LDAP 同期の設定

LDAP 同期の概要

Lightweight Directory Access Protocol（LDAP）の同期は、システムのエンドユーザのプロビジョニングと設定を支援します。 LDAP の同期中、システムは外部 LDAP ディレクトリから Cisco Unified Communications Manager データベースにユーザのリストと関連するユーザデータをインポートします。インポートしている間に、エンドユーザを設定することもできます。

（注）

Unified Communication Manager は、LDAPS（SSL を使用した LDAP）をサポートしますが、StartTLS を使用した LDAP はサポートしていません。 LDAP サーバ証明書を Unified Communication Manager に Tomcat-Trust 証明書としてアップロードします。

サポートされている LDAP ディレクトリの詳細については、Cisco Unified Communications Manager と IM and Presence Service の互換性マトリクスを参照してください。

LDAP 同期では、以下の機能がアドバタイズされます。

エンドユーザのインポート：LDAP 同期を使用して、システムの初期設定時にユーザ一覧を会社の LDAP ディレクトリから Unified Communication Manager のデータベースにインポートできます。機能グループテンプレート、ユーザプロファイル、サービスプロファイル、ユニバーサルデバイス、回線テンプレートなどの設定項目が設定されている場合は、設定をユーザに適用することができ、また、同期プロセス中に設定したディレクトリ番号とディレクトリ Uri を割り当てることができます。 LDAP同期プロセスは、ユーザーリストとユーザー固有のデータをインポートし、設定した構成テンプレートを適用します。

（注）

初期同期が実行された以降は、LDAP 同期を編集することはできません。

スケジュールされた更新：Unified Communication Manager をスケジュールされた間隔で複数の LDAP ディレクトリと同期するように設定できます。これによって確実にデータベースが定期的に更新され、すべてのユーザデータを最新に保ちます。
エンドユーザの認証：LDAP 同期を使用して、システムが Cisco Unified Communications Manager データベースではなく、LDAP ディレクトリに対してエンドユーザーパスワードを認証するように設定できます。 LDAP 認証によって、企業は、すべての企業内アプリケーションに対応する単一のパスワードをエンドユーザに割り当てることができます。この機能は、PIN またはアプリケーションユーザーパスワードには適用されません。
シスコモバイルおよびリモートアクセスのクライアントおよびエンドポイントのディレクトリサーバユーザー検索：社内ディレクトリサーバが企業ファイアウォール外で運用されている場合でも検索できます。この機能を有効にすると、ユーザデータサービス（UDS）がプロキシとして機能し、Unified Communications Manager データベースにユーザー検索要求を送信する代わりに、それを社内ディレクトリに送信します。

LDAP 同期の前提条件

前提条件のタスク

LDAP ディレクトリからエンドユーザをインポートする前に、次のタスクを実行します。

ユーザアクセスを設定します。ユーザに割り当てるアクセス制御グループを決定します。ほとんどの導入環境では、デフォルトのグループで十分です。ロールとグループをカスタマイズする必要がある場合は、アドミニストレーションガイドの「ユーザアクセスの管理」の章を参照してください。
新しくプロビジョニングされたユーザーにデフォルトで適用されるクレデンシャルポリシーに、デフォルトのクレデンシャルを設定します。
LDAP ディレクトリからユーザを同期する場合は、機能グループテンプレートが設定されていることを確認してください。このテンプレートには、ユーザプロファイル、サービスプロファイル、ユーザの電話と電話の内線に割り当てるユニバーサル回線テンプレートおよびユニバーサルデバイステンプレートの設定が含まれます。

（注）

システムにデータを同期するユーザについては、Active Directory サーバでの電子メール ID フィールドが一意のエントリであるか空白であることを確認してください。

LDAP 同期設定のタスクフロー

外部 LDAP ディレクトリからユーザリストをプルし、Unified Communication Manager のデータベースにインポートするには、以下のタスクを使用します。

（注）

LDAP ディレクトリをすでに一度同期している場合、外部 LDAP ディレクトリから新しい項目を同期することはできますが、Unified Communication Manager 内の新しい設定を LDAP ディレクトリ同期に追加することはできません。この場合、一括管理ツールと、[ユーザの更新（Update Users）] や [ユーザの挿入（Insert Users）] などのメニューを使用できます。『Bulk Administration Guide for Cisco Unified Communications Manager』を参照してください。

