Голосовая связь и система унифицированных коммуникаций : Cisco Unified Communications Manager (CallManager)

Интеграция каталогов Cisco Unified Communications Manager Настройки

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв


Содержание


Введение

В этом документе представлены сведения об установке, настройке и устранении неполадок решения Cisco Unified Communications Manager (ранее именовавшегося CallManager) версии 5.0 и последующих версий с интеграцией Active Directory.

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

  • Базовые знания о Microsoft Windows / Active Directory (AD)

Используемые компоненты

Сведения в этом документе основываются на Cisco Unified Communications Manager 6.1 (2)

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Общие сведения

Интеграция каталогов

По умолчанию, на неинтегрированном Cisco Unified Communications Manager (CUCM), существует два типа пользовательских пользователей: end и пользователей приложения.

  • Конечные пользователи — Все пользователи связались с физическим лицом и интерактивным входом в систему. Эта категория включает всех пользователей IP-телефонии, а также Унифицированных администраторов CM при использовании конфигурации Групп пользователей и Ролей (эквивалентный Cisco Многоуровневая Функция администрирования в предшествующих Унифицированных версиях CM).

  • Пользователи приложения — Все пользователи связались с другими функциями IP-коммуникаций Cisco или приложениями, такими как Консоль оператора Cisco, Cisco IP Contact Center Express или Cisco Unified Communications Manager Assistant. Эти приложения должны подтвердить подлинность с Унифицированным CM, но у этих внутренних пользователей нет интерактивного входа в систему. Это служит просто для внутренних связей между приложениями, например, CCMAdministrator, AC, JTAPI, RM, CCMQRTSecureSysUser, CCMQRTSysUser, CCMSysUser, IPMASecureSysUser, IPMASysUser, WDSecureSysUser и WDSysUser.

При интеграции Cisco Unified Communications Manager с Active Directory процесс Интеграции каталогов использует внутреннее программное средство, названное Синхронизацией каталога Cisco (DirSync) на Унифицированном CM для синхронизации многих атрибутов пользователя (или вручную или периодически) из корпоративного каталога LDAP. Когда эта опция активирована, конечные пользователи автоматически обеспечены из корпоративного каталога.

Примечание: Пользователи приложения разделены и все еще обеспечены через Унифицированный Интерфейс администрирования CM. Другими словами, пользователи приложения не могут синхронизироваться из AD.

Таким образом, в то время как пользователи приложения сохранены только в Унифицированной базе данных CM и не должны быть определены в корпоративном каталоге, конечные пользователи определяются в корпоративном каталоге и синхронизируются в Унифицированную базу данных CM.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Схема сети

В этом документе использованы параметры данной сети:

Типичный сценарий интеграции каталогов

/image/gif/paws/109379/config_dir_int_call1.gif

  • Active Directory: 10.48.79.37

  • Доменное имя: Eire.com

  • Cisco Unified Communications Manager: 10.48.79.93

Конфигурации

Эти конфигурации используются в данном документе:

Учетная запись сервиса в AD

Выполните эти действия для создания учетной записи сервиса в AD, который позволяет соглашению о синхронизовании CM подключить и подтвердить подлинность к ней.

  1. Эта учетная запись должна быть в состоянии СЧИТАТЬ все объекты пользователя в требуемом поисковом ядре и иметь заданный пароль, чтобы никогда не истечь. В этом случае Учетная запись администратора используется, но достаточна любая другая учетная запись с Доступом для чтения ко всем объектам пользователя в требуемом поисковом ядре.

    /image/gif/paws/109379/config_dir_int_call2.gif

  2. На Cisco Unified Communications Manager, открытом страница ccmadmin (http://X.X.X.X/ccmadmin) и, перешли к Системе> Ldap> Система Ldap.

  3. Проверьте флажок Enable Synchronizing from LDAP Server и выберите Microsoft Active Directory для LDAP Server Type и sAMAccountName для LDAP Attribute for User ID.

    config_dir_int_call3.gif

    Конечные пользователи, которые Унифицированный импорт CM из AD основывается на стандартном AD атрибуте. В этом случае sAMAccountName используется. Другие возможности являются Почтой, employeeNumber, telephoneNumber, или userPrinicpalName.

  4. От страницы CCMAdmin перейдите к Системе> Ldap> Каталог Ldap и нажмите Add New для добавления нового Directory Replication Agreement.

    config_dir_int_call4.gif

  5. Эти два окна появляются, которые указывают, что любой текущий пользователь в DB CM будет удален, как только существует Интеграция каталогов.

