この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
IM and Presence Service の LDAP サーバ名、アドレス、およびプロファイル設定は、Cisco Unified Communications Manager に移動されました。 詳細については、『Cisco Unified Communications Manager Administration Guide, Release 9.0(1)』を参照してください。
次のワークフロー図に、Cisco Unified Communications Manager と LDAP ディレクトリを統合するためのハイレベルな手順を示します。
タスク |
説明 |
||
---|---|---|---|
セキュアな Cisco Unified Communications Manager と LDAP ディレクトリとの接続 |
Cisco Unified Communications Manager の LDAP サーバで Secure Socket Layer(SSL)接続をイネーブルにします。
|
||
ユーザ プロビジョニングのための LDAP 同期の設定 |
Cisco Unified Communications Manager で Cisco Directory Synchronization(DirSync)ツールを有効にし、社内ディレクトリからユーザを自動的にプロビジョニングするか、ユーザ ディレクトリ情報を手動で同期することができます。
|
||
LDAP サーバ証明書のアップロード |
Cisco Unified Communications Manager LDAP 認証がセキュア モード(ポート 363 または 3269)に対して設定されている場合、すべての LDAP 認証サーバ証明書と中間証明書を "tomcat-trust" として IM and Presence Service ノードにアップロードする必要があります。 |
||
LDAP サーバ認証の設定 |
Cisco Unified Communications Manager を有効にして、ユーザ パスワードを社内 LDAP ディレクトに対して認証します。
|
||
IM and Presence Service と LDAP ディレクトリ間のセキュア接続の設定 |
Cisco Unified Communications Manager と LDAP ディレクトリ間にセキュアな接続を設定した場合は、クラスタのすべての IM and Presence Service ノード上でこのタスクを実行します。 |
Cisco Unified Communications Manager ノードと LDAP ディレクトリ サーバとの間の接続をセキュリティで保護するには、 Cisco Unified Communications Manager で LDAP サーバの Secure Socket Layer(SSL)接続を有効にし、SSL 証明書を Cisco Unified Communications Manager にアップロードします。 Cisco Unified Communications Manager Release 8.x 以降では、LDAP の SSL 証明書を tomcat-trust 証明書としてアップロードする必要があります。
LDAP の SSL 証明書をアップロードしたら、 Cisco Unified Communications Manager で次のサービスを再起動する必要があります。
Cisco Unified Communications Manager への証明書のアップロードの詳細については、 Cisco Unified Communications Manager のマニュアルを参照してください。
LDAP 同期は Cisco Unified Communications Manager で Cisco Directory Synchronization(DirSync)ツールを使用して、社内 LDAP ディレクトリから情報を(手動または定期的に)同期します。 DirSync サービスを有効にすると、Cisco Unified Communications Manager が自動的に社内ディレクトリからのユーザをプロビジョニングします。 Cisco Unified Communications Manager は引き続きローカル データベースを使用しますが、そのファシリティを無効にしてユーザ アカウントの作成を可能にします。 LDAP ディレクトリ インターフェイスを使用して、ユーザ アカウントを作成および管理します。
Cisco Unified Communications Manager で LDAP 固有の設定を試行する前に、LDAP サーバがインストールされていることを確認してください。
Cisco Unified Communications Manager で Cisco DirSync サービスをアクティブにします。
LDAP 同期は Cisco Unified Communications Manager のアプリケーション ユーザに適用されません。 Cisco Unified CM の管理インターフェイスでアプリケーション ユーザを手動でプロビジョニングする必要があります。
Cisco Unified Communications Manager LDAP 認証をセキュア モード(ポート 636 または 3269)に設定する場合は、認証局(CA)のルート証明書や他のすべての中間証明書などの LDAP 認証サーバ証明書を、"tomcat-trust" として個別に IM and Presence Service ノードにアップロードする必要があります。
ステップ 1 | を選択します。 |
