Skip to main content
Data Infrastructure Insights
O português é fornecido por meio de tradução automática para sua conveniência. O inglês precede o português em caso de inconsistências.

Configurando um LDAP Directory Server Collector

Colaboradores
PDFs

Você configura o Workload Security para coletar atributos de usuário de servidores LDAP Directory.

Antes de começar

  • Você deve ser um Administrador do Data Infrastructure Insights ou um proprietário de conta para executar esta tarefa.

  • Você deve ter o endereço IP do servidor que hospeda o servidor LDAP Directory.

  • Um agente deve ser configurado antes de configurar um conetor de diretório LDAP.

Passos para configurar um Coletor de diretório de usuários

  1. No menu Workload Security, clique em: Collectors > User Directory Collectors > User Directory Collector e selecione LDAP Directory Server

    O sistema exibe a tela Adicionar diretório do usuário.

Configure o Coletor de diretório de usuários inserindo os dados necessários nas seguintes tabelas:

Nome

Descrição

Nome

Nome exclusivo para o diretório do usuário. Por exemplo GlobalLDAPCollector

Agente

Selecione um agente configurado na lista

Nome de domínio/IP do servidor

Endereço IP ou nome de domínio totalmente qualificado (FQDN) do servidor que hospeda o servidor de diretório LDAP

Base de pesquisa

Base de pesquisa do servidor LDAP a base de pesquisa permite ambos os seguintes formatos: X.y.z> nome de domínio direto como você o tem no SVM. DC_DC_DC_DC_NetApp c<username> c_c_c_c_c_c_c_c_c_c_c_c_c_c_c_c_c_c_c_c_c_<engineering>_c_c_c_c_c_c_c_c_c_c_c_c_c_c_c_c_c_c_c_c_c_c

Vincular DN

Usuário autorizado a pesquisar o diretório. Por exemplo: uid, uid, uid, uid, uid, uid, uid, ucn, contas, dc, empresa, dc, dc, com para um usuário john@dorp.company.com. dorp.company.com

--contas

--usuários

--john

--anna

Palavra-passe BIND

Senha do servidor de diretório (ou seja, senha para nome de usuário usado no DN de vinculação)

Protocolo

ldap, ldaps, ldap-start-tls

Portas

Selecione a porta

Insira os seguintes atributos necessários do servidor de diretório se os nomes de atributo padrão tiverem sido modificados no servidor de diretório LDAP. Na maioria das vezes, esses nomes de atributos são not modificados no LDAP Directory Server, nesse caso, você pode simplesmente prosseguir com o nome do atributo padrão.

Atributos

Nome do atributo no Directory Server

Nome de exibição

nome

UNIXID

número de identificação

Nome de utilizador

uid

Clique em incluir atributos opcionais para adicionar qualquer um dos seguintes atributos:

Atributos

Nome do atributo no servidor de diretório

Endereço de e-mail

e-mail

Número de telefone

número de telefone

Função

título

País

co

Estado

estado

Departamento

número de peça

Foto

foto

ManagerDN

gerente

Grupos

Membro Of

Testando a configuração do coletor do diretório de usuários

Você pode validar permissões de Usuário LDAP e Definições de Atributo usando os seguintes procedimentos:

  • Use o seguinte comando para validar a permissão de usuário LDAP de segurança de workload:

     ldapsearch -D "uid=john ,cn=users,cn=accounts,dc=dorp,dc=company,dc=com" -W -x -LLL -o ldif-wrap=no -b "cn=accounts,dc=dorp,dc=company,dc=com" -H ldap://vmwipaapp08.dorp.company.com
* Use o LDAP Explorer para navegar em um banco de dados LDAP, exibir propriedades e atributos de objetos, exibir permissões, exibir o esquema de um objeto, executar pesquisas sofisticadas que você pode salvar e executar novamente.

    • Instale o LDAP Explorer (http://ldaptool.sourceforge.net/) ou o Java LDAP (http://jxplorer.org/Explorer ) em qualquer máquina Windows que possa se conetar ao servidor LDAP.

    • Conete-se ao servidor LDAP usando o nome de usuário/senha do servidor de diretório LDAP.

Ligação LDAP

Solução de problemas de erros de configuração do coletor de diretório LDAP

A tabela a seguir descreve problemas conhecidos e resoluções que podem ocorrer durante a configuração do coletor:

Problema: Resolução:

Adicionar um conetor de diretório LDAP resulta no estado "erro". O erro diz: "Credenciais inválidas fornecidas para o servidor LDAP".

DN de vinculação ou Senha de vinculação incorreta ou base de pesquisa fornecida. Edite e forneça as informações corretas.

Adicionar um conetor de diretório LDAP resulta no estado "erro". Erro diz: "Falha ao obter o objeto correspondente a DN

Base de pesquisa incorreta fornecida. Edite e forneça o nome correto da floresta.

Os atributos opcionais do usuário de domínio não estão aparecendo na página Perfil de usuário de Segurança de carga de trabalho.

Isso provavelmente se deve a uma incompatibilidade entre os nomes de atributos opcionais adicionados no CloudSecure e os nomes de atributos reais no ative Directory. Os campos são sensíveis a maiúsculas e minúsculas. Edite e forneça o(s) nome(s) do atributo opcional correto(s).

