Голосовая связь и система унифицированных коммуникаций : Cisco Unified Communications Manager (CallManager)

Защита интеграции каталогов LDAP с Cisco Unified CallManager 4.x

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ обсуждает эти элементы:

  • Улучшите безопасность интеграции телефонного справочника LDAP с Cisco Unified CallManager (CUCM) с несколькими действиями настройки для ограничения разрешений. Эти процедуры улучшают и существующую и новую установку интеграции каталогов.

  • Доступ и управление каталога требуют специального пользователя и группы. Разрешения собираются на объектах ограничить преданного пользователя и группу, и интеграция каталогов тогда обновлена (для существующей установки) или завершена (для новой установки). Наконец, интеграция проверена.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Этот документ является определенным для Cisco Unified CallManager 4. x .

Эти шаги, которые показывают с Microsoft Active Directory (AD), могут также примениться к другим поддерживаемым продуктам каталога.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Общие сведения

Для существующей интеграции каталогов

Выполните эти действия для существующей интеграции каталогов:

  1. Создайте новую группу, такую как Группа каталогов CUCM.

  2. Установите разрешения группы для доступа к каталогу.

  3. Переместите существующий каталог пользователя к новой группе.

  4. Удалите пользователя из старой группы; участники могут только иметь новую группу.

  5. Выполните проверку.

Для существующей установки без специализированной учетной записи

Выполните эти действия для существующей интеграции каталогов, где не использовалась специализированная учетная запись:

  1. Создайте нового пользователя, такого как Менеджер каталога CUCM.

  2. Сделайте пользователя участником новой группы только.

  3. Измените CUCM для использования нового пользователя; модифицируйте реестр и файл .ini.

  4. Перезапустите Cisco Tomcat.

  5. Измените пароль исходной учетной записи, которая использовалась.

  6. Выполните проверку.

Для новой установки

Выполните эти действия для новой установки Интеграции каталогов:

  1. Создайте новую группу, такую как Группа каталогов CUCM.

  2. Ограничения набора на эту новую группу.

  3. Создайте нового пользователя, такого как Менеджер каталога CUCM.

  4. Поместите нового пользователя в группу с Администраторскими привилегиями, например, Администраторами домена.

  5. Используйте нового пользователя при установке плагина.

  6. Переместите пользователя в недавно созданную Группу каталогов CUCM.

  7. Установите новую группу как основную группу для пользователя с правами администратора.

  8. Удалите этого пользователя из старой группы, которая больше не должна быть участником никакой другой группы.

  9. Выполните проверку.

Проверка

Выполните Проверку с этой процедурой:

  1. Создайте нового пользователя, ccmtest, в каталоге (на сервере каталогов).

  2. Проверьте, что ccmtest пользователь перечислен в Пользователях CUCM.

  3. Измените PIN ccmtest на Странице конфигурации ПОЛЬЗОВАТЕЛЯ CUCM.

  4. Гарантируйте, что поле обновлено в каталоге.

  5. Измените ciscoCCNatCTIUseEnabled на Истинный для ccmtest в каталоге.

  6. Подтвердите, что флажок Enable CTI Application Use проверен для ccmtest в CUCM.

  7. Удалите ccmtest пользователя.

  8. Гарантируйте, что только требуемые части дерева видимы с браузером LDAP: не должен быть в состоянии просмотреть что-либо вне Подразделения (OU) Cisco или Пользовательского OU.

ПОДРОБНОЕ ОПИСАНИЕ ШАГОВ

Примечание: Названия, которые используются здесь для специализированной учетной записи и группы, являются Менеджером каталога CUCM и Группой каталогов CUCM, соответственно, но можно выбрать другие названия.

Запустите Microsoft Active Directory (ADUC)

Выберите Start > Programs > Administrative Tools > Active Directory Users and Computers.

Create New Group

Выполните эти действия для создания новой группы:

  1. Щелкните правой кнопкой мыши Пользовательский контейнер.

  2. Выберите New> Group.

  3. Введите Group name, scope и type, такой как Группа каталогов CUCM, Глобальный и Безопасность.

  4. Нажмите кнопку Next.

  5. Нажмите кнопку Finish.

