日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

LDAP Directory Server Collector の設定

06/16/2023 共同作成者

PDF

ユーザディレクトリコレクタ設定のテスト
LDAP ディレクトリコレクタ設定エラーのトラブルシューティング

ワークロードセキュリティを設定して、LDAPディレクトリサーバからユーザ属性を収集します。

作業を開始する前に

このタスクを実行するには、 Cloud Insights 管理者またはアカウント所有者である必要があります。
LDAP ディレクトリサーバをホストしているサーバの IP アドレスを確認しておく必要があります。
LDAP ディレクトリコネクタを設定する前に、エージェントを設定する必要があります。

ユーザーディレクトリコレクタの設定手順

[Workload Security]メニューで、次のいずれかをクリックします。
[Admin]>[Data Collectors]>[User Directory Collector]>[+ User Directory Collector]*を選択し、[LDAP Directory Server]*を選択します

[Add User Directory] 画面が表示されます。

次の表に必要なデータを入力して、 User Directory Collector を設定します。

名前

説明

名前

ユーザディレクトリの一意の名前。たとえば、「 GlobalLDAPCollector 」と入力します

エージェント

リストから設定済みエージェントを選択します

サーバの IP / ドメイン名

LDAP ディレクトリサーバをホストするサーバの IP アドレスまたは完全修飾ドメイン名（ FQDN ）

ベース検索

LDAPサーバの検索ベース
検索ベースでは、次の両方の形式を使用できます。

x.y.z⇒ドメイン名をSVMと同じように直接指定します。[例：hq.companyname.com]

dc=x、dc=y、dc=z⇒相対識別名[例：dc=hq、dc=companyname、dc=com]

または、次のように指定できます。

OU=engineering、DC=hq、DC=companyname、DC=com[特定のOU engineeringでフィルタする]

CN=username、OU=engineering、DC=companyname、DC=netapp、DC=com[OU <engineering>から<username>を使用して特定のユーザだけを取得する場合]

CN=Acrobatユーザー、CN=Users、DC=HQ、DC=companyname、DC=com、O=companyname、L=Boston、S=MA、C=US[その組織のユーザー内のすべてのAcrobatユーザーを取得するには]

バインド DN

ディレクトリの検索が許可されています。例：
uid=ldapuser、cn=users、cn=accounts、dc=domain、dc=companyname、dc=com
uid=john、cn=users、cn=accounts、dc=dorp、dc=company、dc=com（ユーザjohn@dorp.company.comの場合）

dorp.company.com

アカウント

ユーザ

— ジョン

— アンナ

バインドパスワード

ディレクトリサーバのパスワード（バインド DN で使用されるユーザ名のパスワード）

プロトコル

LDAP 、 ldaps 、 ldap-start-TLS

ポート

ポートを選択します

LDAP ディレクトリサーバでデフォルトの属性名が変更されている場合は ' 次の Directory Server 必須属性を入力しますこれらの属性名のほとんどは、 LDAP ディレクトリサーバで _not_modified となります。この場合、デフォルトの属性名をそのまま使用できます。

属性（ Attributes ）

ディレクトリサーバの属性名

表示名

名前

UNIX ID

uidNumber

ユーザ名

UID

次の属性を追加するには、オプション属性を含めるをクリックします。

属性（ Attributes ）

ディレクトリサーバの属性名

E メールアドレス

メール

電話番号

ロール

タイトル

国名

共同

状態

部門

部門番号

写真

ManagerDN

マネージャー

グループ

所属グループ

ユーザディレクトリコレクタ設定のテスト

LDAP ユーザ権限および属性定義は、次の手順で検証できます。

次のコマンドを使用して、ワークロードセキュリティのLDAPユーザ権限を検証します。

 ldapsearch -D "uid=john ,cn=users,cn=accounts,dc=dorp,dc=company,dc=com" -W -x -LLL -o ldif-wrap=no -b "cn=accounts,dc=dorp,dc=company,dc=com" -H ldap://vmwipaapp08.dorp.company.com
* LDAP エクスプローラを使用して、 LDAP データベースの移動、オブジェクトのプロパティと属性の表示、権限の表示、オブジェクトのスキーマの表示、高度な検索の実行を行い、保存して再実行することができます。

