Skip to main content
Data Infrastructure Insights
Se proporciona el idioma español mediante traducción automática para su comodidad. En caso de alguna inconsistencia, el inglés precede al español.

Configurar un recopilador de servidor de directorio LDAP

Colaboradores

La función Seguridad de carga de trabajo se configura para recopilar atributos de usuario desde los servidores de directorio LDAP.

Antes de empezar
  • Debe ser un administrador de Data Infrastructure Insights o un propietario de la cuenta para realizar esta tarea.

  • Debe tener la dirección IP del servidor donde se aloja el servidor de directorio LDAP.

  • Debe configurar un agente antes de configurar un conector de directorio LDAP.

Pasos para configurar un recopilador de directorios de usuarios
  1. En el menú Seguridad de la carga de trabajo, haga clic en: Colectores > Colectores de directorios de usuarios > + Recopilador de directorios de usuarios y seleccione Servidor de directorios LDAP

    El sistema muestra la pantalla Agregar directorio de usuario.

Configure el colector de directorios de usuarios introduciendo los datos necesarios en las tablas siguientes:

Nombre

Descripción

Nombre

Nombre único del directorio de usuarios. Por ejemplo, GlobalLDAPCollector

Agente

Seleccione un agente configurado de la lista

Nombre de dominio/IP del servidor

Dirección IP o nombre de dominio completo (FQDN) del servidor que aloja el servidor de directorio LDAP

Base de búsqueda

La base de búsqueda de la base de búsqueda de servidores LDAP permite los dos formatos siguientes: X. y.z ⇒ nombre de dominio directo como lo tiene en su SVM. [Ejemplo: hq.companyname.com] DC=x,DC=y,DC=z ⇒ nombres distintivos relativos [ejemplo: DC=hq,DC= companyname,DC=com] o puede especificar como lo siguiente: OU=engineering,DC=hq,DC= companyname,DC=com [filtrar por ingeniería de OU específica] CN=nombre,OU=ingeniería,DC=companyname, DC=netapp, DC=com [para obtener solo un usuario específico con <username> de OU <engineering>] _CN=usuarios de Acrobat,CN=usuarios,DC=hq,DC=nombre de usuario de la organización [c,DC=companyu],s=nombre de la organización de Acrobat.

Enlazar DN

Se permite que el usuario busque en el directorio. Por ejemplo: uid=ldapuser,cn=users,cn=cuentas,dc=dominio,dc=nombre de empresa,dc=com uid=john,cn=usuarios,cn=cuentas,dc=dorp,dc=empresa,dc=com para un usuario john@dorp.company.com. dorp.company.com

--cuentas

--usuarios

--juan

--anna

ENLAZAR contraseña

Contraseña del servidor de directorio (es decir, contraseña para el nombre de usuario utilizado en DN de enlace)

Protocolo

ldap, ldaps, ldap-start-tls

Puertos

Seleccione el puerto

Introduzca los siguientes atributos requeridos de servidor de directorio si se han modificado los nombres de atributos predeterminados en servidor de directorio LDAP. En la mayoría de los casos, estos nombres de atributos se modifican not en el servidor de directorio LDAP, en cuyo caso simplemente puede continuar con el nombre de atributo predeterminado.

Atributos

Nombre del atributo en el servidor de directorio

Nombre para mostrar

nombre

UNIXID

uidnumber

Nombre de usuario

uid

Haga clic en incluir atributos opcionales para agregar cualquiera de los siguientes atributos:

Atributos

Nombre del atributo en el servidor de directorio

Dirección de correo electrónico

correo

Número de teléfono

número de teléfono

Función

título

País

co

Estado

estado

Departamento

número de departamento

Foto

foto

DN de administrador

gerente

Grupos

Miembro de

Prueba de la configuración del recopilador del directorio de usuarios

Puede validar los permisos de usuario LDAP y las definiciones de atributos mediante los procedimientos siguientes:

