Skip to main content
Data Infrastructure Insights
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

LDAPディレクトリサーバーコレクターの構成

共同作成者 netapp-alavoie
PDF

Workload Security を設定して、LDAP ディレクトリ サーバからユーザ属性を収集します。

開始する前に

  • このタスクを実行するには、 Data Infrastructure Insights管理者またはアカウント所有者である必要があります。

  • LDAP ディレクトリ サーバーをホストするサーバーの IP アドレスが必要です。

  • LDAP ディレクトリ コネクタを構成する前に、エージェントを構成する必要があります。

ユーザーディレクトリコレクターを構成する手順

  1. ワークロード セキュリティ メニューで、コレクター > ユーザー ディレクトリ コレクター > + ユーザー ディレクトリ コレクター をクリックし、LDAP ディレクトリ サーバー を選択します。

    「ユーザー ディレクトリの追加」画面が表示されます。

次の表に必要なデータを入力して、ユーザー ディレクトリ コレクターを構成します。

Name

説明

Name

ユーザー ディレクトリの一意の名前。例えば_GlobalLDAPCollector_

エージェント

リストから構成済みのエージェントを選択します

サーバーIP/ドメイン名

LDAP ディレクトリ サーバーをホストするサーバーの IP アドレスまたは完全修飾ドメイン名 (FQDN)

検索ベース

LDAP サーバーの検索ベース検索ベースでは、次の両方の形式が許可されます: x.y.z ⇒ SVM にある直接のドメイン名。 [例: hq.companyname.com] DC=x,DC=y,DC=z ⇒ 相対識別名 [例: DC=hq,DC= companyname,DC=com] または、次のように指定することもできます: OU=engineering,DC=hq,DC= companyname,DC=com [特定の OU engineering でフィルタリングする] CN=username,OU=engineering,DC=companyname, DC=netapp, DC=com [OU <engineering> から <username> を持つ特定のユーザーのみを取得する] CN=Acrobat Users,CN=Users,DC=hq,DC=companyname,DC=com,O= companyname,L=Boston,S=MA,C=US [その組織内のユーザー内のすべての Acrobat ユーザーを取得する]

バインドDN

ディレクトリの検索を許可されたユーザー。たとえば、ユーザー john@dorp.company.com の場合、uid=ldapuser、cn=users、cn=accounts、dc=domain、dc=companyname、dc=com uid=john、cn=users、cn=accounts、dc=dorp、dc=company、dc=com となります。 dorp.company.com

--アカウント

--ユーザー

--ジョン

--アンナ

BINDのパスワード

ディレクトリ サーバーのパスワード (つまり、Bind DN で使用されるユーザー名のパスワード)

プロトコル

ldap、ldaps、ldap-start-tls

ポート

ポートを選択

LDAP ディレクトリ サーバーでデフォルトの属性名が変更されている場合は、次のディレクトリ サーバーの必須属性を入力します。ほとんどの場合、これらの属性名は LDAP ディレクトリ サーバーで変更されません。その場合は、デフォルトの属性名でそのまま続行できます。

属性

ディレクトリサーバーの属性名

表示名

名前

UNIXID

uid番号

ユーザー名

uid

次のいずれかの属性を追加するには、「オプション属性を含める」をクリックします。

属性

ディレクトリサーバーの属性名

E メール アドレス

郵便

電話番号

電話番号

ロール

タイトル

共同

状態

部門

部門番号

写真

写真

マネージャーDN

マネージャー

グループ

memberOf

ユーザーディレクトリコレクターの構成のテスト

次の手順を使用して、LDAP ユーザー権限と属性定義を検証できます。

  • Workload Security LDAP ユーザー権限を検証するには、次のコマンドを使用します。

     ldapsearch -D "uid=john ,cn=users,cn=accounts,dc=dorp,dc=company,dc=com" -W -x -LLL -o ldif-wrap=no -b "cn=accounts,dc=dorp,dc=company,dc=com" -H ldap://vmwipaapp08.dorp.company.com
* LDAP エクスプローラーを使用すると、LDAP データベースをナビゲートしたり、オブジェクトのプロパティと属性を表示したり、権限を表示したり、オブジェクトのスキーマを表示したり、保存して再実行できる高度な検索を実行したりできます。

    • LDAPエクスプローラーをインストールする(http://ldaptool.sourceforge.net/) または Java LDAP エクスプローラー(http://jxplorer.org/) を、LDAP サーバーに接続できる任意の Windows マシンにインストールします。

    • LDAP ディレクトリ サーバーのユーザー名とパスワードを使用して LDAP サーバーに接続します。

LDAP接続

LDAPディレクトリコレクターの設定エラーのトラブルシューティング

次の表では、コレクターの構成中に発生する可能性のある既知の問題と解決策について説明します。

問題: 解決:

LDAP ディレクトリ コネクタを追加すると、「エラー」状態になります。 「LDAP サーバーに無効な資格情報が提供されました」というエラーが表示されます。

指定されたバインド DN またはバインド パスワードまたは検索ベースが正しくありません。正しい情報を編集して提供してください。

LDAP ディレクトリ コネクタを追加すると、「エラー」状態になります。エラーには、「フォレスト名として指定された DN=DC=hq、DC=domainname、DC=com に対応するオブジェクトを取得できませんでした。」と表示されます。