ステップ 2 | [Upload Certificate(証明書のアップロード)] をクリックします。 |
ステップ 3 | [Certificate Name(証明書名)] メニューから [tomcat-trust] を選択します。 |
ステップ 4 | ローカル コンピュータから LDAP サーバ ルート証明書を参照し、選択します。 |
ステップ 5 | [Upload File(ファイルのアップロード)] をクリックします。 |
ステップ 6 | 他のすべての中間証明書に対して上記の手順を繰り返します。 |
LDAP 認証機能を使用すると、社内 LDAP ディレクトリに対して Cisco Unified Communications Manager でユーザ パスワードを認証できます。
Cisco Unified Communications Manager で LDAP 同期を有効にします。
LDAP 認証は、アプリケーション ユーザのパスワードには適用されません。Cisco Unified Communications Manager は、内部データベースのアプリケーション ユーザを認証します。
ステップ 1 | を選択します。 | ||
ステップ 2 | ユーザに対する LDAP 認証を有効にします。 | ||
ステップ 3 | LDAP 認証設定を指定します。 | ||
ステップ 4 |
LDAP サーバ ホスト名または IP アドレスおよびポート番号を設定します。
|
ヒント |
LDAP over SSL を設定するには、LDAP ディレクトリ証明書を Cisco Unified Communications Manager にアップロードします。 |
このトピックは、 Cisco Unified Communications Manager と LDAP ディレクトリとの間のセキュア接続を設定する場合にのみ適用されます。
(注) |
クラスタ内のすべての IM and Presence サービス ノードでこの手順を実行します。 |
Cisco Unified Communications Manager で LDAP の SSL を有効にし、LDAP ディレクトリ証明書を Cisco Unified Communications Manager にアップロードします。
ステップ 1 | を選択します。 |
ステップ 2 | [Upload Certificate(証明書のアップロード)] をクリックします。 |
ステップ 3 | [Certificate Name(証明書の名前)] メニューから [tomcat-trust] を選択します。 |
ステップ 4 | ローカル コンピュータから LDAP サーバ証明書を参照し、選択します。 |
ステップ 5 | [Upload File(ファイルのアップロード)] をクリックします。 |
ステップ 6 | コマンド utils service restart Cisco Tomcat を使用して、CLI から Tomcat サービスを再起動します。 |
次のトピックでは、サードパーティ製 XMPP クライアントのユーザが LDAP ディレクトリから連絡先を検索および追加できるように IM and Presence Service で LDAP 設定を行う方法について説明します。
IM and Presence Service の JDS コンポーネントは、LDAP ディレクトリとのサードパーティ製 XMPP クライアント通信を処理します。 サードパーティ製 XMPP クライアントは、IM and Presence Service の JDS コンポーネントにクエリを送信します。 JDS コンポーネントは、プロビジョニングされた LDAP サーバに LDAP クエリを送信し、XMPP クライアントに結果を返します。
ここで説明する設定を実行する前に、XMPP クライアントを Cisco Unified Communications Manager および IM and Presence Service に統合するための設定を実行します。 サードパーティ製 XMPP クライアント アプリケーションの統合に関するトピックを参照してください。
タスク |
説明 |
||
---|---|---|---|
XMPP クライアントの LDAP サーバの名前とアドレスの設定 |
LDAP サーバと IM and Presence Service の間で SSL を有効にし、セキュア接続を設定していた場合は、ルート CA 証明書を xmpp-trust-certificate として IM and Presence Service にアップロードします。
|
||
XMPP クライアントの LDAP 検索の設定 |
IM and Presence Service でサードパーティ製 XMPP クライアントの連絡先を検索できるように LDAP 検索設定を指定する必要があります。 プライマリ LDAP サーバ 1 台とバックアップ LDAP サーバを最大 2 台指定できます。
|
||
Cisco XCP ディレクトリ サービスのオン |
サードパーティ製 XMPP クライアントのユーザが LDAP ディレクトリから連絡先を検索および追加できるようにするには、XCP ディレクトリ サービスをオンにする必要があります。
|
サードパーティ製 XMPP クライアントに対して設定する LDAP サーバのパスワードを間違って入力し、IM and Presence Service で XCP サービスを再起動すると、JDS コンポーネントは、不正なパスワードで LDAP サーバに複数回サインインしようとします。 数回失敗した後でアカウントをロックアウトするように LDAP サーバが設定されている場合、LDAP サーバはある時点で JDS コンポーネントをロックアウトする可能性があります。 JDS コンポーネントが LDAP に接続する他のアプリケーション(IM and Presence Service で必要とは限らないアプリケーション)と同じ資格情報を使用している場合、これらのアプリケーションも LDAP からロックアウトされます。
