Skip to main content
Data Infrastructure Insights
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfigurieren eines Active Directory (AD)-Benutzerverzeichnis-Collectors

Beitragende netapp-alavoie dgracenetapp
PDFs

Workload Security kann so konfiguriert werden, dass Benutzerattribute von Active Directory-Servern erfasst werden.

Bevor Sie beginnen

  • Sie müssen ein Data Infrastructure Insights Administrator oder Kontoinhaber sein, um diese Aufgabe auszuführen.

  • Sie müssen über die IP-Adresse des Servers verfügen, auf dem der Active Directory-Server gehostet wird.

  • Bevor Sie einen Benutzerverzeichnis-Connector konfigurieren, muss ein Agent konfiguriert werden.

Schritte zum Konfigurieren eines Benutzerverzeichnis-Collectors

  1. Klicken Sie im Menü „Workload Security“ auf: Collectors > User Directory Collectors > + User Directory Collector und wählen Sie Active Directory

    Das System zeigt den Bildschirm „Benutzerverzeichnis hinzufügen“ an.

Konfigurieren Sie den User Directory Collector, indem Sie die erforderlichen Daten in die folgenden Tabellen eingeben:

Name

Beschreibung

Name

Eindeutiger Name für das Benutzerverzeichnis. Zum Beispiel GlobalADCollector

Agent

Wählen Sie einen konfigurierten Agenten aus der Liste aus

Server-IP/Domänenname

IP-Adresse oder vollqualifizierter Domänenname (FQDN) des Servers, auf dem das Active Directory gehostet wird

Waldname

Gesamtstrukturebene der Verzeichnisstruktur. Der Gesamtstrukturname lässt die beiden folgenden Formate zu: x.y.z ⇒ direkter Domänenname, wie er auf Ihrem SVM vorhanden ist. [Beispiel: hq.firmenname.com] DC=x,DC=y,DC=z ⇒ Relative Distinguished Names [Beispiel: DC=hq,DC= Firmenname,DC=com] Oder Sie können Folgendes angeben: OU=Engineering,DC=hq,DC= Firmenname,DC=com [um nach einer bestimmten OU Engineering zu filtern] CN=Benutzername,OU=Engineering,DC=Firmenname, DC=NetApp, DC=com [um nur bestimmte Benutzer mit <Benutzername> aus der OU <Engineering> abzurufen] CN=Acrobat-Benutzer,CN=Benutzer,DC=hq,DC=Firmenname,DC=com,O= Firmenname,L=Boston,S=MA,C=US [um alle Acrobat-Benutzer innerhalb der Benutzer in dieser Organisation abzurufen] Vertrauenswürdige Active Directory-Domänen werden ebenfalls unterstützt.

Bind-DN

Der Benutzer darf das Verzeichnis durchsuchen. Beispiel: Benutzername@Firmenname.com oder Benutzername@Domänenname.com. Außerdem ist die Berechtigung „Nur Lesen“ für die Domäne erforderlich. Der Benutzer muss Mitglied der Sicherheitsgruppe „Schreibgeschützte Domänencontroller“ sein.

BIND-Passwort

Kennwort für den Verzeichnisserver (d. h. Kennwort für den im Bind-DN verwendeten Benutzernamen)

Protokoll

ldap, ldaps, ldap-start-tls

Häfen

Port auswählen

Geben Sie die folgenden für Directory Server erforderlichen Attribute ein, wenn die Standardattributnamen in Active Directory geändert wurden. Meistens werden diese Attributnamen in Active Directory nicht geändert. In diesem Fall können Sie einfach mit dem Standardattributnamen fortfahren.

Eigenschaften

Attributname im Verzeichnisserver

Anzeigename

Name

SID

Objekt-ID

Benutzername

sAMAccountName

Klicken Sie auf „Optionale Attribute einschließen“, um die folgenden Attribute hinzuzufügen:

Eigenschaften

Attributname im Verzeichnisserver

E-Mail-Adresse

mail

Telefonnummer

Telefonnummer

Rolle

Titel

Land

co

Status

Zustand

Abteilung

Abteilung

Foto

Miniaturfoto

ManagerDN

Manager

Gruppen

Mitglied von

Testen der Konfiguration Ihres Benutzerverzeichnis-Collectors

Sie können LDAP-Benutzerberechtigungen und Attributdefinitionen mithilfe der folgenden Verfahren validieren:

  • Verwenden Sie den folgenden Befehl, um die LDAP-Benutzerberechtigung für Workload Security zu validieren:

    ldapsearch -o ldif-wrap=no -LLL -x -b "dc=netapp,dc=com" -h 10.235.40.29 -p 389 -D Administrator@netapp.com -W

  • Verwenden Sie AD Explorer, um in einer AD-Datenbank zu navigieren, Objekteigenschaften und -attribute anzuzeigen, Berechtigungen anzuzeigen, das Schema eines Objekts anzuzeigen und komplexe Suchvorgänge auszuführen, die Sie speichern und erneut ausführen können.

