配置 LDAP 目录服务器收集器
建议更改
PDF
您可以将工作负载安全性配置为从LDAP目录服务器收集用户属性。
-
您必须是Data Infrastructure Insight管理员或帐户所有者才能执行此任务。
-
您必须具有托管 LDAP 目录服务器的服务器的 IP 地址。
-
在配置 LDAP 目录连接器之前,必须先配置代理。
-
在工作负载安全性菜单中,单击:收集器>用户目录收集器>+用户目录收集器,然后选择*LDAP目录服务器*
系统将显示添加用户目录屏幕。
通过在下表中输入所需数据来配置用户目录收集器:
名称 |
说明 |
名称 |
用户目录的唯一名称。例如 GlobalLDAPCollector |
代理 |
从列表中选择一个已配置的代理 |
服务器 IP/ 域名 |
托管 LDAP 目录服务器的服务器的 IP 地址或完全限定域名( FQDN ) |
搜索库 |
LDAP 服务器搜索库的搜索库支持以下两种格式: x.y.z ⇒ SVM 上的直接域名。例如: hq.companyname.com] dc=x , DC=y , DC=z ⇒ 相对可分辨名称(例如: DC=HQ , DC= CompanyName , DC=com ),或者您可以指定为以下内容: OU=engineering , DC=HQ , DC= CompanyName , DC=com 【按特定 OU engineering 进行筛选】 CN=username , OU=engineering , DC=CompanyName , DC=NetApp , DC=com 【仅从 OU <engineering>> 获取 < 用户名 > 的特定用户】 _CN=Acrobat 用户, CN=Users , DC=HQ , DC=com , DC=All Users , DC=US , |
绑定 DN |
允许搜索目录的用户。例如:对于用户john@dorp.company.com、以下命令为:uid=ldapUser、cn=users、cn=accounts、dc=domain、dc=companyName、dc=com uid=John、cn=users、cn=accounts、dc=dorp、dc=company、dc=com。dorp.company.com |
—帐户 |
-users |
— John |
-Anna |
绑定密码 |
目录服务器密码(即绑定 DN 中使用的用户名的密码) |
协议 |
LDAP , LDAPS , ldap-start-tls |
端口 |
选择端口 |
如果已在 LDAP 目录服务器中修改默认属性名称,请输入以下目录服务器所需属性。大多数情况下,这些属性名称在 LDAP 目录服务器中都是 not 修改的,在这种情况下,您只需继续使用默认属性名称即可。
属性 |
目录服务器中的属性名称 |
显示名称 |
name |
UNIX ID |
uidNumber |
用户名 |
UID |
单击包括可选属性以添加以下任何属性:
属性 |
目录服务器中的属性名称 |
电子邮件地址 |
邮件 |
电话号码 |
电话编号 |
角色 |
标题 |
国家/地区 |
CO |
状态 |
state |
部门 |
部门编号 |
照片 |
照片 |
ManagerDN |
管理器 |
组 |
成员 |
测试用户目录收集器配置
您可以使用以下过程验证 LDAP 用户权限和属性定义:
-
使用以下命令验证工作负载安全性LDAP用户权限:
ldapsearch -D "uid=john ,cn=users,cn=accounts,dc=dorp,dc=company,dc=com" -W -x -LLL -o ldif-wrap=no -b "cn=accounts,dc=dorp,dc=company,dc=com" -H ldap://vmwipaapp08.dorp.company.com * 使用 LDAP 资源管理器导航 LDAP 数据库,查看对象属性和属性,查看权限,查看对象架构,执行复杂的搜索,您可以保存这些搜索并重新执行这些搜索。
-
(http://jxplorer.org/在可以连接到LDAP服务器(http://ldaptool.sourceforge.net/的任何Windows计算机上安装LDAP资源管理器()或Java LDAP资源管理器()。
-
使用 LDAP 目录服务器的用户名 / 密码连接到 LDAP 服务器。
-
对 LDAP 目录收集器配置错误进行故障排除
下表介绍了在收集器配置期间可能发生的已知问题和解决方法:
| 问题: | 解决方法: |
|---|---|
添加 LDAP 目录连接器会导致 ‘Error ' 状态。错误消息为 " 为 LDAP 服务器提供的凭据无效 " 。 |
提供的绑定 DN ,绑定密码或搜索库不正确。编辑并提供正确的信息。 |
添加 LDAP 目录连接器会导致 ‘Error ' 状态。错误显示: " 无法获取作为林名称提供的 DN=DC=HQ , DC=DOMAINNAME , DC=com 对应的对象。 " |
提供的搜索库不正确。编辑并提供正确的林名称。 |
域用户的可选属性未显示在工作负载安全用户配置文件页面中。 |