この問題を解決するには、既存の LDAP ユーザと同じロールと特権を持つ別のユーザを設定し、JDS だけがこの 2 番目のユーザとしてサインインできるようにします。 LDAP サーバに間違ったパスワードを入力した場合は、JDS コンポーネントだけが LDAP サーバからロックアウトされます。
Secure Socket Layer(SSL)を有効にする場合は、LDAP サーバと IM and Presence Service の間にセキュア接続を設定し、xmpp-trust-certificate としてルート認証局(CA)証明書を IM and Presence Service にアップロードします。 証明書のサブジェクト共通名(CN)は、LDAP サーバの完全修飾ドメイン名(FQDN)に一致させる必要があります。
証明書チェーン(ルート ノードから信頼できるノードへの複数の証明書)をインポートする場合は、リーフ ノードを除くチェーン内のすべての証明書をインポートします。 たとえば、CA が LDAP サーバの証明書に署名した場合は、CA 証明書のみをインポートし、LDAP サーバの証明書はインポートしません。
ヒント |
サードパーティ製クライアントの外部 LDAP サーバのホスト名は [LDAP Server - Third-Party XMPP Client(LDAP サーバ - サードパーティ製 XMPP クライアント)] ウィンドウで設定します。 |
LDAP ディレクトリのホスト名または IP アドレスを取得します。
IPv6 を使用して LDAP サーバに接続する場合は、LDAP サーバを設定する前に、エンタープライズ パラメータと展開内の各 IM and Presence Service ノードの Eth0 で IPv6 を有効にします。
ステップ 1 | を選択します。 |
ステップ 2 | [Add New(新規追加)] をクリックします。 |
ステップ 3 | LDAP サーバの ID を入力します。 |
ステップ 4 |
LDAP サーバのホスト名を入力します。 IPv6 接続の場合は、LDAP サーバの IPv6 アドレスを入力できます。 |
ステップ 5 |
TCP または SSL 接続をリッスンする LDAP サーバのポート番号を指定します。 デフォルト ポートは 389 です。 SSL を有効にする場合は、ポート 636 を指定します。 |
ステップ 6 |
LDAP サーバのユーザ名とパスワードを指定します。 これらの値は、LDAP サーバで設定したクレデンシャルと一致する必要があります。 この情報については、LDAP ディレクトリのマニュアルまたは LDAP ディレクトリの設定を確認してください。 |
ステップ 7 | SSL を使用して LDAP サーバと通信するには、[Enable SSL(SSL の有効化)] をオンにします。 |
ステップ 8 | [Save(保存)] をクリックします。 |
ステップ 9 | クラスタ内のすべてのノードで Cisco XCP Router サービスを起動します(このサービスがまだ動作していない場合)。 |
ヒント |
|
XMPP クライアントの LDAP 検索の設定に進みます。
IM and Presence サービスでサードパーティ製 XMPP クライアントの連絡先を検索できるようにする LDAP 検索設定を指定する必要があります。
サードパーティ製 XMPP クライアントは、検索のたびに LDAP サーバに接続します。 プライマリ サーバへの接続に失敗しすると、XMPP クライアントは最初のバックアップ LDAP サーバを試し、それが使用不可能な場合は、2 番目のバックアップ サーバを試します(以下同様)。 システムのフェールオーバー中に処理中の LDAP クエリーがあると、その LDAP クエリーは次に使用可能なサーバで完了します。
オプションで LDAP サーバからの vCard の取得をオンにできます。 vCard の取得をオンにした場合:
LDAP サーバ タイプに適切なユーザ オブジェクト クラスの値を入力します。 この値は、LDAP サーバで設定されたユーザ オブジェクト クラスの値と一致する必要があります。 |
|
LDAP サーバに適切なベース コンテキストを入力します。 この値は、LDAP サーバの設定済みドメインおよび/または組織構造と一致している必要があります。 |
|
LDAP サーバ タイプに適切なユーザ属性値を入力します。 この値は、LDAP サーバで設定されたユーザ属性値と一致する必要があります。 Microsoft Active Directory を使用する場合、デフォルト値は [sAMAccountName] です。 ディレクトリ URI IM アドレス スキームが使用され、ディレクトリ URI がメールまたは msRTCSIPPrimaryUserAddress にマッピングされた場合、メールまたは msRTCSIPPrimaryUserAddress はユーザ属性として指定する必要があります。 |
|
ステップ 1 | を選択します。 | ||
ステップ 2 | フィールドに情報を入力します。 | ||
ステップ 3 | ユーザが連絡先の vCard を要求し、LDAP サーバから vCard 情報を取得できるようにする場合は、[Build vCards from LDAP(LDAP から vCard を作成)] をオンにします。 ユーザが連絡先リストに参加するときにクライアントが自動的に vCard を要求できるようにする場合は、チェックボックスをオフのままにします。 この場合、クライアントはローカル IM and Presence サービス データベースから vCard 情報を取得します。 | ||