手順

	コマンドまたはアクション	目的
ステップ 1	Cisco DirSync サービスの有効化	Cisco Unified Serviceability にログインし、Cisco DirSync サービスを有効にします。
ステップ 2	LDAP ディレクトリ同期の有効化	Unified Communication Manager の LDAP ディレクトリ同期を有効化します。
ステップ 3	LDAP フィルタの作成	（オプション） Unified Communication Manager に社内 LDAP ディレクトリからユーザのサブセットだけを同期するには、LDAP フィルタを作成します。
ステップ 4	LDAP ディレクトリの同期の設定	アクセス制御グループ、機能グループのテンプレートとプライマリエクステンションのフィールド設定、LDAP サーバのロケーション、同期スケジュール、および割り当てなどの LDAP ディレクトリ同期を設定します。
ステップ 5	エンタープライズディレクトリユーザー検索の設定	（オプション）エンタープライズディレクトリサーバユーザを検索するシステムを設定します。システムの電話機とクライアントをデータベースの代わりにエンタープライズディレクトリサーバに対してユーザの検索を実行するように設定するには、次の手順に従います。
ステップ 6	LDAP 認証の設定	（オプション）エンドユーザーパスワード認証に LDAP ディレクトリを使用するには、LDAP 認証を設定します。
ステップ 7	LDAP アグリーメントサービスパラメータのカスタマイズ	（オプション）任意指定の [LDAP同期（LDAP Synchronization）] サービスパラメータを設定します。ほとんどの導入の場合、デフォルト値のままで問題ありません。

Cisco DirSync サービスの有効化

Cisco DirSync サービスをアクティブにするには、Cisco Unified Serviceability で次の手順を実行します。社内 LDAP ディレクトリでエンドユーザの設定を同期するには、このサービスをアクティブにする必要があります。

手順

ステップ 1	Cisco Unified Serviceability から、[ツール（Tools）] > [サービスの有効化（Service Activation）] を選択します。
ステップ 2	[サーバ（Server）] ドロップダウンリストからパブリッシャノードを選択します。
ステップ 3	[ディレクトリサービス（Directory Services）] の下の [Cisco DirSync] オプションボタンをクリックします。
ステップ 4	[保存] をクリックします。

LDAP ディレクトリ同期の有効化

エンドユーザの設定を社内 LDAP ディレクトリから同期させるには、以下の手順で Unified Communication Manager を設定します。

（注）

LDAP ディレクトリをすでに一度同期している場合、外部 LDAP ディレクトリから新規ユーザーを同期することはできますが、Unified Communications Manager 内の新しい設定を LDAP ディレクトリ同期に追加することはできません。また、機能グループテンプレートやユーザプロファイルなどの基になる構成アイテムの編集を追加することもできません。すでに 1 回の LDAP 同期を完了しており、別の設定でユーザを追加する場合は、ユーザの更新やユーザの挿入などの一括管理メニューを使用できます。

手順

ステップ 1	Cisco Unified CM Administration から、[システム（System）] > [LDAP] > [LDAPシステム（LDAP System）] を選択します。
ステップ 2	Unified Communications Manager で、LDAP ディレクトリからユーザをインポートするには、LDAP サーバからの同期を有効にするチェックボックスをオンにします。
ステップ 3	LDAP サーバタイプドロップダウンリストから、使用する LDAP ディレクトリサーバの種類を選択します。
ステップ 4	[ユーザ ID の LDAP 属性（LDAP Attribute for User ID）] ドロップダウンリストで、[エンドユーザの設定（End User Configuration）] ウィンドウの [ユーザ ID（User ID）] フィールドに関して、Unified Communications Manager で同期する社内 LDAP ディレクトリから属性を選択します。
ステップ 5	[保存] をクリックします。

LDAP フィルタの作成

LDAP フィルタを作成することで、LDAP 同期を LDAP ディレクトリからのユーザのサブセットのみに制限することができます。 LDAP フィルタを LDAP ディレクトリに適用する場合、Unified Communications Manager は、フィルタに一致するユーザのみを LDAP ディレクトリからインポートします。

