如何在CMS版本3.0上配置LDAP匯入

簡介

本文檔介紹如何從輕量級目錄訪問協定(LDAP)目錄匯入使用者。這允許終端使用者使用自己的帳戶通過Cisco Web應用登入，以管理他們的共用空間並加入會議。

作者：Jefferson Madriz和Octavio Miralrio，思科TAC工程師。

需求

思科建議您瞭解以下主題：

• Active Directory 
• CMS版本3
• 應用程式設計介面(API)

附註：配置LDAP是可選的，如果您只想啟用訪客訪問，則無需完成配置。如果您不希望允許使用者登入Web應用，請跳過此任務。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• CMS版本3.0
• Windows LDAP目錄

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

背景資訊

會議伺服器LDAP設定

LDAP伺服器位置/地址：ldap伺服器的網路IP地址。

名稱:幫助標識API中的對象的標籤。

LDAP使用者名稱/密碼：用於連線到LDAP伺服器的憑據。

Port/portNumber:連線到LDAP伺服器時要使用的網路埠。

安全：啟用時，連線使用安全LDAP。

基本可分辨名稱/基本DN:會議伺服器搜尋使用者的LDAP位置。

Filter: (篩選條件：)定義要在搜尋中包括哪些LDAP對象的搜尋過濾器。

對於與上述搜尋設定匹配的每個使用者，會議伺服器會使用管理員定義的欄位對映表達式在會議伺服器中建立使用者。對映可以使用正規表示式和LDAP屬性名稱來基於匯入使用者的LDAP值構建結果。常用的欄位對映包括：

顯示名稱/名稱對映：在Meeting Server的使用者搜尋和目錄中顯示的使用者的名稱。

使用者名稱/jid對映：使用者用於通過Web應用登入的使用者名稱，結果對每個使用者必須是唯一的

空間名稱/coSpaceNameMapping:為該使用者自動生成的空間提供的標籤

空間URI使用者部分/coSpaceUriMapping:為該使用者定義統一資源識別符號(URI)的使用者部分，結果對於每個使用者必須是唯一的。

空間輔助URI使用者部分/coSpaceSecondaryUriMapping:為使用者定義自動生成的空間的輔助URI（可選）。 通常用於將E164樣式URI分配給空間，結果對每個使用者必須是唯一的。

空間呼叫ID/coSpaceCallIdMapping:為使用者設定自動生成的空間的呼叫ID（可選）。 如果未定義，則自動生成隨機呼叫ID，結果對於每個使用者必須是唯一的

組態

對於簡化的部署示例，在此示例中顯示從Active Directory匯入所有使用者。匯入可選擇支援為每個匯入的使用者建立個人空間。此配置可以通過Webadmin或API進行，但無法同時配置兩者。 

ldap伺服器

1. 登入到會議伺服器Web管理介面
2. 導覽至Configuration > API。
3. 使用Filter輸入框，輸入ldapServers以過濾清單檢視。
4. 選擇/api/v1/ldapServers對象旁邊的箭頭。
5. 按一下Create new以配置新的ldapServers對象。

6. 輸入伺服器值。必須更新下面的示例值才能與您的環境相匹配。
   地址：10.15.13.90（或FQDN）
   名稱:MXC使用者
   portNumber:3268
   使用者名稱:CN=user1,OU=CMSusers，DC=mxc，DC=lab
   密碼：<提供的使用者的密碼>
   安全：設定為true
   
   

7. 按一下return to object list返回到API對象的完整清單。

ldap對映

1. 使用Filter輸入框，輸入ldapMappings以過濾清單檢視。
2. 選擇/api/v1/ldapMappings旁邊的箭頭。
3. 選擇Create new以配置新的ldapMappings對象。
   
4. 配置欄位對映表達式。這些值可根據您的部署進行自定義。簡化的部署建議是將使用者的電子郵件地址用於使用者名稱(jidMapping)並為所有匯入的使用者建立空間。
   
   jidMapping:$mail$
   nameMapping:$cn$
   coSpaceUriMapping:$sAMAccountName$.space
   coSpaceNameMapping:$cn$空間
   

5. 按一下return to object list返回到API對象的完整清單。

ldap來源

1. 使用Filter輸入框，輸入ldapSources以過濾清單檢視。
2. 選擇/api/v1/ldapSources旁邊的箭頭。
3. 選擇Create new以配置新的ldapSources對象。
4. server引數必須設定為在早期步驟中建立的ldapServers對象的ID。
5. mapping引數必須設定為在早期步驟中建立的ldapMappings對象的ID。
6. 配置baseDn和filter引數。這些值定義匯入使用者時在LDAP伺服器中執行的搜尋。

baseDn OU=CMSusers，DC=mxc，DC=lab
filter(&(objectCategory=person)(sAMAccountName=*))或(&(sAMAccountType=805306368)(sAMAccountName=*)(mail=*))

附註：:如果您的目錄具有大量使用者（超過10,000），或者您不希望啟用所有使用者，則基本可分辨名稱和過濾器可以更改為以特定組或使用者集為目標。請向您的LDAP管理員諮詢此問題。

用於匯入使用者的LDAP配置現已完成，可以運行LDAP同步。

LDAP匯入

建立ldapServer、ldapMapping和ldapSource對象後，必須運行LDAP匯入/同步進程才能匯入使用者。只要您希望在會議伺服器中更新LDAP伺服器中的使用者更改，就必須重新運行同步進程。

1. 登入到會議伺服器Webadmin介面。
2. 導航到Configuration > Active Directory:
3. 選擇頁面底部的Sync Now。
   
   

附註：即使未使用此頁面上的配置，仍可使用「立即同步」。

驗證

一兩分鐘後，導航到Status > Users，此時將顯示LDAP匯入建立的使用者。

導航到Configuration>Spaces，並驗證為匯入的使用者建立的空間是否顯示。

如果使用者清單為空，請導航到Logs > Event Log，然後查詢具有LDAP同步操作的條目。任何有關屬性缺失或重複條目的錯誤都意味著需要調整欄位對映或搜尋條件以避免錯誤。如果需要，可以使用Configuration > API修改之前設定的任何值，然後重複LDAP同步。

其他資訊

LDAP提示和示例