请求文档变更
在 GitHub 上编辑
提供者指南
可用的 PDF
配置 LDAP 目录服务器收集器
提供者
您可以将工作负载安全性配置为从LDAP目录服务器收集用户属性。
-
要执行此任务,您必须是 Cloud Insights 管理员或帐户所有者。
-
您必须具有托管 LDAP 目录服务器的服务器的 IP 地址。
-
在配置 LDAP 目录连接器之前,必须先配置代理。
-
在工作负载安全性菜单中、单击:管理员>数据收集器>用户目录收集器>+用户目录收集器、然后选择* LDAP目录服务器*
系统将显示添加用户目录屏幕。
通过在下表中输入所需数据来配置用户目录收集器:
名称 |
说明 |
名称 |
用户目录的唯一名称。例如 GlobalLDAPCollector |
代理 |
从列表中选择一个已配置的代理 |
服务器 IP/ 域名 |
托管 LDAP 目录服务器的服务器的 IP 地址或完全限定域名( FQDN ) |
搜索库 |
LDAP 服务器搜索库的搜索库支持以下两种格式: x.y.z ⇒ SVM 上的直接域名。例如: hq.companyname.com] dc=x , DC=y , DC=z ⇒ 相对可分辨名称(例如: DC=HQ , DC= CompanyName , DC=com ),或者您可以指定为以下内容: OU=engineering , DC=HQ , DC= CompanyName , DC=com 【按特定 OU engineering 进行筛选】 CN=username , OU=engineering , DC=CompanyName , DC=NetApp , DC=com 【仅从 OU <engineering>> 获取 < 用户名 > 的特定用户】 _CN=Acrobat 用户, CN=Users , DC=HQ , DC=com , DC=All Users , DC=US , |
绑定 DN |
允许搜索目录的用户。例如: UID=LDAPUser , CN=Users , CN=accounts , dc=domain , dc=CompanyName , dc=com uid=john , cn=users , cn=accounts , dc=drep , dc=company、 dc=com 。 john@dorp.company.comdorp.company.com |
—帐户 |
-users |
— John |
-Anna |
绑定密码 |
目录服务器密码(即绑定 DN 中使用的用户名的密码) |
协议 |
LDAP , LDAPS , ldap-start-tls |
端口 |
选择端口 |
如果已在 LDAP 目录服务器中修改默认属性名称,请输入以下目录服务器所需属性。大多数情况下,这些属性名称在 LDAP 目录服务器中都是 not 修改的,在这种情况下,您只需继续使用默认属性名称即可。
属性 |
目录服务器中的属性名称 |
显示名称 |
名称 |
UNIX ID |
uidNumber |
用户名 |
UID |
单击包括可选属性以添加以下任何属性:
属性 |
目录服务器中的属性名称 |
电子邮件地址 |
邮件 |
电话号码 |
电话编号 |
角色 |
标题 |
国家 / 地区 |
CO |
状态 |
状态 |
部门 |
部门编号 |
照片 |
照片 |
ManagerDN |
管理器 |
组 |
成员 |
测试用户目录收集器配置
您可以使用以下过程验证 LDAP 用户权限和属性定义:
-
使用以下命令验证工作负载安全性LDAP用户权限:
ldapsearch -D "uid=john ,cn=users,cn=accounts,dc=dorp,dc=company,dc=com" -W -x -LLL -o ldif-wrap=no -b "cn=accounts,dc=dorp,dc=company,dc=com" -H ldap://vmwipaapp08.dorp.company.com * 使用 LDAP 资源管理器导航 LDAP 数据库,查看对象属性和属性,查看权限,查看对象架构,执行复杂的搜索,您可以保存这些搜索并重新执行这些搜索。
-
安装 LDAP 资源管理器 (http://ldaptool.sourceforge.net/) 或 Java LDAP 资源管理器 (http://jxplorer.org/) 可连接到 LDAP 服务器的任何 Windows 计算机上。
-
使用 LDAP 目录服务器的用户名 / 密码连接到 LDAP 服务器。
-
对 LDAP 目录收集器配置错误进行故障排除
下表介绍了在收集器配置期间可能发生的已知问题和解决方法:
| 问题: | 解决方法: |
|---|---|
添加 LDAP 目录连接器会导致 ‘Error ' 状态。错误消息为 " 为 LDAP 服务器提供的凭据无效 " 。 |
提供的绑定 DN ,绑定密码或搜索库不正确。编辑并提供正确的信息。 |
添加 LDAP 目录连接器会导致 ‘Error ' 状态。错误显示: " 无法获取作为林名称提供的 DN=DC=HQ , DC=DOMAINNAME , DC=com 对应的对象。 " |
提供的搜索库不正确。编辑并提供正确的林名称。 |
域用户的可选属性未显示在工作负载安全用户配置文件页面中。 |
