简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

配置 Active Directory ( AD )用户目录收集器

提供者 netapp-alavoie dgracenetapp 下载此页面的 PDF

可以将 Cloud Secure 配置为从 Active Directory 服务器收集用户属性。

开始之前
  • 要执行此任务,您必须是 Cloud Insights 管理员或帐户所有者。

  • 您必须具有托管 Active Directory 服务器的服务器的 IP 地址。

  • 在配置用户目录连接器之前,必须先配置代理。

配置用户目录收集器的步骤
  1. 在 Cloud Secure 菜单中,单击: * 管理 > 数据收集器 > 用户目录收集器 > + 用户目录收集器 * ,然后选择 * Active Directory*

    系统将显示添加用户目录屏幕。

通过在下表中输入所需数据来配置用户目录收集器:

名称

说明

名称

用户目录的唯一名称。例如 GlobalADCollector

代理

从列表中选择一个已配置的代理

服务器 IP/ 域名

托管 Active Directory 的服务器的 IP 地址或完全限定域名( FQDN )

林名称

目录结构的林级别。林名称支持以下两种格式: x.y.z ⇒ SVM 上的直接域名。例如: hq.companyname.com] dc=x , DC=y , DC=z ⇒ 相对可分辨名称(例如: DC=HQ , DC= CompanyName , DC=com ),或者您可以指定为以下内容: OU=engineering , DC=HQ , DC= CompanyName , DC=com 【按特定 OU engineering 进行筛选】 CN=username , OU=engineering , DC=CompanyName , DC=NetApp , DC=com 【仅从 OU <engineering>] 中获取具有 <username> 的特定用户, compcn=Acrobat 用户, CN=Users , DC=HQ , DC=com , DC=All Users ,

绑定 DN

允许搜索目录的用户。例如: username@companyname.comusername@domainname.com

绑定密码

目录服务器密码(即绑定 DN 中使用的用户名的密码)

协议

LDAP , LDAPS , ldap-start-tls

端口

选择端口

如果已在 Active Directory 中修改默认属性名称,请输入以下目录服务器所需属性。大多数情况下,这些属性名称在 Active Directory 中都是 not 修改的,在这种情况下,您只需继续使用默认属性名称即可。

属性

目录服务器中的属性名称

显示名称

名称

SID

对象 SID

用户名

sAMAccountName

单击包括可选属性以添加以下任何属性:

属性

目录服务器中的属性名称

电子邮件地址

邮件

电话号码

电话编号

角色

标题

国家 / 地区

CO

状态

状态

部门

部门

照片

ThumbnailPhote.

ManagerDN

管理器

成员

测试用户目录收集器配置

您可以使用以下过程验证 LDAP 用户权限和属性定义:

  • 使用以下命令验证 Cloud Secure LDAP 用户权限:

    ldapsearch -o ldif-wrap=no -ll -x -b "dc=netapp , dc=com" -h 10.235.40.29 -p 389 -D Administrator@netapp.com -W

  • 使用 AD 资源管理器导航 AD 数据库,查看对象属性和属性,查看权限,查看对象架构,执行复杂的搜索,您可以保存这些搜索并重新执行这些搜索。

    • 安装 "AD 资源管理器" 可连接到 AD 服务器的任何 Windows 计算机上。

    • 使用 AD 目录服务器的用户名 / 密码连接到 AD 服务器。

AD 连接

对用户目录收集器配置错误进行故障排除

下表介绍了在收集器配置期间可能发生的已知问题和解决方法:

问题: 解决方法:

添加用户目录连接器会导致 ‘Error ' 状态。错误消息为 " 为 LDAP 服务器提供的凭据无效 " 。

提供的用户名或密码不正确。编辑并提供正确的用户名和密码。

添加用户目录连接器会导致 ‘Error ' 状态。错误显示: " 无法获取作为林名称提供的 DN=DC=HQ , DC=DOMAINNAME , DC=com 对应的对象。 "