間違った検索ベースが指定されました。正しいフォレスト名を編集して入力します。

ドメイン ユーザーのオプション属性が、Workload Security ユーザー プロファイル ページに表示されません。

これは、CloudSecure に追加されたオプション属性の名前と Active Directory の実際の属性名が一致していないことが原因であると考えられます。フィールドでは大文字と小文字が区別されます。正しいオプション属性名を編集して指定します。

データ コレクターが「LDAP ユーザーの取得に失敗しました」というエラー状態です。失敗の理由: サーバーに接続できません。接続が null です。

Restart ボタンをクリックしてコレクターを再起動します。

LDAP ディレクトリ コネクタを追加すると、「エラー」状態になります。

必須フィールド (サーバー、フォレスト名、バインド DN、バインド パスワード) に有効な値を指定していることを確認してください。バインド DN 入力が常に uid=ldapuser、cn=users、cn=accounts、dc=domain、dc=companyname、dc=com として提供されるようにします。

LDAP ディレクトリ コネクタを追加すると、「再試行」状態になります。 「コレクターの正常性を判断できなかったため、再試行します」というエラーが表示されます

正しいサーバー IP と検索ベースが提供されていることを確認してください ////

LDAP ディレクトリの追加中に次のエラーが表示されます: 「2 回の再試行でコレクターの正常性を判断できませんでした。コレクターをもう一度再起動してください (エラー コード: AGENT008)」

正しいサーバーIPと検索ベースが提供されていることを確認してください

LDAP ディレクトリ コネクタを追加すると、「再試行」状態になります。 「コレクターの状態を定義できません。理由: java.net.ConnectionException: 接続が拒否されたため、TCP コマンド [Connect(localhost:35012,None,List(),Some(,seconds),true)] が失敗しました。」というエラーが表示されます。

AD サーバーに指定された IP または FQDN が正しくありません。正しい IP アドレスまたは FQDN を編集して入力します。 ////

LDAP ディレクトリ コネクタを追加すると、「エラー」状態になります。 「LDAP 接続を確立できませんでした」というエラーが表示されます。

LDAP サーバーに指定された IP または FQDN が正しくありません。正しい IP アドレスまたは FQDN を編集して入力します。または、指定されたポートの値が正しくありません。 LDAP サーバーのデフォルトのポート値または正しいポート番号を使用してみてください。

LDAP ディレクトリ コネクタを追加すると、「エラー」状態になります。 「設定の読み込みに失敗しました」というエラーが表示されます。理由: データ ソース構成にエラーがあります。具体的な理由: /connector/conf/application.conf: 70: ldap.ldap-port のタイプは NUMBER ではなく STRING です

指定されたポートの値が正しくありません。 AD サーバーのデフォルトのポート値または正しいポート番号を使用してみてください。

必須属性から始めましたが、うまくいきました。オプションのものを追加した後、オプションの属性データが AD から取得されません。

これは、CloudSecure に追加されたオプションの属性と Active Directory の実際の属性名が一致していないことが原因であると考えられます。正しい必須またはオプションの属性名を編集して指定します。

コレクターを再起動した後、LDAP 同期はいつ行われますか?

コレクターが再起動するとすぐに LDAP 同期が実行されます。約 30 万ユーザーのユーザーデータを取得するには約 15 分かかり、12 時間ごとに自動的に更新されます。

ユーザーデータは LDAP から CloudSecure に同期されます。データはいつ削除されますか?

更新がない場合、ユーザーデータは 13 か月間保持されます。テナントが削除されると、データも削除されます。

LDAP ディレクトリ コネクタが「エラー」状態になります。 「コネクタはエラー状態です。サービス名: usersLdap。失敗の理由: LDAP ユーザーの取得に失敗しました。失敗の理由: 80090308: LdapErr: DSID-0C090453、コメント: AcceptSecurityContext エラー、データ 52e、v3839"

指定されたフォレスト名が正しくありません。正しいフォレスト名を指定する方法については上記を参照してください。

ユーザー プロフィール ページに電話番号が入力されません。

これは、Active Directory の属性マッピングの問題が原因であると考えられます。1. Active Directory からユーザーの情報を取得している特定の Active Directory コレクターを編集します。2.オプション属性の下に、Active Directory 属性「telephonenumber」にマップされたフィールド名「電話番号」があることに注意してください。4.ここで、上で説明した Active Directory Explorer ツールを使用して、LDAP ディレクトリ サーバーを参照し、正しい属性名を確認してください。3. LDAP ディレクトリに、実際にユーザーの電話番号を持つ「telephonenumber」という名前の属性があることを確認します。5. LDAP ディレクトリで「phonenumber」に変更されたとします。6.次に、CloudSecure ユーザー ディレクトリ コレクターを編集します。オプション属性セクションで、「telephonenumber」を「phonenumber」に置き換えます。7. Active Directory コレクターを保存すると、コレクターが再起動し、ユーザーの電話番号を取得して、ユーザー プロファイル ページに表示します。

Active Directory (AD) サーバーで暗号化証明書 (SSL) が有効になっている場合、Workload Security ユーザー ディレクトリ コレクターは AD サーバーに接続できません。

ユーザー ディレクトリ コレクターを構成する前に、AD サーバー暗号化を無効にします。ユーザーの詳細が取得されると、その情報は 13 か月間保存されます。ユーザーの詳細を取得した後に AD サーバーが切断された場合、AD に新しく追加されたユーザーは取得されません。再度取得するには、ユーザー ディレクトリ コレクターを AD に接続する必要があります。