Cisco Unity Connection システム アドミニストレーション ガイド リリース 8.x

Cisco Unity Connection 8.x と LDAP ディレクトリの連動

---

サポートされている LDAP 対応ディレクトリを社内ディレクトリとして使用する場合や、Cisco Unity Connection で基本ユーザ情報を個別に管理しない場合は、次の方法が可能です。

• LDAP ディレクトリからユーザ データをインポートすることによって、Connection ユーザを作成する。

• Connection データを LDAP ディレクトリ内のデータと定期的に再同期化するように Connection を設定する。

Connection で使用するためにサポートされる LDAP ディレクトリの一覧については、 http://www.cisco.com/en/US/docs/voice_ip_comm/connection/8x/requirements/8xcucsysreqs.html から入手可能な、『 System Requirements for Cisco Unity Connection 』（ Release 8.x ）の「Requirements for an LDAP Directory Integration」の項を参照してください。

次の項を参照してください。

• 「Cisco Unified Communications Manager および Cisco Unity Connection 8.x と LDAP ディレクトリの連動」

• 「新しいユーザの作成、または既存の Cisco Unity Connection 8.x ユーザと LDAP ユーザとの同期用に LDAP を設定するためのタスク リスト」

• 「Cisco Unity Connection 8.x の Cisco DirSync サービスのアクティベーション」

• 「Cisco Unity Connection 8.x の LDAP 同期の有効化」

• 「Cisco Unity Connection 8.x の LDAP 同期の無効化」

• 「電話番号から内線番号への変換（Cisco Unity Connection 8.5 以降のみ）」

• 「電話番号から内線番号への変換（Cisco Unity Connection 8.0）」

• 「Cisco Unity Connection 8.x サーバでの SSL 証明書のアップロード」

• 「Cisco Unity Connection 8.x の LDAP 認証の設定」

• 「LDAP 認証の無効化」

• 「Cisco Unity Connection 8.x にインポートする LDAP ユーザの選択」

• 「Cisco Unity Connection 8.x での LDAP ユーザのフィルタリング」

• 「Cisco Unity Connection 8.x での LDAP ディレクトリ設定の追加と LDAP データのインポート」

• 「Cisco Unity Connection 8.x での LDAP ディレクトリ設定の変更」

• 「Cisco Unity Connection 8.x での LDAP ディレクトリ設定の削除」

• 「Connection で [エイリアス（Alias）] フィールドにマッピングする LDAP フィールドの変更」

Cisco Unified Communications Manager および Cisco Unity Connection 8.x と LDAP ディレクトリの連動

Connection を Cisco Unified CM 電話システムと連動し、Connection と Cisco Unified CM の両方を LDAP ディレクトリと連動する場合は、各アプリケーションと LDAP ディレクトリを個別に連動する必要があります。1 つのアプリケーションだけが LDAP ディレクトリと連動しても、他のアプリケーションを LDAP ディレクトリで同期または認証するためには不十分です。

Cisco Unified CM と LDAP ディレクトリの連動については、最初に該当する『 Cisco Unified Communications Manager Administration Guide 』の「LDAP System Configuration」の章にある「System Configuration」の項を参照してください。このドキュメントは、 http://www.cisco.com/en/US/products/sw/voicesw/ps556/prod_maintenance_guides_list.html から入手可能です。

Connection と LDAP ディレクトリの連動については、最初に「新しいユーザの作成、または既存の Cisco Unity Connection 8.x ユーザと LDAP ユーザとの同期用に LDAP を設定するためのタスク リスト」を参照してください。

新しいユーザの作成、または既存の Cisco Unity Connection 8.x ユーザと LDAP ユーザとの同期用に LDAP を設定するためのタスク リスト

LDAP を設定し、ディレクトリからユーザ データをインポートすることによってユーザを作成するには、次のタスクを実行します。

1. Cisco DirSync サービスをオンにします。「Cisco Unity Connection 8.x の Cisco DirSync サービスのアクティベーション」を参照してください。

2. LDAP 同期を有効にします。「Cisco Unity Connection 8.x の LDAP 同期の有効化」を参照してください。

LDAP 認証を使用して Connection の Web アプリケーションへのユーザ アクセスまたは Connection ボイス メッセージへの IMAP アクセスを認証している場合は、LDAP 認証を有効にする必要があります。

3. （オプション） LDAP ディレクトリに保存されている電話番号が Connection で使用する内線番号と同じではない場合は、LDAP データを Connection にインポートするときに電話番号を内線番号に変換するフィルタを指定します。該当する項を参照してください。

– 「電話番号から内線番号への変換（Cisco Unity Connection 8.5 以降のみ）」

– 「電話番号から内線番号への変換（Cisco Unity Connection 8.0）」

Bulk Administration Tool（BAT）を使用してユーザを作成する場合は、この手順でフィルタを指定するのと同じか、それ以上の結果を得ることができます。タスク 9.では、BAT を使用する場合、ユーザ データを CSV ファイルにエクスポートし、CSV ファイルを編集して、編集後のファイルをインポートします。このプロセスでは、スプレッドシート アプリケーションで CSV ファイルを開き、「電話番号から内線番号への変換（Cisco Unity Connection 8.0）」で説明するフィルタに指定できる正規表現よりも効率的に数式を作成できます。

4. （オプション） SSL を使用して、認証のために LDAP サーバに送信されるユーザ名とパスワードを暗号化するか、同期中に SSL を使用して、LDAP サーバから Connection サーバに渡されるデータを暗号化するか、あるいはその両方を行う場合は、該当する LDAP サーバからの SSL 認証をエクスポートし、すべての Connection サーバで認証をアップロードします。「Cisco Unity Connection 8.x サーバでの SSL 証明書のアップロード」を参照してください。

5. （オプション） Connection ユーザが Connection Web アプリケーションにアクセスするか、または IMAP 電子メール アプリケーションを使用して Connection ボイス メッセージにアクセスし、LDAP ディレクトリに対してユーザ名およびパスワードを認証するように設定する場合は、LDAP 認証を設定します。「Cisco Unity Connection 8.x の LDAP 認証の設定」を参照してください。

