Configurar la Integración del directorio deladministrador de las Comunicaciones unificadasde Cisco

Contenido

IntroducciónprerrequisitosRequisitosComponentes UtilizadosConvencionesAntecedentesIntegración del directorioConfigurarDiagrama de la redConfiguracionesCuenta de servicio en el ADAutenticación de directorioResolviendo problemas la Integración del directorio (sincronice)Resolviendo problemas la Integración del directorio (autenticación)VerificaciónTroubleshootingMensaje de error: Error mientras que conecta con el ldapInformación Relacionada

Introducción

Este documento proporciona información sobre cómo instalar, configurar y resolver problemas deCisco Unified Communications Manager Versión 5.0 (anteriormente conocido como CallManager)con la integración de Active Directory.

prerrequisitos

Requisitos

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

Conocimiento básico de Microsoft Windows/Active Directory (AD)●

Componentes Utilizados

La información en este documento se basa en el administrador de las Comunicaciones unificadasde Cisco 6.1(2)

La información que contiene este documento se creó a partir de los dispositivos en un ambientede laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron enfuncionamiento con una configuración verificada (predeterminada). Si la red está funcionando,asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre lasconvenciones sobre documentos.

Antecedentes

Integración del directorio

Por abandono, en un administrador NON-integrado de las Comunicaciones unificadas de Cisco(CUCM), hay dos tipos de usuarios: usuarios finales y usuarios de la aplicación.

Usuarios finales — Todos los usuarios asociados a una persona física y a un inicio de sesióninteractivo. Esta categoría incluye todos los usuarios de la Telefonía IP, así como a losadministradores unificados CM cuando usted utiliza la configuración de los grupos deusuarios y de los papeles (equivalente a la característica de niveles múltiples de laadministración de Cisco en las versiones unificadas anteriores CM).

●

Usuarios de la aplicación — Todos los usuarios asociados a otras características oaplicaciones de las Comunicaciones IP de Cisco, tales como Consola de Attendant de Cisco,Cisco IP Contact Center expreso, o asistente del administrador de las Comunicacionesunificadas de Cisco. Estas aplicaciones necesitan autenticar con el CM unificado, pero estosusuarios internos no tienen un inicio de sesión interactivo. Esto sirve puramente para lascomunicaciones internas entre las aplicaciones, por ejemplo, CCMAdministrator, el AC, elJTAPI, el RM, CCMQRTSecureSysUser, CCMQRTSysUser, CCMSysUser,IPMASecureSysUser, IPMASysUser, WDSecureSysUser, y WDSysUser.

●

Cuando usted integra al administrador de las Comunicaciones unificadas de Cisco con el ActiveDirectory, el proceso de Integración del directorio utiliza una herramienta interna llamadasincronización del directorio Cisco (DirSync) en el CM unificado para sincronizar varios atributosde usuario (manualmente o periódicamente) de un directorio LDAP corporativo. Cuando sehabilita esta característica, los usuarios finales son automáticamente aprovisionado del CorporateDirectory (Directorio corporativo).

Nota: Mantienen separados y siguen siendo aprovisionado a los usuarios de la aplicación a travésde la interfaz de la administración unificada CM. Es decir los usuarios de la aplicación no puedenser sincronizados del AD.

En resumen, definen en Corporate Directory (Directorio corporativo) y se sincronizan a losusuarios finales en la base de datos unificada CM, mientras que salvan solamente en la base dedatos unificada CM y no necesitan a los usuarios de la aplicación ser definidos en CorporateDirectory (Directorio corporativo).

Configurar

En esta sección encontrará la información para configurar las funciones descritas en estedocumento.

Nota: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtenermás información sobre los comandos utilizados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Escenario típico de la Integración del directorio

Active Directory: 10.48.79.37●

Domain Name: Eire.com●

Administrador de las Comunicaciones unificadas de Cisco: 10.48.79.93●

Configuraciones

En este documento, se utilizan estas configuraciones:

Cuenta de servicio en el AD●

Autenticación de directorio●

Resolviendo problemas la Integración del directorio (sincronice)●

Resolviendo problemas la Integración del directorio (autenticación)●

Cuenta de servicio en el AD

Siga los siguientes pasos para crear una Cuenta de servicio en el AD que permite el CMsincroniza el acuerdo de conectar y de autenticar a ella.

Esta cuenta debe poder LEER todos los objetos de usuario dentro de la base deseada de labúsqueda y tener una contraseña definida nunca a expirar. En este caso, se utiliza la cuentadel administrador, pero cualquier otra cuenta con el acceso de lectura a todos los objetos deusuario dentro de la base deseada de la búsqueda es

suficiente.

1.

