Active Directory(AD) 사용자 디렉터리 수집기 구성
변경 제안
PDF
Workload Security는 Active Directory 서버에서 사용자 속성을 수집하도록 구성할 수 있습니다.
-
이 작업을 수행하려면 Data Infrastructure Insights 관리자 또는 계정 소유자여야 합니다.
-
Active Directory 서버를 호스팅하는 서버의 IP 주소가 있어야 합니다.
-
사용자 디렉토리 커넥터를 구성하기 전에 에이전트를 구성해야 합니다.
-
작업 부하 보안 메뉴에서 *수집기 > 사용자 디렉터리 수집기 > + 사용자 디렉터리 수집기*를 클릭하고 *Active Directory*를 선택합니다.
시스템에 사용자 디렉토리 추가 화면이 표시됩니다.
다음 표에 필요한 데이터를 입력하여 사용자 디렉토리 수집기를 구성합니다.
이름 |
설명 |
이름 |
사용자 디렉토리의 고유한 이름입니다. 예를 들어 GlobalADCollector |
대리인 |
목록에서 구성된 에이전트를 선택하세요 |
서버 IP/도메인 이름 |
Active Directory를 호스팅하는 서버의 IP 주소 또는 FQDN(정규화된 도메인 이름) |
숲 이름 |
디렉토리 구조의 포리스트 수준입니다. 포리스트 이름은 다음 두 가지 형식을 모두 허용합니다. x.y.z ⇒ SVM에 있는 것과 같은 직접 도메인 이름. [예: hq.companyname.com] DC=x,DC=y,DC=z ⇒ 상대적 고유 이름 [예: DC=hq,DC= companyname,DC=com] 또는 다음과 같이 지정할 수 있습니다. OU=engineering,DC=hq,DC= companyname,DC=com [특정 OU engineering으로 필터링] CN=username,OU=engineering,DC=companyname, DC=netapp, DC=com [OU <engineering>에서 <username>을 가진 특정 사용자만 가져오려면] CN=Acrobat Users,CN=Users,DC=hq,DC=companyname,DC=com,O= companyname,L=Boston,S=MA,C=US [해당 조직의 사용자 내의 모든 Acrobat 사용자를 가져오려면] 신뢰할 수 있는 Active Directory 도메인도 지원됩니다. |
DN 바인딩 |
사용자는 디렉토리를 검색할 수 있습니다. 예: username@companyname.com 또는 username@domainname.com. 또한 도메인 읽기 전용 권한이 필요합니다. 사용자는 보안 그룹 _읽기 전용 도메인 컨트롤러_의 구성원이어야 합니다. |
BIND 비밀번호 |
디렉토리 서버 비밀번호(즉, Bind DN에 사용되는 사용자 이름에 대한 비밀번호) |
규약 |
ldap, ldaps, ldap-start-tls |
포트 |
포트 선택 |
Active Directory에서 기본 특성 이름이 수정된 경우 다음 디렉터리 서버 필수 특성을 입력하세요. 대부분의 경우 이러한 속성 이름은 Active Directory에서 수정되지 않습니다. 이 경우 기본 속성 이름을 그대로 사용하면 됩니다.
속성 |
디렉토리 서버의 속성 이름 |
표시 이름 |
이름 |
시드 |
객체 ID |
사용자 이름 |
sAMAccountName |
다음 속성을 추가하려면 '선택적 속성 포함'을 클릭하세요.
속성 |
디렉토리 서버의 속성 이름 |
이메일 주소 |
우편 |
전화번호 |
전화번호 |
역할 |
제목 |
국가 |
공동 |
상태 |
상태 |
부서 |
부서 |
사진 |
썸네일사진 |
매니저DN |
관리자 |
여러 떼 |
멤버의 |
사용자 디렉토리 수집기 구성 테스트
다음 절차를 사용하여 LDAP 사용자 권한 및 속성 정의를 검증할 수 있습니다.