Разрешения Set Group для доступа к каталогу

Группе нужно предоставить эти права:

Read/Write/Create all child objects/
   Delete all child objects on the Cisco OU

Эти права должны примениться к этому объекту и всем дочерним объектам.

Read privileges on the Users OU, 
   Read/Write privileges on the ciscoatGUID,
   ciscoatUserProfile, and ciscoatUserProfileString 
   attributes for all User objects.

Набор Читал/Писал/Создавал Привилегии на OU Cisco

Выполните эти действия для установки Считать/Писать/Создать привилегий на OU Cisco:

  1. Щелкните правой кнопкой мыши контейнер Cisco.

  2. Выберите Properties.

  3. Выберите Вкладку Безопасность.

  4. Нажмите кнопку Advanced.

  5. Нажмите кнопку Add....

  6. Введите CCM Directory Group.

  7. Набор Применяется на поле к Этому объекту и всем дочерним объектам.

  8. Проверка обеспечивает чтение все свойства.

  9. Проверка обеспечивает запись все свойства.

  10. Проверка обеспечивает, создают все дочерние объекты.

  11. Проверка обеспечивает, удаляют все дочерние объекты.

  12. Нажмите кнопку OK.

Привилегии чтения набора на OU пользователей

Выполните эти действия для установки привилегий Рида на Пользовательском OU:

  1. Щелкните правой кнопкой мыши Пользовательский контейнер.

  2. Выберите Properties.

  3. Выберите Вкладку Безопасность.

  4. Нажмите кнопку Advanced.

  5. Нажмите кнопку Add....

  6. Введите CCM Directory Group.

  7. Набор Применяется на поле к объектам пользователя.

  8. Проверка обеспечивает чтение все свойства.

  9. Нажмите кнопку OK.

Привилегии Чтения-записи набора на Атрибутах Cisco

Выполните эти действия для установки привилегий Чтения-записи на атрибутах Cisco:

  1. Щелкните правой кнопкой мыши Пользовательский контейнер.

  2. Выберите Properties.

  3. Выберите Вкладку Безопасность.

  4. Нажмите кнопку Advanced.

  5. Нажмите кнопку Add....

  6. Введите CCM Directory Group.

  7. Набор Применяется на поле к объектам пользователя.

  8. Проверка Обеспечивает ciscoatGUID Рида, Рид ciscoatUserProfile, ReadatUserProfileString.

  9. Проверка Обеспечивает ciscoatGUID Записи, Запись ciscoatUserProfile, Запись atUserProfileString.

  10. Нажмите кнопку OK.

Создайте нового пользователя

Выполните эти действия для создания нового пользователя:

  1. Щелкните правой кнопкой мыши Пользовательский контейнер.

  2. Выберите New> User.

  3. Введите имя и имя пользователя, такой как, Менеджер каталога CUCM, ccmdiruser.

  4. Заполните Пароль и поля подтверждения пароля.

  5. Проверьте флажок Password Never Expires.

  6. Нажмите кнопку Next.

  7. Нажмите кнопку Finish.

Переместите пользователя в New Group и удалите из Old Group

Выполните эти действия, чтобы переместить пользователя к новой группе и удалить из старой группы:

  1. Выберите Users OU.

  2. Щелкните правой кнопкой мыши ccmdiruser и выберите Properties.

  3. Выберите вкладку Member Of.

  4. Нажмите кнопку Add....

  5. Введите CCM Directory Group.

  6. Нажмите кнопку OK.

  7. Выберите CCM Directory Group.

  8. Нажмите Set Primary Group.

  9. Выберите старую группу.

  10. Нажмите Remove.

    /image/gif/paws/109804/ptn_new1.gif

Три шага, требуемые для изменения CUCM для Использования нового пользователя

Три шага требуются, чтобы изменять CUCM для использования нового пользователя:

  • Получите зашифрованный пароль.

  • Установите учетную запись и пароль в реестре.

  • Установите учетную запись и пароль в файле инициализации Каталога DC.

Получите зашифрованный пароль

Примечание: Несмотря на то, что пароль, который используется здесь, является паролем в демонстрационных целях, необходимо использовать сложный пароль вместо этого.

  1. Последовательно выберите Пуск > Выполнить.

  2. Введите cmd.

  3. Введите CD C:\dcdsrvr\bin.