6. タスク 8. で LDAP ディレクトリ設定を作成するときに指定するユーザ検索ベースを選択します。「Cisco Unity Connection 8.x にインポートする LDAP ユーザの選択」を参照してください。

7. （すべてのユーザ検索ベースのユーザの数が 60,000 を越える場合は必須、60,000 以下の場合はオプション） タスク 6. で選択したユーザ検索ベースでは LDAP ユーザと Connection ユーザの同期を十分に制御できない場合は、1 つまたは複数の LDAP フィルタを指定します。「Cisco Unity Connection 8.x での LDAP ユーザのフィルタリング」を参照してください。

8. Connection でデータにアクセスする LDAP ディレクトリおよびユーザ検索ベースを定義する 1 つまたは複数の LDAP ディレクトリ設定を追加し、LDAP ディレクトリから Connection サーバの非表示の Cisco Unified CM データベースにデータをインポートします。LDAP ユーザにリンクされる Connection ユーザを作成するか、または既存の Connection ユーザを LDAP ディレクトリと連動するユーザに変換する場合は、LDAP ユーザのデータは Connection サーバの Cisco Unified CM データベースから取得されます。「Cisco Unity Connection 8.x での LDAP ディレクトリ設定の追加と LDAP データのインポート」を参照してください。

9. 既存の Connection ユーザと LDAP ディレクトリのユーザとを同期する場合は、『 User Moves, Adds, and Changes Guide for Cisco Unity Connection 』（ Release 8.x ）の「 Creating User Accounts from LDAP User Data or Changing LDAP Integration Status for Existing Users in Cisco Unity Connection 8.x」の章で該当する項を参照してください。このドキュメントは、 http://www.cisco.com/en/US/docs/voice_ip_comm/connection/8x/user_mac/guide/8xcucmacx.html から入手可能です。

– （Connection 8.5 以降） 「Changing the LDAP Integration Status of Connection Users（Connection 8.5 or Later）」の項を参照してください。

– （Connection 8.0） 「Integrating Existing Cisco Unity Connection 8.0 User Accounts with LDAP User Accounts」の項を参照してください。

LDAP ディレクトリのユーザと同期する新しい Connection ユーザを作成する場合は、次のいずれかの方法を実行します。

–少数のユーザ（数百またはそれ以下）を作成する場合に、LDAP 電話番号を Connection の内線番号に変換する正規表現を作成できた場合は、ユーザのインポート ツールを使用できます。

–多数のユーザを作成する場合や、LDAP 電話番号を Connection 内線番号に変換する正規表現を作成できなかった場合は、一括管理ツールを使用してユーザ データを CSV ファイルにエクスポートし、（必要に応じて）スプレッドシート アプリケーションを使用してデータを再フォーマットし、一括管理ツールを使用してデータをインポートします。

Cisco Unity Connection 8.x の Cisco DirSync サービスのアクティベーション

LDAP ディレクトリにアクセスするには、Connection で Cisco DirSync サービスをオンにする必要があります。次の手順を実行します。

Cisco DirSync サービスをオンにします。

ステップ 1 Cisco Unified Serviceability に、システム管理者の役割を持つユーザとしてサインインします。

ステップ 2 [ツール（Tools）] メニューで、[サービスのアクティブ化（Service Activation）] を選択します。

ステップ 3 [Directory Services] で [Cisco DirSync Service] チェック ボックスをオンにします。

ステップ 4 [保存（Save）] を選択し、[OK] を選択して確認します。

Cisco Unity Connection 8.x の LDAP 同期の有効化

LDAP ディレクトリにアクセスするには、Connection で LDAP 同期を有効にする必要があります。次の手順を実行します。

LDAP 同期を有効にする方法

ステップ 1 Cisco Unity Connection Administration に、システム管理者の役割を持つユーザとしてサインインします。

ステップ 2 [システム設定（System Settings）] > [LDAP] を展開し、[LDAP セットアップ（LDAP Setup）] を選択します。

ステップ 3 [LDAP セットアップ（LDAP Setup）] ページで、[LDAP サーバからの同期を有効にする（Enable Synchronizing from LDAP Server）] チェック ボックスをオンにします。

ステップ 4 [LDAP サーバ タイプ（LDAP Server Type）] リストで、アクセスする LDAP サーバのタイプを選択します。

Microsoft Active Directory 2008 Lightweight Directory Services 用に Connection を設定する場合は、[Microsoft Active Directory Application Mode] を選択します。

ステップ 5 [ユーザ ID の LDAP 属性（LDAP Attribute for User ID）] リストで、Connection の [エイリアス（Alias）] フィールドにデータを表示する LDAP ディレクトリのフィールドを選択します。次の要件に注意してください。

• 選択するフィールドに、LDAP ディレクトリのすべてのユーザの値が入力されている必要があります。

• このフィールドのすべての値を一意にする必要があります。

ステップ 6 [保存（Save）] を選択します。

Cisco Unity Connection 8.x の LDAP 同期の無効化

一時的に LDAP 同期を無効にする場合は、次の手順に従います。

LDAP 同期を無効にする方法

ステップ 1 Cisco Unity Connection Administration に、システム管理者の役割を持つユーザとしてサインインします。

ステップ 2 [システム設定（System Settings）] > [LDAP] を展開し、[LDAP セットアップ（LDAP Setup）] を選択します。

ステップ 3 [LDAP セットアップ（LDAP Setup）] ページで、[LDAP サーバからの同期を有効にする（Enable Synchronizing from LDAP Server）] チェック ボックスをオフにします。

ステップ 4 [保存（Save）] を選択します。

電話番号から内線番号への変換（Cisco Unity Connection 8.5 以降のみ）

LDAP ディレクトリ内の電話番号を Connection の内線番号にマッピングしても、電話番号が内線番号と一致していない場合は、電話番号を内線番号に一括変換する正規表現と置換パターンを追加できます。

