在CUCM版本12.x中為OS管理員和DRS配置SSO

簡介

本檔案介紹Cisco Unified Communications Manager(CUCM)12.0版及更新版本中引入的作業系統(OS)管理和災難恢復系統(DRS)的單點登入(SSO)功能。

低於12.0的CUCM版本僅支援CM管理、可維護性和報告頁面的SSO。此功能可幫助管理員快速瀏覽不同的元件，從而提供更好的使用者體驗。對於OS Admin和DRS的SSO中斷，也可以選擇使用恢復URL。

必要條件

需求

思科建議您瞭解CUCM 12.0版及更高版本。

採用元件

本檔案中的資訊是根據Cisco Call Manager(CCM)版本12.0.1.21900-7。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

設定

要為OS管理員和DRS啟用SSO，必須已經為CM管理登入啟用SSO。除此之外，它還需要平台級使用者，該使用者可以是新使用者，也可以是現有使用者。

使用現有OS管理員使用者

可在安裝時建立的平台使用者可配置為OS Admin和DRS元件的SSO登入。這種情況下唯一的要求是，還必須將此平台使用者新增到身份提供程式(IdP)所驗證的Active Directory(AD)中。

使用新使用者

完成以下步驟，以便為SSO OS管理員和DRS登入啟用新使用者：

步驟1.從Publisher的CLI訪問許可權建立許可權級別為1/0的新使用者。

為了建立新使用者，需要安裝時建立的平台使用者擁有平台4級訪問許可權。

級別0許可權僅授予使用者讀取訪問許可權，而級別1同時授予讀取和寫入許可權。

admin:set account name ssoadmin

 

Privilege Levels are:

   Ordinary - Level 0

   Advanced - Level 1

 

Please enter the privilege level :1

Allow this User to login to SAML SSO-enabled system through Recovery URL ? (Yes / No) :yes

To authenticate a platform login for SSO, a Unique Identifier (UID) must be provided that identifies this user to LDAP (such as sAMAccountName or UPN).

        Please enter the appropriate LDAP Unique Identifier (UID) for this user:[ssoadmin]

Storing the default SSO UID value as username

Please enter the password :********

             re-enter to confirm :********

Account successfully created

此處使用的唯一識別符號(UID)可以賦予IdP在其斷言響應中提供的任何值，或者保留為空。如果將其留空，則CUCM使用userid作為UID。

步驟2.在AD伺服器中新增與之前相同的使用者ID的使用者，通過該ID驗證IdP，如下圖所示。

步驟3.還需要同步輕量型目錄訪問協定(LDAP)伺服器，以便在CUCM中填充新建立的使用者，如下圖所示。

步驟4.使用者在AD中新增密碼後，需要對其進行密碼重置（再次通過CLI）。

login as: ssoadmin

ssoadmin@10.106.96.92's password:

WARNING: Your password has expired.

You must change your password now and login again!

Changing password for user ssoadmin.

Changing password for ssoadmin.

(current) UNIX password:

New password:

Re-enter password:

驗證

使用本節內容，確認您的組態是否正常運作。

成功為OS Admin和DRS啟用SSO後，登入必須使用之前建立的使用者的AD憑據，如圖所示。

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。