    • Installieren"AD Explorer" auf jedem Windows-Computer, der eine Verbindung zum AD-Server herstellen kann.

    • Stellen Sie mit dem Benutzernamen/Passwort des AD-Verzeichnisservers eine Verbindung zum AD-Server her.

AD-Verbindung

Fehlerbehebung bei Konfigurationsfehlern des User Directory Collector

In der folgenden Tabelle werden bekannte Probleme und Lösungen beschrieben, die während der Collector-Konfiguration auftreten können:

Problem: Auflösung:

Das Hinzufügen eines Benutzerverzeichnis-Konnektors führt zum Status „Fehler“. Der Fehler lautet: „Ungültige Anmeldeinformationen für LDAP-Server angegeben.“

Falscher Benutzername oder falsches Passwort angegeben. Bearbeiten Sie den richtigen Benutzernamen und das richtige Passwort und geben Sie es ein.

Das Hinzufügen eines Benutzerverzeichnis-Konnektors führt zum Status „Fehler“. Der Fehler lautet: „Das Objekt, das DN=DC=hq,DC=domainname,DC=com entspricht und als Gesamtstrukturname angegeben wurde, konnte nicht abgerufen werden.“

Falscher Gesamtstrukturname angegeben. Bearbeiten Sie den Vorgang und geben Sie den richtigen Gesamtstrukturnamen ein.

Die optionalen Attribute des Domänenbenutzers werden auf der Workload Security-Benutzerprofilseite nicht angezeigt.

Dies liegt wahrscheinlich an einer Nichtübereinstimmung zwischen den Namen der in CloudSecure hinzugefügten optionalen Attribute und den tatsächlichen Attributnamen in Active Directory. Bearbeiten Sie die Datei und geben Sie die korrekten optionalen Attributnamen an.

Datensammler im Fehlerzustand mit „Fehler beim Abrufen der LDAP-Benutzer.“ Grund für den Fehler: „Verbindung zum Server nicht möglich, die Verbindung ist null“

Starten Sie den Collector neu, indem Sie auf die Schaltfläche Neustart klicken.

Das Hinzufügen eines Benutzerverzeichnis-Konnektors führt zum Status „Fehler“.

Stellen Sie sicher, dass Sie für die erforderlichen Felder (Server, Gesamtstrukturname, Bind-DN, Bind-Passwort) gültige Werte angegeben haben. Stellen Sie sicher, dass die Bind-DN-Eingabe immer als „Administrator@<Domänengesamtstrukturname>“ oder als Benutzerkonto mit Domänenadministratorrechten erfolgt.

Das Hinzufügen eines Benutzerverzeichnis-Konnektors führt zum Status „WIEDERHOLT“. Zeigt den Fehler „Der Status des Collectors konnte nicht definiert werden, Grund: Der TCP-Befehl [Connect(localhost:35012,None,List(),Some(,seconds),true)] ist aufgrund von java.net.ConnectionException:Connection refused fehlgeschlagen.“

Für den AD-Server wurde eine falsche IP-Adresse oder ein falscher FQDN angegeben. Bearbeiten und geben Sie die richtige IP-Adresse oder den richtigen FQDN ein.

Das Hinzufügen eines Benutzerverzeichnis-Konnektors führt zum Status „Fehler“. Der Fehler lautet: „LDAP-Verbindung konnte nicht hergestellt werden.“

Für den AD-Server wurde eine falsche IP-Adresse oder ein falscher FQDN angegeben. Bearbeiten und geben Sie die richtige IP-Adresse oder den richtigen FQDN ein.

Das Hinzufügen eines Benutzerverzeichnis-Konnektors führt zum Status „Fehler“. Der Fehler lautet: „Die Einstellungen konnten nicht geladen werden.“ Grund: Die Datenquellenkonfiguration weist einen Fehler auf. Spezifischer Grund: /connector/conf/application.conf: 70: ldap.ldap-port hat den Typ STRING statt NUMBER“

Falscher Wert für Port angegeben. Versuchen Sie, die Standard-Portwerte oder die richtige Portnummer für den AD-Server zu verwenden.

