Skip to main content
Cloud Insights
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurazione di un servizio di raccolta LDAP Directory Server

Collaboratori

È possibile configurare la sicurezza del carico di lavoro per raccogliere gli attributi utente dai server di directory LDAP.

Prima di iniziare

  • Per eseguire questa attività, è necessario essere un amministratore o un proprietario di account Cloud Insights.

  • È necessario disporre dell'indirizzo IP del server che ospita il server di directory LDAP.

  • Prima di configurare un connettore di directory LDAP, è necessario configurare un agente.

Procedura per la configurazione di un servizio di raccolta directory utente

  1. Nel menu workload Security (sicurezza del carico di lavoro), fare clic su:
    Collector > User Directory Collector > + User Directory Collector e selezionare LDAP Directory Server

    Viene visualizzata la schermata Add User Directory (Aggiungi directory utente).

Configurare User Directory Collector inserendo i dati richiesti nelle seguenti tabelle:

Nome

Descrizione

Nome

Nome univoco della directory utente. Ad esempio GlobalLDAPCollector

Agente

Selezionare un agente configurato dall'elenco

IP del server/Nome dominio

Indirizzo IP o FQDN (Fully-qualified Domain Name) del server che ospita il server di directory LDAP

Base di ricerca

Search base (base di ricerca) del server LDAP Search base (base di ricerca) consente di utilizzare entrambi i seguenti formati: X. y.y.z ⇒ nome di dominio diretto, così come lo si dispone sulla SVM. [Esempio: hq.companyname.com] DC=x,DC=y,DC=z ⇒ nomi distinti relativi [esempio: DC=hq,DC= nomeazienda,DC=com] oppure è possibile specificare quanto segue: OU=engineering,DC=hq,DC= companyname,DC=com [to filtering by specific ou engineering] CN=Username,OU=engineering,DC=companyname, DC=netapp, DC=com [to get only specific user with <username> from OU <engineering>] _CN=Acrobat Users,CN=Users,DC=hq,DC=companyname,DC=companyname,DC=com,o=companyname of the U.S.

DN di binding

Utente autorizzato a cercare nella directory. Ad esempio: uid=ldapuser,cn=users,cn=accounts,DC=domain,DC=companyname,DC=com uid=john,cn=users,cn=accounts,DC=dorp,DC=Company,DC=com per un utente john@dorp.company.com. dorp.company.com

--account

--utenti

--giovanni

--anna

ASSOCIARE la password

Password del server di directory (ad es. Password per il nome utente utilizzato in Bind DN)

Protocollo

ldap, ldaps, ldap-start-tls

Porte

Selezionare la porta

Se i nomi degli attributi predefiniti sono stati modificati in LDAP Directory Server, immettere i seguenti attributi richiesti per Directory Server. Nella maggior parte dei casi, questi nomi di attributi vengono non modificati in LDAP Directory Server, nel qual caso è possibile semplicemente procedere con il nome di attributo predefinito.

Attributi

Nome dell'attributo nel server di directory

Nome visualizzato

nome

UNIXID

uidnumber

Nome utente

uid

Fare clic su Includi attributi facoltativi per aggiungere uno dei seguenti attributi:

Attributi

Nome attributo in Directory Server

Indirizzo e-mail

mail

Numero di telefono

numero di telefono

Ruolo

titolo

Paese

co

Stato

stato

Reparto

numero di parte

Foto

foto

ManagerDN

manager

Gruppi

MemberOf

Verifica della configurazione di User Directory Collector

È possibile convalidare le autorizzazioni utente LDAP e le definizioni degli attributi utilizzando le seguenti procedure:

  • Utilizzare il seguente comando per convalidare l'autorizzazione utente LDAP per la sicurezza del carico di lavoro:

     ldapsearch -D "uid=john ,cn=users,cn=accounts,dc=dorp,dc=company,dc=com" -W -x -LLL -o ldif-wrap=no -b "cn=accounts,dc=dorp,dc=company,dc=com" -H ldap://vmwipaapp08.dorp.company.com
* Utilizzare LDAP Explorer per navigare in un database LDAP, visualizzare le proprietà e gli attributi degli oggetti, visualizzare le autorizzazioni, visualizzare lo schema di un oggetto, eseguire ricerche sofisticate che è possibile salvare ed eseguire nuovamente.

