeto del proxy en ADÁN contiene el SID de un usuario en el AD. Cuando un usuario intenta atar al proxy un objeto, ADÁN toma el SID que se salva en el objeto del proxy, así como la contraseña que se suministra en el tiempo del lazo, y presenta el SID y la contraseña al AD para la autenticación. Un objeto del proxy en ADÁN no salva una contraseña, y los usuarios no pueden cambiar sus contraseñas AD a través de los objetos del proxy de ADÁN.

La contraseña se presenta en el sólo texto a ADÁN porque la petición inicial del lazo es una petición simple del lazo LDAP. Por este motivo, una conexión SSL se requiere por abandono entre el cliente del directorio y el ADÁN. ADÁN utiliza la Seguridad API de Windows para presentar la contraseña al AD.

Usted puede conseguir más información sobre el cambio de dirección del lazo en la comprensión del cambio de dirección del lazo de ADÁN.

Nota: El requisito para el SSL cuando usted utiliza el cambio de dirección del lazo no debe ser inhabilitado.

Escenario múltiple del soporte del bosque del Active Directory en CUCM

Para explicar el método, imagínese un escenario donde Cisco Systems (el bosque 2) ha adquirido a dos otras compañías: Tandberg (bosque 3) y WebEx (bosque 1). En la fase de la migración, integre la estructura del Active Directory (AD) de cada compañía para permitir el despliegue de un solo cluster de las Comunicaciones unificadas de Cisco.

En el ejemplo, compañía Cisco (el bosque 2) tiene dos dominios de los dominios, de la raíz del bosque llamados CISCO (dns cisco.com) y un subdomain llamado la emergencia (dns emerg.cisco.com). Ambos dominios tienen un controlador de dominio que sea también un catálogo global, y cada uno se recibe en el servidor SP2 de Windows 2008.

Compañía Tandberg (el bosque 3) tiene un solo dominio con un controlador de dominio que sea también un catálogo global, y se recibe en el servidor SP2 de Windows 2008.

WebEx de la compañía (el bosque 1) tiene un solo dominio con un controlador de dominio que sea también un catálogo global, y se recibe en el servidor SP2 del r2 de Windows 2003.

El AD LD está instalado en el controlador de dominio para el dominio CISCO, o puede ser una máquina distinta; de hecho podría estar dondequiera en uno de los tres bosques. La infraestructura DNS debe existir tales que los dominios en un bosque pueden comunicar con los dominios en otros bosques y establecer las relaciones de confianza y las validaciones apropiadas entre los bosques.

Relación de confianza del dominio

Para la autenticación de los usuarios a trabajar, usted necesita tener una confianza entre el dominio donde se recibe el caso de ADÁN, y el otro dominio que recibe las cuentas de usuario. Esta confianza puede ser una confianza unidireccional si procede (confianza saliente del dominio que recibe el caso de ADÁN al dominio que recibe las cuentas de usuario). Esta manera, el caso de ADÁN podrá remitir los pedidos de autenticación a DCS en esos dominios de la cuenta.

Además, usted necesitará tener una cuenta de usuario de ambos los dominios de la cuenta que tenga acceso a todos los atributos de todas las cuentas de usuario en el dominio. Esta cuenta es utilizada por ADAMSync para sincronizar a los Domain User de la cuenta a ADÁN.

Por último, la máquina que funciona con a ADÁN debe poder encontrar todos los dominios (DNS), encontrar a los controladores de dominio en ambos dominios (con el DNS), y conectar con estos controladores de dominio.

Complete estos pasos para configurar las relaciones del intertrust:

  1. Abra los dominios de Active Directory y las confianzas, haga clic con el botón derecho del ratón el dominio que recibe AD LD, y elija las propiedades.

    Nota: El nivel funcional del dominio y el nivel funcional del bosque deben ser 2003 o más adelante.

  2. Haga clic la lengueta de las confianzas, y haga clic la nueva confianza.

  3. Siga al Asisitente y ingrese el nombre del dominio que usted quiere establecer la confianza con. Haga clic en Next (Siguiente).