  • Utilice el siguiente comando para validar los permisos de usuario de LDAP de seguridad de carga de trabajo:

     ldapsearch -D "uid=john ,cn=users,cn=accounts,dc=dorp,dc=company,dc=com" -W -x -LLL -o ldif-wrap=no -b "cn=accounts,dc=dorp,dc=company,dc=com" -H ldap://vmwipaapp08.dorp.company.com
    * Utilice el Explorador de LDAP para desplazarse por una base de datos LDAP, ver propiedades y atributos de objeto, ver permisos, ver el esquema de un objeto, ejecutar sofisticadas búsquedas que puede guardar y volver a ejecutar.
    • Instale LDAP Explorer (http://ldaptool.sourceforge.net/) o Java LDAP Explorer (http://jxplorer.org/) en cualquier máquina de Windows que pueda conectarse al servidor LDAP.

    • Conéctese al servidor LDAP con el nombre de usuario/contraseña del servidor de directorio LDAP.

Conexión LDAP

Solución de problemas de errores de configuración de recopiladores de directorios LDAP

En la siguiente tabla se describen los problemas conocidos y las resoluciones que pueden producirse durante la configuración del recopilador:

Problema: Resolución:

La adición de un conector de directorio LDAP da como resultado el estado ‘error’. El error indica que “se han proporcionado credenciales no válidas para el servidor LDAP”.

Se ha proporcionado una contraseña de enlace o DN de enlace incorrecta o una base de búsqueda. Edite y proporcione la información correcta.

La adición de un conector de directorio LDAP da como resultado el estado ‘error’. El error indica que “no se ha podido obtener el objeto correspondiente a DN=DC=hq,DC=domainname,DC=com proporcionado como nombre de bosque”.

Se ha proporcionado una base de búsqueda incorrecta. Edite y proporcione el nombre de bosque correcto.

Los atributos opcionales del usuario de dominio no aparecen en la página Workload Security User Profile (Perfil de usuario de seguridad de carga de trabajo).

Esto probablemente se deba a una discrepancia entre los nombres de los atributos opcionales agregados en CloudSecure y los nombres de atributos reales en Active Directory. Los campos distinguen mayúsculas de minúsculas. Edite y proporcione los nombres de atributos opcionales correctos.

Recopilador de datos en estado de error "Failed to retrieve users LDAP". Motivo del error: No se puede conectar al servidor, la conexión es nula"

Reinicie el recopilador haciendo clic en el botón restart.

La adición de un conector de directorio LDAP da como resultado el estado ‘error’.

Asegúrese de haber proporcionado valores válidos para los campos requeridos (servidor, nombre de bosque, bind-DN, bind-Password). Asegúrese de que la entrada BIND-DN se proporciona siempre como uid=ldapuser,cn=Users,cn=cuentas,dc=dominio,dc=companyname,dc=com.

La adición de un conector de directorio LDAP da como resultado EL estado DE "REPRUEBA". Muestra el error "no se pudo determinar el estado del colector, por lo tanto, volver a intentar"

Asegúrese de que se proporciona la IP del servidor y la base de búsqueda correctas ///

Mientras se añade el directorio LDAP se muestra el siguiente error: “Error al determinar el estado del recopilador en 2 reintentos, intente reiniciar el recopilador de nuevo(Código de error: AGENT008)”.

Asegúrese de que se proporciona la dirección IP correcta del servidor y la base de búsqueda

La adición de un conector de directorio LDAP da como resultado EL estado DE "REPRUEBA". Muestra el error “no se puede definir el estado del recopilador,REASON TCP command [Connect(localhost:35012,None,List(),some(,segundos),true)] failed debido a que se rechazó java.net.ConnectionException:Connection.”

Se proporciona una IP o un FQDN incorrectos para el servidor AD. Edite y proporcione la dirección IP o el FQDN correctos. ///

La adición de un conector de directorio LDAP da como resultado el estado ‘error’. El error dice: “Error al establecer la conexión LDAP”.