    • Installare LDAP Explorer (http://ldaptool.sourceforge.net/) O Java LDAP Explorer (http://jxplorer.org/) Su qualsiasi computer Windows in grado di connettersi al server LDAP.

    • Connettersi al server LDAP utilizzando il nome utente/la password del server di directory LDAP.

Connessione LDAP

Risoluzione degli errori di configurazione di LDAP Directory Collector

La seguente tabella descrive i problemi noti e le risoluzioni che possono verificarsi durante la configurazione di Collector:

Problema: Risoluzione:

L'aggiunta di un connettore di directory LDAP determina lo stato ‘Error’. Viene visualizzato il messaggio di errore "credenziali non valide fornite per il server LDAP".

DN di binding o password di binding o base di ricerca forniti non corretti. Modificare e fornire le informazioni corrette.

L'aggiunta di un connettore di directory LDAP determina lo stato ‘Error’. L'errore dice: "Impossibile ottenere l'oggetto corrispondente a DN=DC=hq,DC=domainname,DC=com fornito come nome della foresta".

Base di ricerca fornita errata. Modificare e fornire il nome corretto della foresta.

Gli attributi facoltativi dell'utente di dominio non vengono visualizzati nella pagina Profilo utente sicurezza workload.

Ciò è probabilmente dovuto a una mancata corrispondenza tra i nomi degli attributi facoltativi aggiunti in CloudSecure e i nomi degli attributi effettivi in Active Directory. I campi distinguono tra maiuscole e minuscole. Modificare e fornire i nomi degli attributi facoltativi corretti.

Data collector in stato di errore con "Impossibile recuperare utenti LDAP. Motivo dell'errore: Impossibile connettersi al server, la connessione è nulla"

Riavviare il raccoglitore facendo clic sul pulsante Restart.

L'aggiunta di un connettore di directory LDAP determina lo stato ‘Error’.

Assicurarsi di aver fornito valori validi per i campi obbligatori (Server, nome-foresta, BIND-DN, BIND-Password). Assicurarsi che l'input bind-DN sia sempre fornito come uid=ldapuser,cn=users,cn=accounts,DC=domain,DC=companyname,DC=com.

L'aggiunta di un connettore di directory LDAP determina lo stato ‘RETENTATIVO'. Mostra l'errore "Impossibile determinare lo stato del raccoglitore e riprovare"

Verificare che siano forniti l'indirizzo IP del server e la base di ricerca corretti ///

Durante l'aggiunta della directory LDAP viene visualizzato il seguente messaggio di errore: "Impossibile determinare lo stato del raccoglitore entro 2 tentativi, riavviare nuovamente il raccoglitore (codice errore: AGENT008)"

Verificare che siano forniti l'indirizzo IP del server e la base di ricerca corretti

L'aggiunta di un connettore di directory LDAP determina lo stato ‘RETENTATIVO'. Mostra l'errore "Impossibile definire lo stato del raccoglitore, motivo comando TCP [Connect(localhost:35012,None,List(),some(,seconds),true)] non riuscito a causa di java.net.ConnectionException:Connection rifiutato."

IP o FQDN non corretti forniti per il server ad. Modificare e fornire l'indirizzo IP o l'FQDN corretto. ////

L'aggiunta di un connettore di directory LDAP determina lo stato ‘Error’. Viene visualizzato il messaggio di errore "Impossibile stabilire la connessione LDAP".

