LDAP Directory Server Collector の設定
変更を提案
PDF
ワークロードセキュリティを設定して、LDAPディレクトリサーバからユーザ属性を収集します。
-
このタスクを実行するには、Data Infrastructure Insightsの管理者またはアカウント所有者である必要があります。
-
LDAP ディレクトリサーバをホストしているサーバの IP アドレスを確認しておく必要があります。
-
LDAP ディレクトリコネクタを設定する前に、エージェントを設定する必要があります。
-
[Workload Security]メニューで、[Collectors]>[User Directory Collector]>[+ User Directory Collector]*をクリックし、[LDAP Directory Server]*を選択します。
[Add User Directory] 画面が表示されます。
次の表に必要なデータを入力して、 User Directory Collector を設定します。
名前 |
製品説明 |
名前 |
ユーザディレクトリの一意の名前。たとえば、「 GlobalLDAPCollector 」と入力します |
エージェント |
リストから設定済みエージェントを選択します |
サーバの IP / ドメイン名 |
LDAP ディレクトリサーバをホストするサーバの IP アドレスまたは完全修飾ドメイン名( FQDN ) |
ベース検索 |
LDAP サーバ検索ベースの検索ベースでは、 SVM でドメイン名を直接指定する場合と、 x.y.z _ = > の両方の形式を使用できます。[ 例: hq.companyname.com] _DC= x 、 DC=y 、 DC=z⇒ 相対識別名(例: DC=HQ 、 DC=companyname 、 DC=com )。あるいは、次のように指定できます。 OU=engineering 、 DC=HQ 、 DC=companyname 、 DC=com[ 特定の OU でフィルタリング ] _CN=username 、 OU=engineering 、 DC=companyname 、 DC=netapp 、 DC=com [ OU から <username> を使用する特定のユーザだけを取得 ] <engineering>]_CN=Acrobat ユーザ、 CN=Users 、 DC=users 、 DC=user 、 DC=s,DC=s以降 、 <company=c 、 <company=< 企業名 > |
バインド DN |
ディレクトリの検索が許可されています。例:uid=ldapuser、cn=users、cn=accounts、dc=domain、dc=companyname、dc=com uid=john、cn=users、cn=accounts、dc=dorp、dc=company、dc=com(ユーザjohn@dorp.company.comの場合)dorp.company.com |
アカウント |
ユーザ |
— ジョン |
— アンナ |
バインドパスワード |
ディレクトリサーバのパスワード(バインド DN で使用されるユーザ名のパスワード) |
プロトコル |
LDAP 、 ldaps 、 ldap-start-TLS |
ポート |
ポートを選択します |
LDAP ディレクトリサーバでデフォルトの属性名が変更されている場合は ' 次の Directory Server 必須属性を入力しますこれらの属性名のほとんどは、 LDAP ディレクトリサーバで _not_modified となります。この場合、デフォルトの属性名をそのまま使用できます。
属性 |
ディレクトリサーバの属性名 |
表示名 |
名前 |
UNIX ID |
uidNumber |
ユーザー名 |
UID |
次の属性を追加するには、オプション属性を含めるをクリックします。
属性 |
ディレクトリサーバの属性名 |
Eメールアドレス |
メール |
電話番号 |
電話番号 |
ロール |
タイトル |
国 |
共同 |
都道府県 |
状態 |
部門 |
部門番号 |
写真 |
写真 |
ManagerDN |
マネージャー |
グループ |
メンバーOf |
ユーザディレクトリコレクタ設定のテスト
LDAP ユーザ権限および属性定義は、次の手順で検証できます。
-
次のコマンドを使用して、ワークロードセキュリティのLDAPユーザ権限を検証します。
ldapsearch -D "uid=john ,cn=users,cn=accounts,dc=dorp,dc=company,dc=com" -W -x -LLL -o ldif-wrap=no -b "cn=accounts,dc=dorp,dc=company,dc=com" -H ldap://vmwipaapp08.dorp.company.com * LDAP エクスプローラを使用して、 LDAP データベースの移動、オブジェクトのプロパティと属性の表示、権限の表示、オブジェクトのスキーマの表示、高度な検索の実行を行い、保存して再実行することができます。
-
LDAP(http://jxplorer.org/サーバーに接続できる任意のWindowsマシンに、LDAPエクスプローラ(http://ldaptool.sourceforge.net/またはJava LDAPエクスプローラをインストールします。
-
LDAPディレクトリサーバのユーザ名/パスワードを使用してLDAPサーバに接続します。
-
LDAP ディレクトリコレクタ設定エラーのトラブルシューティング
次の表に、コレクタの設定時に発生する可能性のある既知の問題と解決策を示します。
| 問題 | 解決策: |
|---|---|
LDAP Directory Connector を追加すると、「 Error 」状態になります。「 Invalid credentials provided for LDAP server 」 (LDAP サーバーの資格情報が無効です ) というエラーが表示されます |
指定したバインド DN またはバインドパスワードまたは検索ベースが正しくありません。を編集し、正しい情報を入力します。 |
LDAP Directory Connector を追加すると、「 Error 」状態になります。「 DN=DC=HQ,DC=domainname,DC=com に対応するオブジェクトをフォレスト名として提供できませんでした」というエラーが表示されます。 |
入力された検索ベースが正しくありません正しいフォレスト名を編集して入力します。 |
ドメインユーザーのオプションの属性は、[ワークロードセキュリティユーザープロファイル]ページに表示されません。 |
これは、 CloudSecure で追加されたオプション属性の名前と Active Directory の実際の属性名が一致しないことが原因である可能性があります。フィールドでは大文字と小文字が区別されます正しいオプションの属性名を編集して入力します。 |