Se proporciona una IP o un FQDN incorrectos para el servidor LDAP. Edite y proporcione la dirección IP o el FQDN correctos. O valor incorrecto para el puerto proporcionado. Pruebe a usar los valores de puerto predeterminados o el número de puerto correcto para el servidor LDAP.

La adición de un conector de directorio LDAP da como resultado el estado ‘error’. El error dice: “No se han podido cargar los ajustes. Motivo: La configuración de DataSource tiene un error. Razón específica: /Connector/conf/Application.conf: 70: ldap.ldap-Port tiene TIPO CADENA en lugar DE NÚMERO”

Valor incorrecto para el puerto proporcionado. Pruebe a usar los valores de puerto predeterminados o el número de puerto correcto para el servidor AD.

Empecé con los atributos obligatorios, y funcionó. Después de agregar los opcionales, los datos de atributos opcionales no se obtienen de AD.

Esto probablemente se deba a una discrepancia entre los atributos opcionales agregados en CloudSecure y los nombres de atributos reales en Active Directory. Edite y proporcione el nombre de atributo obligatorio o opcional correcto.

Después de reiniciar el recopilador, ¿cuándo se producirá la sincronización de LDAP?

La sincronización LDAP se producirá inmediatamente después de que se reinicie el recopilador. Tardará aproximadamente 15 minutos en recuperar datos de usuario de aproximadamente 300 000 usuarios y se actualiza cada 12 horas automáticamente.

Los datos de usuario se sincronizan de LDAP con CloudSecure. ¿Cuándo se eliminarán los datos?

Los datos de usuario se conservan durante 13 meses en caso de no actualización. Si se elimina el arrendatario, los datos se eliminarán.

El conector de directorio LDAP da como resultado el estado 'error'. "El conector está en estado de error. Nombre del servicio: UsersLDAP. Motivo del fallo: No se pudieron recuperar los usuarios LDAP. Motivo del fallo: 80090308: LdapErr: DSID-0C090453, comentario: Error de AcceptSecurityContext, data 52e, v3839"

Se ha proporcionado un nombre de bosque incorrecto. Consulte más arriba cómo proporcionar el nombre correcto del bosque.

El número de teléfono no se rellena en la página del perfil de usuario.

Lo más probable es que esto se deba a un problema de asignación de atributos con Active Directory. 1. Edite el recopilador de Active Directory en particular que está recuperando la información del usuario de Active Directory. 2. Nota Bajo atributos opcionales, hay un nombre de campo “Número de teléfono” asignado al atributo de Active Directory “número de teléfono”. 4. Ahora, utilice la herramienta Explorador de Active Directory como se describe anteriormente para examinar el servidor de LDAP Directory y ver el nombre de atributo correcto. 3. Asegúrese de que en el directorio LDAP hay un atributo llamado “número de teléfono” que tiene el número de teléfono del usuario. 5. Digamos que en LDAP Directory se ha modificado a “phonenumber”. 6. A continuación, edite el recopilador del directorio de usuarios de CloudSecure. En la sección atributo opcional, sustituya ‘telefonenumber’ por ‘fonenumber’. 7. Guarde el recopilador de Active Directory, el recopilador se reiniciará y obtendrá el número de teléfono del usuario y mostrará el mismo en la página de perfil de usuario.

Si el certificado de cifrado (SSL) está habilitado en el servidor de Active Directory (AD), el recopilador de directorios de usuarios de seguridad de carga de trabajo no se puede conectar al servidor AD.

Desactive el cifrado de AD Server antes de configurar un recopilador de directorios de usuarios. Una vez que se haya recuperado el detalle del usuario, estará allí por 13 meses. Si el servidor AD se desconecta después de obtener los detalles del usuario, los usuarios recién agregados en AD no se obtendrán. Para recuperar de nuevo el recopilador de directorios de usuarios debe estar conectado a AD.