Skip to main content
Data Infrastructure Insights
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configurando um coletor de diretório de usuário do Active Directory (AD)

Colaboradores netapp-alavoie dgracenetapp
PDFs

O Workload Security pode ser configurado para coletar atributos de usuário de servidores do Active Directory.

Antes de começar

  • Você deve ser um administrador ou proprietário da conta do Data Infrastructure Insights para executar esta tarefa.

  • Você deve ter o endereço IP do servidor que hospeda o servidor do Active Directory.

  • Um agente deve ser configurado antes de você configurar um conector de diretório de usuários.

Etapas para configurar um coletor de diretório de usuário

  1. No menu Segurança de Carga de Trabalho, clique em: Coletores > Coletores de Diretório de Usuário > + Coletor de Diretório de Usuário e selecione Active Directory

    O sistema exibe a tela Adicionar Diretório de Usuário.

Configure o Coletor de Diretório do Usuário inserindo os dados necessários nas seguintes tabelas:

Nome

Descrição

Nome

Nome exclusivo para o diretório do usuário. Por exemplo GlobalADCollector

Agente

Selecione um agente configurado na lista

IP do servidor/nome de domínio

Endereço IP ou Nome de Domínio Totalmente Qualificado (FQDN) do servidor que hospeda o diretório ativo

Nome da Floresta

Nível de floresta da estrutura de diretório. O nome da floresta permite ambos os formatos a seguir: x.y.z ⇒ nome de domínio direto como você tem no seu SVM. [Exemplo: hq.companyname.com] DC=x,DC=y,DC=z ⇒ Nomes distintos relativos [Exemplo: DC=hq,DC= companyname,DC=com] Ou você pode especificar como o seguinte: OU=engineering,DC=hq,DC= companyname,DC=com [para filtrar por engenharia de UO específica] CN=username,OU=engineering,DC=companyname, DC=netapp, DC=com [para obter apenas um usuário específico com <username> da UO <engineering>] CN=Acrobat Users,CN=Users,DC=hq,DC=companyname,DC=com,O= companyname,L=Boston,S=MA,C=US [para obter todos os usuários do Acrobat dentro dos usuários dessa organização] Domínios confiáveis do Active Directory também são suportados.

Vincular DN

Usuário autorizado a pesquisar no diretório. Por exemplo: nomedeusuário@nomedaempresa.com ou nomedeusuário@nomedodomínio.com Além disso, é necessária a permissão Somente Leitura do Domínio. O usuário deve ser membro do grupo de segurança Controladores de domínio somente leitura.

Senha BIND

Senha do servidor de diretório (ou seja, senha para nome de usuário usado no Bind DN)

Protocolo

ldap, ldaps, ldap-start-tls

Portos

Selecione a porta

Insira os seguintes atributos obrigatórios do Directory Server se os nomes de atributos padrão tiverem sido modificados no Active Directory. Na maioria das vezes, esses nomes de atributos não são modificados no Active Directory. Nesse caso, você pode simplesmente prosseguir com o nome de atributo padrão.

Atributos

Nome do atributo no servidor de diretório

Nome de exibição

nome

SID

objetosid

Nome de usuário

sAMAccountName

Clique em Incluir atributos opcionais para adicionar qualquer um dos seguintes atributos:

Atributos

Nome do atributo no servidor de diretório

Endereço de email

correspondência

Número de telefone

número de telefone

Papel

título

País

co

Estado

estado

Departamento

departamento

Foto

foto em miniatura

GerenteDN

gerente

Grupos

membro de

Testando a configuração do coletor de diretório do usuário

Você pode validar permissões de usuário LDAP e definições de atributos usando os seguintes procedimentos:

  • Use o seguinte comando para validar a permissão do usuário LDAP do Workload Security:

    ldapsearch -o ldif-wrap=no -LLL -x -b "dc=netapp,dc=com" -h 10.235.40.29 -p 389 -D Administrator@netapp.com -W

  • Use o AD Explorer para navegar em um banco de dados do AD, visualizar propriedades e atributos de objetos, visualizar permissões, visualizar o esquema de um objeto e executar pesquisas sofisticadas que você pode salvar e executar novamente.

    • Instalar"Explorador de anúncios" em qualquer máquina Windows que possa se conectar ao servidor AD.

    • Conecte-se ao servidor AD usando o nome de usuário/senha do servidor de diretório do AD.

Conexão AD

Solução de problemas de erros de configuração do coletor de diretório de usuário

A tabela a seguir descreve problemas conhecidos e soluções que podem ocorrer durante a configuração do coletor:

Problema: Resolução:

Adicionar um conector de diretório de usuário resulta no estado "Erro". O erro diz: “Credenciais inválidas fornecidas para o servidor LDAP”.

Nome de usuário ou senha fornecidos incorretos. Edite e forneça o nome de usuário e a senha corretos.

Adicionar um conector de diretório de usuário resulta no estado "Erro". O erro diz: “Falha ao obter o objeto correspondente a DN=DC=hq,DC=domainname,DC=com fornecido como nome da floresta”.

Nome de floresta incorreto fornecido. Edite e forneça o nome correto da floresta.

Os atributos opcionais do usuário do domínio não estão aparecendo na página Perfil do usuário do Workload Security.

