Skip to main content
Data Infrastructure Insights
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Configuration d'un collecteur d'annuaires utilisateurs Active Directory (AD)

Contributeurs netapp-alavoie dgracenetapp
PDF

Workload Security peut être configuré pour collecter les attributs utilisateur à partir des serveurs Active Directory.

Avant de commencer

  • Vous devez être administrateur ou propriétaire de compte Data Infrastructure Insights pour effectuer cette tâche.

  • Vous devez disposer de l’adresse IP du serveur hébergeant le serveur Active Directory.

  • Un agent doit être configuré avant de configurer un connecteur d'annuaire utilisateur.

Étapes pour configurer un collecteur d'annuaires utilisateurs

  1. Dans le menu Sécurité de la charge de travail, cliquez sur : Collecteurs > Collecteurs d'annuaires utilisateurs > + Collecteur d'annuaires utilisateurs et sélectionnez Active Directory

    Le système affiche l’écran Ajouter un répertoire d’utilisateurs.

Configurez le collecteur d’annuaires utilisateurs en saisissant les données requises dans les tableaux suivants :

Nom

Description

Nom

Nom unique pour le répertoire utilisateur. Par exemple GlobalADCollector

Agent

Sélectionnez un agent configuré dans la liste

IP du serveur/nom de domaine

Adresse IP ou nom de domaine complet (FQDN) du serveur hébergeant l'annuaire actif

Nom de la forêt

Niveau de forêt de la structure du répertoire. Le nom de forêt autorise les deux formats suivants : x.y.z ⇒ nom de domaine direct tel que vous l'avez sur votre SVM. [Exemple : hq.companyname.com] DC=x,DC=y,DC=z ⇒ Noms distinctifs relatifs [Exemple : DC=hq,DC= companyname,DC=com] Ou vous pouvez spécifier comme suit : OU=engineering,DC=hq,DC= companyname,DC=com [pour filtrer par UO spécifique engineering] CN=username,OU=engineering,DC=companyname, DC=netapp, DC=com [pour obtenir uniquement l'utilisateur spécifique avec <username> de l'UO <engineering>] CN=Acrobat Users,CN=Users,DC=hq,DC=companyname,DC=com,O= companyname,L=Boston,S=MA,C=US [pour obtenir tous les utilisateurs Acrobat au sein des utilisateurs de cette organisation] Les domaines Active Directory approuvés sont également pris en charge.

Lier DN

L'utilisateur est autorisé à rechercher dans le répertoire. Par exemple : username@companyname.com ou username@domainname.com. De plus, l'autorisation de lecture seule du domaine est requise. L'utilisateur doit être membre du groupe de sécurité Contrôleurs de domaine en lecture seule.

Mot de passe BIND

Mot de passe du serveur d'annuaire (c'est-à-dire le mot de passe du nom d'utilisateur utilisé dans Bind DN)

Protocole

ldap, ldaps, ldap-start-tls

Ports

Sélectionner le port

Saisissez les attributs requis du serveur d’annuaire suivants si les noms d’attributs par défaut ont été modifiés dans Active Directory. Le plus souvent, ces noms d'attributs ne sont pas modifiés dans Active Directory, auquel cas vous pouvez simplement continuer avec le nom d'attribut par défaut.

Attributs

Nom d'attribut dans Directory Server

Nom d'affichage

nom

SID

objectid

Nom d'utilisateur

sAMAccountName

Cliquez sur Inclure les attributs facultatifs pour ajouter l’un des attributs suivants :

Attributs

Nom d'attribut dans le serveur d'annuaire

Adresse email

mail

Numéro de téléphone

numéro de téléphone

Rôle

titre

Pays

co

État

État

Département

département

Photo

vignettephoto

GestionnaireDN

directeur

Groupes

membreDe

Test de la configuration de votre collecteur d'annuaires utilisateurs

Vous pouvez valider les autorisations utilisateur et les définitions d’attributs LDAP à l’aide des procédures suivantes :

