ディレクトリの概要
ディレクトリは、読み取りと検索の回数が多く、書き込みと更新の回数が少ないデータ用に最適化されている専用データベースで構成されています。ディレクトリには通常、従業員情報や社内ネットワーク上のユーザ特権など、更新頻度の少ないデータが格納されています。
ディレクトリは拡張可能なため、格納する情報の種類を変更したり拡張したりできます。ディレクトリ スキーマという用語は、格納する情報の種類とそれらの情報が従う規則を指します。多くのディレクトリには、異なるアプリケーションで定義される情報の種類に対応するため、ディレクトリ スキーマを拡張する方法が備わっています。この機能により、企業は、ユーザ情報の中央リポジトリとしてディレクトリを使用できます。
Lightweight Directory Access Protocol(LDAP)は、ディレクトリに格納されている情報にアクセスしたり修正したりするための標準方式を、アプリケーションに提供します。この機能により、企業は、複数のアプリケーションが使用できる 1 つのリポジトリにすべてのユーザ情報を集中することができるため、追加、移動、および変更が簡単になり、メンテナンス コストを削減できます。
この章では、Cisco Unified Communications Manager を社内 LDAP ディレクトリと同期するための主な原則について説明します。また、社内 LDAP ディレクトリと同期しないことも可能で、そのように設定した場合の結果についても説明します。また、Cisco Unified IP Phone や Cisco IP SoftPhone などの Cisco Unified Communications エンドポイントが、社内 LDAP ディレクトリにアクセスできるようにする場合の考慮事項についても説明します。
以前のリリースの Cisco Unified Communications Manager のディレクトリ機能からの変更点は、次のとおりです。
• ディレクトリ コンポーネントを Cisco Unified Communications Manager から切り離すことにより、社内ディレクトリに依存することなく Cisco Unified Communications Manager のアベイラビリティが向上した。
• Cisco Unified Communications Manager および関連アプリケーションが、組み込みディレクトリではなく、ローカル データベースにすべてのアプリケーション データを格納するようになった。組み込みディレクトリはなくなり、Cisco Unified Communications Manager はお客様のディレクトリとの同期化をサポートするようになりました。
この章の構成は、次のとおりです。
• 「Cisco Unified Communications Manager と社内 LDAP ディレクトリ」
• 「ディレクトリ アクセス」
• 「DirSync サービス」
• 「Data Migration Assistant」
• 「認証」
• 「Cisco Unified Communications Manager データベースの使用と社内 LDAP ディレクトリの使用」
• 「Cisco Unified Communications エンドポイントのディレクトリ アクセス」
• 「LDAP ディレクトリの設定チェックリスト」
• 「参考情報」
この章で説明する考慮事項は、Cisco Unified Communications Manager およびバンドルされている Cisco エクステンション モビリティ、Cisco WebDialer、一括管理ツール、および Cisco Unified Communications Manager Real-Time Monitoring Tool の各アプリケーションに適用されます。
その他のシスコ音声アプリケーションについては、次のサイトで入手可能な各製品マニュアルを参照してください。
http://www.cisco.com
特に Cisco Unity については、『 Cisco Unity 設計ガイド 』、White Paper「 Cisco Unity Data and the Directory 」、「 Active Directory Capacity Planning 」、および「 Cisco Unity Data Architecture and How Cisco Unity Works 」を参照してください。
Cisco Unified Communications Manager と社内 LDAP ディレクトリ
管理者は、Cisco Unified Communications Manager の管理ページの[エンド ユーザの設定(End User Configuration)]ウィンドウ( [ユーザ管理] >[エンド ユーザ] )からエンド ユーザに関するディレクトリ情報にアクセスします。管理者はこのウィンドウを使用してユーザ ID、パスワード、およびデバイスの関連付けなどのユーザ情報の追加、更新、および削除を行います。ただし、これは LDAP サーバからの同期が有効になっていない(Cisco Unified Communications Manager の管理ページの[LDAPシステムの設定(LDAP System Configuration)]ウィンドウの[LDAPサーバからの同期を有効にする(Enable Synchronizing from LDAP Server)]チェックボックスがオフになっている)場合だけです。
データベースを使用するアプリケーションとサービス
次の Cisco Unified Communications Manager アプリケーションとサービスは、ユーザ情報やその他の種類の情報にデータベースを使用します。
• 一括管理ツール(BAT)
• Cisco Unified Communications Manager Auto-Register Phone Tool
• AXL
• Cisco エクステンション モビリティ
