LDAPS(Secure LDAP)용 CUCM 구성

다운로드 옵션

PDF (3.5 MB)
다양한 디바이스에서 Adobe Reader로 보기
ePub (3.6 MB)
iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
Mobi (Kindle) (1.4 MB)
Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기

업데이트:2025년 6월 3일

문서 ID:215437

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 비보안 LDAP 연결에서 보안 LDAPS 연결로 AD에 대한 CUCM 연결을 업데이트하는 절차에 대해 설명합니다.

사전 요구 사항

요구 사항

다음 주제에 대한 지식을 보유하고 있으면 유용합니다.

· AD LDAP 서버
· CUCM LDAP 컨피그레이션

· CUCM IM & Presence Service(IM/P)

사용되는 구성 요소

이 문서의 정보는 CUCM 릴리스 9.x 이상을 기반으로 합니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 미리 숙지하시기 바랍니다.

배경 정보

LDAP(Lightweight Directory Access Protocol)용 AD LDAP(Lightweight Directory Access Protocol)를 구성하는 것은 AD(Active Directory) 관리자의 책임입니다. 여기에는 LDAPS 인증서의 요구 사항을 충족하는 CA 서명 인증서 설치가 포함됩니다.

참고: 비보안 LDAP에서 다른 Cisco Collaboration 애플리케이션의 AD에 대한 보안 LDAPS 연결로 업데이트하려면 이 링크를 참조하십시오. 소프트웨어 자문: Active Directory 연결에 대한 보안 LDAP 필수

LDAPS 인증서 확인 및 설치

1단계. LDAPS 인증서가 AD 서버에 업로드된 후 AD 서버에서 ldp.exe 도구를 사용하여 LDAPS가 활성화되어 있는지 확인합니다.

AD 서버에서 AD 관리 도구(Ldp.exe)를 시작합니다.
연결 메뉴에서 연결 을 선택합니다.
서버로 LDAPS 서버의 FQDN(Fully Qualified Domain Name)을 입력합니다.
포트 번호로 636을 입력합니다.
그림과 같이 OK(확인)를 클릭합니다

Verify and Install LDAPS Certificates

포트 636에서 성공적으로 연결하려면 그림과 같이 RootDSE 정보가 오른쪽 창에 출력됩니다.

With Successful Connection on Port 636, RootDSE Info Prints out in Right Pane

이미지에 표시된 대로 포트 3269에 대해 절차를 반복합니다.

Repeat Procedure for Port 3269

포트 3269에서 성공적으로 연결하려면 그림과 같이 RootDSE 정보가 오른쪽 창에 출력됩니다.

For asuccessful Connection on Port 3269, RootDSE Info Prints out in Right Pane

2단계. LDAPS 서버 인증서의 일부인 루트 및 중간 인증서를 가져와서 각 CUCM 및 IM/P 게시자 노드에 tomcat-trust 인증서로 설치하고 CUCM 게시자에 CallManager-trust로 설치합니다.

LDAPS 서버 인증서의 일부인 루트 및 중간 인증서인 <hostname>.<Domain>.cer이 이미지에 표시됩니다.

Root and Intermediate Certificates that are Part of LDAPS Server Certificate

CUCM publisher(CUCM 게시자) Cisco Unified OS Administration(Cisco Unified OS 관리) > Security(보안) > Certificate Management(인증서 관리)로 이동합니다. 루트를 tomcat-trust(이미지에 표시된 대로) 및 CallManager-trust(표시되지 않음)로 업로드합니다.

Navigate to CUCM Publisher

중간을 tomcat-trust(이미지에 표시된 대로) 및 CallManager-trust(표시되지 않음)로 업로드합니다.

Upload Internediate as tomcat-trust

참고: CUCM 클러스터의 일부인 IM/P 서버가 있는 경우 이러한 인증서를 이 IM/P 서버에 업로드해야 합니다.

참고: 또는 LDAPS 서버 인증서를 tomcat-trust로 설치할 수 있습니다.

3단계. 클러스터 내 각 노드(CUCM 및 IM/P)의 CLI에서 Cisco Tomcat을 재시작합니다. 또한 CUCM 클러스터의 경우 게시자 노드에서 Cisco DirSync 서비스가 시작되었는지 확인합니다.

Tomcat 서비스를 재시작하려면 각 노드에 대해 CLI 세션을 열고 그림과 같이 utils service restart Cisco Tomcat 명령을 실행해야 합니다.

Configure CUCM for Secure LDAP - Restart Tomcat

4단계. CUCM publisher(CUCM 게시자) Cisco Unified Serviceability(Cisco Unified 서비스 가용성) > Tools(툴) > Control Center - Feature Services(Control Center - 기능 서비스)로 이동하여 Cisco DirSync 서비스가 활성화 및 시작되었는지 확인하고(이미지 참조), Cisco CTIManager 서비스가 사용된 경우(표시되지 않음) 각 노드에서 해당 서비스를 다시 시작합니다.

Navigate to CUCM Publisher and Verify that Service is Activated and Started

보안 LDAP 디렉터리 구성

1단계. 포트 636에서 AD에 대한 LDAPS TLS 연결을 활용하려면 CUCM LDAP 디렉토리를 구성합니다.

