Skip to main content
Data Infrastructure Insights
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configurando um coletor de servidor de diretório LDAP

Colaboradores netapp-alavoie
PDFs

Configure o Workload Security para coletar atributos de usuário de servidores de diretório LDAP.

Antes de começar

  • Você deve ser um administrador ou proprietário da conta do Data Infrastructure Insights para executar esta tarefa.

  • Você deve ter o endereço IP do servidor que hospeda o servidor do diretório LDAP.

  • Um agente deve ser configurado antes de você configurar um conector de diretório LDAP.

Etapas para configurar um coletor de diretório de usuário

  1. No menu Segurança de Carga de Trabalho, clique em: Coletores > Coletores de Diretório de Usuário > + Coletor de Diretório de Usuário e selecione Servidor de Diretório LDAP

    O sistema exibe a tela Adicionar Diretório de Usuário.

Configure o Coletor de Diretório do Usuário inserindo os dados necessários nas seguintes tabelas:

Nome

Descrição

Nome

Nome exclusivo para o diretório do usuário. Por exemplo GlobalLDAPCollector

Agente

Selecione um agente configurado na lista

IP do servidor/nome de domínio

Endereço IP ou Nome de Domínio Totalmente Qualificado (FQDN) do servidor que hospeda o Servidor de Diretório LDAP

Base de Pesquisa

Base de pesquisa do servidor LDAP A Base de pesquisa permite ambos os formatos a seguir: x.y.z ⇒ nome de domínio direto como você tem no seu SVM. [Exemplo: hq.companyname.com] DC=x,DC=y,DC=z ⇒ Nomes distintos relativos [Exemplo: DC=hq,DC= companyname,DC=com] Ou você pode especificar como o seguinte: OU=engineering,DC=hq,DC= companyname,DC=com [para filtrar por engenharia de UO específica] CN=username,OU=engineering,DC=companyname, DC=netapp, DC=com [para obter apenas um usuário específico com <username> da UO <engineering>] CN=Acrobat Users,CN=Users,DC=hq,DC=companyname,DC=com,O= companyname,L=Boston,S=MA,C=US [para obter todos os usuários do Acrobat dentro dos usuários dessa organização]

Vincular DN

Usuário autorizado a pesquisar no diretório. Por exemplo: uid=ldapuser,cn=users,cn=accounts,dc=domain,dc=companyname,dc=com uid=john,cn=users,cn=accounts,dc=dorp,dc=company,dc=com para um usuário john@dorp.company.com. dorp.company.com

--contas

--Usuários

--John

--Anna

Senha BIND

Senha do servidor de diretório (ou seja, senha para nome de usuário usado no Bind DN)

Protocolo

ldap, ldaps, ldap-start-tls

Portos

Selecione a porta

Insira os seguintes atributos obrigatórios do Directory Server se os nomes de atributos padrão tiverem sido modificados no Directory Server LDAP. Na maioria das vezes, esses nomes de atributos não são modificados no Servidor de Diretório LDAP. Nesse caso, você pode simplesmente prosseguir com o nome de atributo padrão.

Atributos

Nome do atributo no servidor de diretório

Nome de exibição

nome

UNIXID

número de identificação

Nome de usuário

uid

Clique em Incluir atributos opcionais para adicionar qualquer um dos seguintes atributos:

Atributos

Nome do atributo no servidor de diretório

Endereço de email

correspondência

Número de telefone

número de telefone

Papel

título

País

co

Estado

estado

Departamento

número do departamento

Foto

foto

GerenteDN

gerente

Grupos

membro de

Testando a configuração do coletor de diretório do usuário

Você pode validar permissões de usuário LDAP e definições de atributos usando os seguintes procedimentos:

  • Use o seguinte comando para validar a permissão do usuário LDAP do Workload Security:

     ldapsearch -D "uid=john ,cn=users,cn=accounts,dc=dorp,dc=company,dc=com" -W -x -LLL -o ldif-wrap=no -b "cn=accounts,dc=dorp,dc=company,dc=com" -H ldap://vmwipaapp08.dorp.company.com
* Use o LDAP Explorer para navegar em um banco de dados LDAP, visualizar propriedades e atributos de objetos, visualizar permissões, visualizar o esquema de um objeto e executar pesquisas sofisticadas que você pode salvar e reexecutar.

    • Instalar o LDAP Explorer(http://ldaptool.sourceforge.net/ ) ou Java LDAP Explorer(http://jxplorer.org/ ) em qualquer máquina Windows que possa se conectar ao servidor LDAP.

    • Conecte-se ao servidor LDAP usando o nome de usuário/senha do servidor de diretório LDAP.

Conexão LDAP

Solução de problemas de erros de configuração do coletor de diretório LDAP

A tabela a seguir descreve problemas conhecidos e soluções que podem ocorrer durante a configuração do coletor:

Problema: Resolução:

Adicionar um conector de diretório LDAP resulta no estado 'Erro'. O erro diz: “Credenciais inválidas fornecidas para o servidor LDAP”.

DN de vinculação ou senha de vinculação ou base de pesquisa incorreta fornecida. Edite e forneça as informações corretas.

Adicionar um conector de diretório LDAP resulta no estado 'Erro'. O erro diz: “Falha ao obter o objeto correspondente a DN=DC=hq,DC=domainname,DC=com fornecido como nome da floresta”.

Base de pesquisa fornecida incorreta. Edite e forneça o nome correto da floresta.

Os atributos opcionais do usuário do domínio não estão aparecendo na página Perfil do usuário do Workload Security.

