配置CMS LDAP整合

下載選項

  • PDF     (740.9 KB)
    在多種裝置上使用 Adobe Reader 檢視
已更新: 2021 年 9 月 8 日
文件 ID:217365

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

    簡介

    本文檔介紹將輕量級目錄訪問協定(LDAP)與思科Meeting Server (CMS)整合的分步過程。

    必要條件

    需求

    思科建議您瞭解以下主題:

    • CMS Callbridge版本2.9或更高版本

    • Microsoft輕量型目錄存取通訊協定(LDAP)

    採用元件

    本文檔中的資訊基於CMS 3.0。

    本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。

    背景資訊

    本文檔重點介紹有關LDAP與CMS整合的許多主題。它還包含有關如何將Active Directory配置從CMS GUI的Configuration > Active Directory遷移到API的步驟。

    注意:CMS支援的LDAP伺服器只有Microsoft Active Directory、OpenLDAP、Directory LDAP3和Oracle Internet Directory。

    注意:未來版本的CMS可以刪除Web GUI中的LDAP配置。


    設定

    在Web介面中配置LDAP配置的唯一方案是,將單個LDAP源導入到CMS中。

    注意:在CMS的更高版本中,可以從Web GUI中刪除Active Directory。

    CMS LDAP整合- Active Directory配置

    Active Directory伺服器設定

    設定與LDAP伺服器的連線:

    地址 這是LDAP伺服器的主機名或IP地址。
    連接埠 389 for Unsecure & 636 for secure connection (必須選中secure connection覈取方塊)
    使用者名稱 註冊使用者的唯一判別名(DN)。您可以建立
    特別針對此目的的使用者。範例: cn=Tyler Evans,cn=Users,OU=Engineering,dc=YourCompany,dc=com 
    密碼 您正在使用的使用者名稱密碼
    安全連線 如果使用埠636,請選中此框

    匯入設定

    匯入設定用於控制要匯入的使用者:

    基於可分辨名稱 LDAP樹狀結構中要從中匯入使用者的節點。
    本示例是基本DN導入使用者的明智選擇    		 範例: cn=Users,dc=sales,dc=YourCompany,dc=com 
    篩選 使用者LDAP中的屬性值必須滿足的篩選表示式
    錄音。Filter欄位的語法在rfc4515中進行了說明。    		 範例:mail=* 

    欄位對應運算式

    欄位對映表達式控制如何根據相應LDAP記錄中的欄位值構建會議伺服器使用者記錄中的欄位值。

    顯示名稱
    使用者名稱
    空間名稱
    空間URI使用者部分
    輔助空間URI使用者部分
    空間呼叫ID

    彈性/可擴充的部署

    有兩種情況需要在API中配置LDAP。一種情況是,您有3個或更多節點的集群部署,第二種情況是,您有多個LDAP源可以從其中導入使用者。

    Web介面API

    登入CMS > Configuration > API的Web管理以導航到API Web介面。以下是製作所有API配置的地方。

    LDAP API物件

    導航到API後,在過濾器欄中鍵入ldap以顯示您可以進行的所有LDAP配置。

    CMS LDAP整合- API LDAP

    位於對象樹中「/ldapMappings」、「/ldapServers」和「/ldapSources」節點的層次結構中的對象與會議伺服器與一或多個LDAP伺服器(例如Active Directory)的互動相關,這些伺服器用於將使用者帳戶導入到思科會議伺服器。

    Ldap伺服器

    必須配置一個或多個LDAP伺服器,其中每個伺服器都包含關聯的使用者名稱和密碼資訊,以便會議伺服器用於連線到該伺服器,以便從該伺服器檢索使用者帳戶資訊。

    CMS LDAP整合- LDAP伺服器API

    * =必需

    地址* 要連線的LDAP伺服器位址
    名稱  關聯名稱(從2.9版開始)
    埠號* 埠389(不安全)或埠636(安全)
    使用者名稱 從LDAP伺服器檢索資訊時使用的使用者名稱
    密碼 與使用者名稱關聯的帳戶的密碼
    安全* 是否與LDAP伺服器建立安全連線。如果「true」,則TLS
    使用;如果為「false」,則使用TCP。
    usePagedResults 是否要在搜尋作業中使用LDAP分頁結果控制項
    LDAP同步;如果未設定,則使用分頁結果控制元件。Oracle Internet
    目錄需要將此引數設定為「false」(從2.1版開始)。

    Ldap對映

    還需要一個或多個LDAP對映,該對映定義從配置的LDAP伺服器導入使用者時增加到系統的使用者帳戶名稱的形式。

    CMS LDAP整合- LDAP對映API

    * =必需

    jidMapping* 用於從關聯的LDAP生成使用者JID的模板
    伺服器專案,例如
    $sAMAccountName$@example.com.
    注意:jidMapping產生的使用者JID也會用作URI
    因此,它必須是唯一的,並且不能與任何URI或呼叫ID相同。
    名稱對應 用於從關聯的使用者名稱產生範本
    LDAP伺服器專案;例如「$cn$」,使用
    名稱.
    cdrTagMapping 用於產生使用者cdrTag值的範本。可以設定
    為固定值或從其他LDAP欄位構造
    對於該使用者。使用者的cdrTag用於callLegStart CDR中。
    有關詳細資訊,請參閱思科會議伺服器CDR參考。
    coSpaceUriMapping 如果提供了這些引數,它們可確保每個使用者
    此LDAP對映生成的帳戶具有關聯的
    個人coSpace。
    coSpaceSecondaryUriMapping 對於要根據需要設定的coSpace,這些引數
    提供用於設定coSpaces的URI的模板,如下所示
    名稱和配置的呼叫ID。例如,設定
    對「$cn$ personal coSpace」進行coSpaceNameMapping可確保
    每個使用者的coSpace都標有自己的名稱,後跟
    「個人coSpace」。
    coSpaceNameMapping
    coSpaceCallIdMapping
    authenticationId對映 用於從中生成身份驗證ID的模板
    關聯的LDAP伺服器專案,例如
    「$userPrincipalName$」