-
다음 명령을 사용하여 Workload Security LDAP 사용자 권한을 확인합니다.
ldapsearch -o ldif-wrap=no -LLL -x -b "dc=netapp,dc=com" -h 10.235.40.29 -p 389 -D Administrator@netapp.com -W -
AD Explorer를 사용하면 AD 데이터베이스를 탐색하고, 개체 속성 및 특성을 보고, 권한을 보고, 개체의 스키마를 보고, 저장하고 다시 실행할 수 있는 정교한 검색을 실행할 수 있습니다.
-
설치하다"AD 탐색기" AD 서버에 연결할 수 있는 모든 Windows 컴퓨터에서.
-
AD 디렉토리 서버의 사용자 이름/비밀번호를 사용하여 AD 서버에 연결합니다.
-
사용자 디렉터리 수집기 구성 오류 문제 해결
다음 표에서는 수집기 구성 중 발생할 수 있는 알려진 문제와 해결 방법을 설명합니다.
| 문제: | 해결: |
|---|---|
사용자 디렉토리 커넥터를 추가하면 '오류' 상태가 발생합니다. 오류 메시지는 "LDAP 서버에 잘못된 자격 증명이 제공되었습니다"입니다. |
잘못된 사용자 이름이나 비밀번호가 제공되었습니다. 사용자 이름과 비밀번호를 편집하여 올바른 정보를 입력하세요. |
사용자 디렉토리 커넥터를 추가하면 '오류' 상태가 발생합니다. 오류 메시지는 "포리스트 이름으로 제공된 DN=DC=hq,DC=domainname,DC=com에 해당하는 개체를 가져오지 못했습니다."입니다. |
잘못된 산림 이름이 제공되었습니다. 올바른 산림 이름을 편집하여 입력하세요. |
도메인 사용자의 선택적 속성이 워크로드 보안 사용자 프로필 페이지에 나타나지 않습니다. |
이는 CloudSecure에 추가된 선택적 특성 이름과 Active Directory의 실제 특성 이름이 일치하지 않기 때문일 수 있습니다. 올바른 선택적 속성 이름을 편집하여 제공하세요. |
데이터 수집기가 "LDAP 사용자를 검색하지 못했습니다."라는 오류 상태에 있습니다. 실패 이유: 서버에 연결할 수 없습니다. 연결이 null입니다. |
다시 시작 버튼을 클릭하여 수집기를 다시 시작합니다. |
사용자 디렉토리 커넥터를 추가하면 '오류' 상태가 발생합니다. |
필수 필드(서버, 포리스트 이름, 바인드 DN, 바인드 비밀번호)에 유효한 값을 제공했는지 확인하세요. bind-DN 입력은 항상 'Administrator@<domain_forest_name>' 또는 도메인 관리자 권한이 있는 사용자 계정으로 제공되어야 합니다. |
사용자 디렉토리 커넥터를 추가하면 '재시도 중' 상태가 됩니다. "수집기 상태를 정의할 수 없습니다. 이유: Tcp 명령 [Connect(localhost:35012,None,List(),Some(,seconds),true)]이 java.net.ConnectionException:Connection refused로 인해 실패했습니다."라는 오류가 표시됩니다. |
AD 서버에 잘못된 IP 또는 FQDN이 제공되었습니다. 올바른 IP 주소나 FQDN을 편집하여 제공하세요. |
사용자 디렉토리 커넥터를 추가하면 '오류' 상태가 발생합니다. 오류 메시지는 "LDAP 연결을 설정하지 못했습니다"입니다. |
AD 서버에 잘못된 IP 또는 FQDN이 제공되었습니다. 올바른 IP 주소나 FQDN을 편집하여 제공하세요. |
사용자 디렉토리 커넥터를 추가하면 '오류' 상태가 발생합니다. 오류 메시지는 "설정을 로드하는 데 실패했습니다."입니다. 이유: 데이터 소스 구성에 오류가 있습니다. 구체적인 이유: /connector/conf/application.conf: 70: ldap.ldap-port에 NUMBER가 아닌 STRING 유형이 있습니다. |
