在CUCM版本12.x中配置OS Admin和DRS的SSO

简介

本文档介绍Cisco Unified Communications Manager(CUCM)12.0版及更高版本中引入的操作系统(OS)管理和灾难恢复系统(DRS)的单点登录(SSO)功能。

低于12.0的CUCM版本仅支持CM管理、可维护性和报告页面的SSO。此功能可帮助管理员快速浏览不同的组件，并提供更好的用户体验。有一个选项可用于在OS Admin和DRS的SSO中断时使用恢复URL。

先决条件

要求

Cisco建议您了解CUCM 12.0版及更高版本。

使用的组件

本文档中的信息基于Cisco Call Manager(CCM)版本12.0.1.21900-7。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

配置

要启用OS Admin和DRS的SSO，必须已为CM Administration登录启用SSO。除此之外，它还需要平台级用户，该用户可以是新用户或现有用户。

使用现有操作系统管理员用户

安装时创建的平台用户可配置为OS Admin和DRS组件的SSO登录。在这种情况下，唯一要求是，还必须将此平台用户添加到Active Directory(AD)中，身份提供程序(IdP)根据该Active Directory(AD)进行身份验证。

使用新用户

完成以下步骤以启用新用户进行SSO OS管理员和DRS登录：

步骤1:从Publisher的CLI访问权限创建权限级别为1/0的新用户。

要创建新用户，必须提供安装时创建的平台用户所拥有的平台4级访问权限。

0级权限仅授予用户读取访问权限，而1级同时授予读取和写入权限。

admin:set account name ssoadmin

 

Privilege Levels are:

   Ordinary - Level 0

   Advanced - Level 1

 

Please enter the privilege level :1

Allow this User to login to SAML SSO-enabled system through Recovery URL ? (Yes / No) :yes

To authenticate a platform login for SSO, a Unique Identifier (UID) must be provided that identifies this user to LDAP (such as sAMAccountName or UPN).

        Please enter the appropriate LDAP Unique Identifier (UID) for this user:[ssoadmin]

Storing the default SSO UID value as username

Please enter the password :********

             re-enter to confirm :********

Account successfully created

此处使用的唯一标识符(UID)可以赋予IdP在其断言响应中提供的任何值，也可以保留为空。如果将其留空，则CUCM使用userid作为UID。

第二步：在AD服务器中添加与之前相同的用户ID的用户，通过该用户对IdP进行身份验证，如图所示。

第三步：还需要同步轻量级目录访问协议(LDAP)服务器，以便在CUCM中填充新创建用户，如图所示。

第四步：用户添加到AD后需要重置密码（再次通过CLI）。

login as: ssoadmin

ssoadmin@10.106.96.92's password:

WARNING: Your password has expired.

You must change your password now and login again!

Changing password for user ssoadmin.

Changing password for ssoadmin.

(current) UNIX password:

New password:

Re-enter password:

验证

使用本部分可确认配置能否正常运行。

为OS Admin和DRS成功启用SSO后，登录必须使用之前创建的用户的AD凭证，如图所示。

故障排除

目前没有针对此配置的故障排除信息。