    Ldap源

    然後,需要配置一組LDAP源,將配置的LDAP伺服器和LDAP對映與其自身的引數連線起來,這些引數對應於一組使用者的實際導入。LDAP來源採用LDAP伺服器/ LDAP對映組合,並從該LDAP伺服器匯入篩選的使用者集。此過濾器由LDAP源「baseDn」(LDAP伺服器樹的節點,使用者可以在其中找到)和過濾器確定,以確保僅為匹配特定模式的LDAP對象建立使用者帳戶。

    CMS LDAP整合- LDAP源

    * =必需

    伺服器* 先前配置的LDAP伺服器的ID
    對應* 先前配置的LDAP對映的ID (
    baseDn* 要從中導入使用者的LDAP伺服器樹中的節點的可分辨名稱,例如「cn=Users,dc=,dc=com」
    篩選條件
    租戶
    使用者設定檔
    非成員存取

    將Web GUI配置遷移到API

    本節討論如何將LDAP Web GUI配置遷移到API。如果您目前在Web GUI中擁有Ldap配置,而且您想要將此資訊移轉至API,請使用本範例以避免遺失資料。

    附註圖示

    :將AD從GUI移動到API時會發生什麼情況?如果在刪除GUI Active Directory設定之前先配置API,則使用者資訊保持不變;呼叫ID和金鑰也保持不變。但是,如果您在隨後配置API之前刪除GUI,則會將新的呼叫ID和密碼分配給使用者。

    步驟 1.正在通知Web GUI Active Directory設定

    導航到配置 > Active Directory以檢視Web GUI的LDAP配置。請拍攝此內容的熒幕快照,或複製這些內容並貼到文字編輯器中,供日後使用。

    CMS LDAP整合- Web GUI的LDAP配置

    第2步:導航到API中的LDAP引數

    導航到配置> API >在過濾器欄中鍵入「Ldap」。

    CMS LDAP整合- API中的LDAP引數

    顯示的是LDAP配置的清單。 

    步驟 3.在API內建立ldapServer

    在此清單中,按一下ldapServers,然後選擇Create New。請參考熒幕擷取畫面或文字編輯器,以取得您Web GUI Active Directory中的內容。現在您打算將「Active Directory伺服器設定」從Web Gui複製到相應的API配置中。 

    CMS LDAP整合- LDAP伺服器清單CMS LDAP整合-建立新的LDAP伺服器頁面CMS LDAP整合-建立包含資料的新LDAP伺服器頁面

    步驟 4.在API內建立ldapMappings

    完成步驟4後,在API中導航到ldapMapping。Configurations > API > Filter "ldapMapping" 並按一下Create New

    CMS LDAP整合-建立LDAP對映

    CMS LDAP整合-建立與資料的LDAP對應

    從Web GUI中的Configurations > Active Directory > Field Mapping Expressions複製欄位對映表達式。 然後,導航到Configuration > API > filter "ldapmapping",然後按一下Create

    欄位對應運算式(Web GUI)

    API

    顯示名稱

    名稱對應

    使用者名稱

    jidMapping

    空間名稱

    空間URI使用者部分

    coSpaceURIMapping

    空間輔助URI使用者部分

    coSpaceSecondaryUriMapping

    空間呼叫ID

    步驟 5.在API內建立ldapSources

    現在,將公司目錄/導入設定從Web GUI遷移到LDAP源API配置Configuration > API > filter "ldapSources",然後按一下LdapSources旁邊的箭頭,然後選擇create new

    CMS LDAP整合-建立新的LDAP來源

    選擇您在步驟3和4中配置的LDAP對映和LDAP伺服器。

    CMS LDAP整合-建立包含資料的新LDAP源

    選擇您剛配置的LDAP對映和LDAP伺服器,然後將baseDN和過濾器從Web Gui增加到API配置。

    匯入設定(Web Gui)

    API LdapSource

    基底辨別名稱

    baseDn

    篩選

    篩選條件

    步驟 6.透過ldapSync驗證設定更改 

    現在您可以確認它是否有效。導航到API中的ldapSyncs,選擇Configuration > API > filter 'ldapSyncs',然後點選並選擇Create New

    您無需填寫任何內容,只需選擇建立。這將開始同步過程。30秒- 1分鐘後,刷新頁面以驗證您獲得了完整狀態,並返回了200 OK。

    驗證

    確保所有欄位都已正確配置。

    疑難排解

    目前尚無適用於此組態的具體疑難排解資訊。

    修訂記錄

    修訂 發佈日期 意見
    1.0
    08-Sep-2021
    初始版本
    TAC Authored

    由思科工程師貢獻

    • Tyran Cameron
      Cisco TAC Engineer
    • Darren McKinnon
      Cisco TAC Engineer

    這份文件是否有所幫助?

    Feedback意見

    讓思科協助您

    本文件適用於這些產品