為安全LDAP(LDAPS)配置CUCM
簡介
本文檔描述了將CUCM連線從非安全LDAP連線更新到AD的過程。
必要條件
需求
思科建議您瞭解以下主題:
· AD LDAP伺服器
· CUCM LDAP配置
· CUCM IM和狀態服務(IM/P)
採用元件
本檔案中的資訊是根據CUCM 9.x及更新版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
Active Directory(AD)管理員負責為輕型目錄訪問協定(LDAPS)配置AD輕型目錄訪問協定(LDAP)。 這包括安裝符合LDAPS證書要求的CA簽名證書。
附註:有關從非安全LDAP更新以確保LDAPS連線到AD的其他思科合作應用的資訊,請參閱以下連結:軟體諮詢:Active Directory連線的安全LDAP必備
驗證和安裝LDAPS證書
步驟1。將LDAPS證書上傳到AD伺服器後,使用ldp.exe工具驗證AD伺服器上是否已啟用LDAPS。
- 在AD伺服器上啟動AD Administration Tool(Ldp.exe)。
- 在「Connection」選單中,選擇「Connect」。
- 輸入LDAPS服務器作為服務器的完全限定域名(FQDN)。
- 輸入636作為埠號。
- 按一下「OK」,如下圖所示
要在埠636上成功連線,將在右窗格中列印RootDSE資訊,如下圖所示:
對連線埠3269重複該程式,如下圖所示:
若要在連線埠3269上成功建立連線,RootDSE資訊會列印在右窗格中,如下圖所示:
步驟2.獲取作為LDAPS伺服器證書一部分的根證書和任何中間證書,並將這些證書作為tomcat-trust證書安裝在CUCM和IM/P發佈器節點上,作為CallManager-trust安裝在CUCM發佈器上。
作為LDAPS伺服器證書<hostname>.<Domain>.cer一部分的根證書和中間證書如下圖所示:
導航到CUCM publisher Cisco Unified OS Administration > Security > Certificate Management。將root使用者上傳為tomcat-trust(如圖所示)和CallManager-trust(未顯示):
將intermediate上傳為tomcat-trust(如圖所示)和CallManager-trust(未顯示):
步驟3.從集群中每個節點(CUCM和IM/P)的CLI重新啟動Cisco Tomcat。此外,對於CUCM集群,請驗證發佈器節點上的Cisco DirSync服務是否已啟動。
要重新啟動Tomcat服務,您需要為每個節點開啟CLI會話並運行utils service restart Cisco Tomcat命令,如下圖所示:
步驟4.導覽至CUCM publisher Cisco Unified Serviceability > Tools > Control Center - Feature Services,確認Cisco DirSync服務已啟用並已啟動(如圖所示),並在每個節點上重新啟動Cisco CTIManager服務(如圖所示):
配置安全LDAP目錄
步驟1.配置CUCM LDAP目錄,以便在埠636上使用LDAPS TLS到AD的連線。
導航到CUCM Administration > System > LDAP Directory。鍵入LDAP伺服器資訊的FQDN或LDAPS伺服器的IP地址。指定LDAPS埠636,並選中使用TLS覈取方塊,如下圖所示:
註意:預設情況下,在LDAP伺服器資訊中配置的10.5(2)SU2和9.1(2)SU3 FQDN版本根據證書的公用名進行檢查後,如果使用的是IP地址而不是FQDN,則發出命令utils ldap config ipaddr以停止將FQDN強制實施到CN驗證。
步驟2.若要完成對LDAPS的組態變更,請按一下Perform Full Sync Now,如下圖所示:
步驟3.導覽至CUCM Administration > User Management > End User,確認存在終端使用者,如下圖所示:
步驟4.導覽至ccmuser頁面(https://<cucm pub的ip地址>/ccmuser),確認使用者登入成功。
CUCM 12.0.1版的ccmuser頁面如下所示:
使用者可以在輸入LDAP憑據後成功登入,如下圖所示:
配置安全LDAP身份驗證
配置CUCM LDAP身份驗證,以便在埠3269上利用LDAPS TLS與AD的連線。
導航到CUCM Administration > System > LDAP Authentication。鍵入LDAP伺服器資訊的LDAPS伺服器的FQDN。指定LDAPS埠3269,並選中使用TLS覈取方塊,如下圖所示:
附註:如果您有Jabber客戶端,建議使用埠3269進行LDAPS身份驗證,因為如果未指定到全域性目錄伺服器的安全連線,可能會發生登入的Jabber超時。
為UC服務配置與AD的安全連線
如果需要保護利用LDAP的UC服務,請配置這些UC服務以使用TLS的埠636或3269。
導航至CUCM管理>使用者管理>使用者設定> UC服務。查詢指向AD的目錄服務。鍵入LDAPS server的FQDN作為主機名/IP地址。將埠指定為636或3269和協定TLS,如下圖所示:
附註:Jabber客戶端電腦還需要在Jabber客戶端電腦的證書管理信任儲存中安裝CUCM上安裝的tomcat-trust LDAPS證書,以便允許Jabber客戶端建立與AD的LDAPS連線。
驗證
使用本節內容,確認您的組態是否正常運作。
要驗證從LDAP伺服器傳送到CUCM的TLS連線的實際LDAPS證書/證書鏈,請從CUCM資料包捕獲匯出LDAPS TLS證書。此連結提供有關如何從CUCM資料包捕獲匯出TLS證書的資訊:如何從CUCM資料包捕獲匯出TLS證書
疑難排解
目前尚無特定資訊可用於排解此組態的疑難問題。
相關資訊
- 此連結提供對通過LDAPS配置的影片的訪問:安全LDAP目錄和身份驗證穿透影片
- 技術支援與文件 - Cisco Systems
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
6.0 |
05-Jun-2026
|
重新認證 |
4.0 |
05-Jun-2024
|
更新的格式。 |
3.0 |
12-May-2023
|
已刪除PII。已新增Alt文本。針對樣式要求、機器翻譯和格式進行了更新。 |
2.0 |
02-Feb-2023
|
已新增影象alt文本。已針對格式、樣式要求和機器翻譯進行更新。 |
1.0 |
23-Aug-2021
|
初始版本 |
意見