CUCM Administration(CUCM 관리) > System(시스템) > LDAP Directory(LDAP 디렉토리)로 이동합니다. LDAP 서버 정보에 대한 LDAPS 서버의 FQDN 또는 IP 주소를 입력합니다. 이미지에 표시된 대로 LDAPS 포트 636을 지정하고 Use TLS(TLS 사용) 확인란을 선택합니다.

Configure Secure LDAP Directory

참고: 기본적으로 LDAP 서버 정보에 구성된 버전 10.5(2)SU2 및 9.1(2)SU3 FQDN을 인증서의 일반 이름에 대해 확인한 후, FQDN 대신 IP 주소를 사용하는 경우 ldap config ipaddr 명령을 실행하여 FQDN의 CN 확인 적용을 중지합니다.

2단계. LDAPS에 대한 컨피그레이션 변경을 완료하려면 이미지에 표시된 대로 Perform Full Sync Now(지금 전체 동기화 수행)를 클릭합니다.

To Complete Configuration, Change LDAPS, Click Perform Full Sync Now

3단계. CUCM Administration(CUCM 관리) > User Management(사용자 관리) > End User(최종 사용자)로 이동하여 이미지에 표시된 대로 최종 사용자가 있는지 확인합니다.

Navigate to CUCM Administration, User Management, End User

4단계. 사용자 로그인이 성공적인지 확인하기 위해 ccmuser 페이지(https://<cucm pub>/ccmuser의 ip 주소)로 이동합니다.

CUCM 버전 12.0.1의 ccmuser 페이지는 다음과 같습니다.

Configure CUCM for Secure LDAP - Self Care Portal Login

사용자는 그림과 같이 LDAP 자격 증명을 입력한 후 성공적으로 로그인할 수 있습니다.

Configure CUCM for Secure LDAP - Self Care Portal Dashboard

보안 LDAP 인증 구성

포트 3269에서 AD에 대한 LDAPS TLS 연결을 활용하려면 CUCM LDAP 인증을 구성합니다.

CUCM Administration(CUCM 관리) > System(시스템) > LDAP Authentication(LDAP 인증)으로 이동합니다. LDAP 서버 정보에 대한 LDAPS 서버의 FQDN을 입력합니다. 이미지에 표시된 대로 LDAPS 포트 3269를 지정하고 Use TLS(TLS 사용) 확인란을 선택합니다.

Configure Secure LDAP Authentication

참고: Jabber 클라이언트가 있는 경우 전역 카탈로그 서버에 대한 보안 연결을 지정하지 않은 경우 로그인을 위한 Jabber 시간 초과가 발생할 수 있으므로 LDAPS 인증에 포트 3269를 사용하는 것이 좋습니다.

UC 서비스의 AD에 대한 보안 연결 구성

LDAP를 활용하는 UC 서비스를 보호해야 하는 경우 TLS를 사용하는 포트 636 또는 3269를 활용하도록 이러한 UC 서비스를 구성합니다.

CUCM administration(CUCM 관리) > User Management(사용자 관리) > User Settings(사용자 설정) > UC Service(UC 서비스)로 이동합니다. AD를 가리키는 디렉터리 서비스를 찾습니다. LDAPS 서버의 FQDN을 호스트 이름/IP 주소로 입력합니다. 이미지에 표시된 대로 636 또는 3269와 프로토콜 TLS로 포트를 지정합니다.

Configure Secure Connections to AD for UC Services

참고: 또한 Jabber 클라이언트가 AD에 대한 LDAPS 연결을 설정할 수 있도록 하려면 Jabber 클라이언트 머신의 인증서 관리 신뢰 저장소에 CUCM에 설치된 tomcat-trust LDAPS 인증서가 있어야 합니다.

다음을 확인합니다.

설정이 올바르게 작동하는지 확인하려면 이 섹션을 활용하십시오.

TLS 연결을 위해 LDAP 서버에서 CUCM으로 전송된 실제 LDAPS 인증서/인증서 체인을 확인하려면 CUCM 패킷 캡처에서 LDAPS TLS 인증서를 내보냅니다. 이 링크는 CUCM 패킷 캡처에서 TLS 인증서를 내보내는 방법에 대한 정보를 제공합니다. CUCM 패킷 캡처에서 TLS 인증서를 내보내는 방법

문제 해결

현재 이 구성의 문제를 해결하는 데 사용할 수 있는 특정 정보가 없습니다.

개정	게시 날짜	의견
5.0	03-Jun-2025	재인증
4.0	05-Jun-2024	서식이 업데이트되었습니다.
3.0	12-May-2023	PII를 제거했습니다. 대체 텍스트를 추가했습니다. 스타일 요구 사항, 기계 번역 및 서식 지정을 위해 업데이트되었습니다.
2.0	02-Feb-2023	이미지 대체 텍스트를 추가했습니다. 서식, 스타일 요구 사항 및 기계 번역을 위해 업데이트되었습니다.
1.0	23-Aug-2021	최초 릴리스