• Cisco Unified Communications Manager ユーザ オプション
• Cisco Conference Connection
• CTIManager
• Cisco Unified Communications Manager CDR Analysis and Reporting
• Cisco Unified Communications Manager Assistant
• Cisco Customer Response Solutions(CRS)
• Cisco Emergency Responder(CER)
• Cisco Unified IP Phone サービス
• 個人アドレス帳(PAB)
• FastDials
• Cisco WebDialer
• Cisco IP Communicator
• Cisco Unified Communications Manager Attendant Console
ディレクトリ アクセス
次の定義は、この章全体に適用されます。
• ディレクトリ アクセスとは、Cisco Unified IP Phone や Cisco IP Softphone などの Cisco Unified Communications エンドポイントが、社内 LDAP ディレクトリにアクセスする機能のことである。
図20-1 Cisco Unified Communications エンドポイントのディレクトリ アクセス
図20-1 は、この章で定義されているディレクトリ アクセスを示しています。この例では、Cisco Unified IP Phone がアクセスしています。クライアント アプリケーションは、LDAP ディレクトリ(企業の社内ディレクトリなど)に対してユーザ検索を実行し、一致するいくつかのエントリを受信します。Cisco Unified IP Phone ユーザはこの中から 1 つのエントリを選択し、そのエントリを使用して対応する人物に Cisco Unified IP Phone からダイヤルできます。
(注) ここで定義されているディレクトリ アクセスには、ディレクトリ上の読み取り操作だけが含まれ、管理者によるディレクトリ スキーマの拡張やその他の設定変更は必要ありません。
DirSync サービス
DirSync アプリケーションは、Cisco Unified Communications Manager データベースのデータとお客様の LDAP ディレクトリ情報との同期を実行します。Cisco Unified Communications Manager の管理者は、まず LDAP ディレクトリ関連の Cisco Unified Communications Manager ウィンドウで設定することにより、DirSync サービスをセットアップします。設定を行うウィンドウは、次のとおりです。
• [LDAPシステムの設定(LDAP System Configuration)]( [システム] >[LDAPシステム] )
• [LDAPディレクトリ(LDAP Directory)]( [システム] >[LDAPディレクトリ] )
DirSync を使用すると、データを社内ディレクトリから Cisco Unified Communications Manager に同期できます。DirSync では、Microsoft Windows Server 2000 および Windows Server 2003 Active Directory(AD)、Netscape/iPlanet Directory、Sun ONE Directory Server 5.1、および Sun Java System Directory Server 5.2 から Cisco Unified Communications Manager データベースへの同期が可能です。
(注) Microsoft Windows Server 2000 および Windows Server 2003 Active Directory(AD)、Netscape/iPlanet Directory、Sun ONE Directory Server 5.1、および Sun Java System Directory Server 5.2 でユーザを設定する場合は、ユーザの姓を設定してください。Cisco Unified Communications Manager の管理ページで LDAP 同期化を設定すると、社内ディレクトリ内に姓がないユーザは Cisco Unified Communications Manager データベースと同期されなくなります。Cisco Unified Communications Manager の管理ページにはエラーが表示されませんが、同期されなかったユーザはログ ファイルで示されます。
(注) Microsoft Active Directory で起動された DirSync は、データの完全な(すべての)同期化を行います。Netscape Directory で起動された DirSync は、差分同期化を行います。
DirSync には、次のオプションがあります。
• 自動同期化:一定の間隔でデータを同期します。
• 手動同期化:強制的に同期します。
• 同期化停止:現在の同期化を停止します。同期化が実行中の場合、停止してよいかユーザに確認します。
(注) ディレクトリの同期が有効になっている場合、Cisco Unified Communications Manager の管理ページでは、お客様の社内ディレクトリから同期されているユーザ情報を更新することはできません。
DirSync サービス パラメータ
DirSync サービスのサービス パラメータを設定できます。Cisco Unified Communications Manager の管理ページで [システム] >[サービスパラメータ] メニュー オプションを使用します。表示されるウィンドウで、[サーバ(Server)]ドロップダウン リスト ボックスからサーバを選択します。[サービス(Service)]ドロップダウン リスト ボックスで Cisco DirSync サービスを選択します。[サービスパラメータ設定(Service Parameter Configuration)]ウィンドウで、DirSync サービス パラメータを設定できます。
