Inleiding
In dit document wordt de procedure beschreven voor het bijwerken van CUCM-verbindingen met AD van een niet-beveiligde LDAP-verbinding naar een beveiligde LDAPS-verbinding.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
· AD LDAP-server
· CUCM LDAP-configuratie
· CUCM IM & Presence Service (IM/P)
Gebruikte componenten
De informatie in dit document is gebaseerd op CUCM release 9.x en hoger.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Het is de verantwoordelijkheid van de Active Directory (AD)-beheerder om AD Lightweight Directory Access Protocol (LDAP) te configureren voor Lightweight Directory Access Protocol (LDAPS). Dit omvat de installatie van CA-ondertekende certificaten die voldoen aan de eis van een LDAPS-certificaat.
Controleren en installeren van LDAPS-certificaten
Stap 1. Nadat het LDAPS-certificaat naar de AD-server is geüpload, controleert u of LDAPS is ingeschakeld op de AD-server met het hulpprogramma ldp.exe.
- Start de AD Administration Tool (Ldp.exe) op de AD-server.
- Selecteer Verbinden in het menu Verbinding.
- Voer de volledig gekwalificeerde domeinnaam (FQDN) van de LDAPS-server in als de server.
- Voer 636 in als poortnummer.
- Klik op OK, zoals weergegeven in de afbeelding

Voor een succesvolle verbinding op poort 636 wordt RootDSE-informatie afgedrukt in het rechterdeelvenster, zoals weergegeven in de afbeelding:

Herhaal de procedure voor poort 3269, zoals weergegeven in de afbeelding:

Voor een succesvolle verbinding op poort 3269 wordt RootDSE-informatie afgedrukt in het rechterdeelvenster, zoals weergegeven in de afbeelding:

Stap 2. Verkrijgen van de root en eventuele tussenliggende certificaten die deel uitmaken van de LDAPS server certificaat en installeer deze als tomcat-trust certificaten op elk van de CUCM en IM / P uitgever knooppunten en als CallManager-trust op de CUCM uitgever.
De root- en intermediaire certificaten die deel uitmaken van een LDAPS-servercertificaat, <hostname>.<Domain>.cer, worden weergegeven in de afbeelding:

Navigeer naar CUCM-uitgever Cisco Unified OS Administration > Security > Certificate Management. Upload root als tomcat-trust (zoals weergegeven in de afbeelding) en als CallManager-trust (niet weergegeven):

Upload intermediate als tomcat-trust (zoals getoond in de afbeelding) en als CallManager-trust (niet getoond):

Opmerking: als u IM/P-servers hebt die deel uitmaken van het CUCM-cluster, moet u deze certificaten ook uploaden naar deze IM/P-servers.
Opmerking: Als alternatief kunt u het LDAPS-servercertificaat installeren als tomcat-trust.
Stap 3. Start Cisco Tomcat opnieuw op vanaf de CLI van elke node (CUCM en IM/P) in clusters. Controleer bovendien voor het CUCM-cluster of de Cisco DirSync-service op de publisher-node is gestart.
Als u de Tomcat-service opnieuw wilt starten, moet u een CLI-sessie openen voor elke node en de opdracht uitvoeren om de service Cisco Tomcat opnieuw op te starten, zoals in de afbeelding wordt weergegeven:

Stap 4. Navigeer naar CUCM-uitgever Cisco Unified Serviceability > Tools > Control Center - Feature Services, controleer of de Cisco DirSync-service is geactiveerd en gestart (zoals weergegeven in de afbeelding) en start de Cisco CTIManager-service op elke node opnieuw op als deze wordt gebruikt (niet weergegeven):

Secure LDAP Directory configureren
Stap 1. Configureer de CUCM LDAP Directory om de LDAPS TLS-verbinding met AD op poort 636 te gebruiken.
Navigeer naar CUCM-beheer > Systeem > LDAP-directory. Typ de FQDN of het IP-adres van de LDAPS-server voor LDAP-serverinformatie. Geef de LDAPS-poort van 636 op en vink het vakje voor TLS gebruiken aan, zoals in de afbeelding wordt weergegeven:

Opmerking: Nadat de versies 10.5(2)SU2 en 9.1(2)SU3 FQDN die zijn geconfigureerd in de LDAP-serverinformatie zijn vergeleken met de algemene naam van het certificaat, wordt, als het IP-adres wordt gebruikt in plaats van de FQDN, de opdracht ldap config ipaddr uitgegeven om de handhaving van FQDN naar CN-verificatie te stoppen.
Stap 2. Als u de configuratiewijziging in LDAPS wilt voltooien, klikt u op Nu volledige synchronisatie uitvoeren, zoals in de afbeelding wordt weergegeven:

Stap 3. Navigeer naar CUCM-beheer > Gebruikersbeheer > Eindgebruiker en controleer of eindgebruikers aanwezig zijn, zoals in de afbeelding wordt getoond:

Stap 4. Navigeer naar de camerapagina (https://<ip address of cucm pub>/ccmuser) om te controleren of de gebruikersaanmelding succesvol is.
De camerapagina voor CUCM versie 12.0.1 ziet er als volgt uit:

De gebruiker kan zich met succes aanmelden nadat LDAP-referenties zijn ingevoerd, zoals weergegeven in de afbeelding:

Beveiligde LDAP-verificatie configureren
Configureer CUCM LDAP-verificatie om de LDAPS TLS-verbinding met AD op poort 3269 te gebruiken.
Navigeer naar CUCM-beheer > Systeem > LDAP-verificatie. Typ de FQDN van de LDAPS-server voor LDAP-serverinformatie. Geef de LDAPS-poort van 3269 op en vink het vakje voor TLS gebruiken aan, zoals in de afbeelding wordt weergegeven:

Opmerking: Als u Jabber-clients hebt, wordt het aanbevolen poort 3269 te gebruiken voor LDAPS-verificatie, omdat Jabber-time-out voor aanmelding kan optreden als een beveiligde verbinding met de globale catalogusserver niet is opgegeven.
Beveiligde verbindingen met AD configureren voor UC-services
Als u UC-services wilt beveiligen die gebruikmaken van LDAP, configureert u deze UC-services om poort 636 of 3269 met TLS te gebruiken.
Ga naar CUCM-beheer > Gebruikersbeheer > Gebruikersinstellingen > UC-service. Zoek de directoryservice die naar AD verwijst. Typ de FQDN van de LDAPS-server als hostnaam/IP-adres. Geef de poort op als 636 of 3269 en TLS-protocol, zoals weergegeven in de afbeelding:

Opmerking: de Jabber-clientmachines moeten ook de tomcat-trust LDAPS-certificaten die op CUCM zijn geïnstalleerd, hebben geïnstalleerd in het certificaatbeheer-vertrouwensarchief van de Jabber-clientmachine, zodat de Jabber-client een LDAPS-verbinding met AD kan maken.
Verifiëren
Gebruik deze sectie om te controleren of uw configuratie goed werkt.
Om de daadwerkelijke LDAPS-certificaatketen te verifiëren die van de LDAP-server naar CUCM wordt verzonden voor de TLS-verbinding, exporteert u het LDAPS TLS-certificaat vanuit een CUCM-pakketopname. Deze link geeft informatie over het exporteren van een TLS-certificaat van een CUCM-pakketopname: Hoe exporteer ik een TLS-certificaat van CUCM-pakketopname
Problemen oplossen
Er is momenteel geen specifieke informatie beschikbaar om problemen met deze configuratie op te lossen.
Gerelateerde informatie