  4. Haga clic el botón de radio de la confianza del bosque. Haga clic en Next (Siguiente).

  5. En la dirección una forma de la confianza solamente “: saliente” se requiere. Haga clic una forma: botón de radio saliente. Haga clic en Next (Siguiente).

  6. Permita que el Asisitente configure ambos dominios. Haga clic el este dominio y el botón de radio del dominio especificado. Haga clic en Next (Siguiente).

  7. Ingrese las credenciales para el otro dominio. Haga clic en Next (Siguiente).

  8. Haga clic el botón de radio Bosque-ancho de la autenticación. Haga clic en Next (Siguiente).

  9. Haga clic el sí, confirme el botón de radio saliente de la confianza. Haga clic en Next (Siguiente).

Éste es el resultado que usted recibe después de que usted funcione con este proceso para los dominios de Tandberg y del WebEx. La emergencia del dominio está allí por abandono puesto que es un Dominio hijo.

Instale AD LD

Instale AD LD en 2008

  1. Abra al administrador de servidor, haga clic los papeles, y el tecleo agrega los papeles.

  2. Marque la casilla de verificación de los servicios de directorio Lightweight del Active Directory. Haga clic en Next (Siguiente).

  3. La ventana del progreso de la instalación de los servicios AD LD aparece.

Instale AD LD en 2012

Complete estos pasos para configurar AD LD en 2012:

  1. Abra al administrador de servidor y elija agregan los papeles y las características. Haga clic después y haga clic el tipo de la instalación para moverse a la página de tipo de la instalación.

  2. Elija la opción predeterminada y haga clic después.

  3. Haga clic el selecto un servidor del botón de radio del pool del servidor para seleccionar el servidor predeterminado. Haga clic en Next (Siguiente).

  4. Marque la casilla de verificación de los servicios de directorio Lightweight del Active Directory y el tecleo agrega las características. Continúe con la instalación.

  5. Haga clic después en las páginas subsiguientes.
  6. Haga clic el reinicio el checkbox del servidor de destino automáticamente si procede y el tecleo instala para instalar la característica.

  7. Después de que la instalación se complete con éxito, tecleo cercano para cerrar al Asisitente.

Instale el caso para el soporte múltiple del bosque

El AD LD puede funcionar con diversos casos de los servicios con diversos puertos que permite diverso directorio de usuario “aplicaciones” ser ejecutado en la misma máquina. Por abandono el AD LD elige los puertos 389/LDAP y 636/LDAPS, pero si el sistema tiene ya cualquier clase de servicios LDAP que los ejecuten él utilizará los puertos 50000/LDAP y 50001/LDAPS. Cada caso tendrá un par de puertos que incrementen basado en los números anteriores usados.

En algunos casos, debido a un bug de Microsoft, los puertos son utilizados ya por el servidor DNS de Microsoft y el Asisitente del caso da un error (que no sea que se explica por sí mismo). Este error puede ser reparado cuando usted reserva los puertos en la pila de TCP/IP. Si usted encuentra este problema, vea que comienzo del servicio AD LD falla con el error “configuración no podría comenzar el servicio…” + código de error 8007041d.

Soporte múltiple del bosque en 2008

  1. En el administrador de servidor, elija los papeles y entonces los servicios de directorio Lightweight del Active Directory.  Haga clic hacen clic aquí para crear un caso AD LD.

  2. Haga clic el botón de radio único del caso A. Haga clic en Next (Siguiente).

  3. En el campo de nombre de instancia, ingrese el nombre del caso. Es MultiForest en este ejemplo. Haga clic en Next (Siguiente).

  4. Ingrese el número del puerto seleccionado del LDAP y el número del puerto SSL o permita que el sistema los elija para usted. Haga clic en Next (Siguiente).

  5. Haga clic el sí, cree un botón de radio de la división del directorio de la aplicación. Ingrese el nombre de la división en el campo de nombre de la división. Por ejemplo, no proporcione un cn como en el ejemplo del Asisitente, porque la mayor parte del tiempo eso crea un error en los esquemas. En este escenario, la misma división que el controlador de dominio AD que recibe AD LD (dc=cisco, dc=com) fue ingresada. Haga clic en Next (Siguiente).