En el administrador de las Comunicaciones unificadas de Cisco, abra la página delccmadmin (http://X.X.X.X/ccmadmin) y navega al sistema > al sistema del ldap de Ldap>.

2.

Marque el permiso que sincroniza de la casilla de verificación del servidor LDAP y elija elMicrosoft Active Directory para el tipo de servidor LDAP y el sAMAccountName para elatributo LDAP para la identificación del

usuario.

3.

El basan usuarios finales que unificaron las importaciones CM del AD en un atributoestándar AD. En este caso, se utiliza el sAMAccountName. Otras posibilidades son correo,employeeNumber, telephoneNumber, o userPrinicpalName.De la página del ccmadmin, navegue al sistema > al ldap > al directorio del ldap y el tecleoagrega nuevo para agregar un nuevo acuerdo de la replicación dedirectorio.

4.

Estas dos ventanas aparecen, que indican que borrarán a cualquier Usuario usuario actualen el CM DB una vez la Integración del directorio

existe.

5.

Complete estos campos:Nombre de la Configuración LDAP: Éste es cualquier nombre queusted quiera asignar a la integración.Nombre distintivo del administrador LDAP: Ésta es lacuenta configurada en el AD en el paso 1. esté segura de utilizar uno de éstos:Nombrecanónico completo, por ejemplo, cn=Administrator, dc=eire, dc=comNombre principal delusuario (UPN), por ejemplo, administrator@eire.comContraseña LDAP: Ésta es la contraseñapara la cuenta configurada en el AD en el paso 1.Base de la búsqueda de usuario LDAP:Esta trayectoria define de donde la integración tira de los usuarios del AD.Horario de lasincronización del directorioLDAP.

6.

Defina los campos de los usuarios que necesitan ser sincronizados. Esto define el atributoLDAP que asocia contra el atributo que el CM utiliza. Por ejemplo, el samaccountname delatributo asocia contra el atributo userid en la base de datos Informix CM. En otro ejemplo, elobjectguid del atributo se asocia al atributo más uniqueidentifier en la base de datos InformixCM.

7.

Agregue el nombre de host o el IP para el servidor AD. Especifique el número del puerto (eneste caso 389) y el control independientemente de si usted quiere utilizar elSSL.

8.

Active y comience el servicio de Cisco DirSync de la página de la utilidad(http://X.X.X.X/ccmservice) equipa > activación del servicio > Tools (Herramientas) > ControlCenter (Centro de control) > característica de Cisco DirSync mantiene > Cisco DirSync para

acabar la configuración. Losparámetros del servicio adicional que pueden ser configurados, solamente éstos se puedendejar paraomitir.

9.

Usted puede ahora forzar un manual sincroniza para sincronizar los usuarios en el AD (y,más concretamente, a los usuarios en el cn=Users del envase del dominio eire.com) aladministrador de las Comunicaciones unificadas de Cisco. Para hacer así pues, navegue ala parte inferior de la página de la Integración del directorio en el administrador de lasComunicaciones unificadas de Cisco (sistema > ldap > directorio del ldap) y abra el campo

10.

creado recientemente de la Integración del directorio. En la parte inferior, haga clic laejecución ahora sincronizan por completo elbotón.

Una vez los finales del sincronizar, van a las páginas de administración del administradorde las Comunicaciones unificadas de Cisco (http://X.X.X.X/ccmadmin) y navega a UserManagement (Administración de usuario) > los usuarios finales. Usted puede ahora ver alos usuarios que eran synched del AD en el administrador DB de las Comunicacionesunificadas de Cisco con un estatus activoLDAP.

Nota: En este entorno, un usuario había existido en el administrador de lasComunicaciones unificadas de Cisco antes de funcionar con la Integración del directorio.

11.

Después de que el sincronizar, este usuario ahora esté en el estado pendiente de lacancelación.

12.

Cada noche en 3.15, un proceso interno llamó los funcionamientos del servicio delrecolector de desechos. Este proceso borra permanentemente cualquier cuenta que hayaestado en el inactivo – borra hasta que finalice el estado por más de 24 horas. Eladministrador de las Comunicaciones unificadas de Cisco no sincroniza las contraseñas deActive Directory. El administrador de las Comunicaciones unificadas de Cisco no tieneningún conocimiento del mecanismo de encripción del Microsoft Active Directory. En lugar,en el administrador 5.0 de las Comunicaciones unificadas de Cisco, una contraseñapredeterminada del ciscocisco y un PIN predeterminado de 12345 se asignan.En eladministrador 6.0 de las Comunicaciones unificadas de Cisco y posterior, se utiliza unmecanismo credencial predeterminado de la directiva. Esto se puede activar de las páginas

13.

del ccmadmin: User Management (Administración de usuario) > valor por defectocredencial de ladirectiva.