  4. Введите пароль PasswordUtils.cmd.

    /image/gif/paws/109804/ptn_new2.gif

Установите учетную запись и пароль в реестре

caution Внимание: Если вы редактируете неверный ключ реестра или делаете ошибку при редактировании реестра система может быть неприменимой, пока вы не восстанавливаете реестр. Необходимо резервировать реестр перед внесением любых изменений. Удостоверьтесь, что вы знаете, как восстановить реестр от резервной копии перед продолжением. Поскольку пояснение того, как поддержать реестр сервера, выходит за рамки этого документа, консультируйтесь со своей системной документацией для этой информации.

  1. Последовательно выберите Пуск > Выполнить.

  2. Введите regedit и нажмите OK.

  3. Перейдите к \\Системы HKEY_LOCAL_MACHINE\Software\Cisco, Конфигурация Inc.\Directory в рамках реестра.

  4. В правой панели дважды нажмите ключ реестра MGRDN.

  5. Измените пользователя, например, Администратора> ccmdiruser.

  6. Дважды нажмите ключ реестра MGRPW.

  7. Измените зашифрованный пароль со значением, полученным из программного средства PasswordUtils.

  8. Выходной Regedit.

    /image/gif/paws/109804/ptn_new3.gif

Учетная запись набора и Пароль в файле .ini Каталога DC

Выполните эти действия для установки учетной записи и пароля в файле .ini Каталога DC:

  1. Последовательно выберите Пуск > Выполнить.

  2. Введите блокнот C:/dcdsrvr/DirectoryConfiguration.ini и нажмите OK.

  3. Измените пользователя, например, Администратора> ccmdiruser.

  4. Измените значение направо от passwd= к зашифрованному паролю, который вы получили из программного средства PasswordUtils.

  5. Выберите File> Save.

  6. Выберите File > Exit.

    /image/gif/paws/109804/ptn_new4.gif

Перезапуск Cisco Tomcat

Выполните эти действия для перезапуска Сервиса Cisco Tomcat:

  1. Выберите Programs> Administrative Tools> Services.

  2. Щелкните правой кнопкой мыши Cisco Tomcat и выберите Restart.

    /image/gif/paws/109804/ptn_new5.gif

Проверьте, что Временный ccmtest Пользователь находится в Каталоге CUCM

Выполните эти действия, чтобы проверить, что временный ccmtest пользователь находится в Каталоге CUCM:

  1. От Страниц администратора CUCM выберите User> Global Directory.

  2. Нажмите Кнопку поиска.

  3. Гарантируйте, что ccmtest пользователь находится в списке пользователей.

    /image/gif/paws/109804/ptn_new6.gif

Измените PIN ccmtest Пользователя

Выполните эти действия для изменения PIN ccmtest пользователя:

  1. Выберите ccmtest в User Information Page.

  2. Нажмите Change... кнопка.

  3. Введите 5-разрядный PIN-код, например, 12345.

  4. Нажмите кнопки Update и Close.

    /image/gif/paws/109804/ptn_new7.gif

  5. Используйте браузер каталога для выбора Cisco OU.

  6. Перейдите к CCN> профили> ccm-test-CCNProfile.

  7. Гарантируйте, что поле CiscoCCNatPIN имеет новое значение.

    /image/gif/paws/109804/ptn_new8.gif

Измените ciscoCCNatCTIUseEnabled Поле

Выполните эти действия для изменения ciscoCCNatCTIUseEnabled поля:

  1. Используйте браузер каталога для выбора Cisco OU.

  2. Перейдите к CCN> профили> ccm-test-CCNProfile.

  3. Модифицируйте ciscoCCNatCTIUseEnabled к истине.

    /image/gif/paws/109804/ptn_new8.gif

  4. Обновите User Configuration page для пользователя ccmtest.

  5. Гарантируйте, что теперь отмечен флажок Enable CTI Application Use.

    /image/gif/paws/109804/ptn_new7.gif

Удалите ccmtest Пользователя

Выполните эти действия для удаления ccmtest пользователя:

  1. Выберите Users OU.

  2. Щелкните правой кнопкой мыши ccmtest и выберите Delete.

  3. Выберите Yes для подтверждения.


Дополнительные сведения


Document ID: 109804