（注）

LDAP フィルタを設定する場合は、RFC4515 に指定されている LDAP 検索フィルタ標準に準拠する必要があります。

手順

ステップ 1	[Cisco Unified CM の管理（Cisco Unified CM Administration）] で、[システム（System）] > [LDAP(LDAP)] > [LDAP フィルタ（LDAP Filter）] を選択します。
ステップ 2	[新規追加（Add New）]をクリックして、新しい LDAP フィルタを作成します。
ステップ 3	[フィルタ名（Filter Name）]テキストボックスに、LDAP フィルタの名前を入力します。
ステップ 4	[フィルタ（Filter）]テキストボックスに、フィルタを入力します。フィルタは、UTF-8 で最大 1024 文字まで入力できます。また、丸カッコ（ ()）で囲みます。
ステップ 5	[保存] をクリックします。

LDAP ディレクトリの同期の設定

LDAP ディレクトリと同期するように Unified Communications Manager を設定するには、この手順を使用します。 LDAP ディレクトリ同期により、エンドユーザのデータを外部の LDAP ディレクトリから Unified Communication Manager データベースにインポートして、エンドユーザの設定ウィンドウに表示することができます。ユニバーサル回線とデバイステンプレートを使用する機能グループテンプレートがセットアップされている場合は、新しくプロビジョニングされるユーザとその内線番号に自動的に設定を割り当てることができます。

ヒント

アクセス制御グループまたは機能グループテンプレートを割り当てる場合は、LDAP フィルタを使用して、インポートを同じ設定要件のユーザグループに限定できます。

手順

ステップ 1

Cisco Unified CM の管理で、[システム（System）] > [LDAP（LADP）] > [LDAP ディレクトリ（LDAP Directory）] を選択します。

ステップ 2

次のいずれかの手順を実行します。

[検索（Find）] をクリックし、既存の LDAP ディレクトリを選択します。
[新規追加（Add New）]をクリックして、新しい LDAP ディレクトリを作成します。

ステップ 3

[LDAPディレクトリの設定（LDAP Directory Configuration）]ウィンドウで、次のように入力します。

[LDAP設定名（LDAP Configuration Name）]フィールドで、LDAP ディレクトリに一意の名前を割り当てます。
[LDAP マネージャ識別名（LDAP Manager Distinguished Name）] フィールドに、LDAP ディレクトリサーバにアクセスできるユーザー ID を入力します。
パスワードの詳細を入力し、確認します。
[LDAPユーザー検索スペース（LDAP User Search Space）]フィールドに、検索スペースの詳細を入力します。
[ユーザ同期用のLDAPカスタムフィルタ（LDAP Custom Filter for Users Synchronize）]フィールドで、[ユーザのみ（Users Only）]または [ユーザとグループ（Users and Groups）]を選択します。
（オプション）特定のプロファイルに適合するユーザのサブセットのみにインポートを限定する場合は、[グループ用LDAPカスタムフィルタ（LDAP Custom Filter for Groups）]ドロップダウンリストから LDAP フィルタを選択します。

ステップ 4

LDAP ディレクトリ同期スケジュールフィールドに、外部 LDAP ディレクトリとデータ同期を行うために Unified Communication Manager が使用するスケジュールを作成します。

ステップ 5

[同期対象の標準ユーザフィールド（Standard User Fields To Be Synchronized）] セクションを記入します。各エンドユーザのフィールドで、それぞれ LDAP 属性を選択します。同期プロセスが LDAP 属性の値を Unified Communication Manager のエンドユーザフィールドに割り当てます。

ステップ 6

URIダイヤリングを展開する場合は、ユーザのプライマリディレクトリURIアドレスに使用されるLDAP属性が割り当てられていることを確認してください。

ステップ 7

同期するカスタムユーザフィールド のセクションで、必要な LDAP 属性を持つカスタムユーザフィールド名を入力します。

ステップ 8

インポートしたエンドユーザを、インポートしたすべてのエンドユーザに共通するアクセスコントロールグループに割り当てるには、次の手順を実行します。

[アクセスコントロールグループに追加（Add to Access Control Group）]をクリックします。
ポップアップウィンドウで、インポートされたエンドユーザに割り当てる各アクセス制御グループごとに、対応するチェックボックスをオンにします。
[選択項目の追加(Add Selected)] をクリックします。

ステップ 9

機能グループテンプレートを割り当てる場合は、[機能グループテンプレート（Feature Group Template）]ドロップダウンリストからテンプレートを選択します。

