Skip to main content
Data Infrastructure Insights
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfigurieren eines LDAP-Verzeichnisserver-Collectors

Beitragende netapp-alavoie
PDFs

Sie konfigurieren Workload Security, um Benutzerattribute von LDAP-Verzeichnisservern zu erfassen.

Bevor Sie beginnen

  • Sie müssen ein Data Infrastructure Insights Administrator oder Kontoinhaber sein, um diese Aufgabe auszuführen.

  • Sie müssen über die IP-Adresse des Servers verfügen, auf dem der LDAP-Verzeichnisserver gehostet wird.

  • Bevor Sie einen LDAP-Verzeichnis-Connector konfigurieren, muss ein Agent konfiguriert werden.

Schritte zum Konfigurieren eines Benutzerverzeichnis-Collectors

  1. Klicken Sie im Menü „Workload Security“ auf: Collectors > User Directory Collectors > + User Directory Collector und wählen Sie LDAP Directory Server aus.

    Das System zeigt den Bildschirm „Benutzerverzeichnis hinzufügen“ an.

Konfigurieren Sie den User Directory Collector, indem Sie die erforderlichen Daten in die folgenden Tabellen eingeben:

Name

Beschreibung

Name

Eindeutiger Name für das Benutzerverzeichnis. Zum Beispiel GlobalLDAPCollector

Agent

Wählen Sie einen konfigurierten Agenten aus der Liste aus

Server-IP/Domänenname

IP-Adresse oder vollqualifizierter Domänenname (FQDN) des Servers, auf dem der LDAP-Verzeichnisserver gehostet wird

Suchbasis

Suchbasis des LDAP-Servers. Suchbasis erlaubt die beiden folgenden Formate: x.y.z ⇒ direkter Domänenname, wie Sie ihn auf Ihrem SVM haben. [Beispiel: hq.firmenname.com] DC=x,DC=y,DC=z ⇒ Relative Distinguished Names [Beispiel: DC=hq,DC= Firmenname,DC=com] Oder Sie können Folgendes angeben: OU=Engineering,DC=hq,DC= Firmenname,DC=com [um nach einer bestimmten OU Engineering zu filtern] CN=Benutzername,OU=Engineering,DC=Firmenname, DC=NetApp, DC=com [um nur bestimmte Benutzer mit <Benutzername> aus der OU <Engineering> abzurufen] CN=Acrobat-Benutzer,CN=Benutzer,DC=hq,DC=Firmenname,DC=com,O= Firmenname,L=Boston,S=MA,C=US [um alle Acrobat-Benutzer innerhalb der Benutzer in dieser Organisation abzurufen]

Bind-DN

Der Benutzer darf das Verzeichnis durchsuchen. Beispiel: uid=ldapuser,cn=users,cn=accounts,dc=domain,dc=companyname,dc=com uid=john,cn=users,cn=accounts,dc=dorp,dc=company,dc=com für einen Benutzer john@dorp.company.com. dorp.company.com

--accounts

--users

--John

--anna

BIND-Passwort

Kennwort für den Verzeichnisserver (d. h. Kennwort für den im Bind-DN verwendeten Benutzernamen)

Protokoll

ldap, ldaps, ldap-start-tls

Häfen

Port auswählen

Geben Sie die folgenden für den Verzeichnisserver erforderlichen Attribute ein, wenn die Standardattributnamen im LDAP-Verzeichnisserver geändert wurden. Meistens werden diese Attributnamen im LDAP-Verzeichnisserver nicht geändert. In diesem Fall können Sie einfach mit dem Standardattributnamen fortfahren.

Eigenschaften

Attributname im Verzeichnisserver

Anzeigename

Name

UNIXID

UID-Nummer

Benutzername

UID

Klicken Sie auf „Optionale Attribute einschließen“, um die folgenden Attribute hinzuzufügen:

Eigenschaften

Attributname im Verzeichnisserver

E-Mail-Adresse

mail

Telefonnummer

Telefonnummer

Rolle

Titel

Land

co

Status

Zustand

Abteilung

Abteilungsnummer

Foto

Foto

ManagerDN

Manager

Gruppen

Mitglied von

Testen der Konfiguration Ihres Benutzerverzeichnis-Collectors

Sie können LDAP-Benutzerberechtigungen und Attributdefinitionen mithilfe der folgenden Verfahren validieren:

  • Verwenden Sie den folgenden Befehl, um die LDAP-Benutzerberechtigung für Workload Security zu validieren:

     ldapsearch -D "uid=john ,cn=users,cn=accounts,dc=dorp,dc=company,dc=com" -W -x -LLL -o ldif-wrap=no -b "cn=accounts,dc=dorp,dc=company,dc=com" -H ldap://vmwipaapp08.dorp.company.com
* Verwenden Sie den LDAP Explorer, um in einer LDAP-Datenbank zu navigieren, Objekteigenschaften und -attribute anzuzeigen, Berechtigungen anzuzeigen, das Schema eines Objekts anzuzeigen und komplexe Suchvorgänge auszuführen, die Sie speichern und erneut ausführen können.

