Este documento discute estes artigos:
Melhore a Segurança da integração do diretório LDAP com Cisco Unified CallManager (CUCM) com diversas etapas de configuração para restringir permissões. Estes procedimentos melhoram uma instalação existente e nova da integração de diretório.
O acesso e o Gerenciamento do diretório exigem um usuário especial e agrupam-no. As permissões são ajustadas em objetos restringir o usuário e o grupo dedicados, e a integração de diretório então é atualizada (para um existente instale) ou terminou (para um novo instale). Finalmente, a integração é verificada.
Não existem requisitos específicos para este documento.
Este documento é específico a Cisco Unified CallManager 4.x.
Estas etapas, que são mostradas com o microsoft ative directory (AD), podem igualmente aplicar a outro o Produtos apoiado do diretório.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
Siga estas etapas para uma integração de diretório existente:
Crie um grupo novo, tal como o grupo do diretório CUCM.
Ajuste as permissões do grupo para o acesso de diretório.
Mova o usuário do diretório existente para o grupo novo.
Remova o usuário do grupo velho; os membros podem somente ser do grupo novo.
Execute a verificação.
Siga estas etapas para uma integração de diretório existente onde uma conta dedicada não seja usada:
Crie um novo usuário, tal como o directory manager CUCM.
Faça ao usuário um membro do grupo novo somente.
Mude CUCM para usar o novo usuário; altere o registro e o arquivo INI.
Reinicie Cisco Tomcat.
Mude a senha da conta original que tinha sido usada.
Execute a verificação.
Siga estas etapas para uma instalação nova da integração de diretório:
Crie um grupo novo, tal como o grupo do diretório CUCM.
Ajuste limitações neste grupo novo.
Crie um novo usuário, tal como o directory manager CUCM.
Põe o novo usuário em um grupo com privilégios do administrado, por exemplo, domínio Admins.
Use o novo usuário quando você instala o encaixe.
Mova o usuário para o grupo recém-criado do diretório CUCM.
Ajuste o grupo novo como o grupo preliminar para o usuário admin.
Remova este usuário do grupo velho, que deve já não ser um membro de qualquer outro grupo.
Execute a verificação.
Execute a verificação com este procedimento:
Crie um novo usuário, o mais ccmtest, no diretório (no servidor de diretório).
Certifique-se do usuário o mais ccmtest esteja alistado em usuários CUCM.
Mude o PIN do mais ccmtest na página da configuração do usuário CUCM.
Assegure-se de que o campo esteja atualizado no diretório.
Mude ciscoCCNatCTIUseEnabled para retificar para mais ccmtest no diretório.
Confirme que a caixa de verificação do uso do aplicativo CTI da possibilidade está verificada para ver se há mais ccmtest em CUCM.
Suprima do usuário o mais ccmtest.
Assegure-se de que somente as partes queridas da árvore estejam visíveis com um navegador LDAP: obrigação para não poder ver qualquer coisa fora da unidade organizacional de Cisco (OU) ou dos usuários OU.
Note: Os nomes que são usados aqui para a conta dedicada e o grupo é directory manager CUCM e de diretório CUCM grupo, respectivamente, mas você podem escolher nomes diferentes.
Escolha o Iniciar > Programas > Ferramentas Administrativas > Usuários e Computadores de Diretório Ativo.
Siga estas etapas para criar o grupo novo:
Clicar com o botão direito o recipiente de usuários.
Escolha novo > grupo.
Incorpore o nome do grupo, o espaço, e o tipo, tal como o grupo do diretório CUCM, global, e a Segurança.
Clique em Next.
Clique em Finish.
O grupo deve ser concedido estes direitos:
Read/Write/Create all child objects/ Delete all child objects on the Cisco OU
Estes direitos devem aplicar-se a este objeto e a todos os objetos da criança.
Read privileges on the Users OU, Read/Write privileges on the ciscoatGUID, ciscoatUserProfile, and ciscoatUserProfileString attributes for all User objects.
Siga estas etapas para ajustar o Read/Write/crie privilégios em Cisco OU:
Clicar com o botão direito o recipiente de Cisco.
Escolha propriedades.
Escolha a ABA de segurança.
Clique avançado.
O clique adiciona….
Incorpore o grupo do diretório CCM.
O grupo aplica-se no campo a este objeto e a todos os objetos da criança.
A verificação permite leu todas as propriedades.
A verificação permite escreve todas as propriedades.
A verificação permite cria todos os objetos da criança.
A verificação permite a supressão todos os objetos da criança.
Click OK.
Siga estas etapas para ajustar privilégios lidos nos usuários OU:
Clicar com o botão direito o recipiente de usuários.
Escolha propriedades.
Escolha a ABA de segurança.
Clique avançado.
O clique adiciona….
Incorpore o grupo do diretório CCM.
O grupo aplica-se no campo aos objetos do usuário.
A verificação permite leu todas as propriedades.
Click OK.