这可能是因为在 CloudSecure 中添加的可选属性名称与 Active Directory 中的实际属性名称不匹配。字段区分大小写。编辑并提供正确的可选属性名称。 |
数据收集器处于错误状态,并显示 "Failed to retrieve LDAP users.失败原因:无法在服务器上连接,连接为空 " |
单击 Restart 按钮重新启动收集器。 |
添加 LDAP 目录连接器会导致 ‘Error ' 状态。 |
确保为所需字段(服务器,林名称,绑定 DN ,绑定密码)提供了有效值。确保绑定 DN 输入始终以 uid=ldapUser , cn=users , cn=accounts , dc=domain , dc=CompanyName , dc=com 的形式提供。 |
添加 LDAP 目录连接器会导致出现 ‘retrying ' 状态。显示错误 "Failed to determine the health of the collector hence retrying age" |
确保提供了正确的服务器IP和搜索库/// |
添加 LDAP 目录时,显示以下错误: " 无法在 2 次重试内确定收集器的运行状况,请重新尝试重新启动收集器(错误代码: AGENT008 ) " |
确保提供了正确的服务器 IP 和搜索库 |
添加 LDAP 目录连接器会导致出现 ‘retrying ' 状态。显示错误 " 无法定义收集器的状态,原因 TCP 命令 Connect ( localhost : 35012 , None , List (), some (, seconds ), true ) ] 失败,因为 java.net.ConnectionException:Connection 被拒绝。 " |
为 AD 服务器提供的 IP 或 FQDN 不正确。编辑并提供正确的 IP 地址或 FQDN 。//// |
添加 LDAP 目录连接器会导致 ‘Error ' 状态。错误消息为 " 无法建立 LDAP 连接 " 。 |
为 LDAP 服务器提供的 IP 或 FQDN 不正确。编辑并提供正确的 IP 地址或 FQDN 。或提供的端口值不正确。尝试使用默认端口值或正确的 LDAP 服务器端口号。 |
添加 LDAP 目录连接器会导致 ‘Error ' 状态。错误显示: " 无法加载设置。原因:数据源配置出错。具体原因: /connector/conf/application.conf : 70 : ldap.ldap-port has type string rather than number " |
提供的端口值不正确。尝试使用默认端口值或正确的 AD 服务器端口号。 |
我先从必备属性入手,然后它便可正常运行。添加可选属性后,无法从 AD 提取可选属性数据。 |
这可能是因为在 CloudSecure 中添加的可选属性与 Active Directory 中的实际属性名称不匹配。编辑并提供正确的必填或可选属性名称。 |
重新启动收集器后,何时会进行 LDAP 同步? |
收集器重新启动后,将立即进行 LDAP 同步。提取大约 30 万个用户的用户数据大约需要 15 分钟,并且每 12 小时自动刷新一次。 |
用户数据已从 LDAP 同步到 CloudSecure 。何时删除数据? |
如果不刷新,用户数据将保留 13 个月。如果删除租户,则数据将被删除。 |
LDAP 目录连接器会导致 ‘Error ' 状态。" 连接器处于错误状态。服务名称: usersLdap 。失败原因:无法检索 LDAP 用户。失败原因: 80090308 : LdapErr : DSID-0C090453 ,注释: AcceptSecurityContext 错误,数据 52e , v3839" |
提供的林名称不正确。请参见上文,了解如何提供正确的林名称。 |
未在用户配置文件页面中填充电话号码。 |
这很可能是由于 Active Directory 存在属性映射问题。1.编辑要从Active Directory中提取用户信息的特定Active Directory收集器。2.请注意,在可选属性下,有一个字段名称“‘电话号码”映射到Active Directory属性“电话号码”。4.现在、请按照上述说明使用Active Directory资源管理器工具浏览LDAP目录服务器并查看正确的属性名称。3.确保在LDAP目录中有一个名为“‘Telephonenumber”的属性,该属性确实包含用户的电话号码。5.‘在LDAP目录中,它已被修改为“电话号码”。6.然后编辑CloudSecure用户目录收集器。在可选属性部分中,将 ‘telphonenumber ' 替换为 ‘phonenumber ' 。7.保存Active Directory收集器、收集器将重新启动并获取用户的电话号码、并在用户配置文件页面中显示相同的号码。 |
如果在Active Directory (AD)服务器上启用了加密证书(SSL)、则工作负载安全用户目录收集器无法连接到AD服务器。 |
在配置用户目录收集器之前禁用 AD 服务器加密。提取用户详细信息后,该详细信息将在 13 个月内显示。如果在提取用户详细信息后 AD 服务器断开连接,则不会提取 AD 中新添加的用户。要重新提取,需要将用户目录收集器连接到 AD 。 |