    /image/gif/paws/109379/config_dir_int_call5.gif

    config_dir_int_call6.gif

  6. Заполните эти поля:

    • Название Конфигурации LDAP: Это - любое название, которое вы хотите назначить на интеграцию.

    • Менеджер LDAP Составное имя: Это - учетная запись, настроенная в AD в Шаге 1. Обязательно используйте один из них:

      • Завершенное установленное имя, например, cn=Administrator, dc=eire, dc=com

      • Главное имя пользователя (UPN), например, administrator@eire.com

    • Пароль LDAP: Это - пароль для учетной записи, настроенной в AD в Шаге 1.

    • Ядро поиска ПОЛЬЗОВАТЕЛЯ LDAP: Этот путь определяет от того, где интеграция вытягивает пользователей из AD.

    • Список синхронизации каталога LDAP.

    config_dir_int_call7.gif

  7. Определите поля пользователей, которые должны синхронизироваться. Это определяет атрибут LDAP сопоставления по сравнению с атрибутом, который использует CM. Например, атрибут samaccountname сопоставляет против идентификатора пользователя атрибута в Базе данных Informix CM. В другом примере атрибут objectguid сопоставлен с атрибутом uniqueidentifier в Базе данных Informix CM.

  8. Добавьте Имя хоста или IP для AD сервера. Задайте номер порта (в этом случае 389) и проверьте, хотите ли вы использовать SSL.

    /image/gif/paws/109379/config_dir_int_call8.gif

  9. Активируйте и запустите Сервис Cisco DirSync со страницы Serviceability (http://X.X.X.X/ccmservice) Программные средства> Сервисная Активация> Tools> Control Center Cisco DirSync> Feature Services> Cisco DirSync для завершения конфигурации.

    /image/gif/paws/109379/config_dir_int_call9.gif

    Параметры дополнительного сервиса, которые могут быть настроены, но их можно оставить не выполнить своих обязательств.

    config_dir_int_call10.gif

  10. Можно теперь вызвать ручное синхронизование для синхронизации пользователей в AD (и, более в частности, пользователей в контейнерном cn=Users от доменного eire.com) к Cisco Unified Communications Manager. В заказе для этого перешли к нижней части страницы Directory Integration на Cisco Unified Communications Manager (Система> Ldap> Каталог Ldap) и открывают недавно созданный Directory Integration Field. В нижней части нажмите кнопку Perform Full Sync Now.

    /image/gif/paws/109379/config_dir_int_call11.gif

  11. Как только синхронизование заканчивается, перейдите к страницам администратора Cisco Unified Communications Manager (http://X.X.X.X/ccmadmin) и перейдите к Управлению пользователями> Конечные пользователи. Можно теперь видеть пользователей, которые синхронизировались из AD в DB Cisco Unified Communications Manager с активным статусом LDAP.

    /image/gif/paws/109379/config_dir_int_call12.gif

    Примечание: В этой среде пользователь существовал на Cisco Unified Communications Manager до выполнения Интеграции каталогов.

  12. После синхронизования этот пользователь находится теперь в Удалить состоянии В состоянии ожидания.

    config_dir_int_call13.gif

  13. Каждую ночь в 3:15 внутренний процесс вызвал выполнения сервиса Программы очистки памяти. Этот процесс постоянно удаляет любую учетную запись, которая была в Неактивном – Удаляют состояние В состоянии ожидания больше 24 часов. Cisco Unified Communications Manager не синхронизирует Пароли Active Directory. Cisco Unified Communications Manager не имеет никакого знания механизма шифрования Microsoft Active Directory. Вместо этого в Cisco Unified Communications Manager 5.0, назначены пароль по умолчанию ciscocisco и PIN по умолчанию 12345.

    В Cisco Unified Communications Manager 6.0 и позже, используется Учетный механизм Политики по умолчанию. Это может быть активировано от страниц CCMAdmin: Управление пользователями> Учетный По умолчанию Политики.

    /image/gif/paws/109379/config_dir_int_call14.gif

    config_dir_int_call15.gif

  14. Credential Policy позволяет вам настраивать пароль по умолчанию, а также некоторую политику паролирования. Все пользователи, которые синхронизируются из AD тогда, откармливают на убой этот шаблон для своих паролей.

    /image/gif/paws/109379/config_dir_int_call16.gif

  15. То же самое касается PIN в Cisco Unified Communications Manager 6.0 и позже.

    config_dir_int_call17.gif

    Другими словами, когда Cisco Unified Communications Manager интегрирован с AD (Интеграция каталогов), но Аутентификация каталога НЕ была включена (больше о Механизме аутентификации позже), все конечные пользователи, которые синхронизировались, заверены локально, т.е. против Базы данных Informix в Cisco Unified Communications Manager.

