Dit document beschrijft de manier waarop Lichtgewicht Directory Access Protocol (LDAP) werkt tussen de Cisco Unified Attendant Console (CUAC) en de Microsoft Active Directory (AD) en de procedures die worden gebruikt om de twee systemen te integreren.
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op CUAC versie 10.x.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.
In vroegere CUAC-versies, verkrijgt de server gebruikers rechtstreeks van Cisco Unified Communications Manager (CUCM) via vooraf gedefinieerde vragen en filters. Met de CUAC Premium Edition (CUACPE) mogen beheerders gebruikers rechtstreeks vanuit de AD integreren en importeren. Dit biedt beheerders flexibiliteit voor de implementatie van eigenschappen en filters van hun eigen keuze en vereisten.
Voltooi deze stappen om de CUAC te integreren met de AD en om gebruikers te importeren uit de AD:
Hier volgt een samenvatting van het proces van LDAP tussen de CUAC en de AD:
Hier volgt een fragment van de sluipschutter die deze stappen illustreert:
Nadat de configuratie op CUAC is voltooid en de LDAP-stekker opnieuw wordt gestart, stelt de CUAC-server een TCP-sessie met de AD in.
De CUAC stuurt vervolgens een BIND-aanvraag om zich te kunnen authentiseren met de AD-server. Als de authenticatie succesvol is, stuurt de AD een BIND Success antwoord op de CUAC. Met dit resultaat proberen beide servers een sessie op poort 389 op te zetten om gebruikers en hun informatie te synchroniseren.
Hier is de configuratie op de server die de Gedifferentieerde naam definieert, die gebruikt wordt voor authenticatie in de BIND-transactie:
Deze berichten verschijnen in het pakket met daarin de volgende gegevens:
Op een succesvolle verbinding stuurt de server een ZOEKverzoek naar de AD om gebruikers te importeren. Dit ZOEKverzoek bevat het filter en de eigenschappen die door de AD worden gebruikt. De AD zoekt vervolgens naar gebruikers binnen de gedefinieerde zoekbasis (zoals beschreven in het zoekbericht) die voldoet aan de criteria in het filter en de eigenschappen verificatie.
Hier is een voorbeeld van het ZOEKverzoek dat door CUCM wordt verzonden:
Lightweight Directory Access Protocol
LDAPMessage searchRequest(2) "dc=aloksin,dc=lab" wholeSubtree
messageID: 2
protocolOp: searchRequest (3)
searchRequest
baseObject: dc=aloksin,dc=lab
scope: wholeSubtree (2)
derefAliases: derefAlways (3)
sizeLimit: 0
timeLimit: 0
typesOnly: False
Filter: (&(&(objectclass=user)(!(objectclass=Computer)))
(!(UserAccountControl:1.2.840.113556.1.4.803:=2)))
filter: and (0)
and: (&(&(objectclass=user)(!(objectclass=Computer)))
(!(UserAccountControl:1.2.840.113556.1.4.803:=2)))
and: 3 items
Filter: (objectclass=user)
and item: equalityMatch (3)
equalityMatch
attributeDesc: objectclass
assertionValue: user
Filter: (!(objectclass=Computer))
and item: not (2)
Filter: (objectclass=Computer)
not: equalityMatch (3)
equalityMatch
attributeDesc: objectclass
assertionValue: Computer
Filter: (!(UserAccountControl:1.2.840.113556.1.4.
803:=2))
and item: not (2)
Filter: (UserAccountControl:1.2.840.113556
.1.4.803:=2)
not: extensibleMatch (9)
extensibleMatch UserAccountControl
matchingRule: 1.2.840.113556.