ステップ 4 | vCard FN フィールドを作成するために必要な LDAP フィールドを入力します。 ユーザが連絡先の vCard を要求すると、クライアントは、vCard FN フィールドの値を使用して連絡先リストに連絡先の名前を表示します。 | ||
ステップ 5 |
検索可能な LDAP 属性テーブルで、適切な LDAP ユーザ フィールドにクライアント ユーザ フィールドをマッピングします。 Microsoft Active Directory を使用すると、IM and Presence サービスはテーブルにデフォルト属性値を読み込みます。 |
||
ステップ 6 | [Save(保存)] をクリックします。 | ||
ステップ 7 |
Cisco XCP Router サービスを起動します(このサービスがまだ動作していない場合)。
|
サードパーティ製 XMPP クライアントのユーザが LDAP ディレクトリから連絡先を検索および追加できるようにするには、Cisco XCP ディレクトリ サービスをオンにする必要があります。 クラスタ内のすべてのノードで Cisco XCP ディレクトリ サービスをオンにします。
(注) |
LDAP サーバおよびサードパーティ製 XMPP クライアントの LDAP 検索設定を設定するまでは、Cisco XCP ディレクトリ サービスをオンにしないでください。 Cisco XCP ディレクトリ サービスをオンにするが、LDAP サーバおよびサードパーティ製 XMPP クライアントの LDAP 検索を設定しない場合、サービスは開始してから再度停止します。 |
ステップ 1 | を選択します。 |
ステップ 2 | [Server(サーバ)] メニューから [IM and Presence Service(IM and Presence サービス)] ノードを選択します。 |
ステップ 3 | [Cisco XCP Directory Service(Cisco XCP ディレクトリ サービス)] を選択します。 |
ステップ 4 | [Save(保存)] をクリックします。 |
目次
- LDAP ディレクトリ統合
- LDAP サーバ名、アドレス、およびプロファイル設定
- Cisco Unified Communications Manager との LDAP ディレクトリの統合のタスク リスト
- Cisco Unified Communications Manager と LDAP ディレクトリとの間のセキュア接続
- ユーザ プロビジョニングのための LDAP 同期の設定
- LDAP 認証サーバ証明書のアップロード
- LDAP 認証の設定
- IM and Presence サービスと LDAP ディレクトリ間のセキュア接続の設定
- XMPP クライアントにおける連絡先検索のための LDAP ディレクトリ統合
- LDAP アカウント ロックの問題
- XMPP クライアントの LDAP サーバの名前とアドレスの設定
- XMPP クライアントの LDAP 検索設定
- Cisco XCP ディレクトリ サービスのオン
Cisco Unified Communications Manager との LDAP ディレクトリの統合のタスク リスト
次のワークフロー図に、Cisco Unified Communications Manager と LDAP ディレクトリを統合するためのハイレベルな手順を示します。
次の表に、タスクを Cisco Unified Communications Manager との LDAP ディレクトリの統合を実行するためのタスクを示します。 詳細な手順については、関連するタスクを参照してください。
表 1 LDAP ディレクトリを統合するためのタスク リストタスク
説明
セキュアな Cisco Unified Communications Manager と LDAP ディレクトリとの接続
Cisco Unified Communications Manager の LDAP サーバで Secure Socket Layer(SSL)接続をイネーブルにします。
ヒント Cisco Unified Communications Manager Release 8.x 以降では、LDAP の SSL 証明書を tomcat-trust 証明書としてアップロードする必要があります。
ユーザ プロビジョニングのための LDAP 同期の設定
Cisco Unified Communications Manager で Cisco Directory Synchronization(DirSync)ツールを有効にし、社内ディレクトリからユーザを自動的にプロビジョニングするか、ユーザ ディレクトリ情報を手動で同期することができます。
ヒント LDAP 同期は Cisco Unified Communications Manager のアプリケーション ユーザに適用されません。 Cisco Unified CM Administration の GUI を使用して、アプリケーション ユーザを手動でプロビジョニングします。
LDAP サーバ証明書のアップロード
Cisco Unified Communications Manager LDAP 認証がセキュア モード(ポート 363 または 3269)に対して設定されている場合、すべての LDAP 認証サーバ証明書と中間証明書を "tomcat-trust" として IM and Presence Service ノードにアップロードする必要があります。
LDAP サーバ認証の設定
Cisco Unified Communications Manager を有効にして、ユーザ パスワードを社内 LDAP ディレクトに対して認証します。
ヒント LDAP 認証は、アプリケーション ユーザのパスワードには適用されません。
IM and Presence Service と LDAP ディレクトリ間のセキュア接続の設定
