配置 Active Directory ( AD )用户目录收集器
建议更改
PDF
可以将工作负载安全性配置为从Active Directory服务器收集用户属性。
-
您必须是Data Infrastructure Insight管理员或帐户所有者才能执行此任务。
-
您必须具有托管 Active Directory 服务器的服务器的 IP 地址。
-
在配置用户目录连接器之前,必须先配置代理。
-
在工作负载安全性菜单中,单击:收集器>用户目录收集器>+用户目录收集器,然后选择*Active Directory*
系统将显示添加用户目录屏幕。
通过在下表中输入所需数据来配置用户目录收集器:
名称 |
说明 |
名称 |
用户目录的唯一名称。例如 GlobalADCollector |
代理 |
从列表中选择一个已配置的代理 |
服务器 IP/ 域名 |
托管 Active Directory 的服务器的 IP 地址或完全限定域名( FQDN ) |
林名称 |
目录结构的林级别。林名称支持以下两种格式: x.y.z ⇒ SVM 上的直接域名。例如: hq.companyname.com] dc=x , DC=y , DC=z ⇒ 相对可分辨名称(例如: DC=HQ , DC= CompanyName , DC=com ),或者您可以指定为以下内容: OU=engineering , DC=HQ , DC= CompanyName , DC=com 【按特定 OU engineering 进行筛选】 CN=username , OU=engineering , DC=CompanyName , DC=NetApp , DC=com 【仅从 OU <engineering>] 中获取具有 <username> 的特定用户, compcn=Acrobat 用户, CN=Users , DC=HQ , DC=com , DC=All Users , |
绑定 DN |
允许搜索目录的用户。例如:username@companyname.com_或_username@domainname.com。此外、还需要"域只读"权限。用户必须是安全组_read-only Domain Controllers_的成员。 |
绑定密码 |
目录服务器密码(即绑定 DN 中使用的用户名的密码) |
协议 |
LDAP , LDAPS , ldap-start-tls |
端口 |
选择端口 |
如果已在 Active Directory 中修改默认属性名称,请输入以下目录服务器所需属性。大多数情况下,这些属性名称在 Active Directory 中都是 not 修改的,在这种情况下,您只需继续使用默认属性名称即可。
属性 |
目录服务器中的属性名称 |
显示名称 |
name |
SID |
对象 SID |
用户名 |
sAMAccountName |
单击包括可选属性以添加以下任何属性:
属性 |
目录服务器中的属性名称 |
电子邮件地址 |
邮件 |
电话号码 |
电话编号 |
角色 |
标题 |
国家/地区 |
CO |
状态 |
state |
部门 |
部门 |
照片 |
ThumbnailPhote. |
ManagerDN |
管理器 |
组 |
成员 |
测试用户目录收集器配置
您可以使用以下过程验证 LDAP 用户权限和属性定义:
-
使用以下命令验证工作负载安全性LDAP用户权限:
ldapsearch -o ldif-wrap=no -LLL -x -b "dc=netapp,dc=com" -h 10.235.40.29 -p 389 -D Administrator@netapp.com -W -
使用 AD 资源管理器导航 AD 数据库,查看对象属性和属性,查看权限,查看对象架构,执行复杂的搜索,您可以保存这些搜索并重新执行这些搜索。
-
安装"AD 资源管理器"在可连接到AD服务器的任何Windows计算机上。
-
使用 AD 目录服务器的用户名 / 密码连接到 AD 服务器。
-
对用户目录收集器配置错误进行故障排除
下表介绍了在收集器配置期间可能发生的已知问题和解决方法:
| 问题: | 解决方法: |
|---|---|
添加用户目录连接器会导致 ‘Error ' 状态。错误消息为 " 为 LDAP 服务器提供的凭据无效 " 。 |
提供的用户名或密码不正确。编辑并提供正确的用户名和密码。 |
添加用户目录连接器会导致 ‘Error ' 状态。错误显示: " 无法获取作为林名称提供的 DN=DC=HQ , DC=DOMAINNAME , DC=com 对应的对象。 " |
提供的林名称不正确。编辑并提供正确的林名称。 |
域用户的可选属性未显示在工作负载安全用户配置文件页面中。 |
这可能是因为在 CloudSecure 中添加的可选属性名称与 Active Directory 中的实际属性名称不匹配。编辑并提供正确的可选属性名称。 |
