Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Active Directory ( AD )ユーザディレクトリコレクタの設定

共同作成者

ワークロードセキュリティは、Active Directoryサーバからユーザ属性を収集するように設定できます。

作業を開始する前に

  • このタスクを実行するには、 Cloud Insights 管理者またはアカウント所有者である必要があります。

  • Active Directory サーバをホストしているサーバの IP アドレスを確認しておく必要があります。

  • ユーザディレクトリコネクタを設定する前に、エージェントを設定する必要があります。

ユーザーディレクトリコレクタの設定手順

  1. [Workload Security]メニューで、次のいずれかをクリックします。
    [Collectors]>[User Directory Collector]>[+ User Directory Collector]*を選択し、[Active Directory]*を選択します。

    [Add User Directory] 画面が表示されます。

次の表に必要なデータを入力して、 User Directory Collector を設定します。

名前

説明

名前

ユーザディレクトリの一意の名前。例: GlobalADCollector

エージェント

リストから設定済みエージェントを選択します

サーバの IP / ドメイン名

Active Directory をホストしているサーバの IP アドレスまたは完全修飾ドメイン名( FQDN )

フォレスト名

ディレクトリ構造のフォレストレベル。
フォレスト名では、次の両方の形式を使用できます。

x.y.z⇒ドメイン名をSVMと同じように直接指定します。[例:hq.companyname.com]

dc=x、dc=y、dc=z⇒相対識別名[例:dc=hq、dc=companyname、dc=com]

または、次のように指定できます。

OU=engineering、DC=hq、DC=companyname、DC=com[特定のOU engineeringでフィルタする]

CN=username、OU=engineering、DC=companyname、DC=netapp、DC=com[OU <engineering>から<username>を使用して特定のユーザだけを取得する場合]

CN=Acrobatユーザー、CN=Users、DC=HQ、DC=companyname、DC=com、O=companyname、L=Boston、S=MA、C=US[その組織のユーザー内のすべてのAcrobatユーザーを取得するには]

信頼されたActive Directoryドメインもサポートされます。

バインド DN

ディレクトリの検索が許可されています。たとえば、 username@companyname.comusername@domainname.com などです
また、Domain Read Only権限が必要です。
ユーザは、セキュリティグループ_Read-Only Domain Controllers_のメンバーである必要があります。

バインドパスワード

ディレクトリサーバのパスワード(バインド DN で使用されるユーザ名のパスワード)

プロトコル

LDAP 、 ldaps 、 ldap-start-TLS

ポート

ポートを選択します

Active Directory でデフォルトの属性名が変更されている場合は ' 次の Directory Server 必須属性を入力しますほとんどの場合、これらの属性名は Active Directory で _not_modified となります。この場合、デフォルトの属性名をそのまま使用できます。

属性( Attributes )

ディレクトリサーバの属性名

表示名

名前

SID

objectSID を指定します

ユーザ名

sAMAccountName

次の属性を追加するには、オプション属性を含めるをクリックします。

属性( Attributes )

ディレクトリサーバの属性名

E メールアドレス

メール

電話番号

電話番号

ロール

タイトル

国名

共同

状態

状態

部門

部門

写真

サムネイル写真

ManagerDN

マネージャー

グループ

所属グループ

ユーザディレクトリコレクタ設定のテスト

LDAP ユーザ権限および属性定義は、次の手順で検証できます。

  • 次のコマンドを使用して、ワークロードセキュリティのLDAPユーザ権限を検証します。

    ldapsearch -o ldif-wrap=no -LLL -x -b "dc=netapp,dc=com" -h 10.235.40.29 -p 389 -D Administrator@netapp.com -W

  • AD Explorer を使用して、 AD データベースのナビゲート、オブジェクトのプロパティと属性の表示、権限の表示、オブジェクトのスキーマの表示、高度な検索の実行を行い、保存して再実行することができます。

    • をインストールします "AD エクスプローラ" AD サーバに接続できる任意の Windows マシン。

    • AD ディレクトリサーバのユーザ名とパスワードを使用して AD サーバに接続します。

AD 接続

ユーザディレクトリコレクタ設定エラーのトラブルシューティング

次の表に、コレクタの設定時に発生する可能性のある既知の問題と解決策を示します。

問題 解決策:

ユーザディレクトリコネクタを追加すると、「エラー」状態になります。「 Invalid credentials provided for LDAP server 」 (LDAP サーバーの資格情報が無効です ) というエラーが表示されます

入力したユーザ名またはパスワードが正しくありません。を編集し、正しいユーザ名とパスワードを入力します。

ユーザディレクトリコネクタを追加すると、「エラー」状態になります。「 DN=DC=HQ,DC=domainname,DC=com に対応するオブジェクトをフォレスト名として提供できませんでした」というエラーが表示されます。