  • Utilisez la commande suivante pour valider l’autorisation de l’utilisateur LDAP de Workload Security :

    ldapsearch -o ldif-wrap=no -LLL -x -b "dc=netapp,dc=com" -h 10.235.40.29 -p 389 -D Administrator@netapp.com -W

  • Utilisez AD Explorer pour parcourir une base de données AD, afficher les propriétés et les attributs des objets, afficher les autorisations, afficher le schéma d'un objet, exécuter des recherches sophistiquées que vous pouvez enregistrer et réexécuter.

    • Installer"Explorateur AD" sur n'importe quelle machine Windows pouvant se connecter au serveur AD.

    • Connectez-vous au serveur AD à l’aide du nom d’utilisateur/mot de passe du serveur d’annuaire AD.

Connexion AD

Dépannage des erreurs de configuration du collecteur d'annuaires utilisateurs

Le tableau suivant décrit les problèmes connus et les résolutions qui peuvent survenir lors de la configuration du collecteur :

Problème: Résolution:

L'ajout d'un connecteur d'annuaire utilisateur génère l'état « Erreur ». L'erreur indique : « Informations d'identification non valides fournies pour le serveur LDAP ».

Nom d'utilisateur ou mot de passe incorrect fourni. Modifiez et fournissez le nom d'utilisateur et le mot de passe corrects.

L'ajout d'un connecteur d'annuaire utilisateur génère l'état « Erreur ». L'erreur indique : « Impossible d'obtenir l'objet correspondant à DN=DC=hq,DC=domainname,DC=com fourni comme nom de forêt. »

Nom de forêt incorrect fourni. Modifiez et fournissez le nom de forêt correct.

Les attributs facultatifs de l'utilisateur de domaine n'apparaissent pas dans la page Profil utilisateur de Workload Security.

Cela est probablement dû à une incompatibilité entre les noms des attributs facultatifs ajoutés dans CloudSecure et les noms d’attributs réels dans Active Directory. Modifiez et fournissez le(s) nom(s) d'attribut facultatif(s) correct(s).

Collecteur de données dans un état d'erreur avec « Échec de la récupération des utilisateurs LDAP ». Motif de l'échec : Impossible de se connecter au serveur, la connexion est nulle.

Redémarrez le collecteur en cliquant sur le bouton Redémarrer.

L'ajout d'un connecteur d'annuaire utilisateur génère l'état « Erreur ».

Assurez-vous d'avoir fourni des valeurs valides pour les champs obligatoires (serveur, nom de forêt, DN de liaison, mot de passe de liaison). Assurez-vous que l'entrée bind-DN est toujours fournie sous la forme « Administrateur@<domain_forest_name> » ou sous la forme d'un compte utilisateur avec des privilèges d'administrateur de domaine.

L'ajout d'un connecteur d'annuaire utilisateur entraîne l'état « RÉESSAI ». Affiche l'erreur « Impossible de définir l'état du collecteur, raison pour laquelle la commande TCP [Connect(localhost:35012,None,List(),Some(,seconds),true)] a échoué en raison de java.net.ConnectionException : connexion refusée. »

IP ou FQDN incorrect fourni pour le serveur AD. Modifiez et fournissez l'adresse IP ou le FQDN correct.

L'ajout d'un connecteur d'annuaire utilisateur génère l'état « Erreur ». L'erreur indique : « Échec de l'établissement de la connexion LDAP ».

IP ou FQDN incorrect fourni pour le serveur AD. Modifiez et fournissez l'adresse IP ou le FQDN correct.

L'ajout d'un connecteur d'annuaire utilisateur génère l'état « Erreur ». L'erreur indique : « Échec du chargement des paramètres. Motif : la configuration de la source de données comporte une erreur. Raison spécifique : /connector/conf/application.conf : 70 : ldap.ldap-port est de type STRING plutôt que NUMBER »

Valeur incorrecte pour le port fourni. Essayez d’utiliser les valeurs de port par défaut ou le numéro de port correct pour le serveur AD.