    Поскольку можно подтвердить подлинность локально, можно изменить пароль пользователя от самого Cisco Unified Communications Manager.

    Примечание: Дело обстоит не так, если вы используете Аутентификацию каталога, также.

    config_dir_int_call18.gif

Аутентификация каталога

Аутентификация каталога установлена поверх Синхронизации каталога, таким образом, для имения Аутентификации каталога Интеграция каталогов является предпосылкой. Основная идея является тем же, но единственная разница - то, что пользователи заверены против Внешнего Каталога и больше против Базы данных Informix Cisco Unified Communications Manager. Другими словами, все попытки аутентификации конечного пользователя (например, для доступа к ccmuser страницам, и т.д.) перенаправлены к AD.

Примечание: Аутентификация НЕ применяется к пользователям приложения или PIN. Например, запросы Аутентификации PIN функции Extension Mobility заверены локально (против базы данных Cisco Unified Communications Manager) а не через AD.

/image/gif/paws/109379/config_dir_int_call19.gif

  1. Для настройки Аутентификации каталога откройте страницу ccmadmin (http://X.X.X.X/ccmadmin) и перейдите к Системе> Ldap> Аутентификация LDAP.

  2. Заполните поля как показано в рисунке:

    • Менеджер LDAP Составное имя: Это - учетная запись, настроенная в AD в Шаге 1. Обязательно используйте один из них:

      • Завершенное установленное имя, например, cn=Administrator, dc=eire, dc=com

      • Главное имя пользователя (UPN), например, administrator@eire.com

    • Пароль LDAP: Это - пароль для учетной записи, настроенной в AD в Шаге 1.

    • Ядро поиска ПОЛЬЗОВАТЕЛЯ LDAP.

    config_dir_int_call20.gif

    Примечание: Когда Аутентификация включена, больше нет поля password на конфигурации отдельных пользователей в Cisco Unified Communications Manager, потому что паролями пользователя управляют из AD и больше от Cisco Unified Communications Manager.

    /image/gif/paws/109379/config_dir_int_call21.gif

Устранение проблем интеграции каталогов (синхронизование)

Сценарий: Вы добавили пользователя Джо Блоука в AD и вручную выполнили синхронизование из Cisco Unified Communications Manager.

  1. Установите DirSync traces в Подробный. Перейдите к странице Serviceability Cisco Unified Communications Manager и выберите Trace> Configuration> Directory Services> DirSync.

    config_dir_int_call22.gif

    config_dir_int_call23.gif

    config_dir_int_call24.gif

    config_dir_int_call25.gif

  2. В Следе DirSync DirSync вызван от Cisco Unified Communications Manager:

    2008-12-15 14:42:13,743 DEBUG [DSLDAPMain] dirsync.DSLDAPMain 
       (DSLDAPMain.java:340) - DSLDAPMain[handleIncomingReq] Now start 
       LDAPSyncImpl for agreement=f74f2069-1160-9d4a-7e8a-db6c476dd9d5
    
    2008-12-15 14:42:13,779 INFO  [DSLDAPMain] ldapplugable.DSLDAPSyncImpl 
       (DSLDAPSyncImpl.java:143) - LDAPSync
       (f74f2069-1160-9d4a-7e8a-db6c476dd9d5)
       [DSLDAPSyncImpl] Search base=cn=Users, dc=eire, dc=com
    
  3. Учетная запись, которая настроена в Cisco Unified Communications Manager для выборки пользователей, является учетной записью администратора:

    2008-12-15 14:42:13,787 INFO  [DSLDAPMain] ldapplugable.DSLDAPSyncImpl 
       (DSLDAPSyncImpl.java:147) - LDAPSync
       (f74f2069-1160-9d4a-7e8a-db6c476dd9d5)
       [DSLDAPSyncImpl] Manager DN=administrator@eire.com
    Password=aa822fb730462e5bee761623f5384aef87bed6fd62280f8ec6ef01a7a4c537
    
    2008-12-15 14:42:13,813 DEBUG [DSLDAPMain] ldapplugable.DSLDAPSyncImpl 
       (DSLDAPSyncImpl.java:224) - LDAPSync
       (f74f2069-1160-9d4a-7e8a-db6c476dd9d5)
       [DSLDAPSyncImpl] Attributes to return - objectguid:samaccountname:
       givenname:middlename:sn:manager:department:telephonenumber:mail:title:
       homephone:mobile:pager:msrtcsip-primaryuseraddress:
    
