Skip to main content
Data Infrastructure Insights
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configuración de un recopilador de directorios de usuarios de Active Directory (AD)

Colaboradores netapp-alavoie dgracenetapp
PDF

La seguridad de la carga de trabajo se puede configurar para recopilar atributos de usuario de los servidores de Active Directory.

Antes de empezar

  • Debe ser administrador de Data Infrastructure Insights o propietario de cuenta para realizar esta tarea.

  • Debe tener la dirección IP del servidor que aloja el servidor de Active Directory.

  • Se debe configurar un agente antes de configurar un conector de directorio de usuarios.

Pasos para configurar un recopilador de directorios de usuarios

  1. En el menú Seguridad de la carga de trabajo, haga clic en: Recopiladores > Recopiladores del directorio de usuarios > + Recopilador del directorio de usuarios y seleccione Directorio activo

    El sistema muestra la pantalla Agregar directorio de usuarios.

Configure el recopilador de directorios de usuarios ingresando los datos requeridos en las siguientes tablas:

Nombre

Descripción

Nombre

Nombre único para el directorio de usuarios. Por ejemplo, GlobalADCollector

Agente

Seleccione un agente configurado de la lista

Nombre de dominio/IP del servidor

Dirección IP o nombre de dominio completo (FQDN) del servidor que aloja el directorio activo

Nombre del bosque

Nivel de bosque de la estructura del directorio. El nombre del bosque permite ambos formatos siguientes: x.y.z ⇒ nombre de dominio directo tal como lo tiene en su SVM. [Ejemplo: hq.companyname.com] DC=x,DC=y,DC=z ⇒ Nombres distinguidos relativos [Ejemplo: DC=hq,DC= companyname,DC=com] O puede especificarlo de la siguiente manera: OU=engineering,DC=hq,DC= companyname,DC=com [para filtrar por OU engineering específica] CN=username,OU=engineering,DC=companyname, DC=netapp, DC=com [para obtener solo un usuario específico con <username> de la OU <engineering>] CN=Acrobat Users,CN=Users,DC=hq,DC=companyname,DC=com,O= companyname,L=Boston,S=MA,C=US [para obtener todos los usuarios de Acrobat dentro de los usuarios de esa organización] También se admiten dominios de Active Directory de confianza.

Vincular DN

Usuario autorizado para buscar en el directorio. Por ejemplo: nombreusuario@nombreempresa.com o nombreusuario@nombredominio.com Además, se requiere permiso de Solo lectura del dominio. El usuario debe ser miembro del grupo de seguridad Controladores de dominio de solo lectura.

Contraseña BIND

Contraseña del servidor de directorio (es decir, contraseña para el nombre de usuario utilizado en Bind DN)

Protocolo

ldap, ldaps, ldap-start-tls

Puertos

Seleccionar puerto

Introduzca los siguientes atributos obligatorios del servidor de directorio si se han modificado los nombres de atributos predeterminados en Active Directory. La mayoría de las veces, estos nombres de atributos no se modifican en Active Directory, en cuyo caso puede simplemente continuar con el nombre de atributo predeterminado.

Atributos

Nombre del atributo en el servidor de directorio

Nombre para mostrar

nombre

SID

objectid

Nombre de usuario

nombreDeCuentaSAMA

Haga clic en Incluir atributos opcionales para agregar cualquiera de los siguientes atributos:

Atributos

Nombre del atributo en el servidor de directorio

Dirección de correo electrónico

correo

Número telefónico

número de teléfono

Role

título

País

co

Estado

estado

Departamento

departamento

Foto

foto en miniatura

AdministradorDN

gerente

Grupos

miembro de

Prueba de la configuración del recopilador de directorios de usuarios

Puede validar los permisos de usuario y las definiciones de atributos de LDAP mediante los siguientes procedimientos:

  • Utilice el siguiente comando para validar el permiso de usuario LDAP de Workload Security:

    ldapsearch -o ldif-wrap=no -LLL -x -b "dc=netapp,dc=com" -h 10.235.40.29 -p 389 -D Administrator@netapp.com -W

  • Utilice AD Explorer para navegar por una base de datos de AD, ver propiedades y atributos de objetos, ver permisos, ver el esquema de un objeto, ejecutar búsquedas sofisticadas que puede guardar y volver a ejecutar.

    • Instalar"Explorador de AD" en cualquier máquina Windows que pueda conectarse al servidor AD.

    • Conéctese al servidor AD utilizando el nombre de usuario y la contraseña del servidor de directorio AD.

Conexión AD

Solución de problemas de configuración del recopilador de directorios de usuarios

La siguiente tabla describe problemas conocidos y resoluciones que pueden ocurrir durante la configuración del recopilador:

Problema: Resolución:

Al agregar un conector de Directorio de usuarios se genera el estado "Error". El error dice: “Credenciales no válidas proporcionadas para el servidor LDAP”.

Nombre de usuario o contraseña proporcionados incorrectos. Edite y proporcione el nombre de usuario y la contraseña correctos.

Al agregar un conector de Directorio de usuarios se genera el estado "Error". El error dice: “No se pudo obtener el objeto correspondiente a DN=DC=hq,DC=domainname,DC=com proporcionado como nombre de bosque”.

Nombre de bosque proporcionado incorrecto. Edite y proporcione el nombre del bosque correcto.

Los atributos opcionales del usuario del dominio no aparecen en la página Perfil de usuario de seguridad de carga de trabajo.