Cisco Unified Communications Manager と LDAP ディレクトリ間にセキュアな接続を設定した場合は、クラスタのすべての IM and Presence Service ノード上でこのタスクを実行します。
- Cisco Unified Communications Manager と LDAP ディレクトリとの間のセキュア接続
- ユーザ プロビジョニングのための LDAP 同期の設定
- LDAP 認証サーバ証明書のアップロード
- LDAP 認証の設定
- IM and Presence サービスと LDAP ディレクトリ間のセキュア接続の設定
Cisco Unified Communications Manager と LDAP ディレクトリとの間のセキュア接続
Cisco Unified Communications Manager ノードと LDAP ディレクトリ サーバとの間の接続をセキュリティで保護するには、 Cisco Unified Communications Manager で LDAP サーバの Secure Socket Layer(SSL)接続を有効にし、SSL 証明書を Cisco Unified Communications Manager にアップロードします。 Cisco Unified Communications Manager Release 8.x 以降では、LDAP の SSL 証明書を tomcat-trust 証明書としてアップロードする必要があります。
LDAP の SSL 証明書をアップロードしたら、 Cisco Unified Communications Manager で次のサービスを再起動する必要があります。
Cisco Unified Communications Manager への証明書のアップロードの詳細については、 Cisco Unified Communications Manager のマニュアルを参照してください。
ユーザ プロビジョニングのための LDAP 同期の設定
LDAP 同期は Cisco Unified Communications Manager で Cisco Directory Synchronization(DirSync)ツールを使用して、社内 LDAP ディレクトリから情報を(手動または定期的に)同期します。 DirSync サービスを有効にすると、Cisco Unified Communications Manager が自動的に社内ディレクトリからのユーザをプロビジョニングします。 Cisco Unified Communications Manager は引き続きローカル データベースを使用しますが、そのファシリティを無効にしてユーザ アカウントの作成を可能にします。 LDAP ディレクトリ インターフェイスを使用して、ユーザ アカウントを作成および管理します。
はじめる前に手順
Cisco Unified Communications Manager で LDAP 固有の設定を試行する前に、LDAP サーバがインストールされていることを確認してください。
Cisco Unified Communications Manager で Cisco DirSync サービスをアクティブにします。
LDAP 同期は Cisco Unified Communications Manager のアプリケーション ユーザに適用されません。 Cisco Unified CM の管理インターフェイスでアプリケーション ユーザを手動でプロビジョニングする必要があります。
ステップ 1 を選択します。 ステップ 2 [Add New(新規追加)] をクリックします。 ステップ 3 LDAP サーバのタイプおよび属性を設定します。 ステップ 4 [Enable Synchronizing from LDAP Server(LDAP サーバからの同期を有効にする)] を選択します。 ステップ 5 を選択します。 ステップ 6 次の項目を設定します。 ステップ 7 Secure Socket Layer(SSL)を使用して LDAP ディレクトリと通信するには、[Use SSL(SSL を使用)] をオンにします。
ヒント
次の作業
LDAP 認証サーバ証明書のアップロード
手順Cisco Unified Communications Manager LDAP 認証をセキュア モード(ポート 636 または 3269)に設定する場合は、認証局(CA)のルート証明書や他のすべての中間証明書などの LDAP 認証サーバ証明書を、"tomcat-trust" として個別に IM and Presence Service ノードにアップロードする必要があります。
ステップ 1 を選択します。 ステップ 2 [Upload Certificate(証明書のアップロード)] をクリックします。 ステップ 3 [Certificate Name(証明書名)] メニューから [tomcat-trust] を選択します。 ステップ 4 ローカル コンピュータから LDAP サーバ ルート証明書を参照し、選択します。 ステップ 5 [Upload File(ファイルのアップロード)] をクリックします。 ステップ 6 他のすべての中間証明書に対して上記の手順を繰り返します。
次の作業
LDAP 認証の設定
はじめる前に手順Cisco Unified Communications Manager で LDAP 同期を有効にします。
LDAP 認証は、アプリケーション ユーザのパスワードには適用されません。Cisco Unified Communications Manager は、内部データベースのアプリケーション ユーザを認証します。
ステップ 1 を選択します。 ステップ 2 ユーザに対する LDAP 認証を有効にします。 ステップ 3 LDAP 認証設定を指定します。 ステップ 4 LDAP サーバ ホスト名または IP アドレスおよびポート番号を設定します。
