Skip to main content
Data Infrastructure Insights
La version française est une traduction automatique. La version anglaise prévaut sur la française en cas de divergence.

Configuration d'un collecteur de serveur d'annuaire LDAP

Contributeurs netapp-alavoie
PDF

Vous configurez Workload Security pour collecter les attributs utilisateur à partir des serveurs d’annuaire LDAP.

Avant de commencer

  • Vous devez être administrateur ou propriétaire de compte Data Infrastructure Insights pour effectuer cette tâche.

  • Vous devez disposer de l'adresse IP du serveur hébergeant le serveur d'annuaire LDAP.

  • Un agent doit être configuré avant de configurer un connecteur d’annuaire LDAP.

Étapes pour configurer un collecteur d'annuaires utilisateurs

  1. Dans le menu Sécurité de la charge de travail, cliquez sur : Collecteurs > Collecteurs d'annuaires utilisateurs > + Collecteur d'annuaires utilisateurs et sélectionnez Serveur d'annuaire LDAP

    Le système affiche l’écran Ajouter un répertoire d’utilisateurs.

Configurez le collecteur d’annuaires utilisateurs en saisissant les données requises dans les tableaux suivants :

Nom

Description

Nom

Nom unique pour le répertoire utilisateur. Par exemple GlobalLDAPCollector

Agent

Sélectionnez un agent configuré dans la liste

IP du serveur/nom de domaine

Adresse IP ou nom de domaine complet (FQDN) du serveur hébergeant le serveur d'annuaire LDAP

Base de recherche

Base de recherche du serveur LDAP Search Base autorise les deux formats suivants : x.y.z ⇒ nom de domaine direct tel que vous l'avez sur votre SVM. [Exemple : hq.companyname.com] DC=x,DC=y,DC=z ⇒ Noms distinctifs relatifs [Exemple : DC=hq,DC= companyname,DC=com] Ou vous pouvez spécifier comme suit : OU=engineering,DC=hq,DC= companyname,DC=com [pour filtrer par UO spécifique engineering] CN=username,OU=engineering,DC=companyname, DC=netapp, DC=com [pour obtenir uniquement l'utilisateur spécifique avec <username> de l'UO <engineering>] CN=Acrobat Users,CN=Users,DC=hq,DC=companyname,DC=com,O= companyname,L=Boston,S=MA,C=US [pour obtenir tous les utilisateurs Acrobat au sein des utilisateurs de cette organisation]

Lier DN

L'utilisateur est autorisé à rechercher dans le répertoire. Par exemple : uid=ldapuser,cn=users,cn=accounts,dc=domain,dc=companyname,dc=com uid=john,cn=users,cn=accounts,dc=dorp,dc=company,dc=com pour un utilisateur john@dorp.company.com. dorp.company.com

--comptes

--utilisateurs

--John

--Anna

Mot de passe BIND

Mot de passe du serveur d'annuaire (c'est-à-dire le mot de passe du nom d'utilisateur utilisé dans Bind DN)

Protocole

ldap, ldaps, ldap-start-tls

Ports

Sélectionner le port

Saisissez les attributs requis du serveur d'annuaire suivants si les noms d'attributs par défaut ont été modifiés dans le serveur d'annuaire LDAP. Le plus souvent, ces noms d'attributs ne sont pas modifiés dans le serveur d'annuaire LDAP, auquel cas vous pouvez simplement continuer avec le nom d'attribut par défaut.

Attributs

Nom d'attribut dans Directory Server

Nom d'affichage

nom

UNIXID

numéro d'identifiant utilisateur

Nom d'utilisateur

uid

Cliquez sur Inclure les attributs facultatifs pour ajouter l’un des attributs suivants :

Attributs

Nom d'attribut dans le serveur d'annuaire

Adresse email

mail

Numéro de téléphone

numéro de téléphone

Rôle

titre

Pays

co

État

État

Département

numéro de département

Photo

photo

GestionnaireDN

directeur

Groupes

membreDe

Test de la configuration de votre collecteur d'annuaires utilisateurs

Vous pouvez valider les autorisations utilisateur et les définitions d’attributs LDAP à l’aide des procédures suivantes :

