Configurar un recopilador de directorios de usuarios de Active Directory (AD)
Workload Security se puede configurar para recopilar atributos de usuario desde los servidores de Active Directory.
-
Debe ser un administrador de Data Infrastructure Insights o un propietario de la cuenta para realizar esta tarea.
-
Debe tener la dirección IP del servidor donde se aloja el servidor de Active Directory.
-
Debe configurar un agente antes de configurar un conector de directorio de usuario.
-
En el menú Seguridad de la carga de trabajo, haga clic en: Colectores > Colectores de directorios de usuarios > + Recopilador de directorios de usuarios y seleccione Active Directory
El sistema muestra la pantalla Agregar directorio de usuario.
Configure el colector de directorios de usuarios introduciendo los datos necesarios en las tablas siguientes:
Nombre |
Descripción |
Nombre |
Nombre único del directorio de usuarios. Por ejemplo, GlobalADCollector |
Agente |
Seleccione un agente configurado de la lista |
Nombre de dominio/IP del servidor |
Dirección IP o nombre de dominio completo (FQDN) del servidor que aloja el directorio activo |
Nombre del bosque |
Nivel de bosque de la estructura de directorios. El nombre del bosque permite los dos formatos siguientes: X. y.y.z ⇒ nombre de dominio directo como lo tiene en su SVM. [Ejemplo: hq.companyname.com] DC=x,DC=y,DC=z ⇒ nombres distintivos relativos [ejemplo: DC=hq,DC= companyname,DC=com] o puede especificar como lo siguiente: OU=engineering,DC=hq,DC= companyname,DC=com [para filtrar por ingeniería de OU específica] CN=nombre de usuario,OU=engineering,DC=companyname, DC=netapp, DC=com [para obtener sólo un usuario específico de <username> de OU <engineering>] _CN=usuarios de Acrobat,CN=usuarios,DC=nombre de confianza de la organización de Acrobat = c,DC de la organización de Active Directory. |
Enlazar DN |
Se permite que el usuario busque en el directorio. Por ejemplo: username@companyname.com o username@domainname.com Además, se requiere el permiso de solo lectura de dominio. El usuario debe ser miembro del grupo de seguridad Controladores de dominio de solo lectura. |
ENLAZAR contraseña |
Contraseña del servidor de directorio (es decir, contraseña para el nombre de usuario utilizado en DN de enlace) |
Protocolo |
ldap, ldaps, ldap-start-tls |
Puertos |
Seleccione el puerto |
Introduzca los siguientes atributos requeridos de Directory Server si se han modificado los nombres de atributo predeterminados en Active Directory. En la mayoría de los casos, estos nombres de atributos se modifican en Active Directory, en cuyo caso simplemente puede continuar con el nombre de atributo predeterminado.
Atributos |
Nombre del atributo en el servidor de directorio |
Nombre para mostrar |
nombre |
SID |
objectsid |
Nombre de usuario |
Nombre de cuenta SAM |
Haga clic en incluir atributos opcionales para agregar cualquiera de los siguientes atributos:
Atributos |
Nombre del atributo en el servidor de directorio |
Dirección de correo electrónico |
correo |
Número de teléfono |
número de teléfono |
Función |
título |
País |
co |
Estado |
estado |
Departamento |
departamento |
Foto |
thumbnailphoto |
DN de administrador |
gerente |
Grupos |
Miembro de |
Prueba de la configuración del recopilador del directorio de usuarios
Puede validar los permisos de usuario LDAP y las definiciones de atributos mediante los procedimientos siguientes:
-
Utilice el siguiente comando para validar los permisos de usuario de LDAP de seguridad de carga de trabajo:
ldapsearch -o ldif-wrap=no -LLL -x -b "dc=netapp,dc=com" -h 10.235.40.29 -p 389 -D Administrator@netapp.com -W
-
Utilice el Explorador de AD para desplazarse por una base de datos AD, ver propiedades y atributos de objeto, ver permisos, ver el esquema de un objeto, ejecutar sofisticadas búsquedas que puede guardar y volver a ejecutar.
-
Instale "Explorador DE ANUNCIOS" en cualquier máquina de Windows que pueda conectarse al servidor AD.
-
Conéctese al servidor AD con el nombre de usuario/contraseña del servidor de directorio AD.
