Fixando a integração do diretório LDAP com Cisco Unified CallManager 4.x

Introdução

Este documento discute estes artigos:

• Melhore a Segurança da integração do diretório LDAP com Cisco Unified CallManager (CUCM) com diversas etapas de configuração para restringir permissões. Estes procedimentos melhoram uma instalação existente e nova da integração de diretório.

• O acesso e o Gerenciamento do diretório exigem um usuário especial e agrupam-no. As permissões são ajustadas em objetos restringir o usuário e o grupo dedicados, e a integração de diretório então é atualizada (para um existente instale) ou terminou (para um novo instale). Finalmente, a integração é verificada.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento é específico a Cisco Unified CallManager 4.x.

Estas etapas, que são mostradas com o microsoft ative directory (AD), podem igualmente aplicar a outro o Produtos apoiado do diretório.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Informações de Apoio

Para a integração de diretório existente

Siga estas etapas para uma integração de diretório existente:

1. Crie um grupo novo, tal como o grupo do diretório CUCM.

2. Ajuste as permissões do grupo para o acesso de diretório.

3. Mova o usuário do diretório existente para o grupo novo.

4. Remova o usuário do grupo velho; os membros podem somente ser do grupo novo.

5. Execute a verificação.

Para a instalação existente sem conta dedicada

Siga estas etapas para uma integração de diretório existente onde uma conta dedicada não seja usada:

1. Crie um novo usuário, tal como o directory manager CUCM.

2. Faça ao usuário um membro do grupo novo somente.

3. Mude CUCM para usar o novo usuário; altere o registro e o arquivo INI.

4. Reinicie Cisco Tomcat.

5. Mude a senha da conta original que tinha sido usada.

6. Execute a verificação.

Para uma instalação nova

Siga estas etapas para uma instalação nova da integração de diretório:

1. Crie um grupo novo, tal como o grupo do diretório CUCM.

2. Ajuste limitações neste grupo novo.

3. Crie um novo usuário, tal como o directory manager CUCM.

4. Põe o novo usuário em um grupo com privilégios do administrado, por exemplo, domínio Admins.

5. Use o novo usuário quando você instala o encaixe.

6. Mova o usuário para o grupo recém-criado do diretório CUCM.

7. Ajuste o grupo novo como o grupo preliminar para o usuário admin.

8. Remova este usuário do grupo velho, que deve já não ser um membro de qualquer outro grupo.

9. Execute a verificação.

Verificação

Execute a verificação com este procedimento:

1. Crie um novo usuário, o mais ccmtest, no diretório (no servidor de diretório).

2. Certifique-se do usuário o mais ccmtest esteja alistado em usuários CUCM.

3. Mude o PIN do mais ccmtest na página da configuração do usuário CUCM.

4. Assegure-se de que o campo esteja atualizado no diretório.

5. Mude ciscoCCNatCTIUseEnabled para retificar para mais ccmtest no diretório.

6. Confirme que a caixa de verificação do uso do aplicativo CTI da possibilidade está verificada para ver se há mais ccmtest em CUCM.

7. Suprima do usuário o mais ccmtest.

8. Assegure-se de que somente as partes queridas da árvore estejam visíveis com um navegador LDAP: obrigação para não poder ver qualquer coisa fora da unidade organizacional de Cisco (OU) ou dos usuários OU.

Etapas detalhadas

Nota: Os nomes que são usados aqui para a conta dedicada e o grupo é directory manager CUCM e de diretório CUCM grupo, respectivamente, mas você podem escolher nomes diferentes.

Comece o microsoft ative directory (ADUC)

Escolha o Iniciar > Programas > Ferramentas Administrativas > Usuários e Computadores de Diretório Ativo.

Crie o grupo novo

Siga estas etapas para criar o grupo novo:

1. Clicar com o botão direito o recipiente de usuários.

2. Escolha novo > grupo.

3. Incorpore o nome do grupo, o espaço, e o tipo, tal como o grupo do diretório CUCM, global, e a Segurança.

4. Clique em Next.

5. Clique em Finish.

Ajuste permissões do grupo para o acesso de diretório

O grupo deve ser concedido estes direitos:

Read/Write/Create all child objects/
   Delete all child objects on the Cisco OU

Estes direitos devem aplicar-se a este objeto e a todos os objetos da criança.