• 正規表現によって、処理する電話番号（長さが 10 桁の電話番号など）と、内線番号のベースとして使用する電話番号の部分（最後の 4 桁など）が決定されます。

• 置換パターンは、正規表現によって選択された値を使用するか、または追加の処理を実行する（たとえば 8 を先頭に追加する）かを指定します。

Connection では、Java ライブラリの正規表現パッケージが使用されます。 表 41-1 に、拡張機能で実行できる変換の例をいくつか示します。詳細については、正規表現に関するリファレンスを参照してください。印刷物およびオンラインで、複数のリファレンスを入手できます。「正規表現」について Web で検索してください。

次の点に注意してください。

• Connection によって、電話番号から数字以外の文字が自動的に削除されるため、正規表現では、数字以外の文字を考慮する必要がありません。

• LDAP ディレクトリ内の電話番号が、正規表現と一致しない場合、対応する Connection の [内線番号（Extension）] フィールドには、LDAP 電話番号の数字部分が含まれます。たとえば、電話番号が 425 で始まり、正規表現が Connection 内線番号として LDAP 電話番号の最後の 4 桁を取得するが、LDAP 電話番号が 206 で始まる場合にだけ、その Connection ユーザの [内線番号（Extension）] フィールドに、数字以外の文字を除いた LDAP 電話番号全体が含まれます。

• Connection データと LDAP データを先に同期したときだけ、LDAP 電話番号が Connection 内線番号に変換されます。それ以降のスケジュール設定された同期では、Connection の [内線番号（Extension）] フィールドの値が、LDAP 電話番号の変更によって更新されません。その結果、必要に応じて、LDAP 電話番号を変更できます。完全に異なる番号を指定することもできます。次回 Connection でデータを LDAP ディレクトリと同期するときに、内線番号は上書きされません。

• 正規表現と置換パターンの複数の組み合わせの記述で、同じ結果が得られる場合があります。

正規表現の拡張サポートで LDAP ディレクトリ内の電話番号を Connection の内線番号に変換できない場合、スプレッドシート アプリケーションの数式で目的の結果が得られるかどうかを調べたい場合があります。その場合は、LDAP データから新しい Connection ユーザを作成するか、既存の Connection ユーザを LDAP ユーザと同期するとき、データを再び Connection にインポートする前に、スプレッドシート アプリケーションを使用して、CSV ファイルの電話番号データを処理できます。『 User Moves, Adds, and Changes Guide for Cisco Unity Connection 』（ Release 8.x ）の「 Creating User Accounts from LDAP User Data or Changing LDAP Integration Status for Existing Users in Cisco Unity Connection 8.x」の章にある、「Creating Cisco Unity Connection 8.x Users from LDAP Data by Using the Bulk Administration Tool」または「Integrating Existing Connection User Accounts with LDAP User Accounts Using Bulk Administration Tool (Cisco Unity Connection 8.5)」のいずれか該当する項を参照してください。このドキュメントは、 http://www.cisco.com/en/US/docs/voice_ip_comm/connection/8x/user_mac/guide/8xcucmacx.html から入手可能です。

LDAP 電話番号を Cisco Unity Connection 8.5 内線番号に変換する正規表現と置換パターンを追加する方法

ステップ 1 Cisco Unity Connection Administration で、[システム設定（System Settings）] > [LDAP] を展開し、[電話番号の変換（Phone Number Conversion）] を選択します。

ステップ 2 [LDAP 電話番号パターンの正規表現（Regular Expression for LDAP Phone Number Pattern）] フィールドに、次を指定する正規表現を入力します。

• 内線番号に変換する LDAP ディレクトリ内の電話番号（206 で始まる 10 桁の電話番号など）。

• 内線番号のベースとして使用する電話番号の部分（最後の 4 桁など）。

ステップ 3 [置換パターン（Replacement Pattern）] フィールドに、正規表現によって選択された値を使用するか、または追加の処理を実行する（たとえば 8 を先頭に追加する）かを指定する値を入力します。

ステップ 4 [保存（Save）] を選択します。

電話番号から内線番号への変換（Cisco Unity Connection 8.0）

LDAP ディレクトリ内の電話番号を Connection の内線番号にマッピングしても、電話番号が内線番号と一致していない場合は、電話番号を内線番号に変換する正規表現を追加できます。現在の正規表現のサポートは次のように制限されています。LDAP ディレクトリ内の電話番号から桁数を減らして、Connection 内線番号を作成するためだけに正規表現を使用できます。数字の前置、後置、または置換のために正規表現を使用することはできません。

正規表現で LDAP ディレクトリ内の電話番号を Connection の内線番号に変換できない場合、スプレッドシート アプリケーションの数式で目的の結果が得られるかどうかを調べたい場合があります。その場合は、LDAP データから新しい Connection ユーザを作成するか、既存の Connection ユーザを LDAP ユーザと同期するとき、データを再び Connection にインポートする前に、スプレッドシート アプリケーションを使用して、CSV ファイルの電話番号データを処理できます。『 User Moves, Adds, and Changes Guide for Cisco Unity Connection 』（ Release 8.x ）の「 C reating User Accounts from LDAP User Data or Changing LDAP Integration Status for Existing Users in Cisco Unity Connection 8.x」の章にある、「Creating Cisco Unity Connection 8.x Users from LDAP Data by Using the Bulk Administration Tool」または「Integrating Existing Connection User Accounts with LDAP User Accounts (Cisco Unity Connection 8.0)」のいずれか該当する項を参照してください。このドキュメントは、 http://www.cisco.com/en/US/docs/voice_ip_comm/connection/8x/user_mac/guide/8xcucmacx.html から入手可能です。

（注） Connection データと LDAP データを先に同期したときだけ、LDAP 電話番号が Connection 内線番号に変換されます。それ以降のスケジュール設定された同期では、Connection の [内線番号（Extension）] フィールドの値が、LDAP 電話番号の変更によって更新されません。その結果、必要に応じて、LDAP 電話番号を変更できます。完全に異なる番号を指定することもできます。次回 Connection でデータを LDAP ディレクトリと同期するときに、内線番号は上書きされません。