La directiva credencial permite que usted configuren una contraseña predeterminada, asícomo algunas políticas de contraseña. Todos los usuarios que se sincronizan del ADdespués alimentan de esta plantilla para suscontraseñas.

14.

Lo mismo solicita el PIN en el administrador 6.0 de las Comunicaciones unificadas de Ciscoyposterior.

15.

Es decir cuando integran al administrador de las Comunicaciones unificadas de Cisco conAD (Integración del directorio) pero la autenticación de directorio no se ha habilitado (mássobre el mecanismo de autenticación más adelante), autentican a todos los usuarios finalesque fueron sincronizados localmente, es decir, contra la base de datos Informix en eladministrador de las Comunicaciones unificadas de Cisco.Porque usted puede autenticarlocalmente, usted puede cambiar la contraseña del usuario del administrador de lasComunicaciones unificadas de Cisco sí mismo.Nota: Éste no es el caso si usted utiliza laautenticación de directorio,también.

Autenticación de directorio

La autenticación de directorio está instalada encima de la Sincronización de directorio, así quetener autenticación de directorio, la Integración del directorio es un requisito previó. La idea básica

es lo mismo, pero la única diferencia es que autentican a los usuarios contra el directorio externoy no más contra la base de datos Informix del administrador de las Comunicaciones unificadas deCisco. Es decir todos los intentos de autenticación del usuario final (por ejemplo, acceder laspáginas del ccmuser, el etc.) se reorientan al AD.

Nota: La autenticación no se aplica a los usuarios de la aplicación o a los contactos. Por ejemplo,los pedidos de autenticación del PIN de la movilidad de la extensión se autentican localmente(contra la base de datos del administrador de las Comunicaciones unificadas de Cisco) y no conel AD.

Para configurar la autenticación de directorio, abra la página del ccmadmin(http://X.X.X.X/ccmadmin) y navega al sistema > al ldap > a la autenticación Idap.

1.

Complete los campos tal y como se muestra en del gráfico:Nombre distintivo deladministrador LDAP: Ésta es la cuenta configurada en el AD en el paso 1. esté segura deutilizar uno de éstos:Nombre canónico completo, por ejemplo, cn=Administrator, dc=eire,dc=comNombre principal del usuario (UPN), por ejemplo, administrator@eire.comContraseñaLDAP: Ésta es la contraseña para la cuenta configurada en el AD en el paso 1.Base de labúsqueda de usuarioLDAP.

2.

Nota: Cuando se habilita la autenticación, hay no más un campo de contraseña en laconfiguración de los usuarios individuales en el administrador de las Comunicacionesunificadas de Cisco porque las contraseñas del usuario se manejan del AD y no más deladministrador de las Comunicaciones unificadas deCisco.

Resolviendo problemas la Integración del directorio (sincronice)

Escenario: Usted agregó al tío de Joe del usuario en el AD y realizó manualmente un sincronizardentro del administrador de las Comunicaciones unificadas de Cisco.

Fije las trazas de DirSync a detallado. Navegue a la página de la utilidad del administradorde las Comunicaciones unificadas de Cisco y elija el Trace > Configuration > los servicios dedirectorio >

1.

DirSync.

En una traza de DirSync, DirSync se invoca del administrador de las Comunicacionesunificadas de Cisco:2008-12-15 14:42:13,743 DEBUG [DSLDAPMain] dirsync.DSLDAPMain

(DSLDAPMain.java:340) - DSLDAPMain[handleIncomingReq] Now start

LDAPSyncImpl for agreement=f74f2069-1160-9d4a-7e8a-db6c476dd9d5

2008-12-15 14:42:13,779 INFO [DSLDAPMain] ldapplugable.DSLDAPSyncImpl

(DSLDAPSyncImpl.java:143) - LDAPSync

(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)

2.

[DSLDAPSyncImpl] Search base=cn=Users, dc=eire, dc=com

La cuenta que se configura en el administrador de las Comunicaciones unificadas de Ciscopara traer a los usuarios es la cuenta del administrador:2008-12-15 14:42:13,787 INFO [DSLDAPMain] ldapplugable.DSLDAPSyncImpl

(DSLDAPSyncImpl.java:147) - LDAPSync

(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)

[DSLDAPSyncImpl] Manager DN=administrator@eire.com

Password=aa822fb730462e5bee761623f5384aef87bed6fd62280f8ec6ef01a7a4c537

2008-12-15 14:42:13,813 DEBUG [DSLDAPMain] ldapplugable.DSLDAPSyncImpl

(DSLDAPSyncImpl.java:224) - LDAPSync

(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)

[DSLDAPSyncImpl] Attributes to return - objectguid:samaccountname:

givenname:middlename:sn:manager:department:telephonenumber:mail:title:

homephone:mobile:pager:msrtcsip-primaryuseraddress:

LDAPSync(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)[makeConnection]

Successful LDAP connection to : ldap://10.48.79.37:389

3.