Siga estas etapas para ajustar privilégios de leitura/gravação nos atributos de Cisco:
Clicar com o botão direito o recipiente de usuários.
Escolha propriedades.
Escolha a ABA de segurança.
Clique avançado.
O clique adiciona….
Incorpore o grupo do diretório CCM.
O grupo aplica-se no campo aos objetos do usuário.
A verificação permite o ciscoatGUID lido, leu ciscoatUserProfile, ReadatUserProfileString.
A verificação permite o ciscoatGUID Write, escreve ciscoatUserProfile, escreve atUserProfileString.
Click OK.
Siga estas etapas para criar um novo usuário:
Clicar com o botão direito o recipiente de usuários.
Escolha novo > usuário.
Dê entrada com o nome e o nome de logon, como, directory manager CUCM, ccmdiruser.
Preencha a senha e confirme campos de senha.
Verifique a senha nunca expira caixa de verificação.
Clique em Next.
Clique em Finish.
Siga estas etapas para mover o usuário para um grupo novo e para removê-lo do grupo velho:
Escolha os usuários OU.
Clicar com o botão direito o ccmdiruser e escolha propriedades.
Escolha o membro da aba.
O clique adiciona….
Incorpore o grupo do diretório CCM.
Click OK.
Escolha o grupo do diretório CCM.
Clique grupo preliminar ajustado.
Escolha o grupo velho.
O clique remove.
Três etapas são exigidas para mudar CUCM para usar o novo usuário:
Obtenha a senha criptografada.
Ajuste a conta e a senha no registro.
Ajuste a conta e a senha no arquivo da iniciação do DC Directory.
Note: Embora a senha que é usada aqui seja senha para propósitos de demonstração, você deve usar uma senha complexa pelo contrário.
Escolha Start > Run.
Entre no Cmd.
Entre no CD C:\dcdsrvr\bin.
Incorpore a senha PasswordUtils.cmd.
Caution: Se você edita a chave de registro errada ou faz um erro quando você editar o registro, seu sistema pode ser inusável até que você repare o registro. Você deve backup seu registro antes que você faça todas as mudanças. Certifique-se de que você sabe restaurar o registro do backup antes que você continue. Porque uma explicação de como manter o registro de servidor é além do alcance deste documento, consulte sua documentação de sistema para esta informação.
Escolha Start > Run.
Incorpore o regedit e clique a APROVAÇÃO.
Consulte ao \ \ HKEY_LOCAL_MACHINE \ software \ Cisco Systems, Inc. \ configuração de diretório dentro do registro.
No painel correto, fazer duplo clique a chave de registro MGRDN.
Mude o usuário, por exemplo, administrador > ccmdiruser.
Fazer duplo clique a chave de registro MGRPW.
Mude a senha criptografada com o valor obtido da ferramenta de PasswordUtils.
Retire Regedit.
Siga estas etapas para ajustar a conta e a senha no arquivo INI do DC Directory:
Escolha Start > Run.
Entre no C do bloco de notas: /dcdsrvr/DirectoryConfiguration.ini e APROVAÇÃO do clique.
Mude o usuário, por exemplo, administrador > ccmdiruser.
Mude o valor à direita do passwd= à senha criptografada que você obteve da ferramenta de PasswordUtils.
Escolha o arquivo > salvar.
Escolha o arquivo > sair.
Siga estas etapas para reiniciar o serviço Cisco Tomcat:
Escolha o programas > ferramentas administrativas > serviços.
Clicar com o botão direito Cisco Tomcat e escolha o reinício.
Siga estas etapas para verificar que o usuário o mais ccmtest provisório está no diretório CUCM:
Das páginas de administração CUCM, escolha o usuário > o diretório global.
Pressione o botão Search Button.
Assegure-se de que o usuário o mais ccmtest esteja na lista de usuários.
Siga estas etapas para mudar o PIN do usuário o mais ccmtest:
Escolha mais ccmtest na página da informação sobre o usuário.
Pressione o botão da mudança….
Incorpore um PIN 5-digit, por exemplo, 12345.
Pressione a atualização e os botões Close Button.
Use um navegador do diretório para escolher Cisco OU.
Navegue a CCN > perfis > CCM-teste-CCNProfile.
Assegure-se de que o campo de CiscoCCNatPIN tenha o valor novo.
Siga estas etapas para mudar o campo ciscoCCNatCTIUseEnabled:
Use um navegador do diretório para escolher Cisco OU.
Navegue a CCN > perfis > CCM-teste-CCNProfile.
Modify ciscoCCNatCTIUseEnabled para retificar.
Refresque a página da configuração do usuário para o usuário o mais ccmtest.
Assegure-se de que a caixa de verificação do uso do aplicativo CTI da possibilidade esteja marcada agora.
Siga estas etapas para suprimir do usuário o mais ccmtest:
Escolha os usuários OU.
Clicar com o botão direito mais ccmtest e escolha a supressão.
Escolha sim confirmar.