(注) Secure Socket Layer(SSL)を使用して LDAP ディレクトリと通信するには、[Use SSL] をオンにします。
[Use SSL(SSL を使用)] チェックボックスをオンにした場合、IP アドレスまたはホスト名または LDAP サーバの証明書のサブジェクト CN と一致する FQDN を入力します。 LDAP サーバの証明書のサブジェクト CN は、IP アドレス、ホスト名、または FQDN である必要があります。 この条件を満たさない場合は、Cisco Unified CM IM and Presence の管理、Cisco Unified IM and Presence Serviceability、Cisco Unified IM and Presence リポーティング、Cisco Jabber ログイン、サードパーティ製 XMPP クライアントおよび Cisco Unified Communications Manager の他のアプリケーション、さらにユーザ認証を実行するLDAPに接続している IM and Presence Service のログインの失敗を招くので、[Use SSL(SSL を使用)] のチェックボックスをオンにしないでください。
次の作業
ヒント
LDAP over SSL を設定するには、LDAP ディレクトリ証明書を Cisco Unified Communications Manager にアップロードします。
IM and Presence サービスと LDAP ディレクトリ間のセキュア接続の設定
このトピックは、 Cisco Unified Communications Manager と LDAP ディレクトリとの間のセキュア接続を設定する場合にのみ適用されます。
(注)
クラスタ内のすべての IM and Presence サービス ノードでこの手順を実行します。
はじめる前に手順Cisco Unified Communications Manager で LDAP の SSL を有効にし、LDAP ディレクトリ証明書を Cisco Unified Communications Manager にアップロードします。
ステップ 1 を選択します。 ステップ 2 [Upload Certificate(証明書のアップロード)] をクリックします。 ステップ 3 [Certificate Name(証明書の名前)] メニューから [tomcat-trust] を選択します。 ステップ 4 ローカル コンピュータから LDAP サーバ証明書を参照し、選択します。 ステップ 5 [Upload File(ファイルのアップロード)] をクリックします。 ステップ 6 コマンド utils service restart Cisco Tomcat を使用して、CLI から Tomcat サービスを再起動します。
次の作業
XMPP クライアントにおける連絡先検索のための LDAP ディレクトリ統合
次のトピックでは、サードパーティ製 XMPP クライアントのユーザが LDAP ディレクトリから連絡先を検索および追加できるように IM and Presence Service で LDAP 設定を行う方法について説明します。
IM and Presence Service の JDS コンポーネントは、LDAP ディレクトリとのサードパーティ製 XMPP クライアント通信を処理します。 サードパーティ製 XMPP クライアントは、IM and Presence Service の JDS コンポーネントにクエリを送信します。 JDS コンポーネントは、プロビジョニングされた LDAP サーバに LDAP クエリを送信し、XMPP クライアントに結果を返します。
ここで説明する設定を実行する前に、XMPP クライアントを Cisco Unified Communications Manager および IM and Presence Service に統合するための設定を実行します。 サードパーティ製 XMPP クライアント アプリケーションの統合に関するトピックを参照してください。
図 2. XMPP クライアントにおける連絡先検索のための LDAP ディレクトリ統合のワークフロー. 次のワークフローの図は、XMPP クライアントで連絡先を検索するために LDAP ディレクトリを統合する手順の概要です。
次の表に、XMPP クライアントで連絡先を検索するために LDAP ディレクトリを統合するタスクのリストを示します。 詳細な手順については、関連するタスクを参照してください。
表 2 XMPP クライアントにおける連絡先検索のための LDAP ディレクトリ統合のタスク リスト タスク
説明
XMPP クライアントの LDAP サーバの名前とアドレスの設定
LDAP サーバと IM and Presence Service の間で SSL を有効にし、セキュア接続を設定していた場合は、ルート CA 証明書を xmpp-trust-certificate として IM and Presence Service にアップロードします。
ヒント 証明書のサブジェクト CN は LDAP サーバの FQDN と一致する必要があります。
XMPP クライアントの LDAP 検索の設定
IM and Presence Service でサードパーティ製 XMPP クライアントの連絡先を検索できるように LDAP 検索設定を指定する必要があります。 プライマリ LDAP サーバ 1 台とバックアップ LDAP サーバを最大 2 台指定できます。
ヒント オプションとして、LDAP サーバから vCard の取得をオンにすることや、vCard を IM and Presence Service のローカル データベースに保存することができます。