Isso provavelmente ocorre devido a uma incompatibilidade entre os nomes dos atributos opcionais adicionados no CloudSecure e os nomes dos atributos reais no Active Directory. Os campos diferenciam maiúsculas de minúsculas. Edite e forneça o(s) nome(s) correto(s) do(s) atributo(s) opcional(is).

Coletor de dados em estado de erro com "Falha ao recuperar usuários LDAP. Motivo da falha: Não é possível conectar no servidor, a conexão é nula"

Reinicie o coletor clicando no botão Reiniciar.

Adicionar um conector de diretório LDAP resulta no estado 'Erro'.

Certifique-se de ter fornecido valores válidos para os campos obrigatórios (Servidor, nome da floresta, DN de vinculação, Senha de vinculação). Certifique-se de que a entrada bind-DN seja sempre fornecida como uid=ldapuser,cn=users,cn=accounts,dc=domain,dc=companyname,dc=com.

Adicionar um conector de diretório LDAP resulta no estado 'RETRYING'. Exibe o erro “Falha ao determinar a integridade do coletor, portanto, tente novamente”

Certifique-se de que o IP do servidor e a base de pesquisa corretos sejam fornecidos ////

Ao adicionar o diretório LDAP, o seguinte erro é exibido: “Falha ao determinar a integridade do coletor em 2 tentativas, tente reiniciar o coletor novamente (Código de erro: AGENT008)”

Garanta que o IP do servidor e a base de pesquisa corretos sejam fornecidos

Adicionar um conector de diretório LDAP resulta no estado 'RETRYING'. Exibe o erro “Não foi possível definir o estado do coletor, motivo pelo qual o comando TCP [Connect(localhost:35012,None,List(),Some(,seconds),true)] falhou devido a java.net.ConnectionException:Connection refused.”

IP ou FQDN incorreto fornecido para o servidor AD. Edite e forneça o endereço IP ou FQDN correto. ////

Adicionar um conector de diretório LDAP resulta no estado 'Erro'. O erro diz: “Falha ao estabelecer conexão LDAP”.

IP ou FQDN incorreto fornecido para o servidor LDAP. Edite e forneça o endereço IP ou FQDN correto. Ou valor incorreto para a porta fornecida. Tente usar os valores de porta padrão ou o número de porta correto para o servidor LDAP.

Adicionar um conector de diretório LDAP resulta no estado 'Erro'. O erro diz: “Falha ao carregar as configurações. Motivo: A configuração da fonte de dados tem um erro. Motivo específico: /connector/conf/application.conf: 70: ldap.ldap-port tem o tipo STRING em vez de NUMBER”

Valor incorreto fornecido para a Porta. Tente usar os valores de porta padrão ou o número de porta correto para o servidor AD.

Comecei com os atributos obrigatórios e funcionou. Após adicionar os opcionais, os dados dos atributos opcionais não estão sendo buscados do AD.

Isso provavelmente ocorre devido a uma incompatibilidade entre os atributos opcionais adicionados no CloudSecure e os nomes de atributos reais no Active Directory. Edite e forneça o nome correto do atributo obrigatório ou opcional.

Após reiniciar o coletor, quando a sincronização do LDAP ocorrerá?

A sincronização do LDAP ocorrerá imediatamente após a reinicialização do coletor. Levará aproximadamente 15 minutos para buscar dados de aproximadamente 300 mil usuários e será atualizado automaticamente a cada 12 horas.

Os dados do usuário são sincronizados do LDAP para o CloudSecure. Quando os dados serão excluídos?

Os dados do usuário são retidos por 13 meses caso não haja atualização. Se o inquilino for excluído, os dados serão excluídos.

O conector do diretório LDAP resulta no estado 'Erro'. "O conector está em estado de erro. Nome do serviço: usersLdap. Motivo da falha: Falha ao recuperar usuários LDAP. Motivo da falha: 80090308: LdapErr: DSID-0C090453, comentário: erro AcceptSecurityContext, dados 52e, v3839"

Nome de floresta incorreto fornecido. Veja acima como fornecer o nome correto da floresta.

O número de telefone não está sendo preenchido na página de perfil do usuário.

Isso provavelmente ocorre devido a um problema de mapeamento de atributos com o Active Directory. 1. Edite o coletor específico do Active Directory que está buscando as informações do usuário do Active Directory. 2. Observe que, nos atributos opcionais, há um campo chamado “Número de telefone” mapeado para o atributo 'telephonenumber' do Active Directory. 4. Agora, use a ferramenta Active Directory Explorer conforme descrito acima para navegar no servidor de diretório LDAP e ver o nome do atributo correto. 3. Certifique-se de que no diretório LDAP haja um atributo chamado 'telephonenumber' que realmente tenha o número de telefone do usuário. 5. Digamos que no diretório LDAP ele foi modificado para 'número de telefone'. 6. Em seguida, edite o coletor do diretório de usuários do CloudSecure. Na seção de atributos opcionais, substitua 'telephonenumber' por 'phonenumber'. 7. Salve o coletor do Active Directory, o coletor será reiniciado e obterá o número de telefone do usuário e o exibirá na página de perfil do usuário.

Se o certificado de criptografia (SSL) estiver habilitado no servidor Active Directory (AD), o Workload Security User Directory Collector não poderá se conectar ao servidor AD.

Desabilite a criptografia do servidor AD antes de configurar um coletor de diretório de usuário. Depois que os detalhes do usuário forem obtidos, eles permanecerão lá por 13 meses. Se o servidor AD for desconectado após a busca dos detalhes do usuário, os usuários recém-adicionados no AD não serão buscados. Para buscar novamente o coletor de diretório do usuário, é necessário estar conectado ao AD.