為安全LDAP(LDAPS)配置CUCM

簡介

本文檔描述了將CUCM連線從非安全LDAP連線更新到AD的過程。

必要條件

需求

思科建議您瞭解以下主題：

· AD LDAP伺服器
· CUCM LDAP配置

· CUCM IM和狀態服務(IM/P)

採用元件

本檔案中的資訊是根據CUCM 9.x及更新版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

Active Directory(AD)管理員負責為輕型目錄訪問協定(LDAPS)配置AD輕型目錄訪問協定(LDAP)。 這包括安裝符合LDAPS證書要求的CA簽名證書。

附註：有關從非安全LDAP更新以確保LDAPS連線到AD的其他思科合作應用的資訊，請參閱以下連結：軟體諮詢：Active Directory連線的安全LDAP必備

驗證和安裝LDAPS證書

步驟1。將LDAPS證書上傳到AD伺服器後，使用ldp.exe工具驗證AD伺服器上是否已啟用LDAPS。

1. 在AD伺服器上啟動AD Administration Tool(Ldp.exe)。
2. 在「Connection」選單中，選擇「Connect」。
3. 輸入LDAPS服務器作為服務器的完全限定域名(FQDN)。
4. 輸入636作為埠號。
5. 按一下「OK」，如下圖所示
   
   

要在埠636上成功連線，將在右窗格中列印RootDSE資訊，如下圖所示：

對連線埠3269重複該程式，如下圖所示：

若要在連線埠3269上成功建立連線，RootDSE資訊會列印在右窗格中，如下圖所示：

步驟2.獲取作為LDAPS伺服器證書一部分的根證書和任何中間證書，並將這些證書作為tomcat-trust證書安裝在CUCM和IM/P發佈器節點上，作為CallManager-trust安裝在CUCM發佈器上。

作為LDAPS伺服器證書<hostname>.<Domain>.cer一部分的根證書和中間證書如下圖所示：

導航到CUCM publisher Cisco Unified OS Administration > Security > Certificate Management。將root使用者上傳為tomcat-trust（如圖所示）和CallManager-trust（未顯示）：

將intermediate上傳為tomcat-trust（如圖所示）和CallManager-trust（未顯示）：

附註：如果您的IM/P伺服器是CUCM群集的一部分，也需要將這些證書上傳到這些IM/P伺服器。

附註：或者，您可以將LDAPS伺服器證書安裝為tomcat-trust。

步驟3.從集群中每個節點（CUCM和IM/P）的CLI重新啟動Cisco Tomcat。此外，對於CUCM集群，請驗證發佈器節點上的Cisco DirSync服務是否已啟動。

要重新啟動Tomcat服務，您需要為每個節點開啟CLI會話並運行utils service restart Cisco Tomcat命令，如下圖所示：

步驟4.導覽至CUCM publisher Cisco Unified Serviceability > Tools > Control Center - Feature Services，確認Cisco DirSync服務已啟用並已啟動（如圖所示），並在每個節點上重新啟動Cisco CTIManager服務（如圖所示）：

配置安全LDAP目錄

步驟1.配置CUCM LDAP目錄，以便在埠636上使用LDAPS TLS到AD的連線。

導航到CUCM Administration > System > LDAP Directory。鍵入LDAP伺服器資訊的FQDN或LDAPS伺服器的IP地址。指定LDAPS埠636，並選中使用TLS覈取方塊，如下圖所示：

註意：預設情況下，在LDAP伺服器資訊中配置的10.5(2)SU2和9.1(2)SU3 FQDN版本根據證書的公用名進行檢查後，如果使用的是IP地址而不是FQDN，則發出命令utils ldap config ipaddr以停止將FQDN強制實施到CN驗證。

 步驟2.若要完成對LDAPS的組態變更，請按一下Perform Full Sync Now，如下圖所示：

步驟3.導覽至CUCM Administration > User Management > End User，確認存在終端使用者，如下圖所示：

步驟4.導覽至ccmuser頁面(https://<cucm pub的ip地址>/ccmuser)，確認使用者登入成功。 

CUCM 12.0.1版的ccmuser頁面如下所示：

使用者可以在輸入LDAP憑據後成功登入，如下圖所示：

配置安全LDAP身份驗證

配置CUCM LDAP身份驗證，以便在埠3269上利用LDAPS TLS與AD的連線。

導航到CUCM Administration > System > LDAP Authentication。鍵入LDAP伺服器資訊的LDAPS伺服器的FQDN。指定LDAPS埠3269，並選中使用TLS覈取方塊，如下圖所示：

附註：如果您有Jabber客戶端，建議使用埠3269進行LDAPS身份驗證，因為如果未指定到全域性目錄伺服器的安全連線，可能會發生登入的Jabber超時。

為UC服務配置與AD的安全連線

如果需要保護利用LDAP的UC服務，請配置這些UC服務以使用TLS的埠636或3269。

導航至CUCM管理>使用者管理>使用者設定> UC服務。查詢指向AD的目錄服務。鍵入LDAPS server的FQDN作為主機名/IP地址。將埠指定為636或3269和協定TLS，如下圖所示：

附註：Jabber客戶端電腦還需要在Jabber客戶端電腦的證書管理信任儲存中安裝CUCM上安裝的tomcat-trust LDAPS證書，以便允許Jabber客戶端建立與AD的LDAPS連線。

驗證

使用本節內容，確認您的組態是否正常運作。

要驗證從LDAP伺服器傳送到CUCM的TLS連線的實際LDAPS證書/證書鏈，請從CUCM資料包捕獲匯出LDAPS TLS證書。此連結提供有關如何從CUCM資料包捕獲匯出TLS證書的資訊：如何從CUCM資料包捕獲匯出TLS證書

疑難排解

目前尚無特定資訊可用於排解此組態的疑難問題。

相關資訊

• 此連結提供對通過LDAPS配置的影片的訪問：安全LDAP目錄和身份驗證穿透影片
• 技術支援與文件 - Cisco Systems