CUCMでのSecure LDAP(LDAPS)の設定
はじめに
このドキュメントでは、非セキュアLDAP接続からセキュアLDAPS接続にADへのCUCM接続を更新する手順について説明します。
前提条件
要件
次の項目に関する知識があることが推奨されます。
・ AD LDAPサーバ
•CUCM LDAP の設定
・ CUCM IM & Presenceサービス(IM/P)
使用するコンポーネント
このドキュメントの情報は、CUCMリリース9.x以降に基づくものです。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
背景説明
Lightweight Directory Access Protocol(LDAPS)用のAD Lightweight Directory Access Protocol(LDAP)の設定は、Active Directory(AD)管理者が行います。 これには、LDAPS証明書の要件を満たすCA署名付き証明書のインストールが含まれます。
注:他のCisco Collaboration Applications: Software Advisory: Secure LDAP Mandatory for Active Directory Connectionsに対して、非セキュアLDAPからADへのセキュアLDAPS接続を更新するための情報については、このリンクを参照してください。
LDAPS証明書の確認とインストール
ステップ 1:LDAPS証明書がADサーバにアップロードされたら、ldp.exeツールを使用して、ADサーバでLDAPSが有効になっていることを確認します。
- ADサーバでAD Administrationツール(Ldp.exe)を起動します。
- ConnectionメニューからConnectを選択します。
- LDAPSサーバの完全修飾ドメイン名(FQDN)をサーバとして入力します。
- ポート番号として636と入力します。
- 図に示すように、OKをクリックします
ポート636での接続が正常に行われると、図に示すように、RootDSE情報が右側のペインに表示されます。
図に示すように、ポート3269に対して手順を繰り返します。
ポート3269での接続が成功すると、図に示すように、RootDSE情報が右側のペインに表示されます。
ステップ 2:LDAPSサーバ証明書の一部であるルート証明書とすべての中間証明書を取得し、これらを各CUCMおよびIM/Pパブリッシャノードのtomcat-trust証明書、およびCUCMパブリッシャのCallManager-trust証明書としてインストールします。
LDAPSサーバ証明書<hostname>.<Domain>.cerの一部であるルート証明書と中間証明書を次の図に示します。
CUCMパブリッシャのCisco Unified OS Administration > Security > Certificate Managementに移動します。ルート(root)をtomcat-trust(図を参照)およびCallManager-trust(図を参照)としてアップロードします。
intermediateをtomcat-trust(図を参照)およびCallManager-trust(図を参照)としてアップロードします。
ステップ 3:クラスタ内の各ノード(CUCMおよびIM/P)のCLIからCisco Tomcatを再起動します。また、CUCMクラスタでは、パブリッシャノードでCisco DirSyncサービスが開始されていることを確認します。
tomcatサービスを再起動するには、図に示すように、各ノードのCLIセッションを開き、コマンドutils service restart Cisco Tomcatを実行する必要があります。
ステップ 4:CUCMパブリッシャのCisco Unified Serviceability > Tools > Control Center - Feature Servicesに移動し、Cisco DirSyncサービスがアクティブ化されていて開始されていることを確認し(図を参照)、これが使用されている場合は各ノードでCisco CTIManagerサービスを再起動します(図を参照)。
セキュアLDAPディレクトリの設定
ステップ 1:ADへのポート636でのLDAPS TLS接続を利用するために、CUCM LDAPディレクトリを設定します。
CUCM Administration > System > LDAP Directoryの順に移動します。LDAPサーバ情報のLDAPSサーバのFQDNまたはIPアドレスを入力します。図に示すように、LDAPSポートとして636を指定して、Use TLSのボックスにチェックマークを付けます。
注:デフォルトでは、LDAPサーバ情報で設定されているバージョン10.5(2)SU2および9.1(2)SU3のFQDNが証明書のCommon Nameに対してチェックされた後、FQDNの代わりにIPアドレスが使用される場合は、コマンドutils ldap config ipaddrを発行してFQDNからCNへの検証の適用を停止します。
ステップ 2:LDAPSの設定変更を完了するには、図に示すように、Perform Full Sync Nowをクリックします。
ステップ 3:CUCM Administration > User Management > End Userの順に移動し、図に示すように、エンドユーザが存在することを確認します。
ステップ 4:ユーザログインが正常に完了したことを確認するには、ccmuserページ(https://<cucm pubのipアドレス>/ccmuser)に移動します。
CUCMバージョン12.0.1のccmuserページは次のようになります。
図に示すように、LDAPクレデンシャルを入力すると、ユーザは正常にログインできます。
セキュアLDAP認証の設定
ポート3269でのADへのLDAPS TLS接続を利用するために、CUCM LDAP認証を設定します。
CUCM Administration > System > LDAP Authenticationの順に移動します。LDAPサーバ情報のLDAPS サーバのFQDNを入力します。図に示すように、LDAPSポートとして3269を指定して、Use TLSのボックスにチェックマークを付けます。
注:Jabberクライアントを使用している場合は、LDAPS認証にポート3269を使用することをお勧めします。グローバルカタログサーバへのセキュアな接続が指定されていないと、ログインに対してJabberタイムアウトが発生する可能性があるためです。
UCサービスのADへのセキュアな接続の設定
LDAPを使用するUCサービスを保護する必要がある場合は、TLSでポート636または3269を使用するようにこれらのUCサービスを設定します。
CUCM administration > User Management > User Settings > UC Serviceの順に移動します。ADをポイントするディレクトリサービスを検索します。ホスト名/IPアドレスとしてLDAPSサーバのFQDNを入力します。図に示すように、ポートを636または3269として指定し、さらにプロトコルTLSを指定します。
注:JabberクライアントがADへのLDAPS接続を確立できるようにするには、Jabberクライアントマシンの証明書管理信頼ストアにインストールされているCUCMにインストールされているtomcat-trust LDAPS証明書も、Jabberクライアントマシンに必要です。
確認
このセクションでは、設定が正常に動作していることを確認します。
TLS接続のためにLDAPサーバからCUCMに送信された実際のLDAPS証明書/証明書チェーンを確認するには、CUCMパケットキャプチャからLDAPS TLS証明書をエクスポートします。CUCMパケットキャプチャからTLS証明書をエクスポートする方法については、「CUCMパケットキャプチャからTLS証明書をエクスポートする方法」を参照してください。
トラブルシュート
現在のところ、この設定に関する特定のトラブルシューティング情報はありません。
関連情報
- このリンクから、LDAPS設定を確認できるビデオ(Secure LDAP Directoryおよび認証ウォークスルービデオ)にアクセスできます。
- テクニカル サポートとドキュメント - Cisco Systems
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
5.0 |
03-Jun-2025
|
再認定 |
4.0 |
05-Jun-2024
|
更新された書式。 |
3.0 |
12-May-2023
|
PIIを削除。
代替テキストが追加されました。
スタイル要件、機械翻訳、および書式設定に関する更新。 |
2.0 |
02-Feb-2023
|
画像の代替テキストを追加。
書式設定、スタイル要件、機械翻訳に関する情報を更新。 |
1.0 |
23-Aug-2021
|
初版 |
フィードバック