  6. Haga clic el este botón de radio de la cuenta. Ingrese un Nombre de usuario y una contraseña para encender el servidor. Haga clic en Next (Siguiente).

  7. Haga clic el botón de radio actualmente abierto una sesión del usuario. Ingrese el nombre del usuario con los permisos administrativos. Haga clic en Next (Siguiente).

  8. Importe los archivos predeterminados resaltados LDIF para construir el esquema. Haga clic en Next (Siguiente).

Nota: Si ADÁN está instalado en Windows 2003 separe, después la pantalla anterior tendrá solamente cuatro opciones:  MS-AZMan.LDF, MS-InetOrgPerson.LDF, MS-User.LDF, y MS-UserProxy.LDF. De estos cuatro, marque solamente las casillas de verificación para MS-User.LDF y MS-InetOrgPerson.LDF.

Soporte múltiple del bosque en 2012

  1. Abra las herramientas administrativas y haga doble clic al asistente para la configuración de los servicios de directorio Lightweight del Active Directory.

  2. Haga clic en Next (Siguiente).

  3. Marque el botón de radio único del caso A. Haga clic en Next (Siguiente).

  4. Ingrese un nombre de instancia y una descripción para el caso. El nombre “MultiForest” se ingresa aquí. Haga clic en Next (Siguiente).

  5. Ingrese los números del puerto del LDAP y SSL. Los puertos preferidos son 389 y 636 respectivamente. Si el servidor del dominio es un servidor del niño y si el dominio del padre utiliza estos puertos, después por abandono diversos números del puerto serán poblados. En ese caso, no los cambie y continúe con la instalación. Haga clic en Next (Siguiente).

  6. Aquí, por abandono, se han poblado otros números del puerto. Haga clic en Next (Siguiente).

  7. Haga clic el sí, cree un botón de radio de la división del directorio de la aplicación. Ingrese el nombre de la división. Cree la división para los LD como cisco.com. Cualquier valor conveniente puede ser proporcionado. Haga clic en Next (Siguiente).

  8. Elija la opción predeterminada en las páginas subsiguientes y continúe.

  9. Marque las casillas de verificación MS-InetOrgPerson.LDF, MS-User.LDF, MS-UserProxy.LDF, y MS-UserProxyFull.LDF. Haga clic en Next (Siguiente).

  10. Haga clic después para comenzar la instalación.

  11. La instalación se completa con éxito. Haga clic en Finish (Finalizar).

Cree una división del directorio para que cada dominio sincronice

Si hay usuarios múltiples con la misma identificación del usuario (sAMAccountName) en los diversos dominios de los diversos bosques, usted necesita crear una división del directorio de la aplicación en AD LD para cada dominio que usted quiere sincronizar.

Refiera al documento de Microsoft en cómo crear una división del directorio de la aplicación, el paso 5: Practique el trabajar con las divisiones del directorio de la aplicación.

En este ejemplo, hay un dominio cisco.com del top, y habrá cuatro divisiones del directorio (domain1, domain2, domain3, domain4) creadas bajo él, uno para cada dominio que usted quiera sincronizar con AD LD.

Nota: El ObjectClass necesita ser domainDNS y no envase según lo referido al documento de Microsoft.

Este proceso para crear una división del directorio para cada dominio que usted quiere sincronizar contra los trabajos basó en la remisión LDAP (RFC 2251) y requiere que el cliente LDAP (CUCM, TAZA, y así sucesivamente) soporta las remisiones. 

Copie el esquema de cada dominio a ADÁN. Este proceso necesita ser relanzado para cada dominio (en este ejemplo que usted necesitaría relanzar esto cuatro veces, una por cada controlador de dominio que usted tiene) ese usted necesidad de sincronizar a.

Nota: Este ejemplo muestra solamente el proceso contra uno de los dominios en el escenario.