    • Installieren Sie den LDAP Explorer(http://ldaptool.sourceforge.net/ ) oder Java LDAP Explorer(http://jxplorer.org/ ) auf jedem Windows-Computer, der eine Verbindung zum LDAP-Server herstellen kann.

    • Stellen Sie mit dem Benutzernamen/Passwort des LDAP-Verzeichnisservers eine Verbindung zum LDAP-Server her.

LDAP-Verbindung

Fehlerbehebung bei Konfigurationsfehlern des LDAP-Verzeichnissammlers

In der folgenden Tabelle werden bekannte Probleme und Lösungen beschrieben, die während der Collector-Konfiguration auftreten können:

Problem: Auflösung:

Das Hinzufügen eines LDAP-Verzeichniskonnektors führt zum Status „Fehler“. Der Fehler lautet: „Ungültige Anmeldeinformationen für LDAP-Server angegeben.“

Falscher Bind-DN oder falsches Bind-Passwort oder falsche Suchbasis angegeben. Bearbeiten und geben Sie die richtigen Informationen ein.

Das Hinzufügen eines LDAP-Verzeichniskonnektors führt zum Status „Fehler“. Der Fehler lautet: „Das Objekt, das DN=DC=hq,DC=domainname,DC=com entspricht und als Gesamtstrukturname angegeben wurde, konnte nicht abgerufen werden.“

Falsche Suchbasis angegeben. Bearbeiten Sie den Vorgang und geben Sie den richtigen Gesamtstrukturnamen ein.

Die optionalen Attribute des Domänenbenutzers werden auf der Workload Security-Benutzerprofilseite nicht angezeigt.

Dies liegt wahrscheinlich an einer Nichtübereinstimmung zwischen den Namen der in CloudSecure hinzugefügten optionalen Attribute und den tatsächlichen Attributnamen in Active Directory. Bei den Feldern wird zwischen Groß- und Kleinschreibung unterschieden. Bearbeiten Sie die Datei und geben Sie die korrekten optionalen Attributnamen an.

Datensammler im Fehlerzustand mit „Fehler beim Abrufen der LDAP-Benutzer.“ Grund für den Fehler: „Verbindung zum Server nicht möglich, die Verbindung ist null“

Starten Sie den Collector neu, indem Sie auf die Schaltfläche Neustart klicken.

Das Hinzufügen eines LDAP-Verzeichniskonnektors führt zum Status „Fehler“.

Stellen Sie sicher, dass Sie für die erforderlichen Felder (Server, Gesamtstrukturname, Bind-DN, Bind-Passwort) gültige Werte angegeben haben. Stellen Sie sicher, dass die Bind-DN-Eingabe immer als uid=ldapuser,cn=users,cn=accounts,dc=domain,dc=companyname,dc=com bereitgestellt wird.

Das Hinzufügen eines LDAP-Verzeichniskonnektors führt zum Status „WIEDERHOLT“. Zeigt den Fehler „Fehler beim Ermitteln des Zustands des Collectors, daher erneuter Versuch“ an.

Stellen Sie sicher, dass die richtige Server-IP und Suchbasis angegeben ist ////

Beim Hinzufügen des LDAP-Verzeichnisses wird der folgende Fehler angezeigt: „Der Zustand des Collectors konnte innerhalb von 2 Versuchen nicht ermittelt werden. Versuchen Sie, den Collector erneut neu zu starten (Fehlercode: AGENT008)“

Stellen Sie sicher, dass die richtige Server-IP und Suchbasis angegeben ist

Das Hinzufügen eines LDAP-Verzeichniskonnektors führt zum Status „WIEDERHOLT“. Zeigt den Fehler „Der Status des Collectors konnte nicht definiert werden, Grund: Der TCP-Befehl [Connect(localhost:35012,None,List(),Some(,seconds),true)] ist aufgrund von java.net.ConnectionException:Connection refused fehlgeschlagen.“

Für den AD-Server wurde eine falsche IP-Adresse oder ein falscher FQDN angegeben. Bearbeiten und geben Sie die richtige IP-Adresse oder den richtigen FQDN ein. ////

Das Hinzufügen eines LDAP-Verzeichniskonnektors führt zum Status „Fehler“. Der Fehler lautet: „LDAP-Verbindung konnte nicht hergestellt werden.“

Für den LDAP-Server wurde eine falsche IP-Adresse oder ein falscher FQDN angegeben. Bearbeiten und geben Sie die richtige IP-Adresse oder den richtigen FQDN ein. Oder falscher Wert für den angegebenen Port. Versuchen Sie, die Standard-Portwerte oder die richtige Portnummer für den LDAP-Server zu verwenden.