Isso provavelmente ocorre devido a uma incompatibilidade entre os nomes dos atributos opcionais adicionados no CloudSecure e os nomes dos atributos reais no Active Directory. Edite e forneça o(s) nome(s) correto(s) do(s) atributo(s) opcional(is).

Coletor de dados em estado de erro com "Falha ao recuperar usuários LDAP. Motivo da falha: Não é possível conectar no servidor, a conexão é nula"

Reinicie o coletor clicando no botão Reiniciar.

Adicionar um conector de diretório de usuário resulta no estado "Erro".

Certifique-se de ter fornecido valores válidos para os campos obrigatórios (Servidor, nome da floresta, DN de vinculação, Senha de vinculação). Certifique-se de que a entrada bind-DN seja sempre fornecida como 'Administrador@<nome_da_floresta_de_domínio>' ou como uma conta de usuário com privilégios de administrador de domínio.

Adicionar um conector de diretório de usuário resulta no estado 'RETENTANDO'. Exibe o erro “Não foi possível definir o estado do coletor, motivo pelo qual o comando TCP [Connect(localhost:35012,None,List(),Some(,seconds),true)] falhou devido a java.net.ConnectionException:Connection refused.”

IP ou FQDN incorreto fornecido para o servidor AD. Edite e forneça o endereço IP ou FQDN correto.

Adicionar um conector de diretório de usuário resulta no estado "Erro". O erro diz: “Falha ao estabelecer conexão LDAP”.

IP ou FQDN incorreto fornecido para o servidor AD. Edite e forneça o endereço IP ou FQDN correto.

Adicionar um conector de diretório de usuário resulta no estado "Erro". O erro diz: “Falha ao carregar as configurações. Motivo: A configuração da fonte de dados tem um erro. Motivo específico: /connector/conf/application.conf: 70: ldap.ldap-port tem o tipo STRING em vez de NUMBER”

Valor incorreto fornecido para a Porta. Tente usar os valores de porta padrão ou o número de porta correto para o servidor AD.

Comecei com os atributos obrigatórios e funcionou. Após adicionar os opcionais, os dados dos atributos opcionais não estão sendo buscados do AD.

Isso provavelmente ocorre devido a uma incompatibilidade entre os atributos opcionais adicionados no CloudSecure e os nomes de atributos reais no Active Directory. Edite e forneça o nome correto do atributo obrigatório ou opcional.

Após reiniciar o coletor, quando a sincronização do AD ocorrerá?

A sincronização do AD ocorrerá imediatamente após a reinicialização do coletor. Levará aproximadamente 15 minutos para buscar dados de aproximadamente 300 mil usuários e será atualizado automaticamente a cada 12 horas.

Os dados do usuário são sincronizados do AD para o CloudSecure. Quando os dados serão excluídos?

Os dados do usuário são retidos por 13 meses caso não haja atualização. Se o inquilino for excluído, os dados serão excluídos.

O conector do diretório do usuário resulta no estado 'Erro'. "O conector está em estado de erro. Nome do serviço: usersLdap. Motivo da falha: Falha ao recuperar usuários LDAP. Motivo da falha: 80090308: LdapErr: DSID-0C090453, comentário: erro AcceptSecurityContext, dados 52e, v3839"

Nome de floresta incorreto fornecido. Veja acima como fornecer o nome correto da floresta.

O número de telefone não está sendo preenchido na página de perfil do usuário.

Isso provavelmente ocorre devido a um problema de mapeamento de atributos com o Active Directory. 1. Edite o coletor específico do Active Directory que está buscando as informações do usuário do Active Directory. 2. Observe que, nos atributos opcionais, há um campo chamado “Número de telefone” mapeado para o atributo 'telephonenumber' do Active Directory. 4. Agora, use a ferramenta Active Directory Explorer conforme descrito acima para navegar no Active Directory e ver o nome do atributo correto. 3. Certifique-se de que no Active Directory haja um atributo chamado 'telephonenumber' que realmente tenha o número de telefone do usuário. 5. Digamos que no Active Directory ele foi modificado para 'phonenumber'. 6. Em seguida, edite o coletor do diretório de usuários do CloudSecure. Na seção de atributos opcionais, substitua 'telephonenumber' por 'phonenumber'. 7. Salve o coletor do Active Directory, o coletor será reiniciado e obterá o número de telefone do usuário e o exibirá na página de perfil do usuário.

Se o certificado de criptografia (SSL) estiver habilitado no servidor Active Directory (AD), o Workload Security User Directory Collector não poderá se conectar ao servidor AD.

Desabilite a criptografia do servidor AD antes de configurar um coletor de diretório de usuário. Depois que os detalhes do usuário forem obtidos, eles permanecerão lá por 13 meses. Se o servidor AD for desconectado após a busca dos detalhes do usuário, os usuários recém-adicionados no AD não serão buscados. Para buscar novamente, o coletor de diretório do usuário precisa estar conectado ao AD.

Os dados do Active Directory estão presentes no CloudInsights Security. Deseja excluir todas as informações do usuário do CloudInsights.

Não é possível excluir SOMENTE informações de usuários do Active Directory do CloudInsights Security. Para excluir o usuário, o locatário completo precisa ser excluído.