LDAP 電話番号を Cisco Unity Connection 8.0 内線番号に変換するフィルタを追加する方法

ステップ 1 Cisco Unity Connection Administration で、[システム設定（System Settings）] > [LDAP] を展開し、[LDAP 詳細設定（Advanced LDAP Settings）] を選択します。

ステップ 2 [LDAP 電話番号を Connection 内線番号に変換するフィルタ（Filter to Convert LDAP Phone Numbers into Connection Extensions）] フィールドで、LDAP ディレクトリから Connection で使用する内線番号にインポートする電話番号を変換する正規表現を入力します。次の例を参考にしてください。

• 句読点が含まれる場合に、句読点なしで電話番号を内線番号として使用するには、次のように入力します。

[0-9]+

• 電話番号の最後の 4 桁を内線番号として使用するには、次のように入力します。

[0-9][0-9][0-9][0-9]$

• 電話番号の最初の 4 桁を内線番号として使用するには、次のように入力します。

^[0-9][0-9][0-9][0-9]

正規表現の詳細については、「正規表現」で Web 検索してください。

ステップ 3 [保存（Save）] を選択します。

Cisco Unity Connection 8.x サーバでの SSL 証明書のアップロード

LDAP サーバと Connection サーバの間で転送されるデータの暗号化に SSL を使用する場合は、次の手順に従ってください。

（注） 同期（「Cisco Unity Connection 8.x での LDAP ディレクトリ設定の追加と LDAP データのインポート」を参照）、または認証（「Cisco Unity Connection 8.x の LDAP 認証の設定」を参照）を設定する各 LDAP サーバに対して IP アドレスではなくホスト名でサーバを指定し、[SSL を使用（Use SSL）] チェックボックスをオンにする必要があります。

LDAP ディレクトリ サーバから SSL 証明書をアップロードする方法

ステップ 1 ユーザ サインインが存在する場合、これを認証するときに、Connection でアクセスする LDAP サーバのデータとの同期を Connection で行う LDAP サーバから、SSL 証明書をエクスポートします。

同期または認証あるいはその両方のために冗長 LDAP サーバを設定する場合は、Connection で同期または認証を行う各 LDAP サーバから SSL 証明書をエクスポートします。

ステップ 2 Connection サーバで、Cisco Unified Operating System Administration にサインインします。

ステップ 3 [セキュリティ（Security）] メニューで [証明書の管理（Certificate Management）] を選択します。

ステップ 4 ステップ 1 でエクスポートしたディレクトリ証明書信頼をアップロードします。

• Connection 8.0(1) および 8.0(2) では、ディレクトリ証明書信頼を directory-trust にアップロードします。

• Connection 8.0(3) 以降では、ディレクトリ証明書信頼を tomcat-trust にアップロードします。

この Connection サーバを複数の LDAP サーバと同期するか、または複数の LDAP サーバで認証を行う場合は、すべての LDAP サーバからディレクトリ証明書信頼をアップロードします。

ディレクトリ証明書信頼のアップロードおよび Cisco Dirsync サービスと Cisco Tomcat サービスの再起動の詳細については、[ヘルプ（Help）] メニューの [このページ（This Page）] を選択してください。

ステップ 5 Connection クラスタリングを設定する場合、またはデジタル ネットワークを設定する場合は、他の Connection サーバでステップ 2 からステップ 4 を繰り返します。

Cisco Unity Connection 8.x の LDAP 認証の設定

企業によっては、アプリケーションのシングル サインオン クレデンシャルが必要な場合があります。LDAP ディレクトリ内のユーザの資格情報に対して Connection Web アプリケーションへのサインインを認証するには、『 Design Guide for Cisco Unity Connection 』の「 LDAP Synchronization 」の項の説明に従って、LDAP ディレクトリ内のユーザ データと Connection ユーザ データを同期する必要があります。

Connection Web アプリケーション（管理者の Cisco Unity Connection Administration、エンド ユーザの Cisco Personal Communications Assistant）のパスワード、および Connection ボイス メッセージへのアクセスに使用される IMAP 電子メール アプリケーションのパスワードだけは、社内ディレクトリに対して認証されます。LDAP ディレクトリの管理アプリケーションを使用して、これらのパスワードを管理します。認証が有効な場合、パスワード フィールドは Cisco Unity Connection Administration に表示されなくなります。

電話ユーザ インターフェイスまたはボイス ユーザ インターフェイスによる Connection ボイス メッセージへのアクセスでは、引き続き Connection データベースに対して数値パスワード（PIN）で認証されます。これらのパスワードは、Connection の管理 で管理します。ユーザは、電話インターフェイスまたは Messaging Assistant Web ツールを使用して PIN を管理します。

LDAP 認証がサポートされる LDAP ディレクトリは、同期化をサポートされる LDAP ディレクトリと同じです。『 System Requirements for Cisco Unity Connection 』（ Release 8.x ）の「Requirements for an LDAP Directory Integration」の項を参照してください。このドキュメントは、 http://www.cisco.com/en/US/docs/voice_ip_comm/connection/8x/requirements/8xcucsysreqs.html から入手可能です。

LDAP ユーザ名およびパスワードを使用して Cisco Unity Connection の Web アプリケーションへのサインインまたは Connection ボイス メッセージへの IMAP アクセスを認証する場合は、次の手順に従って LDAP 認証を設定します。

（注） LDAP ユーザ名およびパスワードを使用して、インストール時に作成した管理者アカウントのサインインを認証することはできません。管理者アカウントは Cisco Unified Operating System Administration、Disaster Recovery System、およびコマンドライン インターフェイスへのサインインに使用されます。

LDAP 認証の設定方法

ステップ 1 Cisco Unity Connection Administration で、[システム設定（System Settings）] > [LDAP] を展開し、[LDAP 認証（LDAP Authentication）] を選択します。

ステップ 2 [エンド ユーザに LDAP 認証を使用する（Use LDAP Authentication for End Users）] チェック ボックスをオンにします。

ステップ 3 必要に応じて、その他の値を入力します。詳細については、[ヘルプ（Help）] メニューで [このページ（This Page）] を選択してください。