  • Utilisez la commande suivante pour valider l’autorisation de l’utilisateur LDAP de Workload Security :

     ldapsearch -D "uid=john ,cn=users,cn=accounts,dc=dorp,dc=company,dc=com" -W -x -LLL -o ldif-wrap=no -b "cn=accounts,dc=dorp,dc=company,dc=com" -H ldap://vmwipaapp08.dorp.company.com
* Utilisez LDAP Explorer pour naviguer dans une base de données LDAP, afficher les propriétés et les attributs des objets, afficher les autorisations, afficher le schéma d'un objet, exécuter des recherches sophistiquées que vous pouvez enregistrer et réexécuter.

    • Installer LDAP Explorer(http://ldaptool.sourceforge.net/ ) ou Java LDAP Explorer(http://jxplorer.org/ ) sur n'importe quelle machine Windows pouvant se connecter au serveur LDAP.

    • Connectez-vous au serveur LDAP en utilisant le nom d'utilisateur/mot de passe du serveur d'annuaire LDAP.

Connexion LDAP

Dépannage des erreurs de configuration du collecteur d'annuaires LDAP

Le tableau suivant décrit les problèmes connus et les résolutions qui peuvent survenir lors de la configuration du collecteur :

Problème: Résolution:

L'ajout d'un connecteur d'annuaire LDAP génère l'état « Erreur ». L'erreur indique : « Informations d'identification non valides fournies pour le serveur LDAP ».

Nom unique de liaison, mot de passe de liaison ou base de recherche incorrects fournis. Modifiez et fournissez les informations correctes.

L'ajout d'un connecteur d'annuaire LDAP génère l'état « Erreur ». L'erreur indique : « Impossible d'obtenir l'objet correspondant à DN=DC=hq,DC=domainname,DC=com fourni comme nom de forêt. »

Base de recherche incorrecte fournie. Modifiez et fournissez le nom de forêt correct.

Les attributs facultatifs de l'utilisateur de domaine n'apparaissent pas dans la page Profil utilisateur de Workload Security.

Cela est probablement dû à une incompatibilité entre les noms des attributs facultatifs ajoutés dans CloudSecure et les noms d’attributs réels dans Active Directory. Les champs sont sensibles à la casse. Modifiez et fournissez le(s) nom(s) d'attribut facultatif(s) correct(s).

Collecteur de données dans un état d'erreur avec « Échec de la récupération des utilisateurs LDAP ». Motif de l'échec : Impossible de se connecter au serveur, la connexion est nulle.

Redémarrez le collecteur en cliquant sur le bouton Redémarrer.

L'ajout d'un connecteur d'annuaire LDAP génère l'état « Erreur ».

Assurez-vous d'avoir fourni des valeurs valides pour les champs obligatoires (serveur, nom de forêt, DN de liaison, mot de passe de liaison). Assurez-vous que l'entrée bind-DN est toujours fournie sous la forme uid=ldapuser,cn=users,cn=accounts,dc=domain,dc=companyname,dc=com.

L'ajout d'un connecteur d'annuaire LDAP entraîne l'état « RETRYING ». Affiche l'erreur « Échec de la détermination de l'état du collecteur, réessayez donc »

Assurez-vous que l'adresse IP du serveur et la base de recherche correctes sont fournies ////

Lors de l'ajout d'un annuaire LDAP, l'erreur suivante s'affiche : « Échec de la détermination de l'état du collecteur après 2 tentatives. Veuillez redémarrer le collecteur (code d'erreur : AGENT008) »

Assurez-vous que l'adresse IP du serveur et la base de recherche correctes sont fournies

L'ajout d'un connecteur d'annuaire LDAP entraîne l'état « RETRYING ». Affiche l'erreur « Impossible de définir l'état du collecteur, raison pour laquelle la commande TCP [Connect(localhost:35012,None,List(),Some(,seconds),true)] a échoué en raison de java.net.ConnectionException : connexion refusée. »

IP ou FQDN incorrect fourni pour le serveur AD. Modifiez et fournissez l'adresse IP ou le FQDN correct. ////

L'ajout d'un connecteur d'annuaire LDAP génère l'état « Erreur ». L'erreur indique : « Échec de l'établissement de la connexion LDAP ».

