Skip to main content
Data Infrastructure Insights
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configuración de un recopilador de servidor de directorio LDAP

Colaboradores netapp-alavoie
PDF

Configura Workload Security para recopilar atributos de usuario de los servidores de directorio LDAP.

Antes de empezar

  • Debe ser administrador de Data Infrastructure Insights o propietario de cuenta para realizar esta tarea.

  • Debe tener la dirección IP del servidor que aloja el servidor de directorio LDAP.

  • Se debe configurar un agente antes de configurar un conector de directorio LDAP.

Pasos para configurar un recopilador de directorios de usuarios

  1. En el menú Seguridad de la carga de trabajo, haga clic en: Recopiladores > Recopiladores del directorio de usuarios > + Recopilador del directorio de usuarios y seleccione Servidor de directorio LDAP

    El sistema muestra la pantalla Agregar directorio de usuarios.

Configure el recopilador de directorios de usuarios ingresando los datos requeridos en las siguientes tablas:

Nombre

Descripción

Nombre

Nombre único para el directorio de usuarios. Por ejemplo, GlobalLDAPCollector

Agente

Seleccione un agente configurado de la lista

Nombre de dominio/IP del servidor

Dirección IP o nombre de dominio completo (FQDN) del servidor que aloja el servidor de directorio LDAP

Base de búsqueda

Base de búsqueda del servidor LDAP La base de búsqueda permite ambos formatos siguientes: x.y.z ⇒ nombre de dominio directo tal como lo tiene en su SVM. [Ejemplo: hq.companyname.com] DC=x,DC=y,DC=z ⇒ Nombres distinguidos relativos [Ejemplo: DC=hq,DC= companyname,DC=com] O puede especificar lo siguiente: OU=engineering,DC=hq,DC= companyname,DC=com [para filtrar por OU engineering específica] CN=username,OU=engineering,DC=companyname, DC=netapp, DC=com [para obtener solo el usuario específico con <username> de la OU <engineering>] CN=Acrobat Users,CN=Users,DC=hq,DC=companyname,DC=com,O= companyname,L=Boston,S=MA,C=US [para obtener todos los usuarios de Acrobat dentro de los usuarios de esa organización]

Vincular DN

Usuario autorizado para buscar en el directorio. Por ejemplo: uid=ldapuser,cn=users,cn=accounts,dc=domain,dc=companyname,dc=com uid=john,cn=users,cn=accounts,dc=dorp,dc=company,dc=com para un usuario john@dorp.company.com. dorp.company.com

--cuentas

--usuarios

--John

--anna

Contraseña BIND

Contraseña del servidor de directorio (es decir, contraseña para el nombre de usuario utilizado en Bind DN)

Protocolo

ldap, ldaps, ldap-start-tls

Puertos

Seleccionar puerto

Introduzca los siguientes atributos obligatorios del servidor de directorio si se han modificado los nombres de atributos predeterminados en el servidor de directorio LDAP. La mayoría de las veces, estos nombres de atributos no se modifican en el servidor de directorio LDAP, en cuyo caso puede simplemente continuar con el nombre de atributo predeterminado.

Atributos

Nombre del atributo en el servidor de directorio

Nombre para mostrar

nombre

UNIXID

número de uid

Nombre de usuario

fluido

Haga clic en Incluir atributos opcionales para agregar cualquiera de los siguientes atributos:

Atributos

Nombre del atributo en el servidor de directorio

Dirección de correo electrónico

correo

Número telefónico

número de teléfono

Role

título

País

co

Estado

estado

Departamento

número de departamento

Foto

foto

AdministradorDN

gerente

Grupos

miembro de

Prueba de la configuración del recopilador de directorios de usuarios

Puede validar los permisos de usuario y las definiciones de atributos de LDAP mediante los siguientes procedimientos:

  • Utilice el siguiente comando para validar el permiso de usuario LDAP de Workload Security:

     ldapsearch -D "uid=john ,cn=users,cn=accounts,dc=dorp,dc=company,dc=com" -W -x -LLL -o ldif-wrap=no -b "cn=accounts,dc=dorp,dc=company,dc=com" -H ldap://vmwipaapp08.dorp.company.com
* Utilice LDAP Explorer para navegar por una base de datos LDAP, ver propiedades y atributos de objetos, ver permisos, ver el esquema de un objeto, ejecutar búsquedas sofisticadas que puede guardar y volver a ejecutar.

    • Instalar el explorador LDAP(http://ldaptool.sourceforge.net/ ) o el Explorador LDAP de Java(http://jxplorer.org/ ) en cualquier máquina Windows que pueda conectarse al servidor LDAP.

    • Conéctese al servidor LDAP utilizando el nombre de usuario y la contraseña del servidor de directorio LDAP.

Conexión LDAP

Solución de problemas de configuración del recopilador de directorios LDAP

La siguiente tabla describe problemas conocidos y resoluciones que pueden ocurrir durante la configuración del recopilador:

Problema: Resolución:

Al agregar un conector de directorio LDAP se genera el estado "Error". El error dice: “Credenciales no válidas proporcionadas para el servidor LDAP”.

Se proporcionó un DN de enlace, una contraseña de enlace o una base de búsqueda incorrectos. Editar y proporcionar la información correcta.

Al agregar un conector de directorio LDAP se genera el estado "Error". El error dice: “No se pudo obtener el objeto correspondiente a DN=DC=hq,DC=domainname,DC=com proporcionado como nombre de bosque”.

Base de búsqueda proporcionada incorrecta. Edite y proporcione el nombre del bosque correcto.

Los atributos opcionales del usuario del dominio no aparecen en la página Perfil de usuario de seguridad de carga de trabajo.