[サーバのホスト名または IP アドレス（Host Name or IP Address for Server）] フィールドの値を変更した場合や、IMAP クライアントが Connection にアクセスしている場合は、Connection IMAP Server サービスを再起動します。他の Web アプリケーション（Cisco Personal Communications Assistant など）が Connection にアクセスするときは、サーバを再起動します。

「LDAP ディレクトリ サーバから SSL 証明書をアップロードする方法」 で SSL 証明書を Connection サーバにアップロードした場合は、次の手順に従ってください。

• [サーバのホスト名または IP アドレス（Host Name or IP Address for Server）] フィールドで指定したすべての LDAP に対して [SSL を使用（Use SSL）] チェック ボックスをオンにします。

• [サーバのホスト名または IP アドレス（Host Name or IP Address for Server）] フィールドで、サーバのホスト名を指定しないと、IMAP クライアントに対する認証が失敗する可能性があります。IP アドレスを指定し、SSL 証明書でホスト名だけで LDAP サーバを識別する場合（これが一般的。認証にサーバの IP アドレスが含まれることはほとんどない）、Connection で LDAP サーバの ID を識別できません。

（注） サポートされる LDAP ディレクトリの中には、冗長 LDAP サーバを指定できないものがあります。Connection で冗長サーバを指定可能な LDAP ディレクトリの詳細については、『System Requirements for Cisco Unity Connection』（Release 8.x）の「Requirements for an LDAP Directory Integration」の項を参照してください。

ステップ 4 [保存（Save）] を選択します。

LDAP 認証の無効化

LDAP 認証を永続的に無効にした場合、ユーザはその LDAP ディレクトリ パスワードの代わりに、Connection Web アプリケーション パスワードを使用して、Connection Web アプリケーションにサインインします。Connection を最初にインストールしたときに Connection ユーザと LDAP ディレクトリを連動した場合、またはユーザと LDAP ディレクトリを連動してから時間が経過した場合、ユーザは、Connection Web アプリケーション パスワードを持たないか、または Connection Web アプリケーション パスワードを覚えていません。ユーザが次回 Connection Web アプリケーションにサインインするときに、Connection Web アプリケーション パスワードの変更を強制し、LDAP 認証を無効にするには、次の手順を実行します。

一括編集を使用して、メールボックスを持っているユーザのパスワードを変更できます。ただし、メールボックスのないユーザ（管理者）のパスワードは、個々に変更する必要があります。

たとえば、Connection で [エイリアス（Alias）] フィールドにマッピングするフィールドを変更するために、LDAP 認証を一時的に無効にする場合は、Connection ユーザのパスワード設定を変更する必要がありません。

LDAP 認証を無効にする方法

ステップ 1 Cisco Unity Connection Administration に、システム管理者の役割を持つユーザとしてサインインします。

ステップ 2 Cisco Unity Connection Administration で、[システム設定（System Settings）] > [LDAP] を展開し、[LDAP 認証（LDAP Authentication）] を選択します。

ステップ 3 [エンド ユーザに LDAP 認証を使用する（Use LDAP Authentication for End Users）] チェック ボックスをオフにします。

ステップ 4 [保存（Save）] を選択します。

ステップ 5 LDAP 認証を一時的に無効にするだけの場合は、残りの手順をスキップします。パスワード設定は変更しないでください。

ステップ 6 メールボックスを持つユーザのパスワード設定を変更する方法

a. Cisco Unity Connection Administration で [ユーザ（Users）] を展開し、[ユーザ（Users）] を選択します。

b. すべての Connection ユーザと LDAP ディレクトリ ユーザを連動している場合は、すべてのユーザを選択します。その他の場合は、LDAP ディレクトリと連動しているユーザを選択します。

c. [一括編集（Bulk Edit）] を選択します。

d. [編集（Edit）] メニューで、[パスワードの設定（Password Settings）] を選択します。

e. [パスワードの選択（Choose Password）] リストで、[Web アプリケーション（Web Application）] を選択します。

f. [次回サインイン時に、ユーザによる変更が必要（User Must Change at Next Sign-In）] で、両方のチェックボックスをオンにします。

g. [一括編集タスクスケジュール（Bulk Edit Task Scheduling）] で、選択したユーザに対して Connection によって設定が変更される時期をスケジュール設定する場合は、[あとで起動（Run Later）] を選択し、日付と時間を指定します。

h. [送信（Submit）] を選択します。

ステップ 7 メールボックスを持たないユーザのパスワード設定を変更する方法

a. Cisco Unity Connection Administration で [ユーザ（Users）] を展開し、[ユーザ（Users）] を選択します。

b. 最初のユーザを選択します。

c. [編集（Edit）] メニューで、[パスワードの設定（Password Settings）] を選択します。

d. [パスワードの選択（Choose Password）] リストで、[Web アプリケーション（Web Application）] を選択します。

e. [次回サインイン時に、ユーザによる変更が必要（User Must Change at Next Sign-In）] チェックボックスをオンにします。

f. [保存（Save）] を選択します。

g. メールボックスを持たない残りのユーザに対して、手順 a. ～ f. を繰り返します。

Cisco Unity Connection 8.x にインポートする LDAP ユーザの選択

この章では後から、Connection にインポートする LDAP ディレクトリ内のユーザを指定する最大 5 つの Cisco Unity Connection LDAP ディレクトリ設定を作成します。各 LDAP ディレクトリ設定に対して、ユーザ検索ベースを指定します。ユーザ検索ベースは、Connection がユーザ アカウントの検索を開始する LDAP ディレクトリ ツリー内の位置です。Connection は、検索ベースで指定されたツリーまたはサブツリー（ドメインまたは OU）内のユーザをすべてインポートします。Connection サーバまたはクラスタは、たとえば同じ Active Directory フォレストなど、同じディレクトリ ルートを持つサブツリーからだけ、LDAP データをインポートできます。

LDAP ディレクトリ設定を作成したら、Connection データを LDAP ディレクトリ内のデータと同期します。これによって、Connection サーバ上の非表示の Cisco Unified Communications Manager データベースに LDAP データがインポートされます。Cisco Unified CM データベースにインポートできるユーザ数は実質的に 60,000 に制限されています。この制限は同期プロセスでは適用されませんが、Connection ユーザにならない大量の LDAP ユーザをインポートすると、メッセージに利用できるディスク領域が減少し、データベースのパフォーマンスが低下し、アップグレードに時間がかかるようになります。

LDAP ディレクトリの構造を分析して、次のような 5 つ以下のユーザ検索ベースを指定できるかどうかを判断することを推奨します。

• Connection にインポートする LDAP ユーザを含める。

• Connection にインポートしない LDAP ユーザを除外する。

• 60,000 以下のユーザが Cisco Unified CM データベースにインポートされる。

以上の 3 つの条件のすべてを満たす 5 つ以下のユーザ検索ベースを指定できない場合は、1 つまたは複数の LDAP フィルタを作成して、検索ベースで指定された不要なユーザを除外することを推奨します。詳細については、「Cisco Unity Connection 8.x での LDAP ユーザのフィルタリング」を参照してください。

Cisco Unity Connection イントラサイトとインターサイトのネットワーキング

それぞれ LDAP ディレクトリと連動している 2 台以上の Connection サーバを接続するために、イントラサイトまたはインターサイトのネットワーキングを使用している場合、および別の Connection サーバ上のユーザ検索ベースと重複する 1 台の Connection サーバでユーザ検索ベースを指定する場合は、同じ LDAP ユーザを何度もインポートすることによって、異なる Connection サーバで重複する Connection ユーザを誤って作成しないように注意してください。

---

（注） ユーザを作成する方法にかかわらず、Connection では、同じ Connection サーバ上で、同じエイリアスを使用して 2 人のユーザを作成することが防止されます。しかし、同じサイトまたは組織内の異なる Connection サーバで、同じエイリアスを使用して 2 人のユーザを作成することは防止されません。

---

同じ LDAP ユーザから複数の Connection ユーザを作成すると役立つ場合があります。たとえば、ボイスメールボックスのない Connection ユーザとして、すべての Connection サーバに、同じ LDAP 管理者アカウントをインポートし、管理者アカウントとしてこれらの重複する Connection ユーザを使用できます。これにより、すべての Connection サーバに対して 1 人以上の LDAP ユーザを作成せずに、Connection 管理者カウントに対して LDAP 同期および認証を使用できます。

Cisco Unity Connection 8.x での LDAP ユーザのフィルタリング

さまざまな理由により、Cisco Unity Connection にインポートする LDAP ユーザをより細かく制御したい場合があります。次の例を参考にしてください。

• LDAP ディレクトリが、ユーザ検索ベースの指定では十分に制御できないフラット構造になっている。

• LDAP ユーザ アカウントのサブセットだけを Connection ユーザにする必要がある。

• LDAP ディレクトリ構造が、Connection へのユーザのインポート方法に適さない。次の例を参考にしてください。

– 組織ユニットが組織階層に従って設定されており、ユーザは地理情報によって Connection にマッピングされる場合、この 2 つの間にオーバーラップはほとんどありません。

– ディレクトリ内のすべてのユーザが 1 つのツリーまたはドメインに含まれているものの、複数の Connection サーバをインストールする必要がある場合、複数の Connection サーバ上にユーザのメールボックスが存在するのを避けるために、回避策を実行する必要があります。

• LDAP ディレクトリには 60,000 を超えるユーザが含まれている。LDAP ユーザをインポートして Connection ユーザを作成する場合、Connection サーバ上の Cisco Unified Communications Manager データベースにインポートできるユーザ数を実質的に 60,000 に制限されます。この制限は同期プロセスでは適用されませんが、Connection ユーザにならない大量の LDAP ユーザをインポートすると、データベースのパフォーマンスが低下し、アップグレードに時間がかかるようになります。

このような場合は、1 つ以上の LDAP フィルタを作成して、ユーザ検索ベースをより細かく制御することがあります。次の点に注意してください。

• Cisco Unified Communications Manager Business Edition 用の LDAP フィルタを作成することはできません。

• 必要なだけ、いくつでも LDAP フィルタを作成できますが、1 つの Connection ディレクトリ設定で最大 5 台のサーバまたはクラスタに対してアクティブにできるフィルタは 1 つだけです。

• Connection で LDAP ディレクトリ設定を作成する場合は、ユーザ検索ベースと LDAP フィルタの両方を指定します。必要に応じて、ユーザ検索ベースと連動するフィルタを作成し、作成できる最大 5 つの LDAP ディレクトリ設定を指定します。

• 各フィルタは、RFC 4515『Lightweight Directory Access Protocol（LDAP）：String Representation of Search Filters』で規定された LDAP フィルタ構文に従う必要があります。

• フィルタの作成時には、フィルタ構文は検証されません。LDAP ディレクトリ設定でフィルタを指定するときに検証されます。

• フィルタを追加し、すでに LDAP ディレクトリと同期している LDAP ディレクトリ設定に追加する場合、または LDAP ディレクトリ設定ですでに使用されているフィルタを変更する場合は、新しいフィルタまたは Connection にアクセスできるように更新されたフィルタで指定された LDAP ユーザに対して次の手順に従ってください。

1. Cisco DirSync サービスを一度オフにしてから、再びオンにします。Cisco Unified Serviceability で、[ツール（Tools）] > [サービスのアクティブ化（Service Activation）] を選択します。[Cisco DirSync] の横にあるチェック ボックスをオフにし、[保存（Save）] を選択してサービスをオフにします。次に、[Cisco DirSync] の横にあるチェック ボックスをオンにし、[保存（Save）] を選択してサービスをオンにします。

2. Connection の管理 で、フィルタにアクセスする LDAP ディレクトリ設定で、完全同期を実行します（[今すぐ完全同期を実行する（Perform Full Sync Now）] を選択する）。

• フィルタを変更して、前回のフィルタではアクセス可能だったユーザの一部を除外するフィルタにする場合、現在アクセスできない LDAP ユーザと同期されている Connection ユーザは、次にスケジュールされた 2 回の同期または 24 時間以内のいずれか長いほうの期間、スタンドアロン Connection ユーザに変換されます。このユーザは引き続き電話を使用して Connection にサインインできます。発信者はその時点でもこのユーザにメッセージを残すことができ、そのメッセージは削除されません。ただし、Connection がこのようなユーザの同期を中断している間は、Connection Web アプリケーションにはサインインできません。同期が停止されると、Web アプリケーションのパスワードが Connection アカウントの作成時に割り当てられたパスワードになります。

LDAP フィルタを追加するには、次の手順に従ってください。

LDAP フィルタの追加方法

ステップ 1 Cisco Unity Connection Administration で、[システム設定（System Settings）] > [LDAP] を展開し、[LDAP カスタム フィルタ（LDAP Custom Filter）] を選択します。

ステップ 2 [新規追加（Add New）] を選択します。

ステップ 3 フィルタ名のフィールドに、この LDAP フィルタの名前を入力します。複数の LDAP フィルタ構成を追加する場合、現在のフィルタに含まれる LDAP ユーザを識別する名前（たとえば、「Engineering」）を入力します。

ステップ 4 [フィルタ（Filter）] フィールドに、RFC 2254『The String Representation of LDAP Search Filters』で規定された LDAP フィルタ構文に準拠するフィルタを入力します。フィルタ テキストはカッコで囲む必要があります。

ステップ 5 [保存（Save）] を選択します。

Cisco Unity Connection 8.x での LDAP ディレクトリ設定の追加と LDAP データのインポート

（注） Connection 8.5 以降のみ：Exchange でユニファイド メッセージングを設定している場合は、各 Connection ユーザに対して Exchange 電子メール アドレスを入力する必要があります。Connection の管理 の [ユニファイド メッセージング アカウント（Unified Messaging Account）] ページでは、次のいずれかの値を使用するように各ユーザを設定できます。

- [ユーザの基本設定（User Basics）] ページで指定した社内電子メール アドレス
- [ユニファイド メッセージング アカウント（Unified Messaging Account）] ページで指定したメール アドレス

LDAP ディレクトリ設定を追加するときに、Cisco Unified Communications Manager の [メール ID（Mail ID）] フィールドと LDAP ディレクトリのメール フィールドを同期するオプションを選択することを推奨します。これにより、LDAP のメール フィールドが Connection の [社内電子メール アドレス（Corporate Email Address）] フィールドに表示されます。[社内電子メール アドレス（Corporate Email Address）] フィールドに LDAP のメール フィールドを自動的に読み込むのは、Connection の管理または Bulk Administration Tool を使用して [ユニファイド メッセージング アカウント（Unified Messaging Account）] ページのメール フィールドに読み込むよりも簡単です。

ユーザ データを Cisco Unity Connection にインポートする LDAP ディレクトリ内の各ユーザ検索ベースに対して、次の手順に従ってください。

LDAP ディレクトリ設定の追加方法

ステップ 1 Cisco Unity Connection Administration で、[システム設定（System Settings）] > [LDAP] を展開し、[LDAP ディレクトリ設定（LDAP Directory Configuration）] を選択します。

ステップ 2 LDAP 設定名のフィールドに、この LDAP ディレクトリ設定の名前を入力します。LDAP ユーザ検索ベースが異なる複数の LDAP ディレクト設定を追加する場合、現在の検索ベース内のユーザを別する名前を入力します。

ステップ 3 必要に応じて、その他の値を入力します。詳細については、[ヘルプ（Help）] メニューで [このページ（This Page）] を選択してください。

LDAP フィルタを指定する場合は、LDAP フィルタ構文がチェックされます。構文が無効な場合、エラー メッセージが表示されます。

「LDAP ディレクトリ サーバから SSL 証明書をアップロードする方法」 で Connection サーバに SSL 証明書をアップロードした場合、[サーバのホスト名または IP アドレス（Host Name or IP Address for Server）] フィールドで、指定したすべての LDAP に対して [SSL を使用（Use SSL）] チェック ボックスをオンにします。

（注） サポートされる LDAP ディレクトリの中には、冗長 LDAP サーバを指定できないものがあります。Connection で冗長サーバを指定可能な LDAP ディレクトリの詳細については、『System Requirements for Cisco Unity Connection』（Release 8.x）の「Requirements for an LDAP Directory Integration」の項を参照してください。

ステップ 4 [保存（Save）] を選択します。

ステップ 5 [今すぐ完全同期を実行する（Perform Full Sync Now）] を選択します。

ステップ 6 別のユーザ検索ベースに別の LDAP ディレクトリ設定を追加するには、[新規追加（Add New）] を選択し、ステップ 2 ～ ステップ 5 を繰り返します。

Cisco Unity Connection 8.x での LDAP ディレクトリ設定の変更

たとえば、Connection にインポートする LDAP ユーザ フィールドを変更することによって、LDAP ディレクトリ設定を変更する場合は、既存のディレクトリ設定を削除して、再作成する必要があります。

LDAP ディレクトリ設定を変更する方法

ステップ 1 Cisco Unity Connection Administration に、システム管理者の役割を持つユーザとしてサインインします。

ステップ 2 [システム設定（System Settings）] > [LDAP] を展開し、[LDAP ディレクトリ設定（LDAP Directory Configuration）] を選択します。

ステップ 3 既存の設定の記録がない場合は、変更する設定を選択し、既存の設定をメモします。

ステップ 4 [LDAP ディレクトリ設定の検索と一覧表示（Find and List LDAP Directory Configurations）] ページで、変更するディレクトリ設定の横にあるチェックボックスをオンにします。

（注） ディレクトリ設定が検索結果テーブルに表示されていない場合は、ページ上部の検索フィールドで適切なパラメータを設定し、[検索（Find）] を選択します。

ステップ 5 [選択項目の削除（Delete Selected）] を選択します。

ステップ 6 削除を確認するダイアログ ボックスが開くので [OK] を選択します。

ステップ 7 [システム設定（System Settings）] > [LDAP] で、[LDAP セットアップ（LDAP Setup）] を選択します。

ステップ 8 [LDAP セットアップ（LDAP Setup）] ページで、[LDAP サーバからの同期を有効にする（Enable Synchronizing from LDAP Server）] チェック ボックスをオフにします。