LDAP Explorer をインストールします (http://ldaptool.sourceforge.net/）またはJava LDAPエクスプローラ (http://jxplorer.org/）LDAPサーバに接続できるすべてのWindowsマシンで使用します。
LDAPディレクトリサーバのユーザ名/パスワードを使用してLDAPサーバに接続します。

LDAP接続

LDAP ディレクトリコレクタ設定エラーのトラブルシューティング

次の表に、コレクタの設定時に発生する可能性のある既知の問題と解決策を示します。

問題	解決策：
LDAP Directory Connector を追加すると、「 Error 」状態になります。「 Invalid credentials provided for LDAP server 」 (LDAP サーバーの資格情報が無効です ) というエラーが表示されます	指定したバインド DN またはバインドパスワードまたは検索ベースが正しくありません。を編集し、正しい情報を入力します。
LDAP Directory Connector を追加すると、「 Error 」状態になります。「 DN=DC=HQ,DC=domainname,DC=com に対応するオブジェクトをフォレスト名として提供できませんでした」というエラーが表示されます。	入力された検索ベースが正しくありません正しいフォレスト名を編集して入力します。
ドメインユーザーのオプションの属性は、[ワークロードセキュリティユーザープロファイル]ページに表示されません。	これは、 CloudSecure で追加されたオプション属性の名前と Active Directory の実際の属性名が一致しないことが原因である可能性があります。フィールドでは大文字と小文字が区別されます正しいオプションの属性名を編集して入力します。
データコレクタでエラーが発生し、「 LDAP ユーザを取得できませんでした。失敗の理由：サーバに接続できません。接続が null です "	_Restart_Button をクリックして、コレクタを再起動します。
LDAP Directory Connector を追加すると、「 Error 」状態になります。	必須フィールドに有効な値（ Server 、 forest-name 、 bind-dn 、 bind-Password ）が指定されていることを確認してください。 bind-DN 入力が常に uid=ldapuser,cn=Users,cn=account,dc=domain,dc=companyname,dc=com として提供されていることを確認します。
LDAP Directory Connector を追加すると、「再試行中」の状態になります。「 Failed to Determine the health of the collector したがって retrying again 」というエラーが表示されます。	正しいサーバ IP と検索ベースが提供されていることを確認します ////
LDAPディレクトリの追加中に、次のエラーが表示されます。「Failed to determine the health of the collector within 2 retries、try restarting the collector again（Error Code：AGENT008）」	正しいサーバ IP と検索ベースが提供されていることを確認します
LDAP Directory Connector を追加すると、「再試行中」の状態になります。「 Unable to define state of the collector 、 reason TCP command [Connect (localhost:35012, None, List() 、 some (,seconds),true)] failed because of java.net.ConnectionException:Connection refused 」というエラーが表示されます。	AD サーバに指定された IP または FQDN が正しくありません。を編集し、正しい IP アドレスまたは FQDN を指定します。 ////
LDAP Directory Connector を追加すると、「 Error 」状態になります。「 LDAP 接続の確立に失敗しました」というエラーが表示されます。	LDAP サーバに対して指定された IP または FQDN が正しくありません。を編集し、正しい IP アドレスまたは FQDN を指定します。または指定したポートの値が正しくありません。LDAP サーバのデフォルトのポート値または正しいポート番号を使用してみてください。
LDAP Directory Connector を追加すると、「 Error 」状態になります。「設定をロードできませんでした。理由：データソースの設定でエラーが発生しました。具体的な理由： /connector/conf/application.conf ： 70 ： ldap.ldap-port には number ではなく string 型があります。	指定したポートの値が正しくありません。デフォルトのポート値または AD サーバの正しいポート番号を使用してみてください。
必須属性から始めて、機能しました。オプションの属性を追加した後、オプションの属性データは AD から取得されません。	これは、 CloudSecure で追加されたオプションの属性と Active Directory の実際の属性名が一致しないことが原因である可能性があります。正しい必須またはオプションの属性名を編集して入力します。
コレクタの再起動後、 LDAP 同期はいつ行われますか。	コレクタが再起動するとすぐに LDAP 同期が実行されます。約 15 分で約 30 万人のユーザデータが取得され、 12 時間ごとに自動的に更新されます。
ユーザデータは LDAP から CloudSecure に同期されます。データを削除するタイミング	更新がない場合、ユーザデータは 13 カ月間保持されます。テナントが削除されると、データは削除されます。
LDAP Directory Connector により、「 Error 」状態になります。" コネクタでエラーが発生しました。サービス名： usersLDAP 。失敗の理由： LDAP ユーザを取得できませんでした。失敗の理由： 80090308 ： LdapErr: DSID-0C090453 、 comment: AcceptSecurityContext error 、 data 52e 、 v3839	指定したフォレスト名が正しくありません。正しいフォレスト名を指定する方法については、上記を参照してください。
電話番号がユーザプロファイルページに入力されていません。	これは、多くの場合、 Active Directory の属性マッピングの問題が原因です。 1. Active Directory からユーザの情報を取得している特定の Active Directory コレクタを編集します。 2. オプション属性の下に、 Active Directory 属性「 telephonenumber 」にマッピングされたフィールド名「 Telephone Number 」があることに注意してください。 4. ここでは、前述の Active Directory エクスプローラツールを使用して LDAP ディレクトリサーバを参照し、正しい属性名を確認してください。 3. LDAP ディレクトリに、実際にユーザの電話番号を持つ「 telephonenumber 」という名前の属性があることを確認します。 5. ここでは、 LDAP ディレクトリで「 phonenumber 」に変更されたとします。 6. CloudSecure User Directory コレクタを編集します。オプションの属性セクションで、「 telephonenumber 」を「 phonenumber 」に置き換えます。 7. Active Directory コレクタを保存すると、コレクタが再起動してユーザの電話番号が取得され、ユーザプロファイルページにも同じ番号が表示されます。
Active Directory（AD）サーバで暗号化証明書（SSL）が有効になっている場合、Workload Security User Directory CollectorはADサーバに接続できません。	ユーザーディレクトリコレクタを設定する前に、 AD サーバーの暗号化を無効にします。ユーザの詳細情報が取得されてから 13 カ月間表示されます。ユーザーの詳細を取得した後に AD サーバーが切断された場合、新しく追加された AD 内のユーザーは取得されません。再度取得するには、ユーザディレクトリコレクタが AD に接続されている必要があります。

