日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Active Directory ( AD )ユーザディレクトリコレクタの設定

寄稿者 netapp-alavoie dgracenetapp このページの PDF をダウンロード

Cloud Secure は、 Active Directory サーバからユーザ属性を収集するように設定できます。

作業を開始する前に
  • このタスクを実行するには、 Cloud Insights 管理者またはアカウント所有者である必要があります。

  • Active Directory サーバをホストしているサーバの IP アドレスを確認しておく必要があります。

  • ユーザディレクトリコネクタを設定する前に、エージェントを設定する必要があります。

ユーザーディレクトリコレクタの設定手順
  1. Cloud Secure メニューで、 * Admin > Data Collectors > User Directory Collectors > + User Directory Collector* をクリックし、 * Active Directory * を選択します

    [Add User Directory] 画面が表示されます。

次の表に必要なデータを入力して、 User Directory Collector を設定します。

名前

説明

名前

ユーザディレクトリの一意の名前。例: GlobalADCollector

エージェント

リストから設定済みエージェントを選択します

サーバの IP / ドメイン名

Active Directory をホストしているサーバの IP アドレスまたは完全修飾ドメイン名( FQDN )

フォレスト名

ディレクトリ構造のフォレストレベル。フォレスト名には、 SVM で所有しているドメイン名と同様に、 x.y.z _⇒ 、 Direct domain name の両方の形式が使用できます。[ 例: hq.companyname.com] _DC= x 、 DC=y 、 DC=z⇒ 相対識別名(例: DC=HQ 、 DC=companyname 、 DC=com )。あるいは、次のように指定できます。 OU=engineering 、 DC=HQ 、 DC=companyname 、 DC=com[ 特定の OU でフィルタリング ] _CN=username 、 OU=engineering 、 DC=companyname 、 DC=netapp 、 DC=com [ 指定のユーザだけを OU から取得 ] <engineering>]_CN=Acrobat ユーザ、 CN=Users 、 DC=users 、 DC=user 、 DC=s以降 、 <company=c 、 <company>s 、 <company=c 、 <company>s 、 <company>s 、 <companyname=c 、 <company>s 、 <username> で、 <users,<users,<users,<username>s 、 <users,<username>s 、 <username,<users,<user> 、 <username,<users,<

バインド DN

ディレクトリの検索が許可されています。たとえば、 username@companyname.comusername@domainname.com などです

バインドパスワード

ディレクトリサーバのパスワード(バインド DN で使用されるユーザ名のパスワード)

プロトコル

LDAP 、 ldaps 、 ldap-start-TLS

ポート

ポートを選択します

Active Directory でデフォルトの属性名が変更されている場合は ' 次の Directory Server 必須属性を入力しますほとんどの場合、これらの属性名は Active Directory で _not_modified となります。この場合、デフォルトの属性名をそのまま使用できます。

属性( Attributes )

ディレクトリサーバの属性名

表示名

名前

SID

objectSID を指定します

ユーザ名

sAMAccountName

次の属性を追加するには、オプション属性を含めるをクリックします。

属性( Attributes )

ディレクトリサーバの属性名

E メールアドレス

メール

電話番号

電話番号

ロール

タイトル

国名

共同

状態

状態

部門

部門

写真

サムネイル写真

ManagerDN

マネージャー

グループ

所属グループ

ユーザディレクトリコレクタ設定のテスト

LDAP ユーザ権限および属性定義は、次の手順で検証できます。

  • 次のコマンドを使用して、 Cloud Secure LDAP ユーザ権限を検証します。

    ldapsearch-o ldif-wrap=no-lll-x-b" DC=netapp 、 dc=com "-h 10.235.40.29-p 389-DAdministrator@netapp.com -W

  • AD Explorer を使用して、 AD データベースのナビゲート、オブジェクトのプロパティと属性の表示、権限の表示、オブジェクトのスキーマの表示、高度な検索の実行を行い、保存して再実行することができます。

    • をインストールします "AD エクスプローラ" AD サーバに接続できる任意の Windows マシン。

    • AD ディレクトリサーバのユーザ名とパスワードを使用して AD サーバに接続します。

AD 接続

ユーザディレクトリコレクタ設定エラーのトラブルシューティング

次の表に、コレクタの設定時に発生する可能性のある既知の問題と解決策を示します。

問題 解決策:

ユーザディレクトリコネクタを追加すると、「エラー」状態になります。「 Invalid credentials provided for LDAP server 」 (LDAP サーバーの資格情報が無効です ) というエラーが表示されます

入力したユーザ名またはパスワードが正しくありません。を編集し、正しいユーザ名とパスワードを入力します。

ユーザディレクトリコネクタを追加すると、「エラー」状態になります。「 DN=DC=HQ,DC=domainname,DC=com に対応するオブジェクトをフォレスト名として提供できませんでした」というエラーが表示されます。

