Skip to main content
Data Infrastructure Insights
La versione in lingua italiana fornita proviene da una traduzione automatica. Per eventuali incoerenze, fare riferimento alla versione in lingua inglese.

Configurazione di un server di raccolta directory LDAP

Collaboratori netapp-alavoie
PDF

È possibile configurare Workload Security per raccogliere gli attributi utente dai server della directory LDAP.

Prima di iniziare

  • Per eseguire questa attività, devi essere un amministratore di Data Infrastructure Insights o un proprietario dell'account.

  • È necessario disporre dell'indirizzo IP del server che ospita il server della directory LDAP.

  • Prima di configurare un connettore di directory LDAP, è necessario configurare un agente.

Passaggi per configurare un raccoglitore di directory utente

  1. Nel menu Sicurezza del carico di lavoro, fare clic su: Collector > User Directory Collector > + User Directory Collector e selezionare LDAP Directory Server

    Il sistema visualizza la schermata Aggiungi directory utente.

Configurare User Directory Collector inserendo i dati richiesti nelle seguenti tabelle:

Nome

Descrizione

Nome

Nome univoco per la directory utente. Ad esempio GlobalLDAPCollector

Agente

Seleziona un agente configurato dall'elenco

IP del server/nome di dominio

Indirizzo IP o nome di dominio completo (FQDN) del server che ospita il server di directory LDAP

Base di ricerca

Base di ricerca del server LDAP La base di ricerca consente entrambi i seguenti formati: x.y.z ⇒ nome di dominio diretto così come è presente sul tuo SVM. [Esempio: hq.companyname.com] DC=x,DC=y,DC=z ⇒ Nomi distinti relativi [Esempio: DC=hq,DC= companyname,DC=com] Oppure puoi specificare come segue: OU=engineering,DC=hq,DC= companyname,DC=com [per filtrare in base a OU engineering specifica] CN=username,OU=engineering,DC=companyname, DC=netapp, DC=com [per ottenere solo un utente specifico con <username> da OU <engineering>] CN=Acrobat Users,CN=Users,DC=hq,DC=companyname,DC=com,O= companyname,L=Boston,S=MA,C=US [per ottenere tutti gli utenti Acrobat all'interno degli utenti di quell'organizzazione]

Associa DN

Utente autorizzato a effettuare ricerche nella directory. Ad esempio: uid=ldapuser,cn=users,cn=accounts,dc=domain,dc=companyname,dc=com uid=john,cn=users,cn=accounts,dc=dorp,dc=company,dc=com per un utente john@dorp.company.com. dorp.company.com

--conti

--utenti

--Giovanni

--anna

Password BIND

Password del server di directory (ovvero password per il nome utente utilizzato in Bind DN)

Protocollo

ldap, ldaps, ldap-start-tls

porti

Seleziona la porta

Immettere i seguenti attributi obbligatori del Directory Server se i nomi degli attributi predefiniti sono stati modificati nel Directory Server LDAP. Nella maggior parte dei casi i nomi di questi attributi non vengono modificati in LDAP Directory Server, nel qual caso è possibile procedere semplicemente con il nome dell'attributo predefinito.

Attributi

Nome dell'attributo nel server di directory

Nome da visualizzare

nome

UNIXID

numero uid

Nome utente

fluido

Fare clic su Includi attributi facoltativi per aggiungere uno qualsiasi dei seguenti attributi:

Attributi

Nome attributo nel server directory

Indirizzo e-mail

posta

Numero di telefono

numero di telefono

Ruolo

titolo

Paese

co

Stato

stato

Dipartimento

numerodipartimento

Foto

foto

ManagerDN

manager

Gruppi

membroDi

Test della configurazione del raccoglitore di directory utente

È possibile convalidare le autorizzazioni utente e le definizioni degli attributi LDAP utilizzando le seguenti procedure:

  • Utilizzare il seguente comando per convalidare l'autorizzazione utente LDAP di Workload Security:

     ldapsearch -D "uid=john ,cn=users,cn=accounts,dc=dorp,dc=company,dc=com" -W -x -LLL -o ldif-wrap=no -b "cn=accounts,dc=dorp,dc=company,dc=com" -H ldap://vmwipaapp08.dorp.company.com
* Utilizzare LDAP Explorer per navigare in un database LDAP, visualizzare le proprietà e gli attributi degli oggetti, visualizzare le autorizzazioni, visualizzare lo schema di un oggetto, eseguire ricerche sofisticate che è possibile salvare e rieseguire.

