為安全LDAP(LDAPS)配置CUCM
簡介
本文檔描述了將CUCM連線從非安全LDAP連線更新到AD的過程。
必要條件
需求
思科建議您瞭解以下主題:
· AD LDAP伺服器
· CUCM LDAP配置
· CUCM IM和狀態服務(IM/P)
採用元件
本檔案中的資訊是根據CUCM 9.x及更新版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
背景資訊
Active Directory(AD)管理員負責為輕型目錄訪問協定(LDAPS)配置AD輕型目錄訪問協定(LDAP)。這包括安裝符合LDAPS證書要求的CA簽名證書。
注意:有關資訊,請參閱此連結,以便從非安全LDAP進行更新,以確保LDAPS連線與其他Cisco合作應用的AD的安全:軟體建議:Active Directory連線必須安全LDAP
驗證和安裝LDAPS證書
步驟 1.將LDAPS證書上傳到AD伺服器後,使用ldp.exe工具驗證AD伺服器上是否啟用了LDAPS。
- 在AD伺服器上啟動AD管理工具(Ldp.exe)。
- 在「連線」(Connection)選單中,選擇「連線」(Connect)。
- 輸入LDAPS伺服器的完全限定域名(FQDN)作為伺服器。
- 輸入636作為埠號。
- 按一下「OK」,如下圖所示
要在埠636上成功連線,將在右窗格中列印RootDSE資訊,如下圖所示:
對連線埠3269重複該程式,如下圖所示:
若要在連線埠3269上成功建立連線,RootDSE資訊會列印在右窗格中,如下圖所示:
步驟 2.獲取作為LDAPS伺服器證書一部分的根證書和任何中間證書,並將這些證書作為tomcat-trust證書安裝在CUCM和IM/P發佈器節點上,作為CallManager-trust安裝在CUCM發佈器上。
作為LDAPS伺服器證書一部分的根證書和中間證書<hostname>.<Domain>.cer如下圖所示:
導航到CUCM publisher Cisco Unified OS Administration > Security > Certificate Management。將root使用者上傳為tomcat-trust(如圖所示)和CallManager-trust(未顯示):
將intermediate上傳為tomcat-trust(如圖所示)和CallManager-trust(未顯示):
步驟 3.從群集中的每個節點(CUCM和IM/P)的CLI重新啟動Cisco Tomcat。此外,對於CUCM集群,請驗證發佈器節點上的Cisco DirSync服務是否已啟動。
要重新啟動Tomcat服務,您需要為每個節點開啟CLI會話並運行utils service restart Cisco Tomcat命令,如下圖所示:
步驟 4.導覽至CUCM publisher Cisco Unified Serviceability > Tools > Control Center - Feature Services,確認Cisco DirSync服務已啟用並啟動(如圖所示),並在每個節點上重新啟動Cisco CTIManager服務(未顯示):
配置安全LDAP目錄
步驟 1.配置CUCM LDAP目錄,以便在埠636上利用LDAPS TLS與AD的連線。
導航到CUCM Administration > System > LDAP Directory。鍵入LDAP伺服器資訊的FQDN或LDAP伺服器的IP地址。指定LDAPS埠636並選中使用TLS覈取方塊,如下圖所示:
註意:預設情況下,在LDAP伺服器資訊中配置的10.5(2)SU2和9.1(2)SU3 FQDN版本之後,會根據證書的公用名進行檢查。如果使用的是IP地址而不是FQDN,則需要發出命令「utils ldap config ipaddr」以停止將FQDN強制實施到CN驗證。
步驟 2.若要完成對LDAPS的配置更改,請按一下Perform Full Sync Now,如下圖所示:
步驟 3.導覽至CUCM Administration > User Management > End User,確認存在終端使用者,如下圖所示:
步驟 4.導覽至ccmuser頁面(https://<cucm pub的ip地址>/ccmuser)以驗證使用者登入是否成功。
CUCM 12.0.1版的ccmuser頁面如下所示:
使用者可以在輸入LDAP憑據後成功登入,如下圖所示:
配置安全LDAP身份驗證
配置CUCM LDAP身份驗證,以便在埠3269上利用LDAPS TLS與AD的連線。
導航到CUCM Administration > System > LDAP Authentication。鍵入LDAP伺服器資訊的LDAPS伺服器的FQDN。指定LDAPS埠3269,並選中使用TLS覈取方塊,如下圖所示:
注意:如果您有Jabber客戶端,建議對LDAPS身份驗證使用埠3269,因為如果未指定到全域性編錄伺服器的安全連線,可能會發生登入時的Jabber超時。
為UC服務配置與AD的安全連線
如果需要保護利用LDAP的UC服務,請配置這些UC服務以使用TLS的埠636或3269。
導航至CUCM管理>使用者管理>使用者設定> UC服務。查詢指向AD的目錄服務。鍵入LDAPS伺服器的FQDN作為主機名/IP地址。將埠指定為636或3269以及協定TLS,如下圖所示:
註意:Jabber客戶端電腦還需要在Jabber客戶端電腦的證書管理信任儲存中安裝CUCM上安裝的tomcat-trust LDAPS證書,以便允許Jabber客戶端建立與AD的LDAPS連線。
驗證
使用本節內容,確認您的組態是否正常運作。
要驗證從LDAP伺服器傳送到CUCM的TLS連線的實際LDAPS證書/證書鏈,請從CUCM資料包捕獲匯出LDAPS TLS證書。此連結提供有關如何從CUCM資料包捕獲匯出TLS證書的資訊:如何從CUCM資料包捕獲匯出TLS證書
疑難排解
目前尚無特定資訊可用於排解此組態的疑難問題。
相關資訊
- 此連結提供對通過LDAPS配置的影片的訪問:安全LDAP目錄和身份驗證穿透影片
- 技術支援與文件 - Cisco Systems
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
3.0 |
12-May-2023 |
已刪除PII。
已新增Alt文本。
針對樣式要求、機器翻譯和格式進行了更新。 |
2.0 |
02-Feb-2023 |
已新增影象alt文本。
已針對格式、樣式要求和機器翻譯進行更新。 |
1.0 |
23-Aug-2021 |
初始版本 |
意見