  1. Abra el analizador del esquema AD DS/LDS (ADSchemaAnalyzer.exe) en el directorio c:\windows\adam.
  2. Elija esquema de la blanco del archivo > de la carga.

  3. Proporcione las credenciales del controlador de dominio de la fuente AD de quien usted quiere importar. Haga clic la autorización.

  4. Elija el esquema bajo del archivo > de la carga.

  5. Especifique el AD LD con el cual usted quiere conectar y extienda el esquema. Haga clic la autorización.

  6. Elija el esquema > la marca todos los elementos NON-presentes según lo incluido.

  7. Elija el archivo > crean el archivo LDIF.  En este ejemplo, el archivo creado vía este paso es diff-schema.ldf. Para simplificar el proceso el archivo se debe crear en c:\windows\adam.

    Una opción disponible ayudar a ordenar los archivos que necesitan ser generados es crear un directorio separado para tener en cuenta para que estos archivos sean separados del directorio principal de c:\windows\adam. Abra un comando prompt y cree un directorio del registro en c:\windows\adam.

    cd \windows\adam
    mkdir logs
  8. Importe el esquema del ldif, creado con el analizador de ADSchema, a AD LD.
    ldifde -i -s localhost:50000 -c CN=Configuration,DC=X
    #ConfigurationNamingContext -f diff-schema.ldf -j c:\windows\adam\logs

    Refiérase con el LDIFDE para importar y para exportar los Objetos del directorio al Active Directory para las opciones y los formatos del comando adicionales del ldifde.

Extienda el esquema AD LD con los objetos del Usuario-proxy

El objeto para la autenticación de representación necesita ser creado y la clase de objeto “usuario” no será utilizada. La clase de objeto se crea que, userProxy, es qué permite el cambio de dirección del lazo. El detalle de la clase de objeto necesita ser creado en un archivo del ldif. El archivo es una creación de un nuevo archivo, que en este ejemplo es MS-UserProxy-Cisco.ldf.  Este nuevo archivo se genera del MS-UserProxy.ldf original y editado, utilice un texto editan el programa, para tener este contenido:

#==================================================================
# @@UI-Description: AD LDS simple userProxy class.
#
# This file contains user extensions for default ADAM schema.
# It should be imported with the following command:
# ldifde -i -f MS-UserProxy.ldf -s server:port -b username domain password -k -j . -c
"CN=Schema,CN=Configuration,DC=X" #schemaNamingContext
#
#==================================================================

dn: CN=User-Proxy,CN=Schema,CN=Configuration,DC=X
changetype: ntdsSchemaAdd
objectClass: top
objectClass: classSchema
cn: User-Proxy
subClassOf: top
governsID: 1.2.840.113556.1.5.246
schemaIDGUID:: bxjWYLbzmEiwrWU1r8B2IA==
rDNAttID: cn
showInAdvancedViewOnly: TRUE
adminDisplayName: User-Proxy
adminDescription: Sample class for bind proxy implementation.
objectClassCategory: 1
lDAPDisplayName: userProxy
systemOnly: FALSE
possSuperiors: domainDNS
possSuperiors: organizationalUnit
possSuperiors: container
possSuperiors: organization
defaultSecurityDescriptor:
D:(OA;;CR;ab721a53-1e2f-11d0-9819-00aa0040529b;;PS)S:
defaultHidingValue: TRUE
defaultObjectCategory: CN=User-Proxy,CN=Schema,CN=Configuration,DC=X
systemAuxiliaryClass: msDS-BindProxy
systemMayContain: userPrincipalName
systemMayContain: givenName
systemMayContain: middleName
systemMayContain: sn
systemMayContain: manager
systemMayContain: department
systemMayContain: telephoneNumber
systemMayContain: mail
systemMayContain: title
systemMayContain: homephone
systemMayContain: mobile
systemMayContain: pager
systemMayContain: msDS-UserAccountDisabled
systemMayContain: samAccountName
systemMayContain: employeeNumber

dn:
changetype: modify
add: schemaUpdateNow
schemaUpdateNow: 1
Save MS-UserProxy-Cisco.ldf file in C:\windows\adam