Cisco XCP ディレクトリ サービスのオン
サードパーティ製 XMPP クライアントのユーザが LDAP ディレクトリから連絡先を検索および追加できるようにするには、XCP ディレクトリ サービスをオンにする必要があります。
ヒント LDAP サーバの設定およびサードパーティ製 XMPP クライアントの LDAP 検索設定を行うまでは、Cisco XCP ディレクトリ サービスをオンにしないでください。そのようにしないと、サービスは実行を停止します。
LDAP アカウント ロックの問題
サードパーティ製 XMPP クライアントに対して設定する LDAP サーバのパスワードを間違って入力し、IM and Presence Service で XCP サービスを再起動すると、JDS コンポーネントは、不正なパスワードで LDAP サーバに複数回サインインしようとします。 数回失敗した後でアカウントをロックアウトするように LDAP サーバが設定されている場合、LDAP サーバはある時点で JDS コンポーネントをロックアウトする可能性があります。 JDS コンポーネントが LDAP に接続する他のアプリケーション(IM and Presence Service で必要とは限らないアプリケーション)と同じ資格情報を使用している場合、これらのアプリケーションも LDAP からロックアウトされます。
この問題を解決するには、既存の LDAP ユーザと同じロールと特権を持つ別のユーザを設定し、JDS だけがこの 2 番目のユーザとしてサインインできるようにします。 LDAP サーバに間違ったパスワードを入力した場合は、JDS コンポーネントだけが LDAP サーバからロックアウトされます。
XMPP クライアントの LDAP サーバの名前とアドレスの設定
Secure Socket Layer(SSL)を有効にする場合は、LDAP サーバと IM and Presence Service の間にセキュア接続を設定し、xmpp-trust-certificate としてルート認証局(CA)証明書を IM and Presence Service にアップロードします。 証明書のサブジェクト共通名(CN)は、LDAP サーバの完全修飾ドメイン名(FQDN)に一致させる必要があります。
証明書チェーン(ルート ノードから信頼できるノードへの複数の証明書)をインポートする場合は、リーフ ノードを除くチェーン内のすべての証明書をインポートします。 たとえば、CA が LDAP サーバの証明書に署名した場合は、CA 証明書のみをインポートし、LDAP サーバの証明書はインポートしません。
IM and Presence Service と Cisco Unified Communications Manager 間の接続が IPv4 であっても、IPv6 を使用して LDAP サーバに接続できます。 IPv6 がエンタープライズ パラメータまたは IM and Presence Service ノードの ETH0 のいずれかで無効になった場合でも、そのノードで内部 DNS クエリーを実行し、サードパーティ製 XMPP クライアントの外部 LDAP サーバのホスト名が解決可能な IPv6 アドレスであれば、外部 LDAP サーバに接続できます。
ヒント
サードパーティ製クライアントの外部 LDAP サーバのホスト名は [LDAP Server - Third-Party XMPP Client(LDAP サーバ - サードパーティ製 XMPP クライアント)] ウィンドウで設定します。
はじめる前に手順LDAP ディレクトリのホスト名または IP アドレスを取得します。
IPv6 を使用して LDAP サーバに接続する場合は、LDAP サーバを設定する前に、エンタープライズ パラメータと展開内の各 IM and Presence Service ノードの Eth0 で IPv6 を有効にします。
ステップ 1 を選択します。 ステップ 2 [Add New(新規追加)] をクリックします。 ステップ 3 LDAP サーバの ID を入力します。 ステップ 4 LDAP サーバのホスト名を入力します。 IPv6 接続の場合は、LDAP サーバの IPv6 アドレスを入力できます。
ステップ 5 TCP または SSL 接続をリッスンする LDAP サーバのポート番号を指定します。 デフォルト ポートは 389 です。 SSL を有効にする場合は、ポート 636 を指定します。
ステップ 6 LDAP サーバのユーザ名とパスワードを指定します。 これらの値は、LDAP サーバで設定したクレデンシャルと一致する必要があります。 この情報については、LDAP ディレクトリのマニュアルまたは LDAP ディレクトリの設定を確認してください。
ステップ 7 SSL を使用して LDAP サーバと通信するには、[Enable SSL(SSL の有効化)] をオンにします。 ステップ 8 [Save(保存)] をクリックします。 ステップ 9 クラスタ内のすべてのノードで Cisco XCP Router サービスを起動します(このサービスがまだ動作していない場合)。
次の作業
ヒント
SSL を有効にすると、IM and Presence Service が SSL 接続を確立した後で、SSL 接続の設定およびデータの暗号化と復号化のときにネゴシエーション手順が実行されるため、XMPP の連絡先検索が遅くなる可能性があります。 その結果、ユーザが展開内で XMPP の連絡先検索を広範囲に実行する場合、これがシステム全体のパフォーマンスに影響を与えることがあります。
LDAP サーバの証明書のアップロード後、LDAP サーバのホスト名とポート値で通信を確認するには、証明書インポート ツールを使用できます。
を選択します。サードパーティ製 XMPP クライアント用の LDAP サーバの設定を更新した場合は、Cisco XCP ディレクトリ サービスを再起動します。