Salga al AD y busque para todos los usuarios basados en SamAccountName y el objectguiddentro de la base de la búsqueda de usuario específicado. Encuentre al tío de Joe delusuario nuevo:LDAPSync(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)

[sendUserData] Directory entry is CN=Joe Bloke: null:null:

{mail=mail: jbloke@eire.com, objectguid=objectGUID:

[B@1ce3fc5, givenname=givenName: Joe,

samaccountname=sAMAccountName: jbloke, sn=sn: Bloke}

2008-12-15 14:42:15,351 DEBUG [DSLDAPSyncImpl

(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)]

ldapplugable.DSLDAPSyncImpl (DSLDAPSyncImpl.java:926) -

LDAPSync(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)[sendUserData]

Getting ObjectGUID

4.

Recuerde traer ciertos atributos AD (por ejemplo, samaccountname, objectguid, givenname,departamento, telephonenumber, etc.). Déles un valor correspondiente en el Informix DB. Porejemplo, asocie el “objectguid” en el AD a “UniqueIdentifier” dentro del Informix en eladministrador de las Comunicaciones unificadas de Cisco. Éste es un pequeño ejemplo dela asignación del AD al Informix. Esta lista es solamente un pequeño subconjunto. Hayvarios más que no se incluyen en estedocumento.

5.

En este caso, asocie el ObjectGuid que fue encontrado para el jbloke del usuario y dé unvalor correspondiente al valor de UniqueIdentifier en el administrador de las Comunicacionesunificadas de Cisco:LDAPSync(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)[sendUserData]

ObjectGUID value=cc15b7817840b947990b83551140cf86

db6c476dd9d5)] ldapplugable.DSLDAPSyncImpl (DSLDAPSyncImpl.java:1560)

- LDAPSync(f74f2069-1160-9d4a-7e8a-db6c476dd9d5)[formUserObject]

Name=uniqueidentifier Value=cc15b7817840b947990b83551140cf86

6.

Informix siguiente del incorporar si existe un usuario con este atributo determinado deUniqueIdentifier ya:2008-12-15 14:42:15,692 DEBUG [DirSync-DBInterface]

DSDBInterface.updateUserInfo Check update using uniq id.

SQL-SELECT * FROM EndUser WHERE uniqueidentifier

='cc15b7817840b947990b83551140cf86'

7.

Entonces agregue al usuario en la tabla del usuario final en el Informix en el administradorde las Comunicaciones unificadas de Cisco:2008-12-15 14:42:15,724 DEBUG [DirSync-DBInterface] common.

DSDBInterface (DSDBInterface.java:377) - DSDBInterface.insert

SQL-INSERT INTO EndUser(userid,firstname,mailid,uniqueidentifier,

lastname,fkdirectorypluginconfig,status) values

('jbloke','Joe','jbloke@eire.com','cc15b7817840b947990b83551140cf86',

'Bloke','f74f2069-1160-9d4a-7e8a-db6c476dd9d5','1')

8.

Resolviendo problemas la Integración del directorio (autenticación)

Escenario: Usted registró en el CCMUser las páginas con la autenticación de “Kurt” de laidentificación del usuario reorientada al AD.

Tome una traza de sniffer en el administrador de las Comunicaciones unificadas de Cisco.1.Usted ve una petición debúsqueda.

2.

Usted también ve un SearchResponse del AD al administrador de las Comunicacionesunificadas de Cisco para el usuario en lapregunta.

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas deconfiguración.

Mensaje de error: Error mientras que conecta con el ldap

Este mensaje de error aparece al intentar realizar la integración LDAP con el administrador de lasComunicaciones unificadas de Cisco:

2008-12-15 14:42:15,724 DEBUG [DirSync-DBInterface] common.

DSDBInterface (DSDBInterface.java:377) - DSDBInterface.insert

SQL-INSERT INTO EndUser(userid,firstname,mailid,uniqueidentifier,

lastname,fkdirectorypluginconfig,status) values

('jbloke','Joe','jbloke@eire.com','cc15b7817840b947990b83551140cf86',

'Bloke','f74f2069-1160-9d4a-7e8a-db6c476dd9d5','1')

Para resolver el problema, aseegurese que el Security Certificate relevante está cargado bajo laadministración/la Seguridad/administración de certificados CUCM OS. También, recomience losservicios de DirSyn y de Tomcat de los servicios de Windows.

Información Relacionada

Soporte de tecnología de voz●

Soporte de Productos de Voice and Unified Communications●

Troubleshooting de Cisco IP Telephony●

Soporte Técnico y Documentación - Cisco Systems●