Skip to main content
Data Infrastructure Insights
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Active Directory ( AD )ユーザディレクトリコレクタの設定

共同作成者

ワークロードセキュリティは、Active Directoryサーバからユーザ属性を収集するように設定できます。

開始する前に
  • このタスクを実行するには、Data Infrastructure Insightsの管理者またはアカウント所有者である必要があります。

  • Active Directory サーバをホストしているサーバの IP アドレスを確認しておく必要があります。

  • ユーザディレクトリコネクタを設定する前に、エージェントを設定する必要があります。

ユーザーディレクトリコレクタの設定手順
  1. [Workload Security]メニューで、[Collectors]>[User Directory Collector]>[+ User Directory Collector]*をクリックし、[Active Directory]*を選択します。

    [Add User Directory] 画面が表示されます。

次の表に必要なデータを入力して、 User Directory Collector を設定します。

名前

製品説明

名前

ユーザディレクトリの一意の名前。例: GlobalADCollector

エージェント

リストから設定済みエージェントを選択します

サーバの IP / ドメイン名

Active Directory をホストしているサーバの IP アドレスまたは完全修飾ドメイン名( FQDN )

フォレスト名

ディレクトリ構造のフォレストレベル。フォレスト名には、 SVM で所有しているドメイン名と同様に、 x.y.z _⇒ 、 Direct domain name の両方の形式が使用できます。[ 例: hq.companyname.com] _DC= x 、 DC=y 、 DC=z⇒ 相対識別名(例: DC=HQ 、 DC=companyname 、 DC=com )。あるいは、次のように指定できます。 OU=engineering 、 DC=HQ 、 DC=companyname 、 DC=com[ 特定の OU でフィルタリング ] _CN=username 、 OU=engineering 、 DC=companyname 、 DC=netapp 、 DC=com [ 指定のユーザだけを OU から取得 ] <engineering>]_CN=Acrobat ユーザ、 CN=Users 、 DC=users 、 DC=user 、 DC=s以降 、 <company=c 、 <company>s 、 <company=c 、 <company>s 、 <company>s 、 <companyname=c 、 <company>s 、 <username> で、 <users,<users,<users,<username>s 、 <users,<username>s 、 <username,<users,<user> 、 <username,<users,<

バインド DN

ディレクトリの検索が許可されています。例:_username@companyname.com_または_username@domainname.com_また、ドメイン読み取り専用権限が必要です。ユーザは、セキュリティグループ_Read-Only Domain Controllers_のメンバーである必要があります。

バインドパスワード

ディレクトリサーバのパスワード(バインド DN で使用されるユーザ名のパスワード)

プロトコル

LDAP 、 ldaps 、 ldap-start-TLS

ポート

ポートを選択します

Active Directory でデフォルトの属性名が変更されている場合は ' 次の Directory Server 必須属性を入力しますほとんどの場合、これらの属性名は Active Directory で _not_modified となります。この場合、デフォルトの属性名をそのまま使用できます。

属性

ディレクトリサーバの属性名

表示名

名前

SID

objectSID を指定します

ユーザー名

sAMAccountName

次の属性を追加するには、オプション属性を含めるをクリックします。

属性

ディレクトリサーバの属性名

Eメールアドレス

メール

電話番号

電話番号

ロール

タイトル

共同

都道府県

状態

部門

部門

写真

サムネイル写真

ManagerDN

マネージャー

グループ

メンバーOf

ユーザディレクトリコレクタ設定のテスト

LDAP ユーザ権限および属性定義は、次の手順で検証できます。

  • 次のコマンドを使用して、ワークロードセキュリティのLDAPユーザ権限を検証します。

    ldapsearch -o ldif-wrap=no -LLL -x -b "dc=netapp,dc=com" -h 10.235.40.29 -p 389 -D Administrator@netapp.com -W

  • AD エクスプローラを使用して、 AD データベースの移動、オブジェクトのプロパティと属性の表示、権限の表示、オブジェクトのスキーマの表示、高度な検索の実行を行い、保存して再実行することができます。

    • ADサーバに接続できるすべてのWindowsマシンにインストールします"AD エクスプローラ"

    • ADディレクトリサーバのユーザ名/パスワードを使用してADサーバに接続します。

AD接続

ユーザディレクトリコレクタ設定エラーのトラブルシューティング

次の表に、コレクタの設定時に発生する可能性のある既知の問題と解決策を示します。

問題 解決策:

ユーザディレクトリコネクタを追加すると、「エラー」状態になります。「 Invalid credentials provided for LDAP server 」 (LDAP サーバーの資格情報が無効です ) というエラーが表示されます

入力したユーザ名またはパスワードが正しくありません。を編集し、正しいユーザ名とパスワードを入力します。

ユーザディレクトリコネクタを追加すると、「エラー」状態になります。「 DN=DC=HQ,DC=domainname,DC=com に対応するオブジェクトをフォレスト名として提供できませんでした」というエラーが表示されます。