問題

解決策：

LDAP Directory Connector を追加すると、「 Error 」状態になります。「 Invalid credentials provided for LDAP server 」 (LDAP サーバーの資格情報が無効です ) というエラーが表示されます

指定したバインド DN またはバインドパスワードまたは検索ベースが正しくありません。を編集し、正しい情報を入力します。

LDAP Directory Connector を追加すると、「 Error 」状態になります。「 DN=DC=HQ,DC=domainname,DC=com に対応するオブジェクトをフォレスト名として提供できませんでした」というエラーが表示されます。

入力された検索ベースが正しくありません正しいフォレスト名を編集して入力します。

ドメインユーザーのオプションの属性は、[ワークロードセキュリティユーザープロファイル]ページに表示されません。

これは、 CloudSecure で追加されたオプション属性の名前と Active Directory の実際の属性名が一致しないことが原因である可能性があります。フィールドでは大文字と小文字が区別されます正しいオプションの属性名を編集して入力します。

データコレクタでエラーが発生し、「 LDAP ユーザを取得できませんでした。失敗の理由：サーバに接続できません。接続が null です "

_Restart_Button をクリックして、コレクタを再起動します。

LDAP Directory Connector を追加すると、「 Error 」状態になります。

必須フィールドに有効な値（ Server 、 forest-name 、 bind-dn 、 bind-Password ）が指定されていることを確認してください。
bind-DN 入力が常に uid=ldapuser,cn=Users,cn=account,dc=domain,dc=companyname,dc=com として提供されていることを確認します。

LDAP Directory Connector を追加すると、「再試行中」の状態になります。「 Failed to Determine the health of the collector したがって retrying again 」というエラーが表示されます。

正しいサーバ IP と検索ベースが提供されていることを確認します

////

LDAPディレクトリの追加中に、次のエラーが表示されます。
「Failed to determine the health of the collector within 2 retries、try restarting the collector again（Error Code：AGENT008）」