Das Hinzufügen eines LDAP-Verzeichniskonnektors führt zum Status „Fehler“. Der Fehler lautet: „Die Einstellungen konnten nicht geladen werden.“ Grund: Die Datenquellenkonfiguration weist einen Fehler auf. Spezifischer Grund: /connector/conf/application.conf: 70: ldap.ldap-port hat den Typ STRING statt NUMBER“

Falscher Wert für Port angegeben. Versuchen Sie, die Standard-Portwerte oder die richtige Portnummer für den AD-Server zu verwenden.

Ich habe mit den obligatorischen Attributen begonnen und es hat funktioniert. Nach dem Hinzufügen der optionalen Attribute werden die Daten der optionalen Attribute nicht aus AD abgerufen.

Dies liegt wahrscheinlich an einer Nichtübereinstimmung zwischen den in CloudSecure hinzugefügten optionalen Attributen und den tatsächlichen Attributnamen in Active Directory. Bearbeiten Sie den korrekten obligatorischen oder optionalen Attributnamen und geben Sie ihn an.

Wann erfolgt die LDAP-Synchronisierung nach dem Neustart des Collectors?

Die LDAP-Synchronisierung erfolgt unmittelbar nach dem Neustart des Collectors. Das Abrufen der Benutzerdaten von etwa 300.000 Benutzern dauert etwa 15 Minuten und wird alle 12 Stunden automatisch aktualisiert.

Benutzerdaten werden von LDAP mit CloudSecure synchronisiert. Wann werden die Daten gelöscht?

Benutzerdaten werden 13 Monate lang gespeichert, wenn keine Aktualisierung erfolgt. Bei Löschung des Mandanten werden auch die Daten gelöscht.

Der LDAP-Verzeichnis-Connector führt zum Status „Fehler“. „Der Connector befindet sich im Fehlerzustand. Dienstname: usersLdap. Grund für den Fehler: LDAP-Benutzer konnten nicht abgerufen werden. Grund für den Fehler: 80090308: LdapErr: DSID-0C090453, Kommentar: AcceptSecurityContext-Fehler, Daten 52e, v3839"

Falscher Gesamtstrukturname angegeben. Informationen zum Angeben des richtigen Gesamtstrukturnamens finden Sie oben.

Die Telefonnummer wird auf der Benutzerprofilseite nicht eingetragen.

Dies liegt höchstwahrscheinlich an einem Attributzuordnungsproblem mit Active Directory. 1. Bearbeiten Sie den jeweiligen Active Directory-Collector, der die Benutzerinformationen aus Active Directory abruft. 2. Beachten Sie, dass unter den optionalen Attributen ein Feldname „Telefonnummer“ vorhanden ist, der dem Active Directory-Attribut „Telefonnummer“ zugeordnet ist. 4. Verwenden Sie nun das Tool „Active Directory Explorer“ wie oben beschrieben, um den LDAP-Verzeichnisserver zu durchsuchen und den richtigen Attributnamen anzuzeigen. 3. Stellen Sie sicher, dass im LDAP-Verzeichnis ein Attribut mit dem Namen „Telefonnummer“ vorhanden ist, das tatsächlich die Telefonnummer des Benutzers enthält. 5. Nehmen wir an, im LDAP-Verzeichnis wurde es in „Telefonnummer“ geändert. 6. Bearbeiten Sie dann den CloudSecure-Benutzerverzeichnis-Collector. Ersetzen Sie im Abschnitt „Optionale Attribute“ „Telefonnummer“ durch „Telefonnummer“. 7. Speichern Sie den Active Directory-Collector. Der Collector wird neu gestartet, ruft die Telefonnummer des Benutzers ab und zeigt diese auf der Benutzerprofilseite an.

Wenn das Verschlüsselungszertifikat (SSL) auf dem Active Directory (AD)-Server aktiviert ist, kann der Workload Security User Directory Collector keine Verbindung zum AD-Server herstellen.

Deaktivieren Sie die AD-Server-Verschlüsselung, bevor Sie einen User Directory Collector konfigurieren. Sobald die Benutzerdetails abgerufen wurden, bleiben sie 13 Monate lang dort. Wenn die Verbindung zum AD-Server nach dem Abrufen der Benutzerdetails getrennt wird, werden die neu hinzugefügten Benutzer in AD nicht abgerufen. Zum erneuten Abrufen muss der Benutzerverzeichnis-Collector mit AD verbunden sein.