Importe la nueva clase de objeto a AD LD.

ldifde -i -s localhost:50000 -c CN=Configuration,DC=X #ConfigurationNamingContext -f
MS-UserProxy-Cisco.ldf -j c:\windows\adam\logs

Importe a los usuarios de AD DC a AD LD

El usuario de cada dominio ahora necesita ser importado a AD LD. Este paso necesita ser relanzado para cada dominio que necesite sincronizar. Este ejemplo muestra solamente el proceso contra uno de los dominios. Comience con el MS-AdamSyncConf.xml original y cree un archivo XML para cada dominio que necesite ser sincronizado y modifique el archivo con los detalles específicos a cada dominio para tener este contenido:

<?xml version="1.0"?>
<doc>
 <configuration> 
  <description>Adam-Sync1</description> 
  <security-mode>object</security-mode>        
  <source-ad-name>ad2k8-1</source-ad-name> 
  <source-ad-partition>dc=cisco,dc=com</source-ad-partition>
  <source-ad-account></source-ad-account>              
  <account-domain></account-domain>
  <target-dn>dc=cisco,dc=com</target-dn> 
  <query>  
   <base-dn>dc=cisco,dc=com</base-dn>
    <object-filter>
(&#124;(&amp;(!cn=Administrator)(!cn=Guest) (!cn=ASPNET)
(!cn=krbtgt)(sAMAccountType=805306368))(&amp;(objectClass=user)(isDeleted=TRUE)))
    </object-filter>
   <attributes>
    <include>objectSID</include>
    <include>mail</include>
    <include>userPrincipalName</include>
    <include>middleName</include>
    <include>manager</include>
    <include>givenName</include>
    <include>sn</include>
    <include>department</include>
    <include>telephoneNumber</include>
    <include>title</include>
    <include>homephone</include>
    <include>mobile</include>
    <include>pager</include>
    <include>msDS-UserAccountDisabled</include>
    <include>samAccountName</include>
    <include>employeeNumber</include>
    <exclude></exclude>
   </attributes> 
  </query>
 <user-proxy>
    <source-object-class>user</source-object-class>
    <target-object-class>userProxy</target-object-class>
  </user-proxy> 
  <schedule>  
   <aging>   
    <frequency>0</frequency>   
    <num-objects>0</num-objects>  
   </aging>  
   <schtasks-cmd></schtasks-cmd> 
  </schedule>
 </configuration>
 <synchronizer-state> 
  <dirsync-cookie></dirsync-cookie> 
  <status></status> 
  <authoritative-adam-instance></authoritative-adam-instance>
  <configuration-file-guid></configuration-file-guid> 
  <last-sync-attempt-time></last-sync-attempt-time> 
  <last-sync-success-time></last-sync-success-time> 
  <last-sync-error-time></last-sync-error-time> 
  <last-sync-error-string></last-sync-error-string> 
  <consecutive-sync-failures></consecutive-sync-failures> 
  <user-credentials></user-credentials> 
  <runs-since-last-object-update></runs-since-last-object-update>
  <runs-since-last-full-sync></runs-since-last-full-sync>
 </synchronizer-state>
</doc>

En este archivo, estas etiquetas se deben substituir para hacer juego el dominio:

  • <source-ad-name> - Utilice el nombre del host del dominio.
  • <source-ad-partition> - Utilice la división de la raíz de la fuente AD DC de la cual usted quiere importar (por ejemplo dc=cisco, dc=com, o dc=Tandberg, dc=com).
  • <base-dn> - Elija el envase del cual importar. Por ejemplo, si requieren a todos los usuarios del dominio éste debe ser lo mismo que el <source-ad-partition>, pero si los usuarios son de una unidad organizativa específica (tal como finanzas OU), debe ser similar a OU=Finance, dc=cisco, dc=com.

Refiera a la referencia del archivo de configuración XML de Adamsync para la información sobre el archivo de configuración de Adamsync XML.