DirSync サービスの詳細については、『 Cisco Unified Serviceability アドミニストレーション ガイド 』を参照してください。
Data Migration Assistant
Cisco Unified Communications Manager Data Migration Assistant(DMA)では、Cisco Unified Communications Manager 4.x のデータは、Cisco Unified Communications Manager の上位リリースと互換性のある形式に変換されます。
DMA の入手、インストール、および使用方法の詳細については、適切な『 Data Migration Assistant ユーザ ガイド 』を参照してください。
認証
認証プロセスでは、ユーザにシステムへのアクセス権を付与する前に、ユーザ ID とパスワード/PIN を検証することにより、ユーザの身元を確認します。この検証は、Cisco Unified Communications Manager データベースまたは LDAP 社内ディレクトリとの照合によって行われます。
システムが行う LDAP 認証は、Cisco Unified Communications Manager の管理者が[LDAP認証(LDAP Authentication)]ウィンドウで使用可能にするもので、[LDAPシステムの設定(LDAP System Configuration)]ウィンドウで LDAP 同期化が有効になっている場合にだけ使用できます。
同期化と LDAP 認証が両方とも有効になっている場合、システムは常にアプリケーション ユーザとエンド ユーザの PIN を Cisco Unified Communications Manager データベースに照合して認証します。エンド ユーザのパスワードは社内ディレクトリとの照合によって認証されるため、エンド ユーザは社内ディレクトリ パスワードを使用する必要があります。
同期化だけが有効になっている(LDAP 認証は有効になっていない)場合、エンド ユーザは Cisco Unified Communications Manager データベースとの照合によって認証されます。この場合、管理者は、Cisco Unified Communications Manager の管理ページで[エンドユーザの設定(End User Configuration)]ウィンドウを使用してパスワードを設定できます。
Cisco Unified Communications Manager データベースの使用と社内 LDAP ディレクトリの使用
ディレクトリ情報を使用するには、次の 2 つのオプションがあります。
• ユーザに Cisco Unified Communications Manager データベースだけを使用する(Cisco Unified Communications Manager リリース 6.1 のインストール時のデフォルト機能)場合、[エンドユーザの設定(End User Configuration)]でユーザを作成し、データベース(パスワード、名前、デバイスの関連付けなど)に追加します。認証は、Cisco Unified Communications Manager の管理ページで設定されている情報との照合によって行われます。この方式を使用している場合は、エンド ユーザと管理者はパスワードを変更できます。この方式では、LDAP 同期化は行われません。
• Cisco Unified Communications Manager で社内 LDAP ディレクトリ(Microsoft Active Directory または Netscape Directory)を使用するには、次の手順を実行する必要があります。
–ユーザが LDAP 社内ディレクトリ パスワードを使用するために、Cisco Unified Communications Manager の管理者は LDAP 認証を設定する必要があります([システム] >[LDAP] >[LDAP認証])。
–管理者はまず LDAP 同期化を設定しないと、LDAP 認証を設定できません。そのように設定すると、以後のエンド ユーザの設定が阻止されます。
(注) 認証の設定はオプションであることに注意してください。認証が有効になっていない場合、管理者とエンド ユーザは、Active Directory または Netscape Directory のパスワードと、Cisco Unified Communications Manager パスワードの 2 つのパスワードを持ちます。
Cisco Unified Communications エンドポイントのディレクトリ アクセス
この項で示すガイドラインは、Cisco Unified Communications Manager やその他の Cisco Unified Communications アプリケーションが社内ディレクトリと同期しているかどうかに関係なく適用されます。同期しているかどうかの違いは、アプリケーションがユーザ情報を格納する方法と、その情報がネットワーク全体で一貫性を保持される方法に影響するだけなので、どちらの場合もエンド ユーザには同じに見えます。
次の項では、XML 対応の電話機(Cisco Unified IP Phone 7940 や 7960 など)による LDAPv3 対応ディレクトリ サーバへの社内ディレクトリ アクセスを設定する方法について説明します。
(注) Cisco IP Softphone リリース 1.2 以降には、Cisco IP Communicator と同様、LDAP ディレクトリへのアクセスと検索を行うメカニズムが組み込まれています。この機能の設定方法の詳細については、製品マニュアルを参照してください。
Cisco Unified IP Phone のディレクトリ アクセス