Read privileges on the Users OU, 
   Read/Write privileges on the ciscoatGUID,
   ciscoatUserProfile, and ciscoatUserProfileString 
   attributes for all User objects.

De leitura/gravação ajustados/criam privilégios em Cisco OU

Siga estas etapas para ajustar o Read/Write/crie privilégios em Cisco OU:

1. Clicar com o botão direito o recipiente de Cisco.

2. Escolha propriedades.

3. Escolha a ABA de segurança.

4. Clique avançado.

5. O clique adiciona….

6. Incorpore o grupo do diretório CCM.

7. O grupo aplica-se no campo a este objeto e a todos os objetos da criança.

8. A verificação permite leu todas as propriedades.

9. A verificação permite escreve todas as propriedades.

10. A verificação permite cria todos os objetos da criança.

11. A verificação permite a supressão todos os objetos da criança.

12. Clique em OK.

Ajuste privilégios lidos no OU dos usuários

Siga estas etapas para ajustar privilégios lidos nos usuários OU:

1. Clicar com o botão direito o recipiente de usuários.

2. Escolha propriedades.

3. Escolha a ABA de segurança.

4. Clique avançado.

5. O clique adiciona….

6. Incorpore o grupo do diretório CCM.

7. O grupo aplica-se no campo aos objetos do usuário.

8. A verificação permite leu todas as propriedades.

9. Clique em OK.

Ajuste privilégios de leitura/gravação em atributos de Cisco

Siga estas etapas para ajustar privilégios de leitura/gravação nos atributos de Cisco:

1. Clicar com o botão direito o recipiente de usuários.

2. Escolha propriedades.

3. Escolha a ABA de segurança.

4. Clique avançado.

5. O clique adiciona….

6. Incorpore o grupo do diretório CCM.

7. O grupo aplica-se no campo aos objetos do usuário.

8. A verificação permite o ciscoatGUID lido, leu ciscoatUserProfile, ReadatUserProfileString.

9. A verificação permite o ciscoatGUID Write, escreve ciscoatUserProfile, escreve atUserProfileString.

10. Clique em OK.

Crie o novo usuário

Siga estas etapas para criar um novo usuário:

1. Clicar com o botão direito o recipiente de usuários.

2. Escolha novo > usuário.

3. Dê entrada com o nome e o nome de logon, como, directory manager CUCM, ccmdiruser.

4. Preencha a senha e confirme campos de senha.

5. Verifique a senha nunca expira caixa de verificação.

6. Clique em Next.

7. Clique em Finish.

Mova o usuário para o grupo novo e remova-o do grupo velho

Siga estas etapas para mover o usuário para um grupo novo e para removê-lo do grupo velho:

1. Escolha os usuários OU.

2. Clicar com o botão direito o ccmdiruser e escolha propriedades.

3. Escolha o membro da aba.

4. O clique adiciona….

5. Incorpore o grupo do diretório CCM.

6. Clique em OK.

7. Escolha o grupo do diretório CCM.

8. Clique grupo preliminar ajustado.

9. Escolha o grupo velho.

10. O clique remove.

    

Três etapas exigidas para mudar CUCM para usar o novo usuário

Três etapas são exigidas para mudar CUCM para usar o novo usuário:

• Obtenha a senha criptografada.

• Ajuste a conta e a senha no registro.

• Ajuste a conta e a senha no arquivo da iniciação do DC Directory.

Obtenha a senha criptografada

Nota: Embora a senha que é usada aqui seja senha para propósitos de demonstração, você deve usar uma senha complexa pelo contrário.