Es probable que esto se deba a una falta de coincidencia entre los nombres de los atributos opcionales agregados en CloudSecure y los nombres de los atributos reales en Active Directory. Los campos distinguen entre mayúsculas y minúsculas. Edite y proporcione los nombres de atributos opcionales correctos.

Recopilador de datos en estado de error con "Error al recuperar usuarios LDAP". Motivo del fallo: No se puede conectar al servidor, la conexión es nula.

Reinicie el recopilador haciendo clic en el botón Reiniciar.

Al agregar un conector de directorio LDAP se genera el estado "Error".

Asegúrese de haber proporcionado valores válidos para los campos obligatorios (Servidor, nombre del bosque, DN de enlace, Contraseña de enlace). Asegúrese de que la entrada bind-DN siempre se proporcione como uid=ldapuser,cn=users,cn=accounts,dc=domain,dc=companyname,dc=com.

Al agregar un conector de directorio LDAP se genera el estado 'REINTENTANDO'. Muestra el error "No se pudo determinar el estado del recopilador, por lo que se vuelve a intentar".

Asegúrese de que se proporcione la IP del servidor y la base de búsqueda correctas ////

Al agregar el directorio LDAP, se muestra el siguiente error: “No se pudo determinar el estado del recopilador en 2 reintentos, intente reiniciar el recopilador nuevamente (Código de error: AGENT008)”

Asegúrese de que se proporcione la IP del servidor y la base de búsqueda correctas

Al agregar un conector de directorio LDAP se genera el estado 'REINTENTANDO'. Muestra el error “No se puede definir el estado del recopilador, motivo por el cual el comando TCP [Connect(localhost:35012,None,List(),Some(,seconds),true)] falló debido a java.net.ConnectionException:Connection rejected”.

Se proporcionó IP o FQDN incorrectos para el servidor AD. Edite y proporcione la dirección IP o FQDN correcto. ////

Al agregar un conector de directorio LDAP se genera el estado "Error". El error dice: “Error al establecer la conexión LDAP”.

Se proporcionó IP o FQDN incorrectos para el servidor LDAP. Edite y proporcione la dirección IP o FQDN correcto. O valor incorrecto para el puerto proporcionado. Intente utilizar los valores de puerto predeterminados o el número de puerto correcto para el servidor LDAP.

Al agregar un conector de directorio LDAP se genera el estado "Error". El error dice: “Error al cargar la configuración. Motivo: La configuración de la fuente de datos tiene un error. Motivo específico: /connector/conf/application.conf: 70: ldap.ldap-port tiene tipo STRING en lugar de NUMBER”

Valor incorrecto para el puerto proporcionado. Intente utilizar los valores de puerto predeterminados o el número de puerto correcto para el servidor AD.

Comencé con los atributos obligatorios y funcionó. Después de agregar los opcionales, los datos de atributos opcionales no se obtienen de AD.

Es probable que esto se deba a una falta de coincidencia entre los atributos opcionales agregados en CloudSecure y los nombres de atributos reales en Active Directory. Edite y proporcione el nombre del atributo obligatorio u opcional correcto.

Después de reiniciar el recopilador, ¿cuándo se producirá la sincronización LDAP?

La sincronización LDAP se realizará inmediatamente después de que se reinicie el recopilador. Tomará aproximadamente 15 minutos obtener los datos de usuario de aproximadamente 300 000 usuarios y se actualiza automáticamente cada 12 horas.

Los datos del usuario se sincronizan desde LDAP a CloudSecure. ¿Cuándo se eliminarán los datos?

Los datos del usuario se conservan durante 13 meses en caso de no actualizarse. Si se elimina el inquilino, se eliminarán los datos.

El conector de directorio LDAP genera el estado 'Error'. "El conector está en estado de error. Nombre del servicio: usersLdap. Motivo del error: No se pudieron recuperar los usuarios LDAP. Motivo del error: 80090308: LdapErr: DSID-0C090453, comentario: Error de AcceptSecurityContext, datos 52e, v3839

Nombre de bosque proporcionado incorrecto. Vea más arriba cómo proporcionar el nombre de bosque correcto.

El número de teléfono no se completa en la página de perfil del usuario.

Lo más probable es que esto se deba a un problema de asignación de atributos con Active Directory. 1. Edite el recopilador de Active Directory específico que obtiene la información del usuario de Active Directory. 2. Tenga en cuenta que, entre los atributos opcionales, hay un campo llamado “Número de teléfono” asignado al atributo 'número de teléfono' de Active Directory. 4. Ahora, utilice la herramienta Active Directory Explorer como se describe anteriormente para explorar el servidor de directorio LDAP y ver el nombre del atributo correcto. 3. Asegúrese de que en el directorio LDAP haya un atributo llamado 'telephonenumber' que contenga el número de teléfono del usuario. 5. Digamos que en el directorio LDAP se ha modificado a "número de teléfono". 6. Luego edite el recopilador del directorio de usuarios de CloudSecure. En la sección de atributos opcionales, reemplace 'número de teléfono' por 'número de teléfono'. 7. Guarde el recopilador de Active Directory, el recopilador se reiniciará y obtendrá el número de teléfono del usuario y lo mostrará en la página de perfil del usuario.

Si el certificado de cifrado (SSL) está habilitado en el servidor de Active Directory (AD), el recopilador de directorio de usuarios de Workload Security no puede conectarse al servidor de AD.

Deshabilite el cifrado del servidor AD antes de configurar un recopilador de directorio de usuarios. Una vez que se obtienen los detalles del usuario, permanecerán allí durante 13 meses. Si el servidor de AD se desconecta después de obtener los detalles del usuario, no se obtendrán los usuarios recién agregados en AD. Para recuperar el directorio de usuarios, el recopilador debe estar conectado a AD.