指定したフォレスト名が正しくありません。正しいフォレスト名を編集して入力します。

ドメインユーザーのオプションの属性は、[ワークロードセキュリティユーザープロファイル]ページに表示されません。

これは、 CloudSecure で追加されたオプション属性の名前と Active Directory の実際の属性名が一致しないことが原因である可能性があります。正しいオプションの属性名を編集して入力します。

データコレクタでエラーが発生し、「 LDAP ユーザを取得できませんでした。失敗の理由:サーバに接続できません。接続が null です "

_Restart_Button をクリックして、コレクタを再起動します。

ユーザディレクトリコネクタを追加すると、「エラー」状態になります。

必須フィールドに有効な値( Server 、 forest-name 、 bind-dn 、 bind-Password )が指定されていることを確認してください。
bind-DN 入力が常に「 Administrator@<domain_forest_name> 」またはドメイン管理者権限を持つユーザーアカウントとして提供されていることを確認してください。

ユーザディレクトリコネクタを追加すると、「再試行中」の状態になります。「 Unable to define state of the collector 、 reason TCP command [Connect (localhost:35012, None, List() 、 some (,seconds),true)] failed because of java.net.ConnectionException:Connection refused 」というエラーが表示されます。

AD サーバに指定された IP または FQDN が正しくありません。を編集し、正しい IP アドレスまたは FQDN を指定します。

ユーザディレクトリコネクタを追加すると、「エラー」状態になります。「 LDAP 接続の確立に失敗しました」というエラーが表示されます。

AD サーバに指定された IP または FQDN が正しくありません。を編集し、正しい IP アドレスまたは FQDN を指定します。

ユーザディレクトリコネクタを追加すると、「エラー」状態になります。「設定をロードできませんでした。理由:データソースの設定でエラーが発生しました。具体的な理由: /connector/conf/application.conf : 70 : ldap.ldap-port には number ではなく string 型があります。

指定したポートの値が正しくありません。デフォルトのポート値または AD サーバの正しいポート番号を使用してみてください。

必須属性から始めて、機能しました。オプションの属性を追加した後、オプションの属性データは AD から取得されません。

これは、 CloudSecure で追加されたオプションの属性と Active Directory の実際の属性名が一致しないことが原因である可能性があります。正しい必須またはオプションの属性名を編集して入力します。

コレクタの再起動後、 AD 同期はいつ行われますか?

コレクタの再起動後すぐに AD 同期が行われます。約 15 分で約 30 万人のユーザデータが取得され、 12 時間ごとに自動的に更新されます。

ユーザーデータは、 AD から CloudSecure に同期されます。データを削除するタイミング

更新がない場合、ユーザデータは 13 カ月間保持されます。テナントが削除されると、データは削除されます。

ユーザーディレクトリコネクタが「エラー」状態になります。" コネクタでエラーが発生しました。サービス名: usersLDAP 。失敗の理由: LDAP ユーザを取得できませんでした。失敗の理由: 80090308 : LdapErr: DSID-0C090453 、 comment: AcceptSecurityContext error 、 data 52e 、 v3839

指定したフォレスト名が正しくありません。正しいフォレスト名を指定する方法については、上記を参照してください。

電話番号がユーザプロファイルページに入力されていません。

これは、多くの場合、 Active Directory の属性マッピングの問題が原因です。

1. Active Directory からユーザの情報を取得している特定の Active Directory コレクタを編集します。
2. オプション属性の下に、 Active Directory 属性「 telephonenumber 」にマッピングされたフィールド名「 Telephone Number 」があることに注意してください。
4. ここでは、前述の Active Directory エクスプローラツールを使用して、 Active Directory を参照し、正しい属性名を確認してください。
3. Active Directory に、実際にユーザの電話番号を持つ「 telephonenumber 」という名前の属性があることを確認します。
5. ここでは、 Active Directory で「 phonenumber 」に変更されたとします。
6. CloudSecure User Directory コレクタを編集します。オプションの属性セクションで、「 telephonenumber 」を「 phonenumber 」に置き換えます。
7. Active Directory コレクタを保存すると、コレクタが再起動してユーザの電話番号が取得され、ユーザプロファイルページにも同じ番号が表示されます。

Active Directory(AD)サーバで暗号化証明書(SSL)が有効になっている場合、Workload Security User Directory CollectorはADサーバに接続できません。

ユーザーディレクトリコレクタを設定する前に、 AD サーバーの暗号化を無効にします。
ユーザの詳細情報が取得されてから 13 カ月間表示されます。
ユーザーの詳細を取得した後に AD サーバーが切断された場合、新しく追加された AD 内のユーザーは取得されません。再度取得するには、ユーザディレクトリコレクタをADに接続する必要があります。

Active DirectoryのデータはCloudInsightsのセキュリティに存在します。
CloudInsightsからすべてのユーザ情報を削除する必要がある。

CloudInsights SecurityからActive Directoryユーザー情報のみを削除することはできません。ユーザを削除するには、テナント全体を削除する必要があります。