1.4.803
type: UserAccountControl
matchValue: 2
dnAttributes: False
attributes: 15 items
AttributeDescription: objectguid
AttributeDescription: samaccountname
AttributeDescription: givenname
AttributeDescription: middlename
AttributeDescription: sn
AttributeDescription: manager
AttributeDescription: department
AttributeDescription: telephonenumber
AttributeDescription: mail
AttributeDescription: title
AttributeDescription: homephone
AttributeDescription: mobile
AttributeDescription: pager
AttributeDescription: msrtcsip-primaryuseraddress
AttributeDescription: msrtcsip-primaryuseraddress
[Response In: 103]
controls: 1 item
Control
controlType: 1.2.840.113556.1.4.319 (pagedResultsControl)
criticality: True
SearchControlValue
size: 250
cookie: <MISSING>
Wanneer de AD dit verzoek van CUCM ontvangt, zoekt het naar gebruikers in baseObject: dc=aloksin, dc=lab, dat voldoet aan het filter. Elke gebruiker die niet voldoet aan de eisen die door het filter in detail worden beschreven, wordt uitgesloten. Het AD reageert op het CUCM met alle gefilterde gebruikers en verstuurt de waarden voor de gevraagde eigenschappen.
De CUAC wordt standaard niet ingesteld. er zijn geen mapping-details ingesteld om eigenschappen voor gebruikers te importeren, dus u moet deze details handmatig invoeren. Om deze toewijzingen te maken, navigeer dan naar System Configuration > Directory Source Management > Active Directory > Directory Field mapping.
Administrateurs mogen velden volgens hun eigen eisen in kaart brengen. Hierna volgt een voorbeeld:
De informatie van het Bron Gebied wordt naar de AD in het ZOEKaanvraagbericht verzonden. Wanneer de AD het ZOEKresponsbericht verstuurt, worden deze waarden opgeslagen in de Doelvelden op de CUACPE.
Merk op dat de CUAC standaard de Object Class heeft ingesteld op contacten. Als deze standaardinstelling wordt gebruikt, wordt het filter dat naar de AD wordt verzonden weergegeven zoals hieronder wordt weergegeven:
Filter: (&(&(objectclass=contact)( ............
Met dit filter retourneert de AD nooit gebruikers naar CUACPE, omdat het zoekt naar contacten in de zoekbasis, niet naar gebruikers. Om deze reden moet u Objectklasse in gebruiker wijzigen:
Tot dit punt zijn deze instellingen in de CUAC uitgevoerd:
In dit voorbeeld, wordt het unieke bezit gevormd als sAMAAccountName. Als u de LDAP plug-in in de CUAC opnieuw start en het ZOEKaanvraagbericht controleert, bevat het geen eigenschappen of filter behalve de ObjectClass=user:
Lightweight Directory Access Protocol
LDAPMessage searchRequest(224) "dc=aloksin,dc=lab" wholeSubtree
messageID: 224
protocolOp: searchRequest (3)
searchRequest
baseObject: dc=aloksin,dc=lab
scope: wholeSubtree (2)
derefAliases: neverDerefAliases (0)
sizeLimit: 1
timeLimit: 0
typesOnly: True
Filter: (ObjectClass=user)
filter: equalityMatch (3)
equalityMatch
attributeDesc: ObjectClass
assertionValue: user
attributes: 0 items
[Response In: 43]
Merk op dat de Directory regel hier ontbreekt. Om de contacten met de AD te synchroniseren moet u een regel maken. Standaard is er geen directory regel ingesteld. Zodra er een is gemaakt, is er al een filter. Het filter hoeft niet te worden gewijzigd, omdat u alle gebruikers met een telefoonnummer moet importeren.
