Skip to main content
Data Infrastructure Insights
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurazione di un raccoglitore di directory utente di Active Directory (AD)

Collaboratori netapp-alavoie dgracenetapp
PDF

Workload Security può essere configurato per raccogliere gli attributi utente dai server Active Directory.

Prima di iniziare

  • Per eseguire questa attività, devi essere un amministratore di Data Infrastructure Insights o un proprietario dell'account.

  • È necessario disporre dell'indirizzo IP del server che ospita il server Active Directory.

  • Prima di configurare un connettore Directory utente, è necessario configurare un agente.

Passaggi per configurare un raccoglitore di directory utente

  1. Nel menu Sicurezza del carico di lavoro, fare clic su: Collector > User Directory Collector > + User Directory Collector e selezionare Active Directory

    Il sistema visualizza la schermata Aggiungi directory utente.

Configurare User Directory Collector inserendo i dati richiesti nelle seguenti tabelle:

Nome

Descrizione

Nome

Nome univoco per la directory utente. Ad esempio GlobalADCollector

Agente

Seleziona un agente configurato dall'elenco

IP del server/nome di dominio

Indirizzo IP o nome di dominio completo (FQDN) del server che ospita Active Directory

Nome della foresta

Livello foresta della struttura delle directory. Il nome della foresta consente entrambi i seguenti formati: x.y.z ⇒ nome di dominio diretto così come è presente sulla SVM. [Esempio: hq.companyname.com] DC=x,DC=y,DC=z ⇒ Nomi distinti relativi [Esempio: DC=hq,DC= companyname,DC=com] Oppure puoi specificare come segue: OU=engineering,DC=hq,DC= companyname,DC=com [per filtrare in base a OU engineering specifica] CN=username,OU=engineering,DC=companyname, DC=netapp, DC=com [per ottenere solo un utente specifico con <username> da OU <engineering>] CN=Acrobat Users,CN=Users,DC=hq,DC=companyname,DC=com,O= companyname,L=Boston,S=MA,C=US [per ottenere tutti gli utenti Acrobat all'interno degli utenti di quell'organizzazione] Sono supportati anche i domini Active Directory attendibili.

Associa DN

Utente autorizzato a effettuare ricerche nella directory. Ad esempio: username@companyname.com oppure username@domainname.com Inoltre, è richiesta l'autorizzazione di sola lettura del dominio. L'utente deve essere membro del gruppo di sicurezza Controller di dominio di sola lettura.

Password BIND

Password del server di directory (ovvero password per il nome utente utilizzato in Bind DN)

Protocollo

ldap, ldaps, ldap-start-tls

porti

Seleziona la porta

Immettere i seguenti attributi obbligatori del Directory Server se i nomi degli attributi predefiniti sono stati modificati in Active Directory. Nella maggior parte dei casi i nomi di questi attributi non vengono modificati in Active Directory, nel qual caso è possibile procedere semplicemente con il nome di attributo predefinito.

Attributi

Nome dell'attributo nel server di directory

Nome da visualizzare

nome

SID

oggetti

Nome utente

sAMAccountName

Fare clic su Includi attributi facoltativi per aggiungere uno qualsiasi dei seguenti attributi:

Attributi

Nome attributo nel server directory

Indirizzo e-mail

posta

Numero di telefono

numero di telefono

Ruolo

titolo

Paese

co

Stato

stato

Dipartimento

dipartimento

Foto

miniatura della foto

ManagerDN

manager

Gruppi

membroDi

Test della configurazione del raccoglitore di directory utente

È possibile convalidare le autorizzazioni utente e le definizioni degli attributi LDAP utilizzando le seguenti procedure:

  • Utilizzare il seguente comando per convalidare l'autorizzazione utente LDAP di Workload Security:

    ldapsearch -o ldif-wrap=no -LLL -x -b "dc=netapp,dc=com" -h 10.235.40.29 -p 389 -D Administrator@netapp.com -W

  • Utilizzare AD Explorer per navigare in un database AD, visualizzare le proprietà e gli attributi degli oggetti, visualizzare le autorizzazioni, visualizzare lo schema di un oggetto, eseguire ricerche sofisticate che è possibile salvare e rieseguire.

    • Installare"Esploratore AD" su qualsiasi macchina Windows in grado di connettersi al server AD.

    • Connettersi al server AD utilizzando il nome utente/password del server della directory AD.

Connessione AD

Risoluzione dei problemi relativi agli errori di configurazione del raccoglitore directory utente

Nella tabella seguente vengono descritti i problemi noti e le relative soluzioni che possono verificarsi durante la configurazione del collettore:

Problema: Risoluzione:

L'aggiunta di un connettore Directory utente genera lo stato "Errore". L'errore dice: "Credenziali non valide fornite per il server LDAP".

Nome utente o password forniti non corretti. Modifica e fornisci il nome utente e la password corretti.

L'aggiunta di un connettore Directory utente genera lo stato "Errore". L'errore dice: "Impossibile ottenere l'oggetto corrispondente a DN=DC=hq,DC=domainname,DC=com fornito come nome foresta".

Nome foresta fornito errato. Modifica e fornisci il nome corretto della foresta.

Gli attributi facoltativi dell'utente di dominio non vengono visualizzati nella pagina Profilo utente di Workload Security.