数据收集器处于错误状态,并显示 "Failed to retrieve LDAP users.失败原因:无法在服务器上连接,连接为空 " |
单击 Restart 按钮重新启动收集器。 |
添加用户目录连接器会导致 ‘Error ' 状态。 |
确保为所需字段(服务器,林名称,绑定 DN ,绑定密码)提供了有效值。确保绑定 DN 输入始终以 ‘Administrator@ <domain_for林 _name> ' 或具有域管理员权限的用户帐户的形式提供。 |
添加用户目录连接器会导致出现 ‘retrying ' 状态。显示错误 " 无法定义收集器的状态,原因 TCP 命令 Connect ( localhost : 35012 , None , List (), some (, seconds ), true ) ] 失败,因为 java.net.ConnectionException:Connection 被拒绝。 " |
为 AD 服务器提供的 IP 或 FQDN 不正确。编辑并提供正确的 IP 地址或 FQDN 。 |
添加用户目录连接器会导致 ‘Error ' 状态。错误消息为 " 无法建立 LDAP 连接 " 。 |
为 AD 服务器提供的 IP 或 FQDN 不正确。编辑并提供正确的 IP 地址或 FQDN 。 |
添加用户目录连接器会导致 ‘Error ' 状态。错误显示: " 无法加载设置。原因:数据源配置出错。具体原因: /connector/conf/application.conf : 70 : ldap.ldap-port has type string rather than number " |
提供的端口值不正确。尝试使用默认端口值或正确的 AD 服务器端口号。 |
我先从必备属性入手,然后它便可正常运行。添加可选属性后,无法从 AD 提取可选属性数据。 |
这可能是因为在 CloudSecure 中添加的可选属性与 Active Directory 中的实际属性名称不匹配。编辑并提供正确的必填或可选属性名称。 |
重新启动收集器后,何时会进行 AD 同步? |
收集器重新启动后,将立即进行 AD 同步。提取大约 30 万个用户的用户数据大约需要 15 分钟,并且每 12 小时自动刷新一次。 |
用户数据已从 AD 同步到 CloudSecure 。何时删除数据? |
如果不刷新,用户数据将保留 13 个月。如果删除租户,则数据将被删除。 |
User Directory 连接器会导致 ‘Error ' 状态。" 连接器处于错误状态。服务名称: usersLdap 。失败原因:无法检索 LDAP 用户。失败原因: 80090308 : LdapErr : DSID-0C090453 ,注释: AcceptSecurityContext 错误,数据 52e , v3839" |
提供的林名称不正确。请参见上文,了解如何提供正确的林名称。 |
未在用户配置文件页面中填充电话号码。 |
这很可能是由于 Active Directory 存在属性映射问题。1.编辑要从Active Directory中提取用户信息的特定Active Directory收集器。2.请注意,在可选属性下,有一个字段名称“‘电话号码”映射到Active Directory属性“电话号码”。4.现在、请按照上述说明使用Active Directory资源管理器工具浏览Active Directory并查看正确的属性名称。3.‘Active Directory中有一个名为“Telephonenumber”的属性,该属性确实包含用户的电话号码。5.‘在Active Directory中,它已被修改为“电话号码”。6.然后编辑CloudSecure用户目录收集器。在可选属性部分中,将 ‘telphonenumber ' 替换为 ‘phonenumber ' 。7.保存Active Directory收集器、收集器将重新启动并获取用户的电话号码、并在用户配置文件页面中显示相同的号码。 |
如果在Active Directory (AD)服务器上启用了加密证书(SSL)、则工作负载安全用户目录收集器无法连接到AD服务器。 |
在配置用户目录收集器之前禁用 AD 服务器加密。提取用户详细信息后,该详细信息将在 13 个月内显示。如果在提取用户详细信息后 AD 服务器断开连接,则不会提取 AD 中新添加的用户。要重新提取、需要将用户目录收集器连接到AD。 |
来自Active Directory的数据存在于CloudInsights Security中。希望从CloudInsights中删除所有用户信息。 |
不能只从CloudInsights Security中删除Active Directory用户信息。要删除此用户、需要删除整个租户。 |