データコレクタでエラーが発生し、「 LDAP ユーザを取得できませんでした。失敗の理由:サーバに接続できません。接続が null です " |
_Restart_Button をクリックして、コレクタを再起動します。 |
LDAP Directory Connector を追加すると、「 Error 」状態になります。 |
必須フィールドに有効な値( Server 、 forest-name 、 bind-dn 、 bind-Password )が指定されていることを確認してください。bind-DN 入力が常に uid=ldapuser,cn=Users,cn=account,dc=domain,dc=companyname,dc=com として提供されていることを確認します。 |
LDAP Directory Connector を追加すると、「再試行中」の状態になります。「 Failed to Determine the health of the collector したがって retrying again 」というエラーが表示されます。 |
正しいサーバIPと検索ベースが提供されていることを確認します/// |
LDAP ディレクトリの追加中に、「 Failed to Determine the collector within 2 retries 、 try restarting the collector again (Error Code: AGENT008) 」というエラーが表示されます。 |
正しいサーバ IP と検索ベースが提供されていることを確認します |
LDAP Directory Connector を追加すると、「再試行中」の状態になります。「 Unable to define state of the collector 、 reason TCP command [Connect (localhost:35012, None, List() 、 some (,seconds),true)] failed because of java.net.ConnectionException:Connection refused 」というエラーが表示されます。 |
AD サーバに対して指定された IP または FQDN が正しくありません。を編集し、正しい IP アドレスまたは FQDN を指定します。//// |
LDAP Directory Connector を追加すると、「 Error 」状態になります。「 LDAP 接続の確立に失敗しました」というエラーが表示されます。 |
LDAP サーバに対して指定された IP または FQDN が正しくありません。を編集し、正しい IP アドレスまたは FQDN を指定します。または、指定されたポートの値が正しくありません。LDAP サーバのデフォルトのポート値または正しいポート番号を使用してみてください。 |
LDAP Directory Connector を追加すると、「 Error 」状態になります。「設定をロードできませんでした。理由:データソースの設定でエラーが発生しました。具体的な理由: /connector/conf/application.conf : 70 : ldap.ldap-port には number ではなく string 型があります。 |
指定したポートの値が正しくありません。AD サーバのデフォルトのポート値または正しいポート番号を使用してみてください。 |
必須属性から始めて、機能しました。オプションの属性を追加した後、オプションの属性データは AD から取得されません。 |
これは、 CloudSecure で追加されたオプションの属性と Active Directory の実際の属性名が一致しないことが原因である可能性があります。正しい必須またはオプションの属性名を編集して入力します。 |
コレクタの再起動後、 LDAP 同期はいつ行われますか。 |
コレクタが再起動するとすぐに LDAP 同期が実行されます。約 15 分で約 30 万人のユーザデータが取得され、 12 時間ごとに自動的に更新されます。 |
ユーザデータは LDAP から CloudSecure に同期されます。データを削除するタイミング |
更新がない場合、ユーザデータは 13 カ月間保持されます。テナントが削除されると、データは削除されます。 |
LDAP Directory Connector により、「 Error 」状態になります。" コネクタでエラーが発生しました。サービス名: usersLDAP 。失敗の理由: LDAP ユーザを取得できませんでした。失敗の理由: 80090308 : LdapErr: DSID-0C090453 、 comment: AcceptSecurityContext error 、 data 52e 、 v3839 |
指定したフォレスト名が正しくありません。正しいフォレスト名を指定する方法については、上記を参照してください。 |
電話番号がユーザプロファイルページに入力されていません。 |
これは、多くの場合、 Active Directory の属性マッピングの問題が原因です。1.Active Directoryからユーザーの情報を取得する特定のActive Directoryコレクタを編集します。2.オプションの属性の下には、Active Directory属性「telephonenumber」にマッピングされたフィールド名「電話番号」があります。4.ここで、前述のようにActive Directoryエクスプローラツールを使用してLDAPディレクトリサーバを参照し、正しい属性名を確認してください。3.LDAPディレクトリに「telephonenumber」という名前の属性があり、実際にはユーザの電話番号が含まれていることを確認します。5.LDAPディレクトリで'phonenumber'に変更されているとします。6.次に、CloudSecure User Directoryコレクタを編集します。オプションの属性セクションで、「 telephonenumber 」を「 phonenumber 」に置き換えます。7.Active Directoryコレクタを保存すると、コレクタが再起動してユーザの電話番号を取得し、ユーザプロファイルページに同じ番号が表示されます。 |
Active Directory(AD)サーバで暗号化証明書(SSL)が有効になっている場合、Workload Security User Directory CollectorはADサーバに接続できません。 |
ユーザーディレクトリコレクタを設定する前に、 AD サーバーの暗号化を無効にします。ユーザの詳細情報が取得されてから 13 カ月間表示されます。ユーザーの詳細を取得した後に AD サーバーが切断された場合、新しく追加された AD 内のユーザーは取得されません。再度取得するには、ユーザディレクトリコレクタが AD に接続されている必要があります。 |