Ciò è probabilmente dovuto a una mancata corrispondenza tra i nomi degli attributi facoltativi aggiunti in CloudSecure e i nomi effettivi degli attributi in Active Directory. Modifica e fornisci i nomi corretti degli attributi facoltativi.

Il raccoglitore dati è in stato di errore con "Impossibile recuperare gli utenti LDAP. Motivo dell'errore: Impossibile connettersi al server, la connessione è nulla"

Riavviare il raccoglitore cliccando sul pulsante Riavvia.

L'aggiunta di un connettore Directory utente genera lo stato "Errore".

Assicurati di aver fornito valori validi per i campi obbligatori (Server, nome foresta, DN di associazione, password di associazione). Assicurarsi che l'input bind-DN sia sempre fornito come 'Administrator@<domain_forest_name>' o come account utente con privilegi di amministratore di dominio.

L'aggiunta di un connettore Directory utente determina lo stato "RITIRO". Mostra l'errore "Impossibile definire lo stato del collettore, motivo per cui il comando TCP [Connect(localhost:35012,None,List(),Some(,seconds),true)] non è riuscito a causa di java.net.ConnectionException:Connessione rifiutata."

IP o FQDN non corretti forniti per il server AD. Modifica e fornisci l'indirizzo IP o il nome di dominio completo (FQDN) corretto.

L'aggiunta di un connettore Directory utente genera lo stato "Errore". L'errore dice: "Impossibile stabilire la connessione LDAP".

IP o FQDN non corretti forniti per il server AD. Modifica e fornisci l'indirizzo IP o il nome di dominio completo (FQDN) corretto.

L'aggiunta di un connettore Directory utente genera lo stato "Errore". L'errore dice: "Impossibile caricare le impostazioni. Motivo: la configurazione dell'origine dati presenta un errore. Motivo specifico: /connector/conf/application.conf: 70: ldap.ldap-port ha il tipo STRING anziché NUMBER”

Valore non corretto per la porta fornita. Provare a utilizzare i valori di porta predefiniti o il numero di porta corretto per il server AD.

Ho iniziato con gli attributi obbligatori e ha funzionato. Dopo aver aggiunto quelli facoltativi, i dati degli attributi facoltativi non vengono recuperati da AD.

Ciò è probabilmente dovuto a una mancata corrispondenza tra gli attributi facoltativi aggiunti in CloudSecure e i nomi effettivi degli attributi in Active Directory. Modifica e fornisci il nome corretto dell'attributo obbligatorio o facoltativo.

Dopo aver riavviato il collector, quando avverrà la sincronizzazione AD?

La sincronizzazione AD avverrà immediatamente dopo il riavvio del collector. Ci vorranno circa 15 minuti per recuperare i dati di circa 300.000 utenti e i dati vengono aggiornati automaticamente ogni 12 ore.

I dati utente vengono sincronizzati da AD a CloudSecure. Quando verranno eliminati i dati?

In caso di mancato aggiornamento, i dati dell'utente vengono conservati per 13 mesi. Se l'inquilino viene eliminato, anche i dati verranno eliminati.

Il connettore della directory utente genera lo stato "Errore". "Il connettore è in stato di errore. Nome del servizio: usersLdap. Motivo dell'errore: impossibile recuperare gli utenti LDAP. Motivo dell'errore: 80090308: LdapErr: DSID-0C090453, commento: errore AcceptSecurityContext, dati 52e, v3839"

Nome foresta fornito errato. Per informazioni su come fornire il nome corretto della foresta, vedere sopra.

Il numero di telefono non viene inserito nella pagina del profilo utente.

Molto probabilmente ciò è dovuto a un problema di mappatura degli attributi con Active Directory. 1. Modificare lo specifico raccoglitore di Active Directory che recupera le informazioni dell'utente da Active Directory. 2. Si noti che tra gli attributi facoltativi è presente un campo denominato "Numero di telefono" mappato all'attributo di Active Directory "telephonenumber". 4. Ora, utilizzare lo strumento Active Directory Explorer come descritto sopra per esplorare Active Directory e visualizzare il nome corretto dell'attributo. 3. Assicurarsi che in Active Directory sia presente un attributo denominato "numero di telefono" che contenga effettivamente il numero di telefono dell'utente. 5. Supponiamo che in Active Directory sia stato modificato in "numero di telefono". 6. Quindi modifica il raccoglitore CloudSecure User Directory. Nella sezione degli attributi facoltativi, sostituire 'telephonenumber' con 'phonenumber'. 7. Salvare il raccoglitore di Active Directory, il raccoglitore verrà riavviato e otterrà il numero di telefono dell'utente e lo visualizzerà nella pagina del profilo utente.

Se il certificato di crittografia (SSL) è abilitato sul server Active Directory (AD), Workload Security User Directory Collector non può connettersi al server AD.

Disattivare la crittografia del server AD prima di configurare un User Directory Collector. Una volta recuperati, i dati dell'utente rimarranno disponibili per 13 mesi. Se il server AD viene disconnesso dopo aver recuperato i dettagli dell'utente, gli utenti appena aggiunti in AD non verranno recuperati. Per effettuare nuovamente il recupero, il raccoglitore di directory utente deve essere connesso ad AD.

I dati di Active Directory sono presenti in CloudInsights Security. Vuoi eliminare tutte le informazioni utente da CloudInsights.

Non è possibile eliminare SOLO le informazioni utente di Active Directory da CloudInsights Security. Per eliminare l'utente, è necessario eliminare l'intero tenant.