    LDAPSync(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)[makeConnection] 
       Successful LDAP connection to : ldap://10.48.79.37:389
    
  4. Выйдите в AD и ищите всех пользователей на основе SamAccountName и objectguid в ядре поиска указанного пользователя. Найдите нового пользователя Джо Блоука:

    LDAPSync(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)
       [sendUserData] Directory entry is CN=Joe Bloke: null:null:
       {mail=mail: jbloke@eire.com, objectguid=objectGUID: 
       [B@1ce3fc5, givenname=givenName: Joe, 
       samaccountname=sAMAccountName: jbloke, sn=sn: Bloke}
    2008-12-15 14:42:15,351 DEBUG [DSLDAPSyncImpl
       (f74f2069-1160-9d4a-7e8a-db6c476dd9d5)] 
       ldapplugable.DSLDAPSyncImpl (DSLDAPSyncImpl.java:926) - 
       LDAPSync(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)[sendUserData] 
       Getting ObjectGUID
    
  5. Не забудьте выбирать определенные, некоторый AD атрибуты (например, samaccountname, objectguid, givenname, department, telephonenumber, и т.д.). Дайте им соответствующее значение в DB Informix. Например, сопоставьте “objectguid” в AD к “UniqueIdentifier” в Informix на Cisco Unified Communications Manager. Это - маленький пример сопоставления AD к Informix. Этот список является только маленьким подмножеством. Существуют еще несколько, которые не включены в этот документ.

    /image/gif/paws/109379/config_dir_int_call26.gif

  6. В этом случае сопоставьте ObjectGuid, который был найден для пользователя jbloke, и дайте соответствующее значение Значению UniqueIdentifier в Cisco Unified Communications Manager:

    LDAPSync(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)[sendUserData] 
       ObjectGUID value=cc15b7817840b947990b83551140cf86
    db6c476dd9d5)] ldapplugable.DSLDAPSyncImpl (DSLDAPSyncImpl.java:1560) 
       - LDAPSync(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)[formUserObject] 
       Name=uniqueidentifier Value=cc15b7817840b947990b83551140cf86
    
  7. Следующая регистрация Informix, если уже существует пользователь с этим определенным атрибутом UniqueIdentifier:

    2008-12-15 14:42:15,692 DEBUG [DirSync-DBInterface] 
       DSDBInterface.updateUserInfo Check update using uniq id. 
       SQL-SELECT * FROM  EndUser WHERE uniqueidentifier
       ='cc15b7817840b947990b83551140cf86'
    
  8. Затем добавьте пользователя в таблице Конечного пользователя в Informix в Cisco Unified Communications Manager:

    2008-12-15 14:42:15,724 DEBUG [DirSync-DBInterface] common.
       DSDBInterface (DSDBInterface.java:377) - DSDBInterface.insert 
       SQL-INSERT INTO EndUser(userid,firstname,mailid,uniqueidentifier,
       lastname,fkdirectorypluginconfig,status) values 
       ('jbloke','Joe','jbloke@eire.com','cc15b7817840b947990b83551140cf86',
       'Bloke','f74f2069-1160-9d4a-7e8a-db6c476dd9d5','1')
    

Устранение проблем интеграции каталогов (аутентификация)

Сценарий: Вы вошли в страницы CCMUser с идентификатором пользователя “kurt” Аутентификация, перенаправленная к AD.

  1. Возьмите отслеживание средств прослушивания на Cisco Unified Communications Manager.

  2. Вы видите Запрос на поиск.

    config_dir_int_call27.gif

    Вы также видите SearchResponse от AD до Cisco Unified Communications Manager для рассматриваемого пользователя.

    config_dir_int_call28.gif

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Сообщение об ошибке: Ошибка при Соединении с ldap

Это сообщение об ошибках появляется при попытке выполнить интеграцию LDAP с Cisco Unified Communications Manager:

Error while Connecting to ldap://10.1.1.2:636, 
javax.net.ssl.SSLException: java.lang.RuntimeException: 
Unexpected error: java.security.InvalidAlgorithmParameterException: 
the trustAnchors parameter must be non-empty

Для решения вопроса удостоверьтесь, что соответствующий сертификат безопасности загружен при Администрировании/Безопасности/Управлении сертификатами ОС CUCM. Кроме того, перезапустите DirSyn и сервисы Tomcat от служб Windows.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения