如何在CMS版本3.0上配置LDAP导入

简介

本文档介绍如何从轻量级目录访问协议(LDAP)目录导入用户。这允许最终用户使用自己的帐户通过思科Web应用登录，以管理其空间并加入会议。

作者：Jefferson Madriz和Octavio Miralrio，思科TAC工程师。

要求

Cisco 建议您了解以下主题：

• Active Directory 
• CMS第3版
• 应用程序编程接口(API)

注意：配置LDAP是可选的，如果您只想启用访客访问，则无需完成。如果不希望启用用户登录Web应用，请跳过此任务。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• CMS版本3.0
• Windows LDAP目录

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

会议服务器LDAP设置

LDAP服务器位置/地址：LDAP服务器的网络IP地址。

名称：帮助识别API中对象的标签。

LDAP用户名/密码：用于连接到LDAP服务器的凭证。

端口/端口号：连接到LDAP服务器时要使用的网络端口。

安全：启用后，连接使用安全LDAP。

基本可分辨名称/基本DN:会议服务器搜索用户的LDAP位置。

过滤器：定义搜索中包含哪些LDAP对象的搜索过滤器。

对于与上述搜索设置匹配的每个用户，Meeting Server在Meeting Server中使用管理员定义的字段映射表达式创建用户。映射可以使用正则表达式和LDAP属性名称根据导入的用户的LDAP值构建结果。常用的字段映射包括：

显示名称/名称映射：在用户搜索和会议服务器目录中为用户显示的名称。

用户名/jid映射：用户通过Web应用登录时使用的用户名，结果对于每个用户必须唯一

空间名称/coSpaceNameMapping:为该用户自动生成的空间提供的标签

空间URI用户部分/coSpaceUriMapping:为该用户自动生成的空间定义统一资源标识符(URI)的用户部分，结果对于每个用户必须唯一。

空间辅助URI用户部分/coSpaceSecondaryUriMapping:为用户自动生成的空间定义辅助URI（可选）。 通常用于为空间分配E164样式URI，结果对于每个用户必须唯一。

空间调用ID/coSpaceCallIdMapping:为用户设置自动生成的空间的呼叫ID（可选）。 如果未定义，则自动生成随机呼叫ID，结果对于每个用户必须唯一

配置

对于简化部署示例，本示例中显示从Active Directory导入所有用户。导入（可选）支持为每个导入的用户创建个人空间。此配置可以使用Webadmin或API进行，不能同时进行两者配置。 

ldap服务器

1. 登录会议服务器Webadmin界面
2. 导航至Configuration > API。
3. 使用“过滤器”输入框，输入ldapServers以过滤列表视图。
4. 选择/api/v1/ldapServers对象旁边的箭头。
5. 单击Create new 以配置新的ldapServers对象。

6. 输入服务器值。必须更新以下示例值以匹配您的环境。
   地址 :10.15.13.90（或FQDN）
   名称：MXC用户
   portNumber:3268
   username：CN=user1,OU=CMSusers，DC=mxc，DC=lab
   password：<提供的用户的密码>
   安全：设置为true
   
   

7. 单击返回对象列表以返回API对象的完整列表。

ldap映射

1. 使用“筛选器”输入框，输入ldapMappings以筛选列表视图。
2. 选择/api/v1/ldapMappings旁边的箭头。
3. 选择Create new 以配置新的ldapMappings对象。
   
4. 配置字段映射表达式。这些值可自定义为您的部署。简化的部署建议是将用户的电子邮件地址用于用户名(jidMapping)，并为所有导入的用户创建空格。
   
   jidMapping:$mail$
   nameMapping:$cn$
   coSpaceUriMapping:$sAMAccountName$.space
   coSpaceNameMapping:$cn$空格
   

5. 单击返回对象列表以返回API对象的完整列表。

ldap源

1. 使用“过滤器”输入框，输入ldapSources以过滤列表视图。
2. 选择/api/v1/ldapSources旁边的箭头。
3. 选择Create new以配置新的ldapSources对象。
4. 服务器参数必须设置为在前面步骤中创建的ldapServers对象的ID。
5. 必须将映射参数设置为在前面步骤中创建的ldapMappings对象的ID。
6. 配置baseDn和筛选参数。这些值定义导入用户时在LDAP服务器中执行的搜索。

baseDn OU=CMSusers，DC=mxc，DC=lab
filter(&(objectCategory=person)(sAMAccountName=*))或(&(sAMAccountType=805306368)(sAMAccountName=*)(mail=*))

注意：:如果您的目录有大量用户（超过10,000个），或者您不想启用所有用户，则可以更改基本可分辨名称和过滤器，以针对更具体的组或用户集。请咨询您的LDAP管理员。

导入用户的LDAP配置现已完成，并准备运行LDAP同步。

LDAP导入

创建ldapServer、ldapMapping和ldapSource对象后，必须运行LDAP导入/同步进程以导入用户。只要您希望LDAP服务器中的用户更改在会议服务器中更新，同步进程必须重新运行。

1. 登录会议服务器Webadmin界面。
2. 导航至Configuration > Active Directory:
3. 选择页面底部的“立即同步”。
   
   

注意：即使未使用此页面上的配置，也仍可使用Sync Now。

验证

一两分钟后，导航至Status > Users，其中现在显示LDAP导入创建的用户。

导航至Configuration>Spaces，并验证为导入用户创建的空格。

如果用户列表为空，请导航至“日志”>“事件日志”并找到具有LDAP同步操作的条目。任何有关属性缺失或重复条目的错误意味着需要调整字段映射或搜索条件以避免错误。如果需要，可以使用Configuration > API修改之前设置的任何值，然后重复LDAP同步。

Additional Information

LDAP提示和示例