J'ai commencé avec les attributs obligatoires, et cela a fonctionné. Après avoir ajouté les attributs facultatifs, les données des attributs facultatifs ne sont pas récupérées à partir d'AD.

Cela est probablement dû à une incompatibilité entre les attributs facultatifs ajoutés dans CloudSecure et les noms d’attributs réels dans Active Directory. Modifiez et fournissez le nom d'attribut obligatoire ou facultatif correct.

Après le redémarrage du collecteur, quand la synchronisation AD aura-t-elle lieu ?

La synchronisation AD se produira immédiatement après le redémarrage du collecteur. Il faudra environ 15 minutes pour récupérer les données utilisateur d'environ 300 000 utilisateurs, et elles sont actualisées automatiquement toutes les 12 heures.

Les données utilisateur sont synchronisées d’AD vers CloudSecure. Quand les données seront-elles supprimées ?

Les données utilisateur sont conservées pendant 13 mois en cas de non actualisation. Si le locataire est supprimé, les données seront supprimées.

Le connecteur d'annuaire utilisateur génère l'état « Erreur ». "Le connecteur est en état d'erreur. Nom du service : usersLdap. Motif de l'échec : échec de la récupération des utilisateurs LDAP. Motif de l'échec : 80090308 : LdapErr : DSID-0C090453, commentaire : erreur AcceptSecurityContext, données 52e, v3839

Nom de forêt incorrect fourni. Voir ci-dessus comment fournir le nom de forêt correct.

Le numéro de téléphone n'est pas renseigné dans la page de profil utilisateur.

Cela est probablement dû à un problème de mappage d’attributs avec Active Directory. 1. Modifiez le collecteur Active Directory particulier qui récupère les informations de l'utilisateur à partir d'Active Directory. 2. Notez que sous les attributs facultatifs, il existe un nom de champ « Numéro de téléphone » mappé à l'attribut Active Directory « telephonenumber ». 4. Maintenant, utilisez l’outil Active Directory Explorer comme décrit ci-dessus pour parcourir Active Directory et voir le nom d’attribut correct. 3. Assurez-vous que dans Active Directory, il existe un attribut nommé « telephonenumber » qui contient bien le numéro de téléphone de l'utilisateur. 5. Disons que dans Active Directory, il a été modifié en « numéro de téléphone ». 6. Modifiez ensuite le collecteur d’annuaires utilisateurs CloudSecure. Dans la section des attributs facultatifs, remplacez « telephonenumber » par « phonenumber ». 7. Enregistrez le collecteur Active Directory, le collecteur redémarrera et récupérera le numéro de téléphone de l'utilisateur et l'affichera dans la page de profil utilisateur.

Si le certificat de chiffrement (SSL) est activé sur le serveur Active Directory (AD), le collecteur d'annuaires d'utilisateurs Workload Security ne peut pas se connecter au serveur AD.

Désactivez le chiffrement du serveur AD avant de configurer un collecteur d’annuaires utilisateurs. Une fois les détails de l'utilisateur récupérés, ils resteront là pendant 13 mois. Si le serveur AD est déconnecté après avoir récupéré les détails de l'utilisateur, les utilisateurs nouvellement ajoutés dans AD ne seront pas récupérés. Pour effectuer une nouvelle récupération, le collecteur d'annuaires utilisateurs doit être connecté à AD.

Les données d’Active Directory sont présentes dans CloudInsights Security. Vous souhaitez supprimer toutes les informations utilisateur de CloudInsights.

Il n’est pas possible de supprimer UNIQUEMENT les informations utilisateur Active Directory de CloudInsights Security. Afin de supprimer l'utilisateur, le locataire complet doit être supprimé.