提供的林名称不正确。编辑并提供正确的林名称。

域用户的可选属性未显示在 Cloud Secure 用户配置文件页面中。

这可能是因为在 CloudSecure 中添加的可选属性名称与 Active Directory 中的实际属性名称不匹配。编辑并提供正确的可选属性名称。

数据收集器处于错误状态,并显示 "Failed to retrieve LDAP users.失败原因:无法在服务器上连接,连接为空 "

单击 Restart 按钮重新启动收集器。

添加用户目录连接器会导致 ‘Error ' 状态。

确保为所需字段(服务器,林名称,绑定 DN ,绑定密码)提供了有效值。确保绑定 DN 输入始终以 ‘Administrator@ <domain_for林 _name> ' 或具有域管理员权限的用户帐户的形式提供。

添加用户目录连接器会导致出现 ‘retrying ' 状态。显示错误 " 无法定义收集器的状态,原因 TCP 命令 Connect ( localhost : 35012 , None , List (), some (, seconds ), true ) ] 失败,因为 java.net.ConnectionException:Connection 被拒绝。 "

为 AD 服务器提供的 IP 或 FQDN 不正确。编辑并提供正确的 IP 地址或 FQDN 。

添加用户目录连接器会导致 ‘Error ' 状态。错误消息为 " 无法建立 LDAP 连接 " 。

为 AD 服务器提供的 IP 或 FQDN 不正确。编辑并提供正确的 IP 地址或 FQDN 。

添加用户目录连接器会导致 ‘Error ' 状态。错误显示: " 无法加载设置。原因:数据源配置出错。具体原因: /connector/conf/application.conf : 70 : ldap.ldap-port has type string rather than number "

提供的端口值不正确。尝试使用 AD 服务器的默认端口值或正确的端口号。

我先从必备属性入手,然后它便可正常运行。添加可选属性后,无法从 AD 提取可选属性数据。

这可能是因为在 CloudSecure 中添加的可选属性与 Active Directory 中的实际属性名称不匹配。编辑并提供正确的必填或可选属性名称。

重新启动收集器后,何时会进行 AD 同步?

收集器重新启动后,将立即进行 AD 同步。提取大约 30 万个用户的用户数据大约需要 15 分钟,并且每 12 小时自动刷新一次。

用户数据将从 AD 同步到 CloudSecure 。何时删除数据?

如果不刷新,用户数据将保留 13 个月。如果删除租户,则数据将被删除。

User Directory 连接器会导致 ‘Error ' 状态。" 连接器处于错误状态。服务名称: usersLdap 。失败原因:无法检索 LDAP 用户。失败原因: 80090308 : LdapErr : DSID-0C090453 ,注释: AcceptSecurityContext 错误,数据 52e , v3839"

提供的林名称不正确。请参见上文,了解如何提供正确的林名称。

未在用户配置文件页面中填充电话号码。

这很可能是由于 Active Directory 存在属性映射问题。1. 编辑从 Active Directory 提取用户信息的特定 Active Directory 收集器。请注意,在可选属性下,字段名称 " 电话号码 " 映射到 Active Directory 属性 ‘电话号码 ' 。4. 现在,请使用上述 Active Directory 资源管理器工具浏览 Active Directory 并查看正确的属性名称。3. 确保在 Active Directory 中有一个名为 ‘telphonenumber ' 的属性,该属性确实包含用户的电话号码。5. 我们可以说,在 Active Directory 中,它已修改为 ‘phonenumber ' 。6. 然后编辑 CloudSecure 用户目录收集器。在可选属性部分中,将 ‘telphonenumber ' 替换为 ‘phonenumber ' 。7. 保存 Active Directory 收集器后,收集器将重新启动并获取用户的电话号码,并在用户配置文件页面中显示相同的电话号码。

如果在 Active Directory ( AD )服务器上启用了加密证书( SSL ),则 Cloud Secure 用户目录收集器无法连接到 AD 服务器。

在配置用户目录收集器之前禁用 AD 服务器加密。提取用户详细信息后,该详细信息将在 13 个月内显示。如果在提取用户详细信息后 AD 服务器断开连接,则不会提取 AD 中新添加的用户。要重新提取,需要将用户目录收集器连接到 AD 。