Indirizzo IP o FQDN errato fornito per il server LDAP. Modificare e fornire l'indirizzo IP o l'FQDN corretto. O valore errato per la porta fornita. Provare a utilizzare i valori di porta predefiniti o il numero di porta corretto per il server LDAP.

L'aggiunta di un connettore di directory LDAP determina lo stato ‘Error’. L'errore indica che non è stato possibile caricare le impostazioni. Motivo: Si è verificato un errore nella configurazione dell'origine dati. Motivo specifico: /Connector/conf/application.conf: 70: ldap.ldap-port ha una STRINGA di tipo piuttosto che UN NUMERO"

Valore errato per la porta fornita. Provare a utilizzare i valori di porta predefiniti o il numero di porta corretto per il server ad.

Ho iniziato con gli attributi obbligatori e ho funzionato. Dopo aver aggiunto i dati facoltativi, i dati degli attributi facoltativi non vengono recuperati da ad.

Ciò è probabilmente dovuto a una mancata corrispondenza tra gli attributi opzionali aggiunti in CloudSecure e i nomi degli attributi effettivi in Active Directory. Modificare e fornire il nome dell'attributo obbligatorio o facoltativo corretto.

Dopo aver riavviato il collector, quando avverrà la sincronizzazione LDAP?

La sincronizzazione LDAP viene eseguita immediatamente dopo il riavvio del collector. Il recupero dei dati utente di circa 300.000 utenti richiede circa 15 minuti e viene aggiornato automaticamente ogni 12 ore.

I dati dell'utente vengono sincronizzati da LDAP a CloudSecure. Quando verranno cancellati i dati?

I dati dell'utente vengono conservati per 13 mesi in caso di mancato aggiornamento. Se il tenant viene cancellato, i dati verranno cancellati.

LDAP Directory Connector si trova nello stato ‘Error’. "Connettore in stato di errore. Nome del servizio: UsersLdap. Motivo dell'errore: Impossibile recuperare gli utenti LDAP. Motivo del guasto: 80090308: LdapErr: DSID-0C090453, commento: AcceptSecurityContext error, data 52e, v3839"

Nome di foresta specificato errato. Vedere sopra per informazioni su come fornire il nome corretto della foresta.

Il numero di telefono non viene inserito nella pagina del profilo utente.

Ciò è probabilmente dovuto a un problema di mappatura degli attributi con Active Directory. 1. Modificare lo specifico Active Directory Collector che sta recuperando le informazioni dell'utente da Active Directory. 2. Nota sotto gli attributi facoltativi, è presente un nome di campo "numero di telefono" mappato all'attributo Active Directory ‘numero di telefono’. 4. Ora, utilizzare lo strumento Active Directory Explorer come descritto in precedenza per esplorare il server LDAP Directory e visualizzare il nome dell'attributo corretto. 3. Assicurarsi che nella directory LDAP sia presente un attributo denominato ‘Telephonenumber’ che abbia effettivamente il numero di telefono dell'utente. 5. Diciamo che nella directory LDAP è stato modificato in ‘phonenumber’. 6. Quindi, modificare CloudSecure User Directory Collector. Nella sezione opzionale degli attributi, sostituire ‘Telephonenumber’ con ‘phonenumber’. 7. Salvare Active Directory Collector, il Collector si riavvierà e otterrà il numero di telefono dell'utente e lo visualizzerà nella pagina del profilo utente.

Se il certificato di crittografia (SSL) è attivato sul server Active Directory (ad), il servizio di raccolta directory utente di workload Security non può connettersi al server ad.

Disattivare la crittografia ad Server prima di configurare un User Directory Collector. Una volta recuperato il dettaglio dell'utente, questo sarà disponibile per 13 mesi. Se il server ad si disconnette dopo aver recuperato i dettagli dell'utente, i nuovi utenti aggiunti in ad non verranno recuperati. Per recuperare di nuovo, è necessario connettere ad ad ad il raccoglitore di directory dell'utente.