Skip to main content
Data Infrastructure Insights
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Active Directory (AD) ユーザーディレクトリコレクターの構成

共同作成者 netapp-alavoie dgracenetapp
PDF

Workload Security は、Active Directory サーバーからユーザー属性を収集するように設定できます。

開始する前に

  • このタスクを実行するには、 Data Infrastructure Insights管理者またはアカウント所有者である必要があります。

  • Active Directory サーバーをホストしているサーバーの IP アドレスが必要です。

  • ユーザー ディレクトリ コネクタを構成する前に、エージェントを構成する必要があります。

ユーザーディレクトリコレクターを構成する手順

  1. Workload Securityメニューで、*コレクター > ユーザーディレクトリコレクター > + ユーザーディレクトリコレクター*をクリックし、*Active Directory*を選択します。

    「ユーザー ディレクトリの追加」画面が表示されます。

次の表に必要なデータを入力して、ユーザー ディレクトリ コレクターを構成します。

Name

説明

Name

ユーザー ディレクトリの一意の名前。例えば_GlobalADCollector_

エージェント

リストから構成済みのエージェントを選択します

サーバーIP/ドメイン名

アクティブ ディレクトリをホストするサーバーの IP アドレスまたは完全修飾ドメイン名 (FQDN)

森林名

ディレクトリ構造のフォレスト レベル。フォレスト名では、次の両方の形式が許可されます: x.y.z ⇒ SVM にある直接のドメイン名。 [例: hq.companyname.com] DC=x、DC=y、DC=z ⇒ 相対識別名 [例: DC=hq、DC= companyname、DC=com] または、次のように指定することもできます: OU=engineering、DC=hq、DC= companyname、DC=com [特定の OU engineering でフィルタリングする] CN=username、OU=engineering、DC=companyname、DC=netapp、DC=com [OU <engineering> から <username> を持つ特定のユーザーのみを取得する] CN=Acrobat Users、CN=Users、DC=hq、DC=companyname、DC=com、O= companyname、L=Boston、S=MA、C=US [その組織内のユーザー内のすべての Acrobat ユーザーを取得する] 信頼された Active Directory ドメインもサポートされています。

バインドDN

ディレクトリの検索を許可されたユーザー。たとえば、username@companyname.com または username@domainname.com です。さらに、ドメイン読み取り専用権限が必要です。ユーザーは、セキュリティ グループ 読み取り専用ドメイン コントローラー のメンバーである必要があります。

BINDのパスワード

ディレクトリ サーバーのパスワード (つまり、Bind DN で使用されるユーザー名のパスワード)

プロトコル

ldap、ldaps、ldap-start-tls

ポート

ポートを選択

Active Directory でデフォルトの属性名が変更されている場合は、次のディレクトリ サーバーの必須属性を入力します。ほとんどの場合、これらの属性名は Active Directory では変更されません。その場合は、デフォルトの属性名をそのまま使用して続行できます。

属性

ディレクトリサーバーの属性名

表示名

名前

SID

オブジェクトID

ユーザー名

sAMAccountName

次のいずれかの属性を追加するには、「オプション属性を含める」をクリックします。

属性

ディレクトリサーバーの属性名

E メール アドレス

郵便

電話番号

電話番号

ロール

タイトル

共同

状態

部門

部門

写真

サムネイル写真

マネージャーDN

マネージャー

グループ

memberOf

ユーザーディレクトリコレクターの構成のテスト

次の手順を使用して、LDAP ユーザー権限と属性定義を検証できます。

  • Workload Security LDAP ユーザー権限を検証するには、次のコマンドを使用します。

    ldapsearch -o ldif-wrap=no -LLL -x -b "dc=netapp,dc=com" -h 10.235.40.29 -p 389 -D Administrator@netapp.com -W

  • AD Explorer を使用すると、AD データベースをナビゲートしたり、オブジェクトのプロパティと属性を表示したり、権限を表示したり、オブジェクトのスキーマを表示したり、保存して再実行できる高度な検索を実行したりできます。

    • インストール"広告エクスプローラー"AD サーバーに接続できる任意の Windows マシン上。

    • AD ディレクトリ サーバーのユーザー名とパスワードを使用して AD サーバーに接続します。

AD接続

ユーザーディレクトリコレクターの構成エラーのトラブルシューティング

次の表では、コレクターの構成中に発生する可能性のある既知の問題と解決策について説明します。

問題: 解決:

ユーザー ディレクトリ コネクタを追加すると、「エラー」状態になります。 「LDAP サーバーに無効な資格情報が提供されました」というエラーが表示されます。

間違ったユーザー名またはパスワードが指定されました。正しいユーザー名とパスワードを編集して入力します。

ユーザー ディレクトリ コネクタを追加すると、「エラー」状態になります。エラーには、「フォレスト名として指定された DN=DC=hq、DC=domainname、DC=com に対応するオブジェクトを取得できませんでした。」と表示されます。