1. Escolha Start > Run.

2. Entre no Cmd.

3. Entre no CD C:\dcdsrvr\bin.

4. Incorpore a senha PasswordUtils.cmd.

   

Ajuste a conta e a senha no registro

Cuidado: Se você edita a chave de registro errada ou faz um erro quando você editar o registro, seu sistema pode ser inusável até que você repare o registro. Você deve backup seu registro antes que você faça todas as mudanças. Certifique-se de que você sabe restaurar o registro do backup antes que você continue. Porque uma explicação de como manter o registro de servidor é além do alcance deste documento, consulte sua documentação de sistema para esta informação.

1. Escolha Start > Run.

2. Incorpore o regedit e clique a APROVAÇÃO.

3. Consulte ao \ \ HKEY_LOCAL_MACHINE \ software \ Cisco Systems, Inc. \ configuração de diretório dentro do registro.

4. No painel correto, fazer duplo clique a chave de registro MGRDN.

5. Mude o usuário, por exemplo, administrador > ccmdiruser.

6. Fazer duplo clique a chave de registro MGRPW.

7. Mude a senha criptografada com o valor obtido da ferramenta de PasswordUtils.

8. Retire Regedit.

   

Ajuste a conta e a senha no arquivo INI do DC Directory

Siga estas etapas para ajustar a conta e a senha no arquivo INI do DC Directory:

1. Escolha Start > Run.

2. Entre no C do bloco de notas: /dcdsrvr/DirectoryConfiguration.ini e APROVAÇÃO do clique.

3. Mude o usuário, por exemplo, administrador > ccmdiruser.

4. Mude o valor à direita do passwd= à senha criptografada que você obteve da ferramenta de PasswordUtils.

5. Escolha o arquivo > salvar.

6. Escolha o arquivo > sair.

   

Reinicie Cisco Tomcat

Siga estas etapas para reiniciar o serviço Cisco Tomcat:

1. Escolha o programas > ferramentas administrativas > serviços.

2. Clicar com o botão direito Cisco Tomcat e escolha o reinício.

   

Verifique que o usuário o mais ccmtest provisório está no diretório CUCM

Siga estas etapas para verificar que o usuário o mais ccmtest provisório está no diretório CUCM:

1. Das páginas de administração CUCM, escolha o usuário > o diretório global.

2. Pressione o botão Search Button.

3. Assegure-se de que o usuário o mais ccmtest esteja na lista de usuários.

   

Mude o PIN do usuário o mais ccmtest

Siga estas etapas para mudar o PIN do usuário o mais ccmtest:

1. Escolha mais ccmtest na página da informação sobre o usuário.

2. Pressione o botão da mudança….

3. Incorpore um PIN 5-digit, por exemplo, 12345.

4. Pressione a atualização e os botões Close Button.

   

5. Use um navegador do diretório para escolher Cisco OU.

6. Navegue a CCN > perfis > CCM-teste-CCNProfile.

7. Assegure-se de que o campo de CiscoCCNatPIN tenha o valor novo.

   

Mude o campo ciscoCCNatCTIUseEnabled

Siga estas etapas para mudar o campo ciscoCCNatCTIUseEnabled:

1. Use um navegador do diretório para escolher Cisco OU.

2. Navegue a CCN > perfis > CCM-teste-CCNProfile.

3. Modify ciscoCCNatCTIUseEnabled para retificar.

   

4. Refresque a página da configuração do usuário para o usuário o mais ccmtest.

5. Assegure-se de que a caixa de verificação do uso do aplicativo CTI da possibilidade esteja marcada agora.

   

Suprima do usuário o mais ccmtest

Siga estas etapas para suprimir do usuário o mais ccmtest:

1. Escolha os usuários OU.

2. Clicar com o botão direito mais ccmtest e escolha a supressão.

3. Escolha sim confirmar.

Informações Relacionadas

• Integração do diretório LDAP - Comunicações unificadas SRND de Cisco para CUCM 4.x
• A instalação do encaixe do diretório ativo 2000 para o CallManager da Cisco
• Diretório ativo e guia de Troubleshooting da integração do CallManager da Cisco
• Suporte à Tecnologia de Voz
• Suporte ao Produto de Voz e Comunicações Unificadas
• Troubleshooting da Telefonia IP Cisco
• Suporte Técnico e Documentação - Cisco Systems