指定したフォレスト名が正しくありません。正しいフォレスト名を編集して入力します。

ドメインユーザーのオプションの属性は、[ワークロードセキュリティユーザープロファイル]ページに表示されません。

これは、 CloudSecure で追加されたオプション属性の名前と Active Directory の実際の属性名が一致しないことが原因である可能性があります。正しいオプションの属性名を編集して入力します。

データコレクタでエラーが発生し、「 LDAP ユーザを取得できませんでした。失敗の理由:サーバに接続できません。接続が null です "

_Restart_Button をクリックして、コレクタを再起動します。

ユーザディレクトリコネクタを追加すると、「エラー」状態になります。

必須フィールドに有効な値( Server 、 forest-name 、 bind-dn 、 bind-Password )が指定されていることを確認してください。bind-DN 入力が常に「 Administrator@<domain_forest_name> 」またはドメイン管理者権限を持つユーザーアカウントとして提供されていることを確認してください。

ユーザディレクトリコネクタを追加すると、「再試行中」の状態になります。「 Unable to define state of the collector 、 reason TCP command [Connect (localhost:35012, None, List() 、 some (,seconds),true)] failed because of java.net.ConnectionException:Connection refused 」というエラーが表示されます。

AD サーバに対して指定された IP または FQDN が正しくありません。を編集し、正しい IP アドレスまたは FQDN を指定します。

ユーザディレクトリコネクタを追加すると、「エラー」状態になります。「 LDAP 接続の確立に失敗しました」というエラーが表示されます。

AD サーバに対して指定された IP または FQDN が正しくありません。を編集し、正しい IP アドレスまたは FQDN を指定します。

ユーザディレクトリコネクタを追加すると、「エラー」状態になります。「設定をロードできませんでした。理由:データソースの設定でエラーが発生しました。具体的な理由: /connector/conf/application.conf : 70 : ldap.ldap-port には number ではなく string 型があります。

指定したポートの値が正しくありません。AD サーバのデフォルトのポート値または正しいポート番号を使用してみてください。

必須属性から始めて、機能しました。オプションの属性を追加した後、オプションの属性データは AD から取得されません。

これは、 CloudSecure で追加されたオプションの属性と Active Directory の実際の属性名が一致しないことが原因である可能性があります。正しい必須またはオプションの属性名を編集して入力します。

コレクタの再起動後、 AD 同期はいつ行われますか。

コレクタが再起動するとすぐに AD 同期が実行されます。約 15 分で約 30 万人のユーザデータが取得され、 12 時間ごとに自動的に更新されます。

ユーザデータは AD から CloudSecure に同期されます。データを削除するタイミング

更新がない場合、ユーザデータは 13 カ月間保持されます。テナントが削除されると、データは削除されます。

ユーザーディレクトリコネクタが「エラー」状態になります。" コネクタでエラーが発生しました。サービス名: usersLDAP 。失敗の理由: LDAP ユーザを取得できませんでした。失敗の理由: 80090308 : LdapErr: DSID-0C090453 、 comment: AcceptSecurityContext error 、 data 52e 、 v3839

指定したフォレスト名が正しくありません。正しいフォレスト名を指定する方法については、上記を参照してください。

電話番号がユーザプロファイルページに入力されていません。

これは、多くの場合、 Active Directory の属性マッピングの問題が原因です。1.Active Directoryからユーザーの情報を取得する特定のActive Directoryコレクタを編集します。2.オプションの属性の下には、Active Directory属性「telephonenumber」にマッピングされたフィールド名「電話番号」があります。4.ここで、前述のようにActive Directoryエクスプローラツールを使用してActive Directoryを参照し、正しい属性名を確認してください。3.Active Directoryに「telephonenumber」という名前の属性があり、実際にユーザの電話番号が含まれていることを確認します。5.Active Directoryで「phonenumber」に変更されているとします。6.次に、CloudSecure User Directoryコレクタを編集します。オプションの属性セクションで、「 telephonenumber 」を「 phonenumber 」に置き換えます。7.Active Directoryコレクタを保存すると、コレクタが再起動してユーザの電話番号を取得し、ユーザプロファイルページに同じ番号が表示されます。

Active Directory(AD)サーバで暗号化証明書(SSL)が有効になっている場合、Workload Security User Directory CollectorはADサーバに接続できません。

ユーザーディレクトリコレクタを設定する前に、 AD サーバーの暗号化を無効にします。ユーザの詳細情報が取得されてから 13 カ月間表示されます。ユーザーの詳細を取得した後に AD サーバーが切断された場合、新しく追加された AD 内のユーザーは取得されません。再度取得するには、ユーザディレクトリコレクタをADに接続する必要があります。

Active DirectoryのデータはCloudInsightsのセキュリティに存在します。CloudInsightsからすべてのユーザ情報を削除する必要がある。

CloudInsights SecurityからActive Directoryユーザー情報のみを削除することはできません。ユーザを削除するには、テナント全体を削除する必要があります。