正しいサーバ IP と検索ベースが提供されていることを確認します

LDAP Directory Connector を追加すると、「再試行中」の状態になります。「 Unable to define state of the collector 、 reason TCP command [Connect (localhost:35012, None, List() 、 some (,seconds),true)] failed because of java.net.ConnectionException:Connection refused 」というエラーが表示されます。

AD サーバに指定された IP または FQDN が正しくありません。を編集し、正しい IP アドレスまたは FQDN を指定します。
////

LDAP Directory Connector を追加すると、「 Error 」状態になります。「 LDAP 接続の確立に失敗しました」というエラーが表示されます。

LDAP サーバに対して指定された IP または FQDN が正しくありません。を編集し、正しい IP アドレスまたは FQDN を指定します。
または
指定したポートの値が正しくありません。LDAP サーバのデフォルトのポート値または正しいポート番号を使用してみてください。

LDAP Directory Connector を追加すると、「 Error 」状態になります。「設定をロードできませんでした。理由：データソースの設定でエラーが発生しました。具体的な理由： /connector/conf/application.conf ： 70 ： ldap.ldap-port には number ではなく string 型があります。

指定したポートの値が正しくありません。デフォルトのポート値または AD サーバの正しいポート番号を使用してみてください。

必須属性から始めて、機能しました。オプションの属性を追加した後、オプションの属性データは AD から取得されません。

これは、 CloudSecure で追加されたオプションの属性と Active Directory の実際の属性名が一致しないことが原因である可能性があります。正しい必須またはオプションの属性名を編集して入力します。

コレクタの再起動後、 LDAP 同期はいつ行われますか。

コレクタが再起動するとすぐに LDAP 同期が実行されます。約 15 分で約 30 万人のユーザデータが取得され、 12 時間ごとに自動的に更新されます。

ユーザデータは LDAP から CloudSecure に同期されます。データを削除するタイミング

更新がない場合、ユーザデータは 13 カ月間保持されます。テナントが削除されると、データは削除されます。

LDAP Directory Connector により、「 Error 」状態になります。" コネクタでエラーが発生しました。サービス名： usersLDAP 。失敗の理由： LDAP ユーザを取得できませんでした。失敗の理由： 80090308 ： LdapErr: DSID-0C090453 、 comment: AcceptSecurityContext error 、 data 52e 、 v3839

指定したフォレスト名が正しくありません。正しいフォレスト名を指定する方法については、上記を参照してください。

電話番号がユーザプロファイルページに入力されていません。

これは、多くの場合、 Active Directory の属性マッピングの問題が原因です。

1. Active Directory からユーザの情報を取得している特定の Active Directory コレクタを編集します。
2. オプション属性の下に、 Active Directory 属性「 telephonenumber 」にマッピングされたフィールド名「 Telephone Number 」があることに注意してください。
4. ここでは、前述の Active Directory エクスプローラツールを使用して LDAP ディレクトリサーバを参照し、正しい属性名を確認してください。
3. LDAP ディレクトリに、実際にユーザの電話番号を持つ「 telephonenumber 」という名前の属性があることを確認します。
5. ここでは、 LDAP ディレクトリで「 phonenumber 」に変更されたとします。
6. CloudSecure User Directory コレクタを編集します。オプションの属性セクションで、「 telephonenumber 」を「 phonenumber 」に置き換えます。
7. Active Directory コレクタを保存すると、コレクタが再起動してユーザの電話番号が取得され、ユーザプロファイルページにも同じ番号が表示されます。

Active Directory（AD）サーバで暗号化証明書（SSL）が有効になっている場合、Workload Security User Directory CollectorはADサーバに接続できません。

ユーザーディレクトリコレクタを設定する前に、 AD サーバーの暗号化を無効にします。
ユーザの詳細情報が取得されてから 13 カ月間表示されます。
ユーザーの詳細を取得した後に AD サーバーが切断された場合、新しく追加された AD 内のユーザーは取得されません。再度取得するには、ユーザディレクトリコレクタが AD に接続されている必要があります。

LDAP Directory Server Collector の設定

Creating your file...

ユーザディレクトリコレクタ設定のテスト

LDAP ディレクトリコレクタ設定エラーのトラブルシューティング