    • Installa LDAP Explorer(http://ldaptool.sourceforge.net/ ) o Java LDAP Explorer(http://jxplorer.org/ ) su qualsiasi macchina Windows in grado di connettersi al server LDAP.

    • Connettersi al server LDAP utilizzando il nome utente/password del server di directory LDAP.

Connessione LDAP

Risoluzione dei problemi di configurazione del raccoglitore directory LDAP

Nella tabella seguente vengono descritti i problemi noti e le relative soluzioni che possono verificarsi durante la configurazione del collettore:

Problema: Risoluzione:

L'aggiunta di un connettore di directory LDAP genera lo stato "Errore". L'errore dice: "Credenziali non valide fornite per il server LDAP".

Bind DN o Bind Password o Search Base forniti non corretti. Modifica e fornisci le informazioni corrette.

L'aggiunta di un connettore di directory LDAP genera lo stato "Errore". L'errore dice: "Impossibile ottenere l'oggetto corrispondente a DN=DC=hq,DC=domainname,DC=com fornito come nome foresta".

Base di ricerca fornita errata. Modifica e fornisci il nome corretto della foresta.

Gli attributi facoltativi dell'utente di dominio non vengono visualizzati nella pagina Profilo utente di Workload Security.

Ciò è probabilmente dovuto a una mancata corrispondenza tra i nomi degli attributi facoltativi aggiunti in CloudSecure e i nomi effettivi degli attributi in Active Directory. I campi sono sensibili alle maiuscole e alle minuscole. Modifica e fornisci i nomi corretti degli attributi facoltativi.

Il raccoglitore dati è in stato di errore con "Impossibile recuperare gli utenti LDAP. Motivo dell'errore: Impossibile connettersi al server, la connessione è nulla"

Riavviare il raccoglitore cliccando sul pulsante Riavvia.

L'aggiunta di un connettore di directory LDAP genera lo stato "Errore".

Assicurati di aver fornito valori validi per i campi obbligatori (Server, nome foresta, DN di associazione, password di associazione). Assicurarsi che l'input bind-DN sia sempre fornito come uid=ldapuser,cn=users,cn=accounts,dc=domain,dc=companyname,dc=com.

L'aggiunta di un connettore di directory LDAP determina lo stato "RITIRO". Mostra l'errore "Impossibile determinare lo stato del collettore, quindi riprovare"

Assicurarsi che siano forniti l'IP del server e la base di ricerca corretti ////

Durante l'aggiunta della directory LDAP viene visualizzato il seguente errore: "Impossibile determinare lo stato del collector entro 2 tentativi, provare a riavviare nuovamente il collector (codice errore: AGENT008)"

Assicurarsi che siano forniti l'IP del server e la base di ricerca corretti

L'aggiunta di un connettore di directory LDAP determina lo stato "RITIRO". Mostra l'errore "Impossibile definire lo stato del collettore, motivo per cui il comando TCP [Connect(localhost:35012,None,List(),Some(,seconds),true)] non è riuscito a causa di java.net.ConnectionException:Connessione rifiutata."

IP o FQDN non corretti forniti per il server AD. Modifica e fornisci l'indirizzo IP o il nome di dominio completo (FQDN) corretto. ////

L'aggiunta di un connettore di directory LDAP genera lo stato "Errore". L'errore dice: "Impossibile stabilire la connessione LDAP".