这可能是因为在 CloudSecure 中添加的可选属性名称与 Active Directory 中的实际属性名称不匹配。字段区分大小写。编辑并提供正确的可选属性名称。 |
数据收集器处于错误状态,并显示 "Failed to retrieve LDAP users.失败原因:无法在服务器上连接,连接为空 " |
单击 Restart 按钮重新启动收集器。 |
添加 LDAP 目录连接器会导致 ‘Error ' 状态。 |
确保为所需字段(服务器,林名称,绑定 DN ,绑定密码)提供了有效值。确保绑定 DN 输入始终以 uid=ldapUser , cn=users , cn=accounts , dc=domain , dc=CompanyName , dc=com 的形式提供。 |
添加 LDAP 目录连接器会导致出现 ‘retrying ' 状态。显示错误 "Failed to determine the health of the collector hence retrying age" |
确保提供了正确的服务器 IP 和搜索库 /// |
添加 LDAP 目录时,显示以下错误: " 无法在 2 次重试内确定收集器的运行状况,请重新尝试重新启动收集器(错误代码: AGENT008 ) " |
确保提供了正确的服务器 IP 和搜索库 |
添加 LDAP 目录连接器会导致出现 ‘retrying ' 状态。显示错误 " 无法定义收集器的状态,原因 TCP 命令 Connect ( localhost : 35012 , None , List (), some (, seconds ), true ) ] 失败,因为 java.net.ConnectionException:Connection 被拒绝。 " |
为 AD 服务器提供的 IP 或 FQDN 不正确。编辑并提供正确的 IP 地址或 FQDN 。/// |
添加 LDAP 目录连接器会导致 ‘Error ' 状态。错误消息为 " 无法建立 LDAP 连接 " 。 |
为 LDAP 服务器提供的 IP 或 FQDN 不正确。编辑并提供正确的 IP 地址或 FQDN 。或提供的端口值不正确。尝试使用默认端口值或正确的 LDAP 服务器端口号。 |
添加 LDAP 目录连接器会导致 ‘Error ' 状态。错误显示: " 无法加载设置。原因:数据源配置出错。具体原因: /connector/conf/application.conf : 70 : ldap.ldap-port has type string rather than number " |
提供的端口值不正确。尝试使用 AD 服务器的默认端口值或正确的端口号。 |
我先从必备属性入手,然后它便可正常运行。添加可选属性后,无法从 AD 提取可选属性数据。 |
这可能是因为在 CloudSecure 中添加的可选属性与 Active Directory 中的实际属性名称不匹配。编辑并提供正确的必填或可选属性名称。 |
重新启动收集器后,何时会进行 LDAP 同步? |
收集器重新启动后,将立即进行 LDAP 同步。提取大约 30 万个用户的用户数据大约需要 15 分钟,并且每 12 小时自动刷新一次。 |
用户数据已从 LDAP 同步到 CloudSecure 。何时删除数据? |
如果不刷新,用户数据将保留 13 个月。如果删除租户,则数据将被删除。 |
LDAP 目录连接器会导致 ‘Error ' 状态。" 连接器处于错误状态。服务名称: usersLdap 。失败原因:无法检索 LDAP 用户。失败原因: 80090308 : LdapErr : DSID-0C090453 ,注释: AcceptSecurityContext 错误,数据 52e , v3839" |
提供的林名称不正确。请参见上文,了解如何提供正确的林名称。 |
未在用户配置文件页面中填充电话号码。 |
这很可能是由于 Active Directory 存在属性映射问题。1. 编辑从 Active Directory 提取用户信息的特定 Active Directory 收集器。请注意,在可选属性下,字段名称 " 电话号码 " 映射到 Active Directory 属性 ‘电话号码 ' 。4. 现在,请使用上述 Active Directory 资源管理器工具浏览 LDAP 目录服务器并查看正确的属性名称。3. 确保 LDAP 目录中有一个名为 ‘telphonenumber ' 的属性,该属性确实包含用户的电话号码。5. ‘在 LDAP 目录中将其修改为 "phonenumber" 。6. 然后编辑 CloudSecure 用户目录收集器。在可选属性部分中,将 ‘telphonenumber ' 替换为 ‘phonenumber ' 。7. 保存 Active Directory 收集器后,收集器将重新启动并获取用户的电话号码,并在用户配置文件页面中显示相同的电话号码。 |
如果在Active Directory (AD)服务器上启用了加密证书(SSL)、则工作负载安全用户目录收集器无法连接到AD服务器。 |
在配置用户目录收集器之前禁用 AD 服务器加密。提取用户详细信息后,该详细信息将在 13 个月内显示。如果在提取用户详细信息后 AD 服务器断开连接,则不会提取 AD 中新添加的用户。要重新提取,需要将用户目录收集器连接到 AD 。 |