Refiera al sintaxis del filtro de la búsqueda para más información sobre cómo crear un <object-filter>.

Salve el archivo XML creado recientemente en C:\windows\adam.

Abra una ventana de comando, Cd \ las ventanas \ Adán.

Ingrese el comando, ADAMSync /install localhost:50000 c:\windows\ADAM\AdamSyncConf1.xml /log c:\windows\adam\logs\install.log.

Verifique que el archivo AdamSyncConf1.xml sea el archivo XML creado recientemente.

Sincronice a los usuarios con el comando ADAMSync /sync localhost:50000 “dc=cisco, dc=com” /log c:\windows\adam\logs\sync.log.

El resultado debe ser similar a:

Para completar una sincronización automática del AD a ADÁN, utilice al Programador de tareas en Windows.

Cree un archivo del .bat con este contenido en él: 

“C:\Windows\ADAM\ADAMSync” /install localhost:50000 c:\windows\ADAM\AdamSyncConf1.xml /log c:\windows\adam\logs\install.log

“C:\Windows\ADAM\ADAMSync” /sync localhost:50000 “dc=cisco, dc=com” /log c:\windows\adam\logs\syn.log

Programe la tarea de funcionar con el archivo del .bat según las necesidades. Esto toma el cuidado de las adiciones, las modificaciones, y las cancelacínes que suceden en el AD que se reflejará en ADÁN también.

Usted puede crear otro archivo del .bat y programarlo para completar una sincronización automática del otro bosque.

Cree al usuario en AD LD para la sincronización y la autenticación CUCM

  1. El ADSI abierto edita de las herramientas del administrador en el menú de inicio.
  2. Elija el archivo > la conexión (o la acción > conecte con).
  3. Conecte para basar el dn del árbol AD LD (dc=cisco, dc=com) y para especificar el host y para virar donde hacia el lado de babor se recibe (localhost:50000). Haga clic en OK.

  4. Haga clic con el botón derecho del ratón la base DN y elija nuevo > objeto.

  5. Elija al usuario. Haga clic en Next (Siguiente).

  6. En el campo de valor, ingrese el nombre del objeto elegido. En este ejemplo “raíz” es el nombre elegido (cualquier nombre se podría elegir aquí). Haga clic en Next (Siguiente).

  7. Para proporcionar una contraseña al usuario nuevo, haga clic con el botón derecho del ratón al usuario y elija la contraseña de la restauración.

  8. Inhabilitan al usuario nuevo por abandono. Para habilitar al usuario nuevo, haga clic con el botón derecho del ratón al usuario y elija las propiedades.

  9. Hojee al atributo MSD-UserAccountDisabled y al tecleo editan.

  10. Haga clic el botón de radio falso para habilitar la cuenta de usuario. Haga clic en OK.

  11. Haga clic el botón de radio verdadero para asegurarse que nunca expirará la contraseña. Haga clic en OK.

  12. El usuario nuevo necesita ser agregado a un grupo que tenga permiso de la lectura al AD LD, que en este eligieron los Administradores de ejemplo. Hojee a CN=Roles > a CN=Administrators. Haga clic con el botón derecho del ratón CN=Administrators y elija las propiedades.

  13. Elija al miembro del atributo y el tecleo edita.

  14. Ingrese el nuevo DN que fue creado previamente, cn=root, dc=cisco, dc=com, a este grupo. Haga clic en OK.

  15. Ahora elija el esquema de la actualización y recomience AD LD.

Configure el cambio de dirección del lazo

Por abandono, el atar a ADÁN con el cambio de dirección del lazo requiere una conexión SSL. El SSL requiere la instalación y el uso de los Certificados en el ordenador que funciona con a ADÁN y en el ordenador que conecta con ADÁN como cliente. Si los Certificados no están instalados en su entorno de prueba de ADÁN, usted puede inhabilitar el requisito para el SSL como alternativa.

Nota: Inhabilitar el requisito para el SSL para el cambio de dirección del lazo hace la contraseña de un principal de la Seguridad de Windows pasar al ordenador que funciona con a ADÁN sin el cifrado. Así, usted debe inhabilitar solamente el requisito SSL en un entorno de prueba.

