配置和整合CMS單個組合

簡介

本文說明如何配置和整合思科會議伺服器(CMS)單一組合。

要配置的服務包括Call Bridge、Webadmin、Web Bridge、可擴展消息傳送和線上狀態協定(XMPP)和輕量目錄訪問協定(LDAP)整合

必要條件

需求

思科建議您瞭解以下主題：

• 思科整合通訊管理員(CUCM)
• Active Directory(AD)
• 證書頒發機構(CA)
• 安全檔案傳輸通訊協定(SFTP)使用者端
• 網域名稱服務(DNS)伺服器

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• CMS版本2.3.7
• CUCM版本11.5.1
• Google Chrome版本69.0.3497
• WinSCP版本5.7.7
• Windows Server 2012

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

設定

步驟1.訪問CMS

• 首次登入CMS時，「歡迎」顯示在螢幕中並提示登入
• 預設憑證為：

使用者:admin

密碼:admin

• 輸入憑證後，伺服器會要求您輸入新密碼

• 建議建立一個新的管理員使用者，如果您丟失了一個帳戶的密碼，這是很好的做法。
• 輸入以下命令：user add <username> admin
• 輸入新密碼並確認新密碼 

步驟2.更改主機名

• 此更改是可選的
• 運行命令hostname <name>
• 重新啟動伺服器
• 執行命令reboot

步驟3.配置網路設定

• 若要顯示目前的設定，請執行命令ipv4 a
• 新增ipv4配置
• 運行命令ipv4 <interface> add <ipaddress>/<subnetmask> <gateway>

• 配置時區
• 運行命令timezone <timezoneName>
• 要檢視所有可用時區，請運行命令timezone list
• 新增網路時間協定(NTP)伺服器
• 運行命令ntp server add <ipaddress>

• 新增DNS伺服器
• 運行命令dns add forwardzone <domain> <dnsip>

附註：可以為DNS查詢配置特定域，但是，如果任何域都可以由DNS解析，則使用點作為域

步驟4.許可CMS

• 要配置CMS服務，需要安裝許可證
• 為了生成和安裝許可證，需要介質訪問控制(MAC)地址，因為許可證將與其匹配。
  
• 運行命令介面
• 複製MAC地址
• 請與您的銷售代表聯絡，以便生成許可證。

附註：產生許可證的流程超出本文檔的範圍。

• 獲得許可證檔案後，將該檔案重新命名為cms.lic
• 使用WinSCP或其他SFTP使用者端將檔案上傳到CMS伺服器

• 上傳檔案後，運行命令license
• 重新啟動伺服器
• 執行命令reboot

步驟5.生成並安裝證書

• 為callbridge、webadmin、webbridge和xmpp生成證書簽名請求(CSR)
• 為此運行命令pki csr <service> CN:<servicefqdn> 。
  

附註：在此示例中，為每個伺服器建立一個證書，您可以為所有服務建立一個證書。有關證書建立的詳細資訊，請參閱證書建立指南

• 運行命令後生成兩個檔案：.csr檔案和。key檔案。使用您在前面的步驟中分配的服務的名稱。
  
• 從CMS伺服器下載CSR檔案。使用WinSCP或其他SFTP使用者端達到此目的。

• 使用憑證授權單位簽署CSR
• 確保使用包含Web客戶端和Web服務器身份驗證的模板
• 將簽名證書上傳到CMS伺服器
• 確保上傳根CA和任何已簽署憑證的中間憑證 

• 若要驗證所有證書是否列在CMS上，請運行命令pki list

步驟6. DNS記錄

• 為callbridge、xmpp、webadmin和webbridge建立DNS地址(A)記錄
• 確保所有記錄指向CMS IP地址

• 為xmpp-client建立服務記錄(SRV)
• 服務記錄格式為

服務	_xmpp-client
通訊協定	_tcp
連接埠	5222
目標	輸入XMPP FQDN，例如xmpp.anmiron.local

步驟7.服務配置

配置callbridge:

• 輸入命令callbridge listen <interface>
• 輸入命令callbridge certs <callbridge-key-file>  <crt-file> [<cert-bundle>] 
• key-file是建立CSR時建立的金鑰
• cert-bundle是根CA和任何其他中間憑證的套件組合

附註：不得在配置為使用網路地址轉換(NAT)到另一個IP地址的介面上設定呼叫網橋偵聽介面

配置webadmin:

• 運行命令webadmin listen <interface> <port>
• 運行命令webadmin certs <key-file> <crt-file> [<cert-bundle>]

附註：如果在同一伺服器中配置了Web管理和Webbridge ，則必須在不同的介面上配置它們，或在不同的埠中偵聽，則Webbridge需要偵聽埠443。Webadmin通常在埠445中配置。

配置XMPP:

• 運行命令xmpp listen <interface whitelist>
• 運行命令xmpp domain <domain name>
• 運行命令xmpp certs <key-file> <crt-file> [<crt-bundle>]

附註：域名必須與建立DNS記錄的域匹配。

配置webbridge:

• 運行命令webbridge listen <interface[:port] whitelist>
• 運行命令webbridge certs <key-file> <crt-file> [<crt-bundle>]
• 運行命令webbridge trust <crt-bundle>

附註：信任crt-bundle是callbridge證書，必須新增到webbridge中才能使callbridge信任webbridge，這將啟用作為訪客加入。

• 運行callbridge restart命令
• 運行命令wbeadmin enable
• 運行命令xmpp enable
• 運行命令webbridge enable