IP ou FQDN incorrect fourni pour le serveur LDAP. Modifiez et fournissez l'adresse IP ou le FQDN correct. Ou valeur incorrecte pour le port fourni. Essayez d’utiliser les valeurs de port par défaut ou le numéro de port correct pour le serveur LDAP.

L'ajout d'un connecteur d'annuaire LDAP génère l'état « Erreur ». L'erreur indique : « Échec du chargement des paramètres. Motif : la configuration de la source de données comporte une erreur. Raison spécifique : /connector/conf/application.conf : 70 : ldap.ldap-port est de type STRING plutôt que NUMBER »

Valeur incorrecte pour le port fourni. Essayez d’utiliser les valeurs de port par défaut ou le numéro de port correct pour le serveur AD.

J'ai commencé avec les attributs obligatoires, et cela a fonctionné. Après avoir ajouté les attributs facultatifs, les données des attributs facultatifs ne sont pas récupérées à partir d'AD.

Cela est probablement dû à une incompatibilité entre les attributs facultatifs ajoutés dans CloudSecure et les noms d’attributs réels dans Active Directory. Modifiez et fournissez le nom d'attribut obligatoire ou facultatif correct.

Après le redémarrage du collecteur, quand la synchronisation LDAP aura-t-elle lieu ?

La synchronisation LDAP se produira immédiatement après le redémarrage du collecteur. Il faudra environ 15 minutes pour récupérer les données utilisateur d'environ 300 000 utilisateurs, et elles sont actualisées automatiquement toutes les 12 heures.

Les données utilisateur sont synchronisées depuis LDAP vers CloudSecure. Quand les données seront-elles supprimées ?

Les données utilisateur sont conservées pendant 13 mois en cas de non actualisation. Si le locataire est supprimé, les données seront supprimées.

Le connecteur d'annuaire LDAP génère l'état « Erreur ». "Le connecteur est en état d'erreur. Nom du service : usersLdap. Motif de l'échec : échec de la récupération des utilisateurs LDAP. Motif de l'échec : 80090308 : LdapErr : DSID-0C090453, commentaire : erreur AcceptSecurityContext, données 52e, v3839

Nom de forêt incorrect fourni. Voir ci-dessus comment fournir le nom de forêt correct.

Le numéro de téléphone n'est pas renseigné dans la page de profil utilisateur.

Cela est probablement dû à un problème de mappage d’attributs avec Active Directory. 1. Modifiez le collecteur Active Directory particulier qui récupère les informations de l'utilisateur à partir d'Active Directory. 2. Notez que sous les attributs facultatifs, il existe un nom de champ « Numéro de téléphone » mappé à l'attribut Active Directory « telephonenumber ». 4. Maintenant, utilisez l’outil Active Directory Explorer comme décrit ci-dessus pour parcourir le serveur d’annuaire LDAP et voir le nom d’attribut correct. 3. Assurez-vous que dans l'annuaire LDAP, il existe un attribut nommé « telephonenumber » qui contient bien le numéro de téléphone de l'utilisateur. 5. Disons que dans l'annuaire LDAP, il a été modifié en « numéro de téléphone ». 6. Modifiez ensuite le collecteur d’annuaires utilisateurs CloudSecure. Dans la section des attributs facultatifs, remplacez « telephonenumber » par « phonenumber ». 7. Enregistrez le collecteur Active Directory, le collecteur redémarrera et récupérera le numéro de téléphone de l'utilisateur et l'affichera dans la page de profil utilisateur.

Si le certificat de chiffrement (SSL) est activé sur le serveur Active Directory (AD), le collecteur d'annuaires d'utilisateurs Workload Security ne peut pas se connecter au serveur AD.

Désactivez le chiffrement du serveur AD avant de configurer un collecteur d’annuaires utilisateurs. Une fois les détails de l'utilisateur récupérés, ils resteront là pendant 13 mois. Si le serveur AD est déconnecté après avoir récupéré les détails de l'utilisateur, les utilisateurs nouvellement ajoutés dans AD ne seront pas récupérés. Pour récupérer à nouveau, le collecteur de répertoires utilisateurs doit être connecté à AD.