Ich habe mit den obligatorischen Attributen begonnen und es hat funktioniert. Nach dem Hinzufügen der optionalen Attribute werden die Daten der optionalen Attribute nicht aus AD abgerufen.

Dies liegt wahrscheinlich an einer Nichtübereinstimmung zwischen den in CloudSecure hinzugefügten optionalen Attributen und den tatsächlichen Attributnamen in Active Directory. Bearbeiten Sie den korrekten obligatorischen oder optionalen Attributnamen und geben Sie ihn an.

Wann erfolgt die AD-Synchronisierung nach dem Neustart des Collectors?

Die AD-Synchronisierung erfolgt unmittelbar nach dem Neustart des Collectors. Das Abrufen der Benutzerdaten von etwa 300.000 Benutzern dauert etwa 15 Minuten und wird alle 12 Stunden automatisch aktualisiert.

Benutzerdaten werden von AD mit CloudSecure synchronisiert. Wann werden die Daten gelöscht?

Benutzerdaten werden 13 Monate lang gespeichert, wenn keine Aktualisierung erfolgt. Bei Löschung des Mandanten werden auch die Daten gelöscht.

Der Benutzerverzeichnis-Connector führt zum Status „Fehler“. „Der Connector befindet sich im Fehlerzustand. Dienstname: usersLdap. Grund für den Fehler: LDAP-Benutzer konnten nicht abgerufen werden. Grund für den Fehler: 80090308: LdapErr: DSID-0C090453, Kommentar: AcceptSecurityContext-Fehler, Daten 52e, v3839"

Falscher Gesamtstrukturname angegeben. Informationen zum Angeben des richtigen Gesamtstrukturnamens finden Sie oben.

Die Telefonnummer wird auf der Benutzerprofilseite nicht eingetragen.

Dies liegt höchstwahrscheinlich an einem Attributzuordnungsproblem mit Active Directory. 1. Bearbeiten Sie den jeweiligen Active Directory-Collector, der die Benutzerinformationen aus Active Directory abruft. 2. Beachten Sie, dass unter den optionalen Attributen ein Feldname „Telefonnummer“ vorhanden ist, der dem Active Directory-Attribut „Telefonnummer“ zugeordnet ist. 4. Verwenden Sie nun das Tool „Active Directory Explorer“ wie oben beschrieben, um das Active Directory zu durchsuchen und den richtigen Attributnamen anzuzeigen. 3. Stellen Sie sicher, dass es im Active Directory ein Attribut mit dem Namen „Telefonnummer“ gibt, das tatsächlich die Telefonnummer des Benutzers enthält. 5. Nehmen wir an, es wurde im Active Directory in „Telefonnummer“ geändert. 6. Bearbeiten Sie dann den CloudSecure-Benutzerverzeichnis-Collector. Ersetzen Sie im Abschnitt „Optionale Attribute“ „Telefonnummer“ durch „Telefonnummer“. 7. Speichern Sie den Active Directory-Collector. Der Collector wird neu gestartet, ruft die Telefonnummer des Benutzers ab und zeigt diese auf der Benutzerprofilseite an.

Wenn das Verschlüsselungszertifikat (SSL) auf dem Active Directory (AD)-Server aktiviert ist, kann der Workload Security User Directory Collector keine Verbindung zum AD-Server herstellen.

Deaktivieren Sie die AD-Server-Verschlüsselung, bevor Sie einen User Directory Collector konfigurieren. Sobald die Benutzerdetails abgerufen wurden, bleiben sie 13 Monate lang dort. Wenn die Verbindung zum AD-Server nach dem Abrufen der Benutzerdetails getrennt wird, werden die neu hinzugefügten Benutzer in AD nicht abgerufen. Zum erneuten Abrufen muss der Benutzerverzeichnis-Collector mit AD verbunden sein.

Daten aus Active Directory sind in CloudInsights Security vorhanden. Möchten Sie alle Benutzerinformationen aus CloudInsights löschen.

Es ist nicht möglich, NUR Active Directory-Benutzerinformationen aus CloudInsights Security zu löschen. Um den Benutzer zu löschen, muss der gesamte Mandant gelöscht werden.