Coletor de dados no estado de erro com "Falha ao recuperar usuários LDAP. Motivo da falha: Não é possível conetar no servidor, a conexão é nula"

Reinicie o coletor clicando no botão Restart.

Adicionar um conetor de diretório LDAP resulta no estado "erro".

Certifique-se de que forneceu valores válidos para os campos obrigatórios (servidor, nome da floresta, bind-DN, bind-Password). Certifique-se de que a entrada bind-DN é sempre fornecida como

Adicionar um conetor de diretório LDAP resulta no estado "TENTAR NOVAMENTE". Mostra o erro "Falha ao determinar a integridade do coletor, portanto, tentar novamente"

Certifique-se de que o IP do servidor e a base de pesquisa estão corretos ///

Ao adicionar o diretório LDAP, o seguinte erro é mostrado: "Falha ao determinar a integridade do coletor dentro de 2 tentativas, tente reiniciar o coletor novamente (Código de erro: AGENT008)"

Certifique-se de que o IP do servidor e a base de pesquisa estão corretos

Adicionar um conetor de diretório LDAP resulta no estado "TENTAR NOVAMENTE". Mostra o erro "não é possível definir o estado do comando Collector,Reason TCP [Connect(localhost:35012,None,List(),some(,seconds),true)] falhou por causa de java.net.ConnectionException:Connection recusado."

IP ou FQDN incorreto fornecido para o servidor AD. Edite e forneça o endereço IP ou FQDN correto. ///

Adicionar um conetor de diretório LDAP resulta no estado "erro". O erro diz: "Falha ao estabelecer a conexão LDAP".

IP ou FQDN incorreto fornecido para o servidor LDAP. Edite e forneça o endereço IP ou FQDN correto. Ou valor incorreto para a porta fornecida. Tente usar os valores de porta padrão ou o número de porta correto para o servidor LDAP.

Adicionar um conetor de diretório LDAP resulta no estado "erro". O erro diz: "Falha ao carregar as configurações. Motivo: A configuração da fonte de dados tem um erro. Razão específica: /Connector/conf/application.conf: 70: LDAP.ldap-port tem STRING de tipo em vez DE NÚMERO"

Valor incorreto para a porta fornecida. Tente usar os valores de porta padrão ou o número de porta correto para o servidor AD.

Comecei com os atributos obrigatórios, e funcionou. Depois de adicionar os opcionais, os dados de atributos opcionais não são obtidos do AD.

Isso provavelmente se deve a uma incompatibilidade entre os atributos opcionais adicionados no CloudSecure e os nomes de atributos reais no ative Directory. Edite e forneça o nome do atributo obrigatório ou opcional correto.

Depois de reiniciar o coletor, quando acontecerá a sincronização LDAP?

A sincronização LDAP ocorrerá imediatamente após o coletor ser reiniciado. Levará aproximadamente 15 minutos para obter dados do usuário de aproximadamente 300K usuários e é atualizado a cada 12 horas automaticamente.

Os dados do usuário são sincronizados do LDAP para o CloudSecure. Quando os dados serão excluídos?

Os dados do usuário são mantidos para 13months em caso de não atualização. Se o locatário for excluído, os dados serão excluídos.

O conetor de diretório LDAP resulta no estado "erro". "O conetor está no estado de erro. Nome do serviço: UsersLdap. Motivo da falha: Falha ao recuperar usuários LDAP. Motivo da falha: 80090308: LdapErr: DSID-0C090453, comentário: AcceptSecurityContext error, data 52e, v3839"

Nome da floresta incorreto fornecido. Veja acima como fornecer o nome correto da floresta.

O número de telefone não está a ser preenchido na página de perfil de utilizador.

Isso é provavelmente devido a um problema de mapeamento de atributos com o ative Directory. 1. Edite o coletor específico do ative Directory que está obtendo as informações do usuário do ative Directory. 2. Em atributos opcionais, há um nome de campo "número de telefone" mapeado para o atributo do ative Directory 'número de telefone'. 4. Agora, utilize a ferramenta Explorador do ative Directory conforme descrito acima para navegar no servidor LDAP Directory e ver o nome do atributo correto. 3. Certifique-se de que no diretório LDAP existe um atributo chamado "número de telefone" que tem realmente o número de telefone do usuário. 5. Digamos que no diretório LDAP ele foi modificado para "número de telefone". 6. Em seguida, edite o coletor CloudSecure User Directory. Na seção de atributo opcional, substitua 'número de telefone' por 'número de telefone'. 7. Salve o coletor do ative Directory, o coletor reiniciará e obterá o número de telefone do usuário e exibirá o mesmo na página do perfil do usuário.

Se o certificado de encriptação (SSL) estiver ativado no servidor AD (ative Directory), o Coletor do diretório de utilizadores de Segurança de carga de trabalho não pode ligar-se ao servidor AD.

Desative a criptografia do AD Server antes de configurar um coletor de diretório de usuários. Uma vez que os detalhes do usuário são obtidos, ele estará lá por 13 meses. Se o servidor AD for desconetado após buscar os detalhes do usuário, os usuários recém-adicionados no AD não serão obtidos. Para buscar novamente, o coletor de diretório do usuário precisa ser conetado ao AD.