将Active Directory与BlueXP分类集成
建议更改
PDF
您可以将全局Active Directory与BlueXP分类相集成、以增强BlueXP分类报告的有关文件所有者以及哪些用户和组有权访问您的文件的结果。
在设置某些数据源(如下所列)时、您需要输入Active Directory凭据、以便BlueXP分类扫描CIFS卷。这种集成提供了BlueXP分类、其中包含驻留在这些数据源中的数据的文件所有者和权限详细信息。为这些数据源输入的Active Directory可能与您在此处输入的全局Active Directory凭据不同。BlueXP分类将在所有集成的Active Directory中查找用户和权限详细信息。
此集成在BlueXP分类的以下位置提供追加信息 :
|
本地用户 SID 和未知域中的 SID 不会转换为实际用户名。 |
支持的数据源
与BlueXP分类的Active Directory集成可以标识以下数据源中的数据:
-
内部部署 ONTAP 系统
-
Cloud Volumes ONTAP
-
Azure NetApp Files
-
适用于 ONTAP 的 FSX
-
OneDrive帐户和SharePoint帐户(适用于旧版1.3及更早版本)
不支持从使用简单存储服务(Simple Storage Service、S3)协议的数据库架构、Google Drive帐户、Amazon S3帐户或对象存储中识别用户和权限信息。
连接到Active Directory服务器
在部署BlueXP分类并对数据源激活扫描后、您可以将BlueXP分类与Active Directory集成。可以使用 DNS 服务器 IP 地址或 LDAP 服务器 IP 地址访问 Active Directory 。
Active Directory凭据可以是只读的、但提供管理员凭据可确保BlueXP分类可以读取需要提升权限的任何数据。这些凭据存储在BlueXP分类实例上。
对于CIFS卷/文件共享、如果要确保文件"上次访问时间"在BlueXP分类扫描中保持不变、建议用户具有写入属性权限。如果可能、我们建议将Active Directory配置的用户设置为组织中有权访问所有文件的父组的一部分。
-
您必须已为公司中的用户设置 Active Directory 。
-
您必须具有 Active Directory 的信息:
-
DNS 服务器 IP 地址或多个 IP 地址
或
LDAP 服务器 IP 地址或多个 IP 地址
-
用于访问服务器的用户名和密码
-
域名( Active Directory 名称)
-
是否使用安全 LDAP ( LDAPS )
-
LDAP 服务器端口(对于 LDAP ,通常为 389 ;对于安全 LDAP ,通常为 636 )
-
-
必须通过BlueXP分类实例为出站通信打开以下端口:
协议 Port 目标 目的 TCP 和 UDP
389.
Active Directory
LDAP
TCP
636
Active Directory
基于 SSL 的 LDAP
TCP
3268
Active Directory
全局目录
TCP
3369
Active Directory
基于 SSL 的全局目录
-
从"BlueXP分类配置"页面中,单击*Add Active Directory*。
-
在连接到 Active Directory 对话框中,输入 Active Directory 详细信息,然后单击 * 连接 * 。
如果需要,可以单击 * 添加 IP* 来添加多个 IP 地址。
BlueXP分类集成到Active Directory中、并在"配置"页面中添加了一个新部分。
管理Active Directory集成
如果需要修改 Active Directory 集成中的任何值,请单击 * 编辑 * 按钮并进行更改。
如果您不再需要集成,也可以通过单击来删除此集成 
按钮,然后单击 * 删除 Active Directory* 。