Active Directory ( AD )ユーザディレクトリコレクタの設定
ワークロードセキュリティは、Active Directoryサーバからユーザ属性を収集するように設定できます。
-
このタスクを実行するには、 Cloud Insights 管理者またはアカウント所有者である必要があります。
-
Active Directory サーバをホストしているサーバの IP アドレスを確認しておく必要があります。
-
ユーザディレクトリコネクタを設定する前に、エージェントを設定する必要があります。
-
[Workload Security]メニューで、次のいずれかをクリックします。
[Collectors]>[User Directory Collector]>[+ User Directory Collector]*を選択し、[Active Directory]*を選択します。[Add User Directory] 画面が表示されます。
次の表に必要なデータを入力して、 User Directory Collector を設定します。
名前 |
説明 |
名前 |
ユーザディレクトリの一意の名前。例: GlobalADCollector |
エージェント |
リストから設定済みエージェントを選択します |
サーバの IP / ドメイン名 |
Active Directory をホストしているサーバの IP アドレスまたは完全修飾ドメイン名( FQDN ) |
フォレスト名 |
ディレクトリ構造のフォレストレベル。 |
バインド DN |
ディレクトリの検索が許可されています。たとえば、 username@companyname.com や username@domainname.com などです |
バインドパスワード |
ディレクトリサーバのパスワード(バインド DN で使用されるユーザ名のパスワード) |
プロトコル |
LDAP 、 ldaps 、 ldap-start-TLS |
ポート |
ポートを選択します |
Active Directory でデフォルトの属性名が変更されている場合は ' 次の Directory Server 必須属性を入力しますほとんどの場合、これらの属性名は Active Directory で _not_modified となります。この場合、デフォルトの属性名をそのまま使用できます。
属性( Attributes ) |
ディレクトリサーバの属性名 |
表示名 |
名前 |
SID |
objectSID を指定します |
ユーザ名 |
sAMAccountName |
次の属性を追加するには、オプション属性を含めるをクリックします。
属性( Attributes ) |
ディレクトリサーバの属性名 |
E メールアドレス |
メール |
電話番号 |
電話番号 |
ロール |
タイトル |
国名 |
共同 |
状態 |
状態 |
部門 |
部門 |
写真 |
サムネイル写真 |
ManagerDN |
マネージャー |
グループ |
所属グループ |
ユーザディレクトリコレクタ設定のテスト
LDAP ユーザ権限および属性定義は、次の手順で検証できます。
-
次のコマンドを使用して、ワークロードセキュリティのLDAPユーザ権限を検証します。
ldapsearch -o ldif-wrap=no -LLL -x -b "dc=netapp,dc=com" -h 10.235.40.29 -p 389 -D Administrator@netapp.com -W
-
AD Explorer を使用して、 AD データベースのナビゲート、オブジェクトのプロパティと属性の表示、権限の表示、オブジェクトのスキーマの表示、高度な検索の実行を行い、保存して再実行することができます。
-
をインストールします "AD エクスプローラ" AD サーバに接続できる任意の Windows マシン。
-
AD ディレクトリサーバのユーザ名とパスワードを使用して AD サーバに接続します。
-
ユーザディレクトリコレクタ設定エラーのトラブルシューティング
次の表に、コレクタの設定時に発生する可能性のある既知の問題と解決策を示します。
問題 | 解決策: |
---|---|
ユーザディレクトリコネクタを追加すると、「エラー」状態になります。「 Invalid credentials provided for LDAP server 」 (LDAP サーバーの資格情報が無効です ) というエラーが表示されます |
入力したユーザ名またはパスワードが正しくありません。を編集し、正しいユーザ名とパスワードを入力します。 |
ユーザディレクトリコネクタを追加すると、「エラー」状態になります。「 DN=DC=HQ,DC=domainname,DC=com に対応するオブジェクトをフォレスト名として提供できませんでした」というエラーが表示されます。 |
指定したフォレスト名が正しくありません。正しいフォレスト名を編集して入力します。 |
ドメインユーザーのオプションの属性は、[ワークロードセキュリティユーザープロファイル]ページに表示されません。 |
これは、 CloudSecure で追加されたオプション属性の名前と Active Directory の実際の属性名が一致しないことが原因である可能性があります。正しいオプションの属性名を編集して入力します。 |
データコレクタでエラーが発生し、「 LDAP ユーザを取得できませんでした。失敗の理由:サーバに接続できません。接続が null です " |
_Restart_Button をクリックして、コレクタを再起動します。 |
ユーザディレクトリコネクタを追加すると、「エラー」状態になります。 |
必須フィールドに有効な値( Server 、 forest-name 、 bind-dn 、 bind-Password )が指定されていることを確認してください。 |
ユーザディレクトリコネクタを追加すると、「再試行中」の状態になります。「 Unable to define state of the collector 、 reason TCP command [Connect (localhost:35012, None, List() 、 some (,seconds),true)] failed because of java.net.ConnectionException:Connection refused 」というエラーが表示されます。 |
AD サーバに指定された IP または FQDN が正しくありません。を編集し、正しい IP アドレスまたは FQDN を指定します。 |
ユーザディレクトリコネクタを追加すると、「エラー」状態になります。「 LDAP 接続の確立に失敗しました」というエラーが表示されます。 |
AD サーバに指定された IP または FQDN が正しくありません。を編集し、正しい IP アドレスまたは FQDN を指定します。 |
ユーザディレクトリコネクタを追加すると、「エラー」状態になります。「設定をロードできませんでした。理由:データソースの設定でエラーが発生しました。具体的な理由: /connector/conf/application.conf : 70 : ldap.ldap-port には number ではなく string 型があります。 |
指定したポートの値が正しくありません。デフォルトのポート値または AD サーバの正しいポート番号を使用してみてください。 |
必須属性から始めて、機能しました。オプションの属性を追加した後、オプションの属性データは AD から取得されません。 |
これは、 CloudSecure で追加されたオプションの属性と Active Directory の実際の属性名が一致しないことが原因である可能性があります。正しい必須またはオプションの属性名を編集して入力します。 |
コレクタの再起動後、 AD 同期はいつ行われますか? |
コレクタの再起動後すぐに AD 同期が行われます。約 15 分で約 30 万人のユーザデータが取得され、 12 時間ごとに自動的に更新されます。 |
ユーザーデータは、 AD から CloudSecure に同期されます。データを削除するタイミング |
更新がない場合、ユーザデータは 13 カ月間保持されます。テナントが削除されると、データは削除されます。 |
ユーザーディレクトリコネクタが「エラー」状態になります。" コネクタでエラーが発生しました。サービス名: usersLDAP 。失敗の理由: LDAP ユーザを取得できませんでした。失敗の理由: 80090308 : LdapErr: DSID-0C090453 、 comment: AcceptSecurityContext error 、 data 52e 、 v3839 |
指定したフォレスト名が正しくありません。正しいフォレスト名を指定する方法については、上記を参照してください。 |
電話番号がユーザプロファイルページに入力されていません。 |
これは、多くの場合、 Active Directory の属性マッピングの問題が原因です。 |
Active Directory(AD)サーバで暗号化証明書(SSL)が有効になっている場合、Workload Security User Directory CollectorはADサーバに接続できません。 |
ユーザーディレクトリコレクタを設定する前に、 AD サーバーの暗号化を無効にします。 |
Active DirectoryのデータはCloudInsightsのセキュリティに存在します。 |
CloudInsights SecurityからActive Directoryユーザー情報のみを削除することはできません。ユーザを削除するには、テナント全体を削除する必要があります。 |