附註：伺服器必須針對所有服務返回SUCCESS，如果返回FAILURE，請檢視前面的步驟並驗證所有配置是否正確 

要允許呼叫網橋安全地訪問XMPP服務，必須提供元件名稱，以便呼叫網橋使用XMPP服務進行身份驗證。

• 運行命令xmpp callbridge add <component name>
• 如圖所示，結果顯示一個金鑰

• 複製Secret值
• 訪問CMS Web介面
• 導覽至Configuration > General
• 輸入資訊

唯一呼叫網橋名稱	輸入建立的callbridge的名稱，例如callbridge
域	輸入域名，例如anmiron.local
伺服器地址	設定CMS IP地址，例如localhost:5223
共用金鑰	輸入在上一步中建立的金鑰，例如6DwNANabpumut14pAb1

• 選擇提交

  

• 為來電建立來電匹配規則
• 導覽至Configuration > Incoming calls
• 輸入資訊

域	輸入CMS伺服器的域名，例如anmiron.local
優先順序機制	輸入優先順序值，例如0
目標空間	選擇yes

• 為測試建立空間
• 導覽至Configuration > Spaces
• 輸入資訊

名稱	輸入空間的名稱，例如spacetest
URI使用者部分	輸入要呼叫的該空間的URI，例如spacettest
呼叫ID	輸入從webbridge加入此空間的呼叫ID，例如spacetest
密碼	如果允許訪問空間（如果需要），請輸入一個數字

附註：URI使用者部分是呼叫方需要在來電匹配規則上配置的域進行撥號的部分，例如，呼叫方必須撥打spacetest@anmiron.local

• 導覽至Configuration > General > Web bridge settings
• 輸入資訊

來賓帳戶客戶端URI	這是webbridge web介面，例如https://webbridge.anmiron.local
訪客帳戶JID域	CMS中配置的域，例如anmiron.local
通過超連結訪問訪客	選擇allowed

步驟8.整合LDAP

• 開啟CMS Web介面
• 導航到Configuration > Active Directory
• 輸入資訊

地址	LDAP伺服器的IP地址，例如172.16.85.28
連接埠	如果使用的是非安全連線，則為389，如果需要安全連線，則為636
使用者名稱	輸入LDAP伺服器的Administrator，例如anmiron\administrator
密碼	輸入管理員使用者的密碼
基本可分辨名稱	這是來自Active directory的設定，例如CN=Users、DC=anmiron、DC=local
篩選條件	這是來自Active directory的設定，例如(memberof=CN=CMS， CN=Users， DC=anmiron， DC=local)
顯示名稱	使用者名稱的顯示方式，例如$cn$
使用者名稱	使用者的登入ID，例如 $sAMAccountName$@anmiron.local
空間名稱	空間的顯示方式，例如$sAMAccountName$空間
空間URI使用者部分	要撥打的URI，例如$sAMAccountName$.call
空間呼叫ID	要從webbridge使用的呼叫ID，例如$sAMAccountName$.space

• 選擇提交
• 選擇立即同步

基本可分辨名稱和過濾器是來自Active Directory的設定。此示例包含使用Active Directory上的屬性編輯器獲取資訊的基本資訊。為了開啟 在屬性編輯器中，在Active Directory上啟用高級功能。導航到使用者和電腦>檢視並選擇高級功能

• 在本示例中，建立了一個名為CMS的組
• 在AD上打開「使用者和計算機」功能
• 選擇右側的User並開啟屬性
• 導航到屬性編輯器
• 在Attribute列中找到distinguishedName欄位

附註：有關LDAP過濾器的詳細資訊，請訪問CMS部署指南

步驟9.配置CUCM  

• 開啟CUCM的Web介面
• 導航到Device > Trunks
• 選擇Add New
• 在Trunk Type下拉選單中選擇SIP Trunk
• 選擇下一步

• 輸入資訊 

裝置名稱	輸入SIP中繼的名稱，例如TrunktoCMS
目的地位址	輸入CMS IP地址或呼叫網橋FQDN，例如172.16.85.8
目的地連線埠	輸入CMS偵聽的埠，例如5060
SIP中繼安全配置檔案	選擇安全配置檔案，例如非安全SIP中繼配置檔案
SIP配置檔案	選擇TelePresence會議的標準SIP配置檔案

• 選擇儲存
• 選擇重置
• 導航至呼叫路由> SIP路由模式>新增新>選擇域路由
• 輸入資訊

IPv4模式	輸入配置為CMS的域，例如anmiron.local
SIP中繼/路由清單	選擇先前建立的SIP中繼、中繼CMS

• 選擇儲存

驗證

Callbridge和XMPP通訊

• 開啟CMS的Web介面
• 導覽至Status > General
• XMPP連線狀態必須連線到localhost

• 從CUCM上註冊的裝置發出呼叫
• 撥打URI spacetest@anmiron.local

• 開啟CMS的Web介面
• 導覽至Status > Calls
• 呼叫必須顯示為Active Call

LDAP與CMS同步

• 開啟CMS Web介面
• 導航到狀態>使用者
• 必須顯示完整的使用者清單

• 導覽至Configuration > Spaces
• 確保每個使用者都建立了自己的空間

訪問Webbridge

• 使用Web瀏覽器訪問為webbridge服務配置的網頁https://webbridge.anmiron.local
• 該頁面必須顯示兩個選項「登入」和「加入會議」

• 以前從AD整合的使用者必須能夠登入
• 選擇登入
• 輸入Username和Password
• 使用者必須能夠登入，如下圖所示

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。