Por abandono, se habilita el SSL. Para hacer el trabajo del protocolo LDAPS en ADAM/LDS que usted necesitará generar un certificado.

En este ejemplo, el servidor de las autoridades de certificación de Microsoft se utiliza para publicar el certificado. Para pedir un certificado, vaya a la página web de Microsoft CA - http:// <MSFT CA hostname>/certsrv y complete estos pasos:

  1. Haga clic la petición un certificado.
  2. Haga clic el pedido de certificado avanzado.
  3. El tecleo crea y somete una petición a este CA.
  4. En el textbox del nombre, ingrese el nombre DNS completo del servidor ADAM/AD LD.
  5. Asegúrese que el tipo de certificado sea Certificado de autenticación de servidor.
  6. Para el formato, elija PCKS10.
  7. Elija las claves de la marca como exportables.
  8. Opcionalmente, complete la otra información.
  9. En el textbox cómodo del nombre, ingrese el nombre dns completo del servidor ADAM/AD LD.
  10. Haga clic en Submit (Enviar).

Vuelva a la interfaz de las autoridades de certificación y haga clic la carpeta pendiente de los Certificados. Haga clic con el botón derecho del ratón el pedido de certificado hecho por la máquina ADAM/AD-LDS y publique el certificado.

El certificado ahora se ha creado y reside en la carpeta de los “Certificados publicados”. Después, usted necesita descargar y instalar el certificado:

  1. Abra http:// <MSFT CA hostname>/certsrv.
  2. Haga clic la visión el estatus de un pedido de certificado pendiente.
  3. Haga clic el pedido de certificado.

Haga clic el certificado para instalarlo.

Para dejar al ADÁN mantener el uso el certificado, usted necesita poner el certificado en el almacén personal del servicio de ADÁN:

  1. Desde el principio el menú, elige el funcionamiento. Tipo mmc. Esto abre la consola de administración.
  2. El clic en Archivo \ agrega/quita broche-en.
  3. Haga clic agregan y eligen los Certificados.
  4. Eligió la Cuenta de servicio.
  5. Elija la computadora local.
  6. Elija su servicio del caso de ADÁN.
  7. Agregue un nuevo certificado broche-en, pero este vez elige mi cuenta de usuario en vez de la Cuenta de servicio.
  8. Tecleo cercano y autorización del tecleo.
  9. En los Certificados - El usuario-árbol actual, abre la carpeta personal.
  10. Seleccione el certificado y copíelo en la misma ubicación conforme a los “Certificados - nombre de instancia de Adán”.

Permiso de lectura de Grant en el Certificado de autenticación de servidor a la cuenta de servicio de red.

  1. Navegue a este directorio predeterminado donde se salvan los Certificados instalados o importados - C:\ProgramData\Microsoft\Crypto\RSA\MachineKeys.
  2. Haga clic con el botón derecho del ratón el Certificado de autenticación de servidor apropiado. Haga clic en Properties (Propiedades).
  3. Haga clic el tecleo de cuadro de la Seguridad editan.
  4. En el cuadro de diálogo de los permisos, haga click en Add
  5. En la casilla de diálogo Seleccionar usuarios, computadoras o grupos, ingrese el servicio de red. Haga clic en OK.
  6. Recomience su caso de ADÁN.

Más información se puede encontrar en el Apéndice A: Configurar el LDAP sobre los requisitos SSL para AD LD.

Después, cargue el certificado de CA que publicó el certificado a la máquina ADAM/AD LD como una confianza del directorio CUCM.

Refiera a la guía de administración del sistema de las operaciones de las Comunicaciones unificadas de Cisco para los detalles adicionales.

Elija el checkbox para utilizar el SSL en la página del directorio LDAP y la página de la autenticación Idap.

Ingrese 50001 (en este ejemplo) para el puerto del LDAP, que es el número del puerto SSL dado cuando usted instaló el caso ADAM/AD LD.