（注）

エンドユーザは、そのユーザが存在しない初回のみ、割り当てられた機能グループテンプレートと同期されます。既存の [機能グループテンプレート（Feature Group Template）]が変更され、関連付けられた LDAP の完全同期が実行される場合、変更点は更新されません。

ステップ 10

インポートされた電話番号にマスクを適用して、主要内線番号を割り当てるには、次の手順を実行します。

[挿入されたユーザの新規回線を作成するために、同期された電話番号にマスクを適用する（Apply mask to synced telephone numbers to create a new line for inserted users）]チェックボックスをオンにします。
[マスク（Mask）]を入力します。たとえば、インポートされた電話番号が 8889945 である場合、11XX のマスクによって 1145 のプライマリ内線番号が作成されます。

ステップ 11

ディレクトリ番号のプールからプライマリ内線番号を割り当てる場合は、次の手順を実行します。

[同期された LDAP 電話番号に基づいて作成されなかった場合、プールリストから新しい回線を割り当て（Assign new line from the pool list if one was not created based on a synced LDAP telephone number）]チェックボックスをオンにします。
[DN プールの開始（DN Pool Start）]テキストボックスと [DN プールの終了（DN Pool End）]テキストボックスに、プライマリ内線番号を選択するディレクトリ番号の範囲を入力します。

ステップ 12

（オプション）Jabber デバイスを作成する必要がある場合は、[Jabber エンドポイントプロビジョニング（Jabber Endpoint Provisioning）] の項で、自動プロビジョニングに必要な Jabber デバイスを、次のドロップダウンから 1 つ選択します。

Cisco Dual Mode for Android（BOT）
Cisco Dual Mode for iPhone（TCT）
Cisco Jabber for Tablet（TAB）
Cisco Unified Client Services Framework（CSF）

（注）

[LDAP にライトバック（Write back to LDAP）] オプションを使用すると、Unified CM から選択したプライマリ DN を LDAP サーバーにライトバックできます。ライトバックできる LDAP 属性は telephoneNumber、ipPhone、および mobile です。

ステップ 13

[LDAPサーバ情報（LDAP Server Information）]セクションで、LDAP サーバのホスト名または IP アドレスを入力します。

ステップ 14

TLS を使用して LDAP サーバに対するセキュアな接続を作成する場合は、[TLSを使用（Use TLS）]チェックボックスをオンにします。

ステップ 15

[保存] をクリックします。

ステップ 16

LDAP同期を完了するには、完全同期の実行をクリックします。それ以外の場合は、スケジュールされた同期を待つことができます。

（注）

LDAP で削除されたユーザは、24 時間後に Unified Communications Manager から自動的に削除されます。また、削除されたユーザが次のデバイスのモビリティユーザとして設定されている場合、これらの非アクティブなデバイスも自動的に削除されます。

リモート宛先プロファイル
リモート接続先プロファイルテンプレート
モバイルスマートクライアントプロファイル
CTI リモートデバイス
Spark リモートデバイス
Nokia S60
Cisco Dual Mode for iPhone
IMS-integrated Mobile（基本）
キャリア統合モバイル
[Cisco Dual Mode for Android]

エンタープライズディレクトリユーザー検索の設定

データベースではなくエンタープライズディレクトリサーバに対してユーザー検索を実行するように、システムの電話機とクライアントを設定するには、次の手順を使用します。

始める前に

LDAP ユーザー検索に選択するプライマリ、セカンダリ、および第 3 サーバが Unified Communication Manager のサブスクライバノードに到達可能なネットワークにあることを確認します。
[システム（System）] > [LDAP] > [LDAP システム（LDAP System）] を選択し、 [LDAP システムの設定（LDAP System Configuration）]ウィンドウの [LDAP サーバタイプ（LDAP Server Type）] ドロップダウンリストから LDAP サーバのタイプを設定します。

手順

ステップ 1

Cisco Unified CM の管理で、[システム（System）] > [LDAP] > [LDAP 検索（LDAP Search）] を選択します。

ステップ 2

エンタープライズ LDAP ディレクトリサーバを使用してユーザー検索を実行するには、[エンタープライズディレクトリサーバのユーザ検索を有効にする（Enable user search to Enterprise Directory Server）] チェックボックスをオンにします。

