为安全LDAP(LDAP)配置CUCM
简介
本文档介绍将CUCM连接从非安全LDAP连接更新到AD到安全LDAPS连接的过程。
先决条件
要求
Cisco 建议您了解以下主题:
· AD LDAP服务器
· CUCM LDAP配置
· CUCM IM & Presence服务(IM/P)
使用的组件
本文档中的信息基于CUCM 9.x版及更高版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
Active Directory(AD)管理员负责为轻量级目录访问协议(LDAPS)配置AD轻量级目录访问协议(LDAP)。这包括安装符合LDAPS证书要求的CA签名证书。
注意:有关信息,请参阅此链接,以便从非安全LDAP更新以保护LDAP连接到AD的其他思科协作应用:软件建议:Active Directory连接必需安全LDAP
验证和安装LDAPS证书
步骤1:将LDAPS证书上传到AD服务器后,使用ldp.exe工具验证AD服务器上是否已启用LDAPS。
- 在AD服务器上启动AD管理工具(Ldp.exe)。
- 在“连接”(Connection)菜单中,选择连接。
- 输入LDAPS服务器的完全限定域名(FQDN)作为服务器。
- 输入636作为端口号。
- 单击OK,如图所示
对于端口636上的成功连接,RootDSE信息会打印在右窗格中,如图所示:
对端口3269重复此过程,如图所示:
要在端口3269上成功连接,RootDSE信息会打印在右窗格中,如图所示:
第二步:获取作为LDAPS服务器证书一部分的根证书和任何中间证书,并将这些证书作为tomcat-trust证书安装在每个CUCM和IM/P发布方节点上,作为CallManager-trust安装在CUCM发布方上。
作为LDAPS服务器证书一部分的根证书和中间证书<hostname>.<Domain>.cer如图所示:
导航到CUCM publisher Cisco Unified OS Administration > Security > Certificate Management。将根上传为tomcat-trust(如图所示)和CallManager-trust(未显示):
将中间上传为tomcat-trust(如图所示)和CallManager-trust(未显示):
第三步:从集群中每个节点(CUCM和IM/P)的CLI重新启动Cisco Tomcat。此外,对于CUCM集群,请验证发布方节点上的Cisco DirSync服务是否已启动。
要重新启动Tomcat服务,您需要为每个节点打开CLI会话并运行命令utils service restart Cisco Tomcat,如图所示:
第四步:导航到CUCM发布服务器Cisco Unified Serviceability > Tools > Control Center - Feature Services,验证是否已激活和启动Cisco DirSync服务(如图所示),并在每个节点上重新启动Cisco CTIManager服务(如图所示):
配置安全LDAP目录
步骤1:配置CUCM LDAP目录,以便在端口636上使用到AD的LDAPS TLS连接。
导航到CUCM Administration > System > LDAP Directory。为LDAP服务器信息键入LDAP服务器的FQDN或IP地址。指定LDAPS端口636并选中Use TLS复选框,如图所示:
注意:默认情况下,在LDAP服务器信息中配置的10.5(2)SU2和9.1(2)SU3 FQDN版本根据证书的公用名进行检查后,如果使用的是IP地址而不是FQDN,则需要发出命令“utils ldap config ipaddr”以停止FQDN到CN验证的实施。
第二步:要完成对LDAPS的配置更改,请单击Perform Full Sync Now,如图所示:
第三步:导航到CUCM Administration > User Management > End User,验证最终用户是否存在,如图所示:
第四步:导航到ccmuser页(https://<cucm pub的ip地址>/ccmuser)以验证用户登录是否成功。
CUCM版本12.0.1的ccmuser页面如下所示:
用户可以在输入LDAP凭证后成功登录,如图所示:
配置安全LDAP身份验证
配置CUCM LDAP身份验证,以便在端口3269上利用到AD的LDAPS TLS连接。
导航到CUCM Administration > System > LDAP Authentication。为LDAP服务器信息键入LDAPS服务器的FQDN。指定LDAPS端口3269并选中Use TLS复选框,如图所示:
注意:如果您有Jabber客户端,建议使用端口3269进行LDAPS身份验证,因为如果未指定到全局目录服务器的安全连接,可能会发生Jabber登录超时。
为UC服务配置与AD的安全连接
如果您需要保护使用LDAP的统一通信服务,请配置这些统一通信服务以使用TLS的端口636或3269。
导航到CUCM管理>用户管理>用户设置> UC服务。查找指向AD的目录服务。键入LDAPS服务器的FQDN作为主机名/IP地址。将端口指定为636或3269和协议TLS,如图所示:
注意:Jabber客户端计算机还需要将CUCM上安装的tomcat-trust LDAPS证书安装在Jabber客户端计算机的证书管理信任库中,以允许Jabber客户端建立到AD的LDAPS连接。
验证
使用本部分可确认配置能否正常运行。
要验证从LDAP服务器发送到CUCM用于TLS连接的实际LDAPS证书/证书链,请从CUCM数据包捕获导出LDAPS TLS证书。此链接提供有关如何从CUCM数据包捕获导出TLS证书的信息:如何从CUCM数据包捕获导出TLS证书
故障排除
当前没有故障排除此配置的特定可用资料。
相关信息
- 此链接提供对通过LDAPS配置的视频的访问:安全LDAP目录和身份验证漫游视频
- 技术支持和文档 - Cisco Systems
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
3.0 |
12-May-2023 |
已删除PII。
添加了Alt文本。
已针对样式要求、机器翻译和格式设置更新。 |
2.0 |
02-Feb-2023 |
已添加图像替换文本。
已针对格式、样式要求和机器翻译进行更新。 |
1.0 |
23-Aug-2021 |
初始版本 |
反馈