Para inhabilitar el requisito SSL para el cambio de dirección del lazo, complete estos pasos:

  1. Haga clic el comienzo, señale a las herramientas administrativas, y el tecleo ADSI edita.
  2. En el Menú Action (Acción), elija conectan con.
  3. En el campo de Computadora, ingrese localhost:50000 (éste es host y puerto del theADAM.).

  4. En la sección del punto de conexión, haga clic el selecto un botón de radio de nombramiento bien conocido del contexto. De la lista desplegable, elija la configuración. Haga clic en OK.
  5. En el árbol de la consola, hojee a este objeto del envase en la división de la configuración: Servicio de CN=Directory, Windows NT CN=, CN=Services.
  6. Haga clic con el botón derecho del ratón el servicio de CN=Directory y elija las propiedades.

  7. En los atributos, haga clic las MSD-Otro-configuraciones. Haga clic en Editar.
  8. En los valores, el tecleo RequireSecureProxyBind=1 y entonces hace clic quita.
  9. En el valor a agregar, ingrese RequireSecureProxyBind=0, tecleo agregan, y después hacen clic la AUTORIZACIÓN.
  10. Recomience AD LD para que los cambios tomen el efecto.

Para más información, refiera manejo de la autenticación en ADÁN.

Configure CUCM

La sincronización y la autenticación ADAM/AD LD se soporta en la versión 9.1(2) y posterior CUCM.

  1. Elija el sistema > el sistema LDAP > LDAP.
  2. Seleccione Microsoft ADÁN o los servicios de directorio Lightweight.
  3. Usted puede elegir ninguno de estos atributos LDAP userid: correo, número de empleado, o número de teléfono.

    el uid se utiliza solamente con ADAM/AD independiente LD y no con el soporte del multi-bosque AD.

    Actualmente, para el modo de los servicios de directorio Lightweight del tipo de servidor LDAP “Microsoft ADÁN o”, samAccountName no se incluye en el atributo LDAP para el descenso-abajo Userid. La razón es que no es un atributo soportado con ADAM/AD independiente LD.

  4. Configure la sincronización LDAP con las credenciales del creado por el usuario en AD LD.

  5. Configure la autenticación Idap con las credenciales del creado por el usuario en AD LD.

Filtros LDAP en CUCM

El usuario de la clase de objeto es no se utilizan más. Por lo tanto, el filtro LDAP necesita ser cambiado para utilizar el userProxy en vez del usuario.

El filtro predeterminado es:
¡(y (objectclass=user) (! (objectclass=Computer))¡(! (msDS-UserAccountDisabled=TRUE)))

Para modificar este filtro, inicie sesión al ccmadmin con un buscador Web y elija la opción de filtro de encargo LDAP del menú de la Configuración LDAP.

Este filtro se utiliza en la página del directorio LDAP mientras que configura el acuerdo de la sincronización LDAP tal y como se muestra en de la sección de la “configuración CUCM”.

Si usted utiliza una versión de CUCM que sea anterior que 9.x, le requieren utilizar el juego de herramientas del JABÓN AXL para cambiar el filtro del valor por defecto LDAP.

Entre en contacto a su equipo de cuenta Cisco local para conseguir el whitepaper que explica cómo alcanzar esto con el AXL. Se titula “usuario que filtra para la Sincronización de directorio y la autenticación”.

Su script AXL debe parecer esto:

<?xml version="1.0" encoding="UTF-8"?>
<!--DTD generated by XMLSPY v5 rel. 4 U (http://www.xmlspy.com)-->
<!DOCTYPE data [
      <!ELEMENT data (sql+)>
      <!ELEMENT sql EMPTY>
      <!ATTLIST sql
      query CDATA #IMPLIED
             update CDATA #IMPLIED
>
]>
<data>
      <sql update="update ldapfilter set filter ='(&amp;(objectclass=userProxy)
(!(objectclass=Computer))(!(msDS-UserAccountDisabled=TRUE)))' where tkldapserver=4"/>
      <sql query="select * from ldapfilter where tkldapserver=4"/>
</data>

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 111979