はじめに
このドキュメントでは、非セキュアLDAP接続からセキュアLDAPS接続にADへのCUCM接続を更新する手順について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
・ AD LDAPサーバ
•CUCM LDAP の設定
・ CUCM IM & Presenceサービス(IM/P)
使用するコンポーネント
このドキュメントの情報は、CUCMリリース9.x以降に基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
Active Directory(AD)管理者は、Lightweight Directory Access Protocol(LDAPS)用にAD Lightweight Directory Access Protocol(LDAP)を設定する必要があります。これには、LDAPS証明書の要件を満たすCA署名付き証明書のインストールが含まれます。
LDAPS証明書の確認とインストール
ステップ 1:LDAPS証明書がADサーバにアップロードされたら、ldp.exeツールを使用してADサーバでLDAPSが有効になっていることを確認します。
- ADサーバでAD管理ツール(Ldp.exe)を起動します。
- ConnectionメニューでConnectを選択します。
- サーバとしてLDAPSサーバの完全修飾ドメイン名(FQDN)を入力します。
- ポート番号として636と入力します。
- 図に示すように、OKをクリックします
ポート636での接続が成功すると、図に示すように、RootDSE情報が右側のペインに表示されます。
図に示すように、ポート3269に対して手順を繰り返します。
ポート3269での接続が成功すると、図に示すように、RootDSE情報が右側のペインに出力されます。
ステップ 2:LDAPSサーバ証明書の一部であるルート証明書および中間証明書を取得し、これらを各CUCMおよびIM/Pパブリッシャノードにtomcat-trust証明書として、またCUCMパブリッシャにCallManager-trustとしてインストールします。
LDAPSサーバ証明書の一部であるルート証明書と中間証明書<hostname>.<Domain>.cerを次の図に示します。
CUCMパブリッシャのCisco Unified OS Administration > Security > Certificate Managementの順に移動します。ルートをtomcat-trust(図を参照)およびCallManager-trust(図を参照)としてアップロードします。
intermediateをtomcat-trust(図を参照)およびCallManager-trust(図を参照)としてアップロードします。
注:CUCMクラスタの一部であるIM/Pサーバがある場合は、これらの証明書をこれらのIM/Pサーバにアップロードする必要もあります。
注:別の方法として、LDAPSサーバ証明書をtomcat-trustとしてインストールすることもできます。
ステップ 3:クラスタ内の各ノード(CUCMおよびIM/P)のCLIからCisco Tomcatを再起動します。また、CUCMクラスタでは、パブリッシャノードでCisco DirSyncサービスが開始されていることを確認します。
tomcatサービスを再起動するには、図に示すように、各ノードのCLIセッションを開き、コマンドutils service restart Cisco Tomcatを実行する必要があります。
ステップ 4:CUCMパブリッシャのCisco Unified Serviceability > Tools > Control Center - Feature Servicesの順に移動し、Cisco DirSyncサービスがアクティブで開始されていることを確認し(図を参照)、これが使用されている場合は各ノードでCisco CTIManagerサービスを再起動します(図を参照)。
セキュアLDAPディレクトリの設定
ステップ 1:ポート636でADへのLDAPS TLS接続を利用するために、CUCM LDAPディレクトリを設定します。
CUCM Administration > System > LDAP Directoryの順に移動します。LDAPサーバ情報のLDAPSサーバのFQDNまたはIPアドレスを入力します。次の図に示すように、LDAPSポートを636に指定し、Use TLSのボックスにチェックマークを付けます。
注:デフォルトでは、LDAPサーバ情報で設定されているバージョン10.5(2)SU2および9.1(2)SU3のFQDNが証明書の共通名に対してチェックされた後、FQDNの代わりにIPアドレスが使用される場合は、FQDNのCNへの検証の適用を停止するために「utils ldap config ipaddr」コマンドを発行する必要があります。
ステップ 2:LDAPSの設定変更を完了するには、図に示すように、Perform Full Sync Nowをクリックします。
ステップ 3:図に示すように、CUCM Administration > User Management > End Userの順に移動し、エンドユーザが存在することを確認します。
ステップ 4:ユーザログインが成功したことを確認するために、ccmuserページ(https://<ip address of cucm pub>/ccmuser)に移動します。
CUCMバージョン12.0.1のccmuserページは次のようになります。
図に示すように、LDAPクレデンシャルを入力すると、ユーザは正常にログインできます。
セキュアLDAP認証の設定
ポート3269でADへのLDAPS TLS接続を利用するために、CUCM LDAP認証を設定します。
CUCM Administration > System > LDAP Authenticationの順に移動します。LDAPサーバ情報のLDAPSサーバのFQDNを入力します。図に示すように、LDAPSポートを3269に指定し、Use TLSのボックスにチェックマークを付けます。
注:Jabberクライアントを使用している場合は、LDAPS認証にポート3269を使用することをお勧めします。これは、グローバルカタログサーバへのセキュアな接続が指定されていないと、ログインに対するJabberタイムアウトが発生する可能性があるためです。
UCサービスのADへのセキュアな接続の設定
LDAPを使用するUCサービスを保護する必要がある場合は、TLSでポート636または3269を使用するようにこれらのUCサービスを設定します。
CUCM administration > User Management > User Settings > UC Serviceの順に移動します。ADをポイントするディレクトリサービスを検索します。LDAPSサーバのFQDNをホスト名/IPアドレスとして入力します。図に示すように、ポートを636または3269として指定し、プロトコルTLSを指定します。
注:JabberクライアントがADへのLDAPS接続を確立できるようにするには、Jabberクライアントマシンの証明書管理信頼ストアにインストールされているCUCMにインストールされているtomcat-trust LDAPS証明書もJabberクライアントマシンに必要です。
確認
このセクションでは、設定が正常に動作していることを確認します。
TLS接続のためにLDAPサーバからCUCMに送信される実際のLDAPS証明書/証明書チェーンを確認するには、CUCMパケットキャプチャからLDAPS TLS証明書をエクスポートします。CUCMパケットキャプチャからTLS証明書をエクスポートする方法については、「CUCMパケットキャプチャからTLS証明書をエクスポートする方法」を参照してください。
トラブルシュート
現在のところ、この設定に関する特定のトラブルシューティング情報はありません。
関連情報