を選択して、このサービスを再起動します。
XMPP クライアントの LDAP 検索の設定に進みます。
XMPP クライアントの LDAP 検索設定
手順IM and Presence サービスでサードパーティ製 XMPP クライアントの連絡先を検索できるようにする LDAP 検索設定を指定する必要があります。
サードパーティ製 XMPP クライアントは、検索のたびに LDAP サーバに接続します。 プライマリ サーバへの接続に失敗しすると、XMPP クライアントは最初のバックアップ LDAP サーバを試し、それが使用不可能な場合は、2 番目のバックアップ サーバを試します(以下同様)。 システムのフェールオーバー中に処理中の LDAP クエリーがあると、その LDAP クエリーは次に使用可能なサーバで完了します。
オプションで LDAP サーバからの vCard の取得をオンにできます。 vCard の取得をオンにした場合:
- 社内 LDAP ディレクトリは vCards を保存します。
- XMPP クライアントが自身の vCard、または連絡先の vCard を検索すると、vCard は JDS サービスによって LDAP から取得されます。
- クライアントは、社内 LDAP ディレクトリを編集することを許可されていないため、自身の vCard を設定または変更できません。
- IM and Presence サービスはローカル データベースに vCard を保存します。
- XMPP クライアントが自身の vCard、または連絡先の vCard を検索すると、vCard はローカルの IM and Presence サービス データベースから取得されます。
- クライアントは、自身の vCard を設定または変更できます。
次の表はXMPP クライアントの LDAP 検索の設定の一覧です。
表 3 XMPP クライアントの LDAP 検索設定LDAP サーバ タイプに適切なユーザ オブジェクト クラスの値を入力します。 この値は、LDAP サーバで設定されたユーザ オブジェクト クラスの値と一致する必要があります。
LDAP サーバに適切なベース コンテキストを入力します。 この値は、LDAP サーバの設定済みドメインおよび/または組織構造と一致している必要があります。
LDAP サーバ タイプに適切なユーザ属性値を入力します。 この値は、LDAP サーバで設定されたユーザ属性値と一致する必要があります。
Microsoft Active Directory を使用する場合、デフォルト値は [sAMAccountName] です。
ディレクトリ URI IM アドレス スキームが使用され、ディレクトリ URI がメールまたは msRTCSIPPrimaryUserAddress にマッピングされた場合、メールまたは msRTCSIPPrimaryUserAddress はユーザ属性として指定する必要があります。
ステップ 1 を選択します。 ステップ 2 フィールドに情報を入力します。 ステップ 3 ユーザが連絡先の vCard を要求し、LDAP サーバから vCard 情報を取得できるようにする場合は、[Build vCards from LDAP(LDAP から vCard を作成)] をオンにします。 ユーザが連絡先リストに参加するときにクライアントが自動的に vCard を要求できるようにする場合は、チェックボックスをオフのままにします。 この場合、クライアントはローカル IM and Presence サービス データベースから vCard 情報を取得します。 ステップ 4 vCard FN フィールドを作成するために必要な LDAP フィールドを入力します。 ユーザが連絡先の vCard を要求すると、クライアントは、vCard FN フィールドの値を使用して連絡先リストに連絡先の名前を表示します。 ステップ 5 検索可能な LDAP 属性テーブルで、適切な LDAP ユーザ フィールドにクライアント ユーザ フィールドをマッピングします。 Microsoft Active Directory を使用すると、IM and Presence サービスはテーブルにデフォルト属性値を読み込みます。
ステップ 6 [Save(保存)] をクリックします。 ステップ 7 Cisco XCP Router サービスを起動します(このサービスがまだ動作していない場合)。
ヒント サードパーティ製 XMPP クライアント用の LDAP 検索の設定を更新した場合は、Cisco XCP ディレクトリ サービスを再起動します。
を選択して、このサービスを再起動します。
次の作業
Cisco XCP ディレクトリ サービスのオン
手順サードパーティ製 XMPP クライアントのユーザが LDAP ディレクトリから連絡先を検索および追加できるようにするには、Cisco XCP ディレクトリ サービスをオンにする必要があります。 クラスタ内のすべてのノードで Cisco XCP ディレクトリ サービスをオンにします。
(注)
LDAP サーバおよびサードパーティ製 XMPP クライアントの LDAP 検索設定を設定するまでは、Cisco XCP ディレクトリ サービスをオンにしないでください。 Cisco XCP ディレクトリ サービスをオンにするが、LDAP サーバおよびサードパーティ製 XMPP クライアントの LDAP 検索を設定しない場合、サービスは開始してから再度停止します。
ステップ 1 を選択します。 ステップ 2 [Server(サーバ)] メニューから [IM and Presence Service(IM and Presence サービス)] ノードを選択します。 ステップ 3 [Cisco XCP Directory Service(Cisco XCP ディレクトリ サービス)] を選択します。 ステップ 4 [Save(保存)] をクリックします。