指定したフォレスト名が正しくありません。正しいフォレスト名を編集して入力します。

ドメインユーザのオプションの属性は、 Cloud Secure User Profile ページに表示されません。

これは、 CloudSecure で追加されたオプション属性の名前と Active Directory の実際の属性名が一致しないことが原因である可能性があります。正しいオプションの属性名を編集して入力します。

データコレクタでエラーが発生し、「 LDAP ユーザを取得できませんでした。失敗の理由:サーバに接続できません。接続が null です "

_Restart_Button をクリックして、コレクタを再起動します。

ユーザディレクトリコネクタを追加すると、「エラー」状態になります。

必須フィールドに有効な値( Server 、 forest-name 、 bind-dn 、 bind-Password )が指定されていることを確認してください。bind-DN 入力が常に「 Administrator@<domain_forest_name> 」またはドメイン管理者権限を持つユーザーアカウントとして提供されていることを確認してください。

ユーザディレクトリコネクタを追加すると、「再試行中」の状態になります。「 Unable to define state of the collector 、 reason TCP command [Connect (localhost:35012, None, List() 、 some (,seconds),true)] failed because of java.net.ConnectionException:Connection refused 」というエラーが表示されます。

AD サーバに指定された IP または FQDN が正しくありません。を編集し、正しい IP アドレスまたは FQDN を指定します。

ユーザディレクトリコネクタを追加すると、「エラー」状態になります。「 LDAP 接続の確立に失敗しました」というエラーが表示されます。

AD サーバに指定された IP または FQDN が正しくありません。を編集し、正しい IP アドレスまたは FQDN を指定します。

ユーザディレクトリコネクタを追加すると、「エラー」状態になります。「設定をロードできませんでした。理由:データソースの設定でエラーが発生しました。具体的な理由: /connector/conf/application.conf : 70 : ldap.ldap-port には number ではなく string 型があります。

指定したポートの値が正しくありません。デフォルトのポート値または AD サーバの正しいポート番号を使用してみてください。

必須属性から始めて、機能しました。オプションの属性を追加した後、オプションの属性データは AD から取得されません。

これは、 CloudSecure で追加されたオプションの属性と Active Directory の実際の属性名が一致しないことが原因である可能性があります。正しい必須またはオプションの属性名を編集して入力します。

コレクタの再起動後、 AD 同期はいつ行われますか?

コレクタの再起動後すぐに AD 同期が行われます。約 15 分で約 30 万人のユーザデータが取得され、 12 時間ごとに自動的に更新されます。

ユーザーデータは、 AD から CloudSecure に同期されます。データを削除するタイミング

更新がない場合、ユーザデータは 13 カ月間保持されます。テナントが削除されると、データは削除されます。

ユーザーディレクトリコネクタが「エラー」状態になります。" コネクタでエラーが発生しました。サービス名: usersLDAP 。失敗の理由: LDAP ユーザを取得できませんでした。失敗の理由: 80090308 : LdapErr: DSID-0C090453 、 comment: AcceptSecurityContext error 、 data 52e 、 v3839

指定したフォレスト名が正しくありません。正しいフォレスト名を指定する方法については、上記を参照してください。

電話番号がユーザプロファイルページに入力されていません。

これは、多くの場合、 Active Directory の属性マッピングの問題が原因です。1. Active Directory からユーザの情報を取得している特定の Active Directory コレクタを編集します。2. オプション属性の下に、 Active Directory 属性「 telephonenumber 」にマッピングされたフィールド名「 Telephone Number 」があることに注意してください。4. ここでは、前述の Active Directory エクスプローラツールを使用して、 Active Directory を参照し、正しい属性名を確認してください。3. Active Directory に、実際にユーザの電話番号を持つ「 telephonenumber 」という名前の属性があることを確認します。5. ここでは、 Active Directory で「 phonenumber 」に変更されたとします。6. CloudSecure User Directory コレクタを編集します。オプションの属性セクションで、「 telephonenumber 」を「 phonenumber 」に置き換えます。7. Active Directory コレクタを保存すると、コレクタが再起動してユーザの電話番号が取得され、ユーザプロファイルページにも同じ番号が表示されます。

Active Directory ( AD )サーバーで暗号化証明書( SSL )が有効になっている場合、 Cloud Secure ユーザーディレクトリコレクタは AD サーバーに接続できません。

ユーザーディレクトリコレクタを設定する前に、 AD サーバーの暗号化を無効にします。ユーザの詳細情報が取得されてから 13 カ月間表示されます。ユーザーの詳細を取得した後に AD サーバーが切断された場合、新しく追加された AD 内のユーザーは取得されません。再度取得するには、ユーザディレクトリコレクタが AD に接続されている必要があります。