제공된 포트에 잘못된 값이 입력되었습니다. AD 서버에 기본 포트 값이나 올바른 포트 번호를 사용해 보세요. |
필수 속성부터 시작했는데, 효과가 있었습니다. 선택 항목을 추가한 후, 선택 항목 속성 데이터가 AD에서 가져오지 않습니다. |
이는 CloudSecure에 추가된 선택적 특성과 Active Directory의 실제 특성 이름이 일치하지 않기 때문일 수 있습니다. 필수 또는 선택 속성 이름을 편집하여 올바르게 입력하세요. |
수집기를 다시 시작한 후 AD 동기화는 언제 발생합니까? |
AD 동기화는 수집기가 다시 시작된 직후에 발생합니다. 약 30만 명의 사용자 데이터를 가져오는 데 약 15분이 걸리며, 12시간마다 자동으로 새로 고쳐집니다. |
사용자 데이터는 AD에서 CloudSecure로 동기화됩니다. 데이터는 언제 삭제되나요? |
새로고침이 없을 경우 사용자 데이터는 13개월 동안 보관됩니다. 세입자가 삭제되면 데이터도 삭제됩니다. |
사용자 디렉토리 커넥터가 '오류' 상태를 초래합니다. "커넥터가 오류 상태입니다. 서비스 이름: usersLdap. 실패 이유: LDAP 사용자를 검색하지 못했습니다. 실패 이유: 80090308: LdapErr: DSID-0C090453, 주석: AcceptSecurityContext 오류, 데이터 52e, v3839 |
잘못된 산림 이름이 제공되었습니다. 올바른 산림 이름을 제공하는 방법은 위를 참조하세요. |
사용자 프로필 페이지에 전화번호가 입력되지 않습니다. |
이는 Active Directory의 속성 매핑 문제로 인해 발생할 가능성이 가장 높습니다. 1. Active Directory에서 사용자 정보를 가져오는 특정 Active Directory 수집기를 편집합니다. 2. 선택적 속성 아래에 Active Directory 속성 'telephonenumber'에 매핑된 필드 이름 "전화번호"가 있습니다. 4. 이제 위에서 설명한 대로 Active Directory Explorer 도구를 사용하여 Active Directory를 탐색하고 올바른 특성 이름을 확인하세요. 3. Active Directory에 사용자의 전화번호를 포함하는 'telephonenumber'라는 특성이 있는지 확인하세요. 5. Active Directory에서 '전화번호'로 수정되었다고 가정해 보겠습니다. 6. 그런 다음 CloudSecure 사용자 디렉터리 수집기를 편집합니다. 선택적인 속성 섹션에서 'telephonenumber'를 'phonenumber'로 바꾸세요. 7. Active Directory 수집기를 저장하면 수집기가 다시 시작되어 사용자의 전화번호를 가져와서 사용자 프로필 페이지에 표시합니다. |
Active Directory(AD) 서버에서 암호화 인증서(SSL)가 활성화된 경우 Workload Security User Directory Collector가 AD 서버에 연결할 수 없습니다. |
사용자 디렉터리 수집기를 구성하기 전에 AD 서버 암호화를 비활성화합니다. 사용자 세부 정보를 가져오면 13개월 동안 보관됩니다. 사용자 세부 정보를 가져온 후 AD 서버의 연결이 끊어지면 AD에 새로 추가된 사용자를 가져올 수 없습니다. 다시 가져오려면 사용자 디렉토리 수집기를 AD에 연결해야 합니다. |
Active Directory의 데이터는 CloudInsights Security에 있습니다. CloudInsights에서 모든 사용자 정보를 삭제하고 싶습니다. |
CloudInsights Security에서 Active Directory 사용자 정보만 삭제하는 것은 불가능합니다. 사용자를 삭제하려면 테넌트 전체를 삭제해야 합니다. |