簡介
本檔案介紹將輕量型目錄存取通訊協定(LDAP)與思科會議伺服器(CMS)整合的逐步程式。
必要條件
需求
思科建議您瞭解以下主題:
採用元件
本文檔中的資訊基於CMS 3.0。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
本文檔重點介紹有關LDAP與CMS整合的許多主題。它還包括有關如何將Active Directory配置從Configuration > Active Directory中的CMS GUI遷移到API的步驟。
註:CMS支援的唯一LDAP伺服器是Microsoft Active Directory、OpenLDAP、Directory LDAP3和Oracle Internet Directory。
注意:未來版本的CMS中可能會刪除Web GUI中的LDAP配置。
設定
您在Web介面中配置LDAP配置的唯一場景是,您有一個要匯入到CMS的LDAP源。
註:在更高版本的CMS中,可以從Web GUI中刪除Active Directory。
Active Directory伺服器設定
配置與LDAP伺服器的連線:
地址 |
這是LDAP伺服器的主機名或IP地址。 |
連接埠 |
389 for Unsecure和636 for secure connection(必須選中secure connection覈取方塊) |
使用者名稱 |
註冊使用者的唯一判別名(DN)。您可以建立 專門用於此目的的使用者。示例: cn=Tyler Evans,cn=Users,OU=Engineering,dc=YourCompany,dc=com |
密碼 |
您正在使用的使用者名稱的密碼 |
安全連線 |
如果使用埠636,請選中此框 |
匯入設定
匯入設定用於控制要匯入的使用者:
基於的可分辨名稱 |
LDAP樹中要從中匯入使用者的節點。 本示例是基礎DN匯入使用者的明智選擇 |
示例: cn=Users,dc=sales,dc=YourCompany,dc=com |
篩選條件 |
使用者LDAP中的屬性值必須滿足的篩選器表達式 錄音。Filter欄位的語法在rfc4515中描述。 |
示例:mail=* |
欄位對映表達式
欄位對映表達式控制如何根據相應LDAP記錄中的欄位值構建會議伺服器使用者記錄中的欄位值。
顯示名稱 |
使用者名稱 |
空間名稱 |
空間URI使用者部分 |
輔助空間URI使用者部分 |
空間呼叫ID |
可恢復/可擴展的部署
有兩種情況需要在API中配置LDAP。一種情況是具有3個或更多節點的群集部署,第二種情況是具有多個要從中匯入使用者的LDAP源。
Web介面API
通過登入到CMS > Configuration > API的Web管理員來導航到API Web介面。下面是製作所有API配置的地方。
LDAP API對象
導航到API後,在篩選器欄中鍵入「ldap」以顯示可以建立的所有LDAP配置。
位於對象樹中「/ldapMappings」、「/ldapServers」和「/ldapSources」節點中的層次結構中的對象與會議伺服器與一個或多個LDAP伺服器(例如Active Directory)互動,這些伺服器用於將使用者帳戶匯入到思科會議伺服器。
Ldap伺服器
必須配置一個或多個LDAP伺服器,每個伺服器都包含關聯的使用者名稱和密碼資訊,會議伺服器用它連線到伺服器以從中檢索使用者帳戶資訊。
* =必需
地址* |
要連線的LDAP伺服器的地址 |
名稱 |
關聯名稱(從2.9版本開始) |
portNumber * |
埠389(不安全)或埠636(安全) |
使用者名稱 |
從LDAP伺服器檢索資訊時要使用的使用者名稱 |
密碼 |
與使用者名稱關聯的帳戶的密碼 |
安全* |
是否與LDAP伺服器建立安全連線。如果「true」,則TLS 使用;如果為「false」,則使用TCP。 |
usePagedResults |
在搜尋操作過程中是否使用LDAP分頁結果控制元件 LDAP同步;如果未設定,則使用分頁結果控制元件。Oracle Internet 目錄要求將此引數設定為「false」(從2.1版開始)。 |
Ldap對映
還需要一個或多個LDAP對映,定義從配置的LDAP伺服器匯入使用者時新增到系統的使用者帳戶名的形式。
* =必需
jidMapping* |
用於從關聯的LDAP生成使用者JID的模板 伺服器條目,例如 $sAMAccountName$@example.com。 注意:jidMapping生成的使用者JID也用作URI 因此必須是唯一的,並且與任何URI或呼叫ID都不相同。 |
名稱對映 |
用於從關聯的生成使用者名稱的模板 LDAP伺服器條目;例如「$cn$」,使用公用的 名稱. |
cdrTagMapping |
用於生成使用者的cdrTag值的模板。可以設定 轉換為固定值或從其他LDAP欄位構建 對於該使用者。使用者的cdrTag用於callLegStart CDR中。 有關詳細資訊,請參閱《思科會議伺服器CDR參考》。 |
coSpaceUri對映 |