IP o FQDN non corretti forniti per il server LDAP. Modifica e fornisci l'indirizzo IP o il nome di dominio completo (FQDN) corretto. Oppure Valore errato per la porta fornita. Provare a utilizzare i valori di porta predefiniti o il numero di porta corretto per il server LDAP.

L'aggiunta di un connettore di directory LDAP genera lo stato "Errore". L'errore dice: "Impossibile caricare le impostazioni. Motivo: la configurazione dell'origine dati presenta un errore. Motivo specifico: /connector/conf/application.conf: 70: ldap.ldap-port ha il tipo STRING anziché NUMBER”

Valore non corretto per la porta fornita. Provare a utilizzare i valori di porta predefiniti o il numero di porta corretto per il server AD.

Ho iniziato con gli attributi obbligatori e ha funzionato. Dopo aver aggiunto quelli facoltativi, i dati degli attributi facoltativi non vengono recuperati da AD.

Ciò è probabilmente dovuto a una mancata corrispondenza tra gli attributi facoltativi aggiunti in CloudSecure e i nomi effettivi degli attributi in Active Directory. Modifica e fornisci il nome corretto dell'attributo obbligatorio o facoltativo.

Dopo aver riavviato il collector, quando avverrà la sincronizzazione LDAP?

La sincronizzazione LDAP avverrà immediatamente dopo il riavvio del collector. Ci vorranno circa 15 minuti per recuperare i dati di circa 300.000 utenti e i dati vengono aggiornati automaticamente ogni 12 ore.

I dati utente vengono sincronizzati da LDAP a CloudSecure. Quando verranno eliminati i dati?

In caso di mancato aggiornamento, i dati dell'utente vengono conservati per 13 mesi. Se l'inquilino viene eliminato, anche i dati verranno eliminati.

Il connettore della directory LDAP genera lo stato "Errore". "Il connettore è in stato di errore. Nome del servizio: usersLdap. Motivo dell'errore: impossibile recuperare gli utenti LDAP. Motivo dell'errore: 80090308: LdapErr: DSID-0C090453, commento: errore AcceptSecurityContext, dati 52e, v3839"

Nome foresta fornito errato. Per informazioni su come fornire il nome corretto della foresta, vedere sopra.

Il numero di telefono non viene inserito nella pagina del profilo utente.

Molto probabilmente ciò è dovuto a un problema di mappatura degli attributi con Active Directory. 1. Modificare lo specifico raccoglitore di Active Directory che recupera le informazioni dell'utente da Active Directory. 2. Si noti che tra gli attributi facoltativi è presente un campo denominato "Numero di telefono" mappato all'attributo di Active Directory "telephonenumber". 4. Ora, utilizzare lo strumento Active Directory Explorer come descritto sopra per esplorare il server della directory LDAP e visualizzare il nome corretto dell'attributo. 3. Assicurarsi che nella directory LDAP sia presente un attributo denominato "numero di telefono" che contenga effettivamente il numero di telefono dell'utente. 5. Supponiamo che nella directory LDAP sia stato modificato in "numero di telefono". 6. Quindi modifica il raccoglitore CloudSecure User Directory. Nella sezione degli attributi facoltativi, sostituire 'telephonenumber' con 'phonenumber'. 7. Salvare il raccoglitore di Active Directory, il raccoglitore verrà riavviato e otterrà il numero di telefono dell'utente e lo visualizzerà nella pagina del profilo utente.

Se il certificato di crittografia (SSL) è abilitato sul server Active Directory (AD), Workload Security User Directory Collector non può connettersi al server AD.

Disattivare la crittografia del server AD prima di configurare un User Directory Collector. Una volta recuperati, i dati dell'utente rimarranno disponibili per 13 mesi. Se il server AD viene disconnesso dopo aver recuperato i dettagli dell'utente, gli utenti appena aggiunti in AD non verranno recuperati. Per recuperare nuovamente la directory utente, è necessario connettersi ad AD.