ステップ 3

[LDAP 検索の設定（LDAP Search Configuration）] ウィンドウで各フィールドを設定します。フィールドとその設定オプションの詳細については、オンラインヘルプを参照してください。

ステップ 4

[保存] をクリックします。

（注）

OpenLDAP サーバでルームオブジェクトとして表される会議室を検索するには、カスタムフィルタを (| (objectClass=intOrgPerson)(objectClass=rooms)) に設定します。これにより、Cisco Jabber のクライアントがルーム名で電話会議室を検索し、ルームに関連付けられている番号をダイヤルできるようになります。

会議室は、ルームオブジェクトの OpenLDAP サーバに、givenName、sn、mail、displayName、または telephonenumber の属性が設定されていると検索可能です。

LDAP 認証の設定

LDAP 認証を有効にして、会社の LDAP ディレクトリに割り当てられているパスワードに対してエンドユーザーパスワードが認証されるようにするには、この手順を実行します。この設定は、エンドユーザのパスワードにのみ適用され、エンドユーザの PIN またはアプリケーションユーザーパスワードには適用されません。

手順

ステップ 1

Cisco Unified CM の管理で、[システム（System）] > [LDAP] > [LDAP 認証（LDAP Authentication）] を選択します。

ステップ 2

[エンドユーザ用 LDAP 認証の使用（Use LDAP Authentication for End Users）]チェックボックスをオンにして、ユーザー認証に LDAP ディレクトリを使用します。

ステップ 3

[LDAP マネージャ識別名（LDAP Manager Distinguished Name）]フィールドに、LDAP ディレクトリにアクセス権がある LDAP マネージャのユーザー ID を入力します。

ステップ 4

[パスワードの確認（Confirm Password）]フィールドに、LDAP マネージャのパスワードを入力します。

（注）

Unified Communications Manager をリリース 11.5(1)SU2 からリリース 14SU3 以降にアップグレードするときに、LDAP パスワードを再度入力していることを確認してください。

ステップ 5

[LDAPユーザー検索ベース（LDAP User Search Base）]フィールドに、検索条件を入力します。

ステップ 6

[LDAPサーバ情報（LDAP Server Information）]セクションで、LDAP サーバのホスト名または IP アドレスを入力します。

ステップ 7

TLS を使用して LDAP サーバに対するセキュアな接続を作成する場合は、[TLSを使用（Use TLS）]チェックボックスをオンにします。

ステップ 8

[保存] をクリックします。

次のタスク

LDAP アグリーメントサービスパラメータのカスタマイズ

LDAP アグリーメントのシステムレベルでの設定をカスタマイズする、任意指定のサービスパラメータを設定するには、この手順を実行します。これらのサービスパラメータを設定しない場合、Unified Communications Manager により、LDAP ディレクトリ統合のデフォルト設定が適用されます。パラメータの説明については、ユーザインターフェイスでパラメータ名をクリックしてください。

サービスパラメータを使用して次の設定をカスタマイズできます。

[最大アグリーメント数（Maximum Number of Agreements）]：デフォルト値は 20 です。
[最大ホスト数（Maximum Number of Hosts）]：デフォルト値は 3 です。
[ホスト障害時の再試行の遅延（秒）（Retry Delay On Host Failure (secs)）]：ホスト障害のデフォルト値は 5 です。
[ホストリスト障害時の再試行の遅延（分）（Retry Delay On HotList failure (mins)）]：ホストリスト障害のデフォルト値は 10 です。
[LDAP接続のタイムアウト（秒）（LDAP Connection Timeouts (secs)）]：デフォルト値は 5 です。
[遅延同期の開始時間（分）（Delayed Sync Start time (mins)）]：デフォルト値は 5 です。
[ユーザカスタマーマップの監査時間（User Customer Map Audit Time）]

手順

ステップ 1	Cisco Unified CM Administration から、[システム（System）] > [サービスパラメータ（Service Parameters）] の順に選択します。
ステップ 2	[サーバ（Server）] ドロップダウンリストボックスからパブリッシャノードを選択します。
ステップ 3	[サービス（Service）]ドロップダウンリストボックスから、[Cisco DirSync]を選択します。
ステップ 4	Cisco DirSync サービスパラメータの値を設定します。
ステップ 5	[保存] をクリックします。

Cisco Unified Communications Manager システム設定ガイド, リリース 14 および SUs

偏向のない言語

翻訳について

Book Title