ステップ 9 [保存（Save）] を選択します。

ステップ 10 [LDAP サーバからの同期を有効にする（Enable Synchronizing from LDAP Server）] チェック ボックスを再びオンにします。

ステップ 11 もう一度 [保存（Save）] を選択します。

ステップ 12 ディレクトリ設定を再作成し、作成したディレクトリ設定に対して完全同期を実行します。「Cisco Unity Connection 8.x での LDAP ディレクトリ設定の追加と LDAP データのインポート」を参照してください。

ステップ 13 変更するその他のディレクトリ設定がある場合は、ステップ 2 ～ ステップ 12 を繰り返します。

Cisco Unity Connection 8.x での LDAP ディレクトリ設定の削除

たとえば、Connection ユーザと LDAP ディレクトリとの連動が不要になり、LDAP ディレクトリ設定を削除する場合は、次の手順を実行します。

LDAP ディレクトリ設定を削除する方法

ステップ 1 Cisco Unity Connection Administration に、システム管理者の役割を持つユーザとしてサインインします。

ステップ 2 [システム設定（System Settings）] > [LDAP] を展開し、[LDAP ディレクトリ設定（LDAP Directory Configuration）] を選択します。

ステップ 3 [LDAP ディレクトリ設定の検索と一覧表示（Find and List LDAP Directory Configurations）] ページで、削除するディレクトリ設定の横にあるチェックボックスをオンにします。

（注） ディレクトリ設定が検索結果テーブルに表示されていない場合は、ページ上部の検索フィールドで適切なパラメータを設定し、[検索（Find）] を選択します。

ステップ 4 [選択項目の削除（Delete Selected）] を選択します。

ステップ 5 削除を確認するダイアログ ボックスが開くので [OK] を選択します。

ステップ 6 [システム設定（System Settings）] > [LDAP] で、[LDAP セットアップ（LDAP Setup）] を選択します。

ステップ 7 [LDAP セットアップ（LDAP Setup）] ページで、[LDAP サーバからの同期を有効にする（Enable Synchronizing from LDAP Server）] チェック ボックスをオフにします。

ステップ 8 [保存（Save）] を選択します。

ステップ 9 [LDAP サーバからの同期を有効にする（Enable Synchronizing from LDAP Server）] チェック ボックスを再びオンにします。

ステップ 10 もう一度 [保存（Save）] を選択します。

Connection で [エイリアス（Alias）] フィールドにマッピングする LDAP フィールドの変更

Connection で、[エイリアス（Alias）] フィールドにマッピングする LDAP ディレクトリのフィールドを変更する必要がある場合は、次の手順を実行します。

Connection で、[エイリアス（Alias）] フィールドにマッピングする LDAP フィールドを変更する方法

ステップ 1 DirSync サービスを無効にします。

a. Cisco Unified Serviceability に、システム管理者の役割を持つユーザとしてサインインします。

b. [ツール（Tools）] メニューで、[サービスのアクティブ化（Service Activation）] を選択します。

c. [Directory Services] で [Cisco DirSync Service] チェック ボックスをオフにします。

d. [保存（Save）] を選択し、[OK] を選択して確認します。

ステップ 2 LDAP 認証を無効にします。「LDAP 認証の無効化」を参照してください。

ステップ 3 すべての LDAP ディレクトリ設定を削除します。

a. Cisco Unity Connection Administration に、システム管理者の役割を持つユーザとしてサインインします。

b. [システム設定（System Settings）] > [LDAP] を展開し、[LDAP ディレクトリ設定（LDAP Directory Configuration）] を選択します。

c. 必要な場合は、既存の LDAP ディレクトリ設定に対する指定をメモしておき、この手順であとから再現できるようにします。

d. [LDAP ディレクトリ設定の検索と一覧表示（Find and List LDAP Directory Configurations）] ページで、すべてのディレクトリ設定を選択します。

e. [選択項目の削除（Delete Selected）] を選択します。

ステップ 4 Connection の [エイリアス（Alias）] フィールドにマッピングするフィールドを変更します。

a. Connection の管理 で、[システム設定（System Settings）] > [LDAP] を展開し、[LDAP セットアップ（LDAP Setup）] を選択します。

b. [ユーザ ID の LDAP 属性（LDAP Attribute for User ID）] リストで、Connection の [エイリアス（Alias）] フィールドにデータを表示する LDAP ディレクトリのフィールドを選択します。次の要件に注意してください。

– 選択するフィールドに、LDAP ディレクトリのすべてのユーザの値が入力されている必要があります。

– このフィールドのすべての値を一意にする必要があります。

c. [保存（Save）] を選択します。

ステップ 5 LDAP 認証をもう一度有効にします。詳細については、「Cisco Unity Connection 8.x の LDAP 認証の設定」を参照してください。

ステップ 6 LDAP 設定を再び追加しますが、Connection と LDAP データは同期しません。次の手順で DirSync サービスを再び有効にするまで、同期は機能しません。

詳細については、「Cisco Unity Connection 8.x での LDAP ディレクトリ設定の追加と LDAP データのインポート」を参照してください。

ステップ 7 DirSync サービスをもう一度有効にします。

a. Cisco Unified Serviceability に、システム管理者の役割を持つユーザとしてサインインします。

b. [ツール（Tools）] メニューで、[サービスのアクティブ化（Service Activation）] を選択します。

c. [Directory Services] で [Cisco DirSync Service] チェック ボックスをオンにします。

d. [保存（Save）] を選択し、[OK] を選択して確認します。

ステップ 8 Connection データと LDAP データを同期します。

a. Connection の管理 で、[システム設定（System Settings）] > [LDAP] を展開し、[LDAP ディレクトリ設定（LDAP Directory Configuration）] を選択します。

b. [検索（Find）] を選択すると、すべてのディレクトリ設定のリストが表示されます。

c. 最初のディレクトリ設定を表示し、[今すぐ完全同期を実行する（Perform Full Sync Now）] を選択します。

d. 残りのディレクトリ設定について手順 a. ～ c. を繰り返します。