Start de LDAP-stekker opnieuw om een sync met de AD te starten en de gebruikers te importeren. Dit is het ZOEKverzoek van de CUAC:
Lightweight Directory Access Protocol
LDAPMessage searchRequest(4) "dc=aloksin,dc=lab" wholeSubtree
messageID: 4
protocolOp: searchRequest (3)
searchRequest
baseObject: dc=aloksin,dc=lab
scope: wholeSubtree (2)
derefAliases: neverDerefAliases (0)
sizeLimit: 0
timeLimit: 15
typesOnly: False
Filter: (&(&(objectclass=user)(telephoneNumber=*))
(!(UserAccountControl:1.2.840.113556.1.4.803:=2)))
filter: and (0)
and: (&(&(objectclass=user)(telephoneNumber=*))
(!(UserAccountControl:1.2.840.113556.1.4.803:=2)))
and: 3 items
Filter: (objectclass=user)
and item: equalityMatch (3)
equalityMatch
attributeDesc: objectclass
assertionValue: user
Filter: (telephoneNumber=*)
and item: present (7)
present: telephoneNumber
Filter: (!(UserAccountControl:1.2.840.113556.
1.4.803:=2))
and item: not (2)
Filter: (UserAccountControl:1.2.840.113556.
1.4.803:=2)
not: extensibleMatch (9)
extensibleMatch UserAccountControl
matchingRule: 1.2.840.113556.1.
4.803
type: UserAccountControl
matchValue: 2
dnAttributes: False
attributes: 10 items
AttributeDescription: TELEPHONENUMBER
AttributeDescription: MAIL
AttributeDescription: GIVENNAME
AttributeDescription: SN
AttributeDescription: sAMAccountName
AttributeDescription: ObjectClass
AttributeDescription: whenCreated
AttributeDescription: whenChanged
AttributeDescription: uSNCreated
AttributeDescription: uSNChanged
[Response In: 11405]
controls: 1 item
Control
controlType: 1.2.840.113556.1.4.319 (pagedResultsControl)
SearchControlValue
size: 500
cookie: <MISSING>
Als de AD gebruikers vindt die aan de criteria voldoen die in het ZOEKEN om bericht worden uiteengezet, dan verstuurt het een bericht van de SearchResEntry dat de gebruikersinformatie bevat.
Dit is het bericht SearchResEntry:
Lightweight Directory Access Protocol
LDAPMessage searchResEntry(4) "CN=Suhail Angi,CN=Users,DC=aloksin,DC=lab" [4 results]
messageID: 4
protocolOp: searchResEntry (4)
searchResEntry
objectName: CN=Suhail Angi,CN=Users,DC=aloksin,DC=lab
attributes: 9 items
PartialAttributeList item objectClass
type: objectClass
vals: 4 items
top
person
organizationalPerson
user
PartialAttributeList item sn
type: sn
vals: 1 item
Angi
PartialAttributeList item telephoneNumber
type: telephoneNumber
vals: 1 item
1002
PartialAttributeList item givenName
type: givenName
vals: 1 item
Suhail
PartialAttributeList item whenCreated
type: whenCreated
vals: 1 item
20131222000850.0Z
PartialAttributeList item whenChanged
type: whenChanged
vals: 1 item
20131222023413.0Z
PartialAttributeList item uSNCreated
type: uSNCreated
vals: 1 item
12802
PartialAttributeList item uSNChanged
type: uSNChanged
vals: 1 item
12843
PartialAttributeList item sAMAccountName
type: sAMAccountName
vals: 1 item
sangi
[Response To: 11404]
[Time: 0.001565000 seconds]
Lightweight Directory Access Protocol
LDAPMessage searchResEntry(4) "CN=Pragathi NS,CN=Users,DC=aloksin,DC=lab" [5 results]
messageID: 4
protocolOp: searchResEntry (4)
searchResEntry
objectName: CN=Pragathi NS,CN=Users,DC=aloksin,DC=lab
attributes: 9 items
PartialAttributeList item objectClass
type: objectClass
vals: 4 items
top
person
organizationalPerson
user
PartialAttributeList item sn
type: sn
vals: 1 item
NS
PartialAttributeList item telephoneNumber
type: telephoneNumber
vals: 1 item
1000
.......
....{message truncated}..........
.....
Zodra deze waarden door de CUAC worden ontvangen, slaat het deze op in de tabel Structured Search Query (SQL). U kunt dan in de console loggen, en de console haalt de gebruikerslijst van deze SQL tabel op CUACPE server op.