مشكلات LDAP الآمنة بعد الترقية إلى CUCM 10.5(2)SU2

المقدمة

يصف هذا المستند المشاكل المتعلقة بالبروتوكول الآمن الخفيف للوصول إلى الدليل (LDAP) بعد الترقية إلى Cisco Unified Communications Manager (CUCM) 10.5(2)SU2، أو 9.1(2)SU3 والخطوات التي يمكن إتخاذها لحل المشكلة.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى الإصدار 10.5(2)SU2 من CUCM.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر. 

معلومات أساسية

يمكن تكوين CUCM لاستخدام عنوان IP أو اسم المجال المؤهل بالكامل (FQDN) لمصادقة LDAP الآمنة. تمت تهيئة FQDN. السلوك الافتراضي ل CUCM هو إستخدام FQDN. إذا كان إستخدام عنوان IP مطلوبا يمكن تشغيل الأمر utils ldap config ip من واجهة سطر الأوامر (CLI) الخاصة بناشر CUCM. 

قبل تثبيت CSCun63825 الذي تم تقديمه في 10.5(2)SU2 و 9.1(2)SU3، لم تفرض CUCM بصرامة التحقق من صحة FQDN لاتصالات أمان طبقة النقل (TLS) ب LDAP. يتضمن التحقق من صحة FQDN مقارنة اسم المضيف المكون في CUCM (مسؤول CUCM > النظام > LDAP > مصادقة LDAP)، والاسم الشائع (CN) أو حقل اسم الموضوع البديل (SAN) من شهادة LDAP المقدمة من خادم LDAP أثناء اتصال TLS من CUCM إلى خادم LDAP. لذلك، إذا تم تمكين مصادقة LDAP (التحقق من إستخدام SSL) وتم تحديد خادم/خوادم LDAP بواسطة عنوان IP، فستنجح المصادقة حتى إذا لم يتم إصدار الأمر utils ldap config ipaddr.   

بعد ترقية CUCM إلى 10.5(2)SU2 أو 9.1(2)SU3 أو الإصدارات الأحدث، يتم فرض التحقق من صحة FQDN ويتم إرجاع أي تغييرات باستخدام utils ldap config إلى السلوك الافتراضي، وهو إستخدام FQDN. وكانت نتيجة هذا التغيير افتتاح CSCux83666. أيضا، تتم إضافة أمر CLI إلى حالة ldap config لإظهار ما إذا كان عنوان IP أو FQDN قيد الاستخدام.

السيناريو 1

قبل تمكين مصادقة LDAP للترقية، يتم تعريف الخادم/الخوادم بواسطة عنوان IP، ويتم تكوين الأمر utils ldap config ipaddr على واجهة سطر الأوامر (CLI) الخاصة بناشر CUCM.

بعد فشل مصادقة LDAP للترقية، يظهر الأمر utils ldap config status على واجهة سطر الأوامر (CLI) الخاصة ب CUCM Publisher أنه يتم إستخدام FQDN للمصادقة.

السيناريو 2

قبل تمكين مصادقة LDAP للترقية، يتم تعريف الخادم/الخوادم بواسطة عنوان IP، ولم يتم تكوين الأمر utils ldap config ipaddr على واجهة سطر الأوامر (CLI) الخاصة بناشر CUCM.

بعد فشل مصادقة LDAP للترقية، يظهر الأمر utils ldap config status على واجهة سطر الأوامر (CLI) الخاصة ب CUCM Publisher أنه يتم إستخدام FQDN للمصادقة.

المشكلة

تفشل المصادقة الآمنة لبروتوكول LDAP في حالة تكوين مصادقة LDAP لاستخدام طبقة مآخذ التوصيل الآمنة (SSL) على CUCM وتم تكوين خادم/خوادم LDAP باستخدام عنوان IP قبل الترقية. 

لتأكيد إعدادات مصادقة LDAP، انتقل إلى صفحة إدارة CUCM > System > LDAP > مصادقة LDAP وتحقق من أن خوادم LDAP معرفة بواسطة عنوان IP، وليس FQDN. إذا تم تعريف خادم LDAP بواسطة FQDN وتم تكوين CUCM لاستخدام FQDN (راجع الأمر أدناه للتحقق)، فمن غير المحتمل أن تكون هذه هي مشكلتك.

للتحقق من تكوين CUCM (بعد ترقية) لاستخدام عنوان IP أو FQDN أستخدم الأمر utils ldap config status من CLI الخاص بناشر CUCM.

admin:utils ldap config status
utils ldap config fqdn configured

للتحقق من أنك تواجه هذه المشكلة، يمكنك التحقق من سجلات CUCM DirSync الخاصة بهذا الخطأ. يشير هذا الخطأ إلى أن خادم LDAP تم تكوينه باستخدام عنوان IP في صفحة تكوين مصادقة LDAP في CUCM ولا يطابق حقل CN في شهادة LDAP. 

2016-02-09 14:08:32,718 DEBUG [http-bio-443-exec-1] impl.AuthenticationLDAP - 
URL contains IP Address

الحل

انتقل إلى إدارة CUCM > System > LDAP > صفحة مصادقة LDAP وقم بتغيير تكوين خادم LDAP من عنوان IP الخاص بخادم LDAP إلى FQDN الخاص بخادم LDAP. إن ينبغي أنت استعملت العنوان من ال LDAP نادل استعملت هذا أمر من ال CLI من ال CUCM ناشر

admin:utils ldap config ipaddr
Now configured to use IP address
admin:

الأسباب الأخرى التي يمكن أن تؤدي إلى فشل التحقق من صحة FQDN لا تتعلق بهذه المسألة المحددة :

1. لا يتطابق اسم مضيف LDAP الذي تم تكوينه في CUCM مع حقل CN في شهادة LDAP (اسم المضيف لخادم LDAP).

in order to عالجت هذا إصدار انتقل إلى ال CUCM إدارة > نظام > LDAP>LDAP صحة هوية وعدل ال LDAP نادل معلومة أن يستعمل ال hostname/FQDN من ال CN مجال في ال LDAP شهادة. تحقق أيضا من أن الاسم المستخدم قابل للتوجيه ويمكن الوصول إليه من CUCM باستخدام إختبار اتصال الشبكة من واجهة سطر الأوامر (CLI) الخاصة بناشر CUCM.

2. يتم نشر موازن حمل DNS في الشبكة ويستخدم خادم LDAP المكون في CUCM موازن حمل DNS. على سبيل المثال، يشير التكوين إلى adaccess.example.com، والذي يقوم بعد ذلك بموازنة التحميل بين العديد من خوادم LDAP استنادا إلى الجغرافيا، أو عوامل أخرى. يمكن أن يحتوي خادم LDAP الذي يستجيب الطلب على FQDN بخلاف adaccess.example.com. يؤدي هذا إلى فشل التحقق من الصحة نظرا لوجود عدم تطابق في اسم المضيف.

2016-02-06 09:19:51,702 ERROR [http-bio-443-exec-23] impl.AuthenticationLDAP - 
verifyHostName:Exception.javax.net .ssl.SSLPeerUnverifiedException: hostname of the server
 'adlab.testing.cisco.local' does not match the hostname in the server's certificate.

من أجل معالجة هذه المشكلة، قم بتغيير نظام موازن حمل LDAP بحيث ينتهي اتصال TLS عند موازن التحميل، بدلا من خادم LDAP نفسه. إذا لم يكن هذا ممكنا فإن الخيار الوحيد هو تعطيل التحقق من صحة FQDN والتحقق بدلا من ذلك باستخدام عنوان IP.