-
Solución de problemas de errores de configuración del recopilador de directorios de usuarios
En la siguiente tabla se describen los problemas conocidos y las resoluciones que pueden producirse durante la configuración del recopilador:
Problema: | Resolución: |
---|---|
La adición de un conector de directorio de usuarios da como resultado el estado "error". El error indica que “se han proporcionado credenciales no válidas para el servidor LDAP”. |
Se ha proporcionado un nombre de usuario o contraseña incorrectos. Edite y proporcione el nombre de usuario y la contraseña correctos. |
La adición de un conector de directorio de usuarios da como resultado el estado "error". El error indica que “no se ha podido obtener el objeto correspondiente a DN=DC=hq,DC=domainname,DC=com proporcionado como nombre de bosque”. |
Se ha proporcionado un nombre de bosque incorrecto. Edite y proporcione el nombre de bosque correcto. |
Los atributos opcionales del usuario de dominio no aparecen en la página Workload Security User Profile (Perfil de usuario de seguridad de carga de trabajo). |
Esto probablemente se deba a una discrepancia entre los nombres de los atributos opcionales agregados en CloudSecure y los nombres de atributos reales en Active Directory. Edite y proporcione los nombres de atributos opcionales correctos. |
Recopilador de datos en estado de error "Failed to retrieve users LDAP". Motivo del error: No se puede conectar al servidor, la conexión es nula" |
Reinicie el recopilador haciendo clic en el botón restart. |
La adición de un conector de directorio de usuarios da como resultado el estado "error". |
Asegúrese de haber proporcionado valores válidos para los campos requeridos (servidor, nombre de bosque, bind-DN, bind-Password). Asegúrese de que la entrada BIND-DN se proporciona siempre como ‘Administrador@<domain_forest_name>’ o como cuenta de usuario con privilegios de administrador de dominio. |
La adición de un conector de Directorio de usuarios da como resultado EL estado DE "REPRUEBA". Muestra el error “no se puede definir el estado del recopilador,REASON TCP command [Connect(localhost:35012,None,List(),some(,segundos),true)] failed debido a que se rechazó java.net.ConnectionException:Connection.” |
Se proporciona una IP o un FQDN incorrectos para el servidor AD. Edite y proporcione la dirección IP o el FQDN correctos. |
La adición de un conector de directorio de usuarios da como resultado el estado "error". El error dice: “Error al establecer la conexión LDAP”. |
Se proporciona una IP o un FQDN incorrectos para el servidor AD. Edite y proporcione la dirección IP o el FQDN correctos. |
La adición de un conector de directorio de usuarios da como resultado el estado "error". El error dice: “No se han podido cargar los ajustes. Motivo: La configuración de DataSource tiene un error. Razón específica: /Connector/conf/Application.conf: 70: ldap.ldap-Port tiene TIPO CADENA en lugar DE NÚMERO” |
Valor incorrecto para el puerto proporcionado. Pruebe a usar los valores de puerto predeterminados o el número de puerto correcto para el servidor AD. |
Empecé con los atributos obligatorios, y funcionó. Después de agregar los opcionales, los datos de atributos opcionales no se obtienen de AD. |
Esto probablemente se deba a una discrepancia entre los atributos opcionales agregados en CloudSecure y los nombres de atributos reales en Active Directory. Edite y proporcione el nombre de atributo obligatorio o opcional correcto. |
Después de reiniciar el recopilador, ¿cuándo se producirá la sincronización de AD? |
La sincronización DE ANUNCIOS se producirá inmediatamente después de que se reinicie el recopilador. Tardará aproximadamente 15 minutos en recuperar datos de usuario de aproximadamente 300 000 usuarios y se actualiza cada 12 horas automáticamente. |
Los datos de usuario se sincronizan de AD con CloudSecure. ¿Cuándo se eliminarán los datos? |
Los datos de usuario se conservan durante 13 meses en caso de no actualización. Si se elimina el arrendatario, los datos se eliminarán. |
El conector del directorio de usuarios tiene como resultado el estado "error". "El conector está en estado de error. Nombre del servicio: UsersLDAP. Motivo del fallo: No se pudieron recuperar los usuarios LDAP. Motivo del fallo: 80090308: LdapErr: DSID-0C090453, comentario: Error de AcceptSecurityContext, data 52e, v3839" |
Se ha proporcionado un nombre de bosque incorrecto. Consulte más arriba cómo proporcionar el nombre correcto del bosque. |
El número de teléfono no se rellena en la página del perfil de usuario. |
Lo más probable es que esto se deba a un problema de asignación de atributos con Active Directory. 1. Edite el recopilador de Active Directory en particular que está recuperando la información del usuario de Active Directory. 2. Nota Bajo atributos opcionales, hay un nombre de campo “Número de teléfono” asignado al atributo de Active Directory “número de teléfono”. 4. Ahora, utilice la herramienta Explorador de Active Directory como se describe anteriormente para examinar Active Directory y ver el nombre de atributo correcto. 3. Asegúrese de que en Active Directory hay un atributo llamado “número de teléfono” que tiene efectivamente el número de teléfono del usuario. 5. Digamos que en Active Directory se ha modificado a “phonenumber”. 6. A continuación, edite el recopilador del directorio de usuarios de CloudSecure. En la sección atributo opcional, sustituya ‘telefonenumber’ por ‘fonenumber’. 7. Guarde el recopilador de Active Directory, el recopilador se reiniciará y obtendrá el número de teléfono del usuario y mostrará el mismo en la página de perfil de usuario. |
Si el certificado de cifrado (SSL) está habilitado en el servidor de Active Directory (AD), el recopilador de directorios de usuarios de seguridad de carga de trabajo no se puede conectar al servidor AD. |
Desactive el cifrado de AD Server antes de configurar un recopilador de directorios de usuarios. Una vez que se haya recuperado el detalle del usuario, estará allí por 13 meses. Si el servidor AD se desconecta después de obtener los detalles del usuario, los usuarios recién agregados en AD no se obtendrán. Para recuperar de nuevo, el recopilador de directorios de usuarios debe estar conectado a AD. |
Los datos de Active Directory están presentes en CloudInsights Security. Desea eliminar toda la información de usuario de CloudInsights. |
No SÓLO es posible eliminar la información de usuario de Active Directory de CloudInsights Security. Para eliminar el usuario, el arrendatario completo debe ser eliminado. |