Es probable que esto se deba a una falta de coincidencia entre los nombres de los atributos opcionales agregados en CloudSecure y los nombres de los atributos reales en Active Directory. Edite y proporcione los nombres de atributos opcionales correctos.

Recopilador de datos en estado de error con "Error al recuperar usuarios LDAP". Motivo del fallo: No se puede conectar al servidor, la conexión es nula.

Reinicie el recopilador haciendo clic en el botón Reiniciar.

Al agregar un conector de Directorio de usuarios se genera el estado "Error".

Asegúrese de haber proporcionado valores válidos para los campos obligatorios (Servidor, nombre del bosque, DN de enlace, Contraseña de enlace). Asegúrese de que la entrada de bind-DN siempre se proporcione como 'Administrador@<nombre_del_bosque_de_dominio>' o como una cuenta de usuario con privilegios de administrador de dominio.

Al agregar un conector de Directorio de usuarios se genera el estado 'REINTENTANDO'. Muestra el error “No se puede definir el estado del recopilador, motivo por el cual el comando TCP [Connect(localhost:35012,None,List(),Some(,seconds),true)] falló debido a java.net.ConnectionException:Connection rejected”.

Se proporcionó IP o FQDN incorrectos para el servidor AD. Edite y proporcione la dirección IP o FQDN correcto.

Al agregar un conector de Directorio de usuarios se genera el estado "Error". El error dice: “Error al establecer la conexión LDAP”.

Se proporcionó IP o FQDN incorrectos para el servidor AD. Edite y proporcione la dirección IP o FQDN correcto.

Al agregar un conector de Directorio de usuarios se genera el estado "Error". El error dice: “Error al cargar la configuración. Motivo: La configuración de la fuente de datos tiene un error. Motivo específico: /connector/conf/application.conf: 70: ldap.ldap-port tiene tipo STRING en lugar de NUMBER”

Valor incorrecto para el puerto proporcionado. Intente utilizar los valores de puerto predeterminados o el número de puerto correcto para el servidor AD.

Comencé con los atributos obligatorios y funcionó. Después de agregar los opcionales, los datos de atributos opcionales no se obtienen de AD.

Es probable que esto se deba a una falta de coincidencia entre los atributos opcionales agregados en CloudSecure y los nombres de atributos reales en Active Directory. Edite y proporcione el nombre del atributo obligatorio u opcional correcto.

Después de reiniciar el recopilador, ¿cuándo se producirá la sincronización de AD?

La sincronización de AD se realizará inmediatamente después de que se reinicie el recopilador. Tomará aproximadamente 15 minutos obtener los datos de usuario de aproximadamente 300 000 usuarios y se actualiza automáticamente cada 12 horas.

Los datos del usuario se sincronizan desde AD a CloudSecure. ¿Cuándo se eliminarán los datos?

Los datos del usuario se conservan durante 13 meses en caso de no actualizarse. Si se elimina el inquilino, se eliminarán los datos.

El conector del directorio de usuarios genera el estado 'Error'. "El conector está en estado de error. Nombre del servicio: usersLdap. Motivo del error: No se pudieron recuperar los usuarios LDAP. Motivo del error: 80090308: LdapErr: DSID-0C090453, comentario: Error de AcceptSecurityContext, datos 52e, v3839

Nombre de bosque proporcionado incorrecto. Vea más arriba cómo proporcionar el nombre de bosque correcto.

El número de teléfono no se completa en la página de perfil del usuario.

Lo más probable es que esto se deba a un problema de asignación de atributos con Active Directory. 1. Edite el recopilador de Active Directory específico que obtiene la información del usuario de Active Directory. 2. Tenga en cuenta que, entre los atributos opcionales, hay un campo llamado “Número de teléfono” asignado al atributo 'número de teléfono' de Active Directory. 4. Ahora, utilice la herramienta Explorador de Active Directory como se describe anteriormente para explorar Active Directory y ver el nombre del atributo correcto. 3. Asegúrese de que en Active Directory haya un atributo llamado 'telephonenumber' que contenga el número de teléfono del usuario. 5. Digamos que en Active Directory se ha modificado a 'número de teléfono'. 6. Luego edite el recopilador del directorio de usuarios de CloudSecure. En la sección de atributos opcionales, reemplace 'número de teléfono' por 'número de teléfono'. 7. Guarde el recopilador de Active Directory, el recopilador se reiniciará y obtendrá el número de teléfono del usuario y lo mostrará en la página de perfil del usuario.

Si el certificado de cifrado (SSL) está habilitado en el servidor de Active Directory (AD), el recopilador de directorio de usuarios de Workload Security no puede conectarse al servidor de AD.

Deshabilite el cifrado del servidor AD antes de configurar un recopilador de directorio de usuarios. Una vez que se obtienen los detalles del usuario, permanecerán allí durante 13 meses. Si el servidor de AD se desconecta después de obtener los detalles del usuario, no se obtendrán los usuarios recién agregados en AD. Para recuperarlos nuevamente, el recopilador del directorio de usuarios debe estar conectado a AD.

Los datos de Active Directory están presentes en CloudInsights Security. Desea eliminar toda la información del usuario de CloudInsights.

No es posible eliminar SÓLO la información de usuarios de Active Directory desde CloudInsights Security. Para eliminar el usuario es necesario eliminar el inquilino completo.