XML 対応の Cisco Unified IP Phone(モデル 7940 や 7960 など)では、電話機のディレクトリ ボタンを押すと、社内 LDAP ディレクトリの検索ができます。この IP Phone は、HyperText Transfer Protocol(HTTP; ハイパーテキスト転送プロトコル)を使用して、Web サーバに要求を送信します。Web サーバからの応答には、電話機が解釈して表示できる特定の Extensible Markup Language (XML)オブジェクトが含まれている必要があります。社内ディレクトリを検索する場合、Web サーバはプロキシとして動作し、電話機から要求を受信してその要求を LDAP 要求に変換し、それから社内ディレクトリ サーバに送信します。応答は、適切な XML オブジェクトにカプセル化された後、解釈されて電話機に戻されます。
図20-2 は、Cisco Unified Communications Manager が社内ディレクトリと同期化されていない環境における、このメカニズムを示しています。このシナリオでは、Cisco Unified Communications Manager はメッセージ交換にかかわっていません。
図20-2 ディレクトリの同期化が行われない Cisco Unified IP Phone 社内ディレクトリ アクセスのメッセージ交換
Web サーバから提供されるプロキシ機能を設定するには、Cisco LDAP Search Component Object Model(COM)サーバが組み込まれている Cisco Unified IP Phone Services Software Development Kit(SDK)バージョン 2.0 以降を使用します。
また、Cisco Unified IP Phone のディレクトリ アクセスには、次の特性があります。
• システムはすべての LDAPv3 対応ディレクトリをサポートしている。
• Cisco Unified Communications Manager ユーザ プリファレンス(短縮ダイヤル、すべてのコールの転送、個人アドレス帳)は、社内 LDAP ディレクトリとは同期化されない。したがって、ユーザは Cisco Unified Communications Manager ユーザ オプション ウィンドウにアクセスするための別のログイン名とパスワードを持ちます。
LDAP ディレクトリの設定チェックリスト
表20-1 は、LDAP ディレクトリ情報を設定するための一般的な手順とガイドラインを示しています。
表20-1 ユーザ ディレクトリの設定チェックリスト
|
|
ステップ 1 |
[LDAPシステムの設定(LDAP System Configuration)]ウィンドウを使用して、LDAP システムの設定値を設定します。 |
『 Cisco Unified Communications Manager アドミニストレーション ガイド 』の「LDAP システムの設定」 |
ステップ 2 |
[LDAP ディレクトリ(LDAP Directory)]ウィンドウを使用して、LDAP ディレクトリの設定値を設定します。 |
『 Cisco Unified Communications Manager アドミニストレーション ガイド 』の「LDAP ディレクトリの設定」 |
ステップ 3 |
[LDAP 認証(LDAP Authentication)]ウィンドウを使用して、LDAP 認証の設定値を設定します。 |
『 Cisco Unified Communications Manager アドミニストレーション ガイド 』の「LDAP 認証の設定」 |
ステップ 4 |
ディレクトリの同期化が有効になっている場合、DirSync サービスを使用してお客様の社内 LDAP ディレクトリと同期します。 |
『 Cisco Unified Serviceability アドミニストレーション ガイド』 |
ステップ 5 |
Cisco Unified Communications Manager 4.x のデータを上位リリースの Cisco Unified Communications Manager と互換性のある形式に変換するには、Cisco Unified Communications Manager Data Migration Assistant(DMA)を使用します。 |
『 Data Migration Assistant ユーザ ガイド』 |
参考情報
関連項目
• 『 Cisco Unified Communications Manager アドミニストレーション ガイド 』の「LDAP システムの設定」
• 『 Cisco Unified Communications Manager アドミニストレーション ガイド 』の「LDAP ディレクトリの設定」
• 『 Cisco Unified Communications Manager アドミニストレーション ガイド 』の「LDAP 認証の設定」
• 『 Data Migration Assistant ユーザ ガイド』
• 『 Cisco Unified Serviceability アドミニストレーション ガイド』
• 「Cisco Unified Communications Manager グループ」
• 「システム設定チェックリスト」
• 「アプリケーション ユーザとエンド ユーザ」
• 「クレデンシャル ポリシー」
• 『 Cisco Unified Communications Manager アドミニストレーション ガイド 』の「アプリケーション ユーザの設定」
• 『 Cisco Unified Communications Manager アドミニストレーション ガイド 』の「エンド ユーザの設定」
参考資料
• Cisco Unified Communications Manager Release 6.1(1) インストレーション ガイド
• Cisco Unified Communication ソリューション リファレンス ネットワーク デザイン (SRND)