指定されたフォレスト名が正しくありません。正しいフォレスト名を編集して入力します。

ドメイン ユーザーのオプション属性が、Workload Security ユーザー プロファイル ページに表示されません。

これは、CloudSecure に追加されたオプション属性の名前と Active Directory の実際の属性名が一致していないことが原因であると考えられます。正しいオプション属性名を編集して指定します。

データ コレクターが「LDAP ユーザーの取得に失敗しました」というエラー状態です。失敗の理由: サーバーに接続できません。接続が null です。

Restart ボタンをクリックしてコレクターを再起動します。

ユーザー ディレクトリ コネクタを追加すると、「エラー」状態になります。

必須フィールド (サーバー、フォレスト名、バインド DN、バインド パスワード) に有効な値を指定していることを確認してください。バインド DN 入力が常に 'Administrator@<domain_forest_name>' またはドメイン管理者権限を持つユーザー アカウントとして提供されるようにします。

ユーザー ディレクトリ コネクタを追加すると、「再試行」状態になります。 「コレクターの状態を定義できません。理由: java.net.ConnectionException: 接続が拒否されたため、TCP コマンド [Connect(localhost:35012,None,List(),Some(,seconds),true)] が失敗しました。」というエラーが表示されます。

AD サーバーに指定された IP または FQDN が正しくありません。正しい IP アドレスまたは FQDN を編集して入力します。

ユーザー ディレクトリ コネクタを追加すると、「エラー」状態になります。 「LDAP 接続を確立できませんでした」というエラーが表示されます。

AD サーバーに指定された IP または FQDN が正しくありません。正しい IP アドレスまたは FQDN を編集して入力します。

ユーザー ディレクトリ コネクタを追加すると、「エラー」状態になります。 「設定の読み込みに失敗しました」というエラーが表示されます。理由: データ ソース構成にエラーがあります。具体的な理由: /connector/conf/application.conf: 70: ldap.ldap-port のタイプは NUMBER ではなく STRING です

指定されたポートの値が正しくありません。 AD サーバーのデフォルトのポート値または正しいポート番号を使用してみてください。

必須属性から始めましたが、うまくいきました。オプションのものを追加した後、オプションの属性データが AD から取得されません。

これは、CloudSecure に追加されたオプションの属性と Active Directory の実際の属性名が一致していないことが原因であると考えられます。正しい必須またはオプションの属性名を編集して指定します。

コレクターを再起動した後、AD 同期はいつ行われますか?

コレクターが再起動するとすぐに AD 同期が行われます。約 30 万ユーザーのユーザーデータを取得するには約 15 分かかり、12 時間ごとに自動的に更新されます。

ユーザー データは AD から CloudSecure に同期されます。データはいつ削除されますか?

更新がない場合、ユーザーデータは 13 か月間保持されます。テナントが削除されると、データも削除されます。

ユーザー ディレクトリ コネクタが「エラー」状態になります。 「コネクタはエラー状態です。サービス名: usersLdap。失敗の理由: LDAP ユーザーの取得に失敗しました。失敗の理由: 80090308: LdapErr: DSID-0C090453、コメント: AcceptSecurityContext エラー、データ 52e、v3839"

指定されたフォレスト名が正しくありません。正しいフォレスト名を指定する方法については上記を参照してください。

ユーザー プロフィール ページに電話番号が入力されません。

これは、Active Directory の属性マッピングの問題が原因であると考えられます。1. Active Directory からユーザーの情報を取得している特定の Active Directory コレクターを編集します。2.オプション属性の下に、Active Directory 属性「telephonenumber」にマップされたフィールド名「電話番号」があることに注意してください。4.ここで、上で説明した Active Directory Explorer ツールを使用して Active Directory を参照し、正しい属性名を確認してください。3. Active Directory に、実際にユーザーの電話番号を持つ「telephonenumber」という名前の属性があることを確認します。5. Active Directory では「phonenumber」に変更されているとします。6.次に、CloudSecure ユーザー ディレクトリ コレクターを編集します。オプション属性セクションで、「telephonenumber」を「phonenumber」に置き換えます。7. Active Directory コレクターを保存すると、コレクターが再起動し、ユーザーの電話番号を取得して、ユーザー プロファイル ページに表示します。

Active Directory (AD) サーバーで暗号化証明書 (SSL) が有効になっている場合、Workload Security ユーザー ディレクトリ コレクターは AD サーバーに接続できません。

ユーザー ディレクトリ コレクターを構成する前に、AD サーバー暗号化を無効にします。ユーザーの詳細が取得されると、その情報は 13 か月間保存されます。ユーザーの詳細を取得した後に AD サーバーが切断された場合、AD に新しく追加されたユーザーは取得されません。再度取得するには、ユーザー ディレクトリ コレクターを AD に接続する必要があります。

Active Directory からのデータは CloudInsights Security に存在します。 CloudInsights からすべてのユーザー情報を削除します。

CloudInsights Security から Active Directory ユーザー情報のみを削除することはできません。ユーザーを削除するには、テナント全体を削除する必要があります。