如果提供這些引數,它們可確保每個使用者 此LDAP對映生成的帳戶具有關聯 個人coSpace。 |
coSpaceSecondaryUriMapping |
對於要根據需要設定的coSpace,這些引數 提供用於設定coSpaces的URI的模板(已顯示) 名稱和配置的呼叫ID。例如,設定 到「$cn$personal coSpace」的coSpaceNameMapping可確保 每個使用者的coSpace都標有其名稱,後跟其名稱 「個人coSpace」。 |
coSpace名稱對映 |
|
coSpaceCallIdMapping |
|
authenticationId對映 |
用於從生成身份驗證ID 關聯的LDAP伺服器條目,例如 "$userPrincipalName$" |
Ldap源
然後,需要配置一組LDAP源,它們將配置的LDAP伺服器和LDAP對映以及自身的引數(對應於一組使用者的實際匯入)連線在一起。LDAP源採用LDAP伺服器/LDAP對映組合,並從該LDAP伺服器匯入一組經過篩選的使用者。此過濾器由LDAP源「baseDn」(可在其中找到使用者的LDAP伺服器樹的節點)和一個過濾器確定,以確保僅為與特定模式匹配的LDAP對象建立使用者帳戶。
* =必需
伺服器* |
以前配置的LDAP伺服器的ID |
對映* |
先前配置的LDAP對映的ID( |
baseDn* |
要從中匯入使用者的LDAP伺服器樹中節點的可分辨名稱,例如「cn=Users,dc=,dc=com」 |
篩選條件 |
|
租戶 |
|
使用者配置檔案 |
|
非成員訪問 |
|
將Web GUI配置遷移到API
本節將討論如何將LDAP Web GUI配置遷移到API。如果您當前在Web GUI中具有Ldap配置,並且希望將此資訊遷移到API,則使用此示例可以避免丟失資料。
注意:將AD從GUI移動到API時會發生什麼情況?如果在刪除GUI Active Directory設定之前先配置API,則使用者資訊保持不變;呼叫ID和密碼也保持不變。但是,如果在配置API之前刪除GUI,則會將新的呼叫ID和機密分配給使用者。
步驟 1.通知Web GUI Active Directory設定
導航到Configurations > Active Directory 以檢視Web GUI的LDAP配置。擷取此內容的螢幕截圖,或者將這些內容複製並貼上到文本編輯器中,供以後使用。
第2步:導航到API中的LDAP引數
導航到Configurations > API >在篩選欄中鍵入「Ldap」。
顯示的是LDAP配置的清單。
步驟 3.在API內建立ldapServer
在此清單中,按一下ldapServers,然後選擇「Create New」。有關Web GUI Active Directory中的內容,請參閱螢幕抓圖或文本編輯器。您現在要將「Active Directory Server Settings」從Web Gui複製到相應的API配置中。
步驟 4.在API內建立ldap對映
完成步驟4後,導航到API中的ldapMapping。Configurations > API > Filter "ldapMapping",然後按一下Create New。
從Configurations > Active Directory > Field Mapping Expressions從Web GUI複製欄位對映表達式。 接下來,導覽至Configuration > API > filter "ldapmapping",然後按一下Create。
欄位對映表達式(Web GUI) |
API |
顯示名稱 |
名稱對映 |
使用者名稱 |
jid對映 |
空間名稱 |
|
空間URI使用者部分 |
coSpaceURIMapping |
空間輔助URI使用者部分 |
coSpaceSecondaryUriMapping |
空間呼叫ID |
|
步驟 5.在API內建立ldap源
現在,將企業目錄/匯入設定從Web GUI遷移到LDAP源API配置、Configuration > API >篩選器「ldapSources」,然後按一下LdapSources旁邊的箭頭,然後選擇create new。
選擇您在步驟3和4中配置的LDAP對映和LDAP伺服器。
選擇剛配置的LDAP對映和LDAP伺服器,然後將baseDN和篩選器從Web Gui新增到API配置。
匯入設定(Web Gui) |
API Ldap源 |
基本可分辨名稱 |
baseDn |
篩選條件 |
篩選條件 |
步驟 6.通過LDAPSync驗證設定更改
現在您可以確認它是否工作正常。導航到API中的ldapSyncs, Configuration > API > filter 'ldapSyncs',然後按一下它並選擇Create New。
您無需填寫任何內容,只需選擇Create。這將開始同步過程。30秒 — 1分鐘後,刷新頁面,驗證您是否獲得完整狀態並返回200 OK。
驗證
確保所有欄位都已正確配置。
疑難排解
目前尚無適用於此組態的具體疑難排解資訊。