Skip to main content
Cloud Insights
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

配置 LDAP 目录服务器收集器

贡献者

您可以将工作负载安全性配置为从LDAP目录服务器收集用户属性。

开始之前

  • 要执行此任务,您必须是 Cloud Insights 管理员或帐户所有者。

  • 您必须具有托管 LDAP 目录服务器的服务器的 IP 地址。

  • 在配置 LDAP 目录连接器之前,必须先配置代理。

配置用户目录收集器的步骤

  1. 在Workload Security菜单中、单击:
    收集器>用户目录收集器>+用户目录收集器*并选择*LDAP目录服务器

    系统将显示添加用户目录屏幕。

通过在下表中输入所需数据来配置用户目录收集器:

名称

说明

名称

用户目录的唯一名称。例如 GlobalLDAPCollector

代理

从列表中选择一个已配置的代理

服务器 IP/ 域名

托管 LDAP 目录服务器的服务器的 IP 地址或完全限定域名( FQDN )

搜索库

LDAP 服务器搜索库的搜索库支持以下两种格式: x.y.z ⇒ SVM 上的直接域名。例如: hq.companyname.com] dc=x , DC=y , DC=z ⇒ 相对可分辨名称(例如: DC=HQ , DC= CompanyName , DC=com ),或者您可以指定为以下内容: OU=engineering , DC=HQ , DC= CompanyName , DC=com 【按特定 OU engineering 进行筛选】 CN=username , OU=engineering , DC=CompanyName , DC=NetApp , DC=com 【仅从 OU <engineering>> 获取 < 用户名 > 的特定用户】 _CN=Acrobat 用户, CN=Users , DC=HQ , DC=com , DC=All Users , DC=US ,

绑定 DN

允许搜索目录的用户。例如: UID=LDAPUser , CN=Users , CN=accounts , dc=domain , dc=CompanyName , dc=com uid=john , cn=users , cn=accounts , dc=drep , dc=company、 dc=com 。 john@dorp.company.comdorp.company.com

—帐户

-users

— John

-Anna

绑定密码

目录服务器密码(即绑定 DN 中使用的用户名的密码)

协议

LDAP , LDAPS , ldap-start-tls

端口

选择端口

如果已在 LDAP 目录服务器中修改默认属性名称,请输入以下目录服务器所需属性。大多数情况下,这些属性名称在 LDAP 目录服务器中都是 not 修改的,在这种情况下,您只需继续使用默认属性名称即可。

属性

目录服务器中的属性名称

显示名称

名称

UNIX ID

uidNumber

用户名

UID

单击包括可选属性以添加以下任何属性:

属性

目录服务器中的属性名称

电子邮件地址

邮件

电话号码

电话编号

角色

标题

国家 / 地区

CO

状态

状态

部门

部门编号

照片

照片

ManagerDN

管理器

成员

测试用户目录收集器配置

您可以使用以下过程验证 LDAP 用户权限和属性定义:

  • 使用以下命令验证工作负载安全性LDAP用户权限:

     ldapsearch -D "uid=john ,cn=users,cn=accounts,dc=dorp,dc=company,dc=com" -W -x -LLL -o ldif-wrap=no -b "cn=accounts,dc=dorp,dc=company,dc=com" -H ldap://vmwipaapp08.dorp.company.com
* 使用 LDAP 资源管理器导航 LDAP 数据库,查看对象属性和属性,查看权限,查看对象架构,执行复杂的搜索,您可以保存这些搜索并重新执行这些搜索。

    • 安装 LDAP 资源管理器 或 Java LDAP 资源管理器 可连接到 LDAP 服务器的任何 Windows 计算机上。

    • 使用 LDAP 目录服务器的用户名 / 密码连接到 LDAP 服务器。

LDAP 连接

对 LDAP 目录收集器配置错误进行故障排除

下表介绍了在收集器配置期间可能发生的已知问题和解决方法:

问题: 解决方法:

添加 LDAP 目录连接器会导致 ‘Error ' 状态。错误消息为 " 为 LDAP 服务器提供的凭据无效 " 。

提供的绑定 DN ,绑定密码或搜索库不正确。编辑并提供正确的信息。

添加 LDAP 目录连接器会导致 ‘Error ' 状态。错误显示: " 无法获取作为林名称提供的 DN=DC=HQ , DC=DOMAINNAME , DC=com 对应的对象。 "

提供的搜索库不正确。编辑并提供正确的林名称。

域用户的可选属性未显示在工作负载安全用户配置文件页面中。

这可能是因为在 CloudSecure 中添加的可选属性名称与 Active Directory 中的实际属性名称不匹配。字段区分大小写。编辑并提供正确的可选属性名称。

数据收集器处于错误状态,并显示 "Failed to retrieve LDAP users.失败原因:无法在服务器上连接,连接为空 "

单击 Restart 按钮重新启动收集器。

添加 LDAP 目录连接器会导致 ‘Error ' 状态。

确保为所需字段(服务器,林名称,绑定 DN ,绑定密码)提供了有效值。确保绑定 DN 输入始终以 uid=ldapUser , cn=users , cn=accounts , dc=domain , dc=CompanyName , dc=com 的形式提供。

添加 LDAP 目录连接器会导致出现 ‘retrying ' 状态。显示错误 "Failed to determine the health of the collector hence retrying age"

确保提供了正确的服务器 IP 和搜索库 ///

添加 LDAP 目录时,显示以下错误: " 无法在 2 次重试内确定收集器的运行状况,请重新尝试重新启动收集器(错误代码: AGENT008 ) "

确保提供了正确的服务器 IP 和搜索库

添加 LDAP 目录连接器会导致出现 ‘retrying ' 状态。显示错误 " 无法定义收集器的状态,原因 TCP 命令 Connect ( localhost : 35012 , None , List (), some (, seconds ), true ) ] 失败,因为 java.net.ConnectionException:Connection 被拒绝。 "

为 AD 服务器提供的 IP 或 FQDN 不正确。编辑并提供正确的 IP 地址或 FQDN 。///

添加 LDAP 目录连接器会导致 ‘Error ' 状态。错误消息为 " 无法建立 LDAP 连接 " 。

为 LDAP 服务器提供的 IP 或 FQDN 不正确。编辑并提供正确的 IP 地址或 FQDN 。或提供的端口值不正确。尝试使用默认端口值或正确的 LDAP 服务器端口号。

添加 LDAP 目录连接器会导致 ‘Error ' 状态。错误显示: " 无法加载设置。原因:数据源配置出错。具体原因: /connector/conf/application.conf : 70 : ldap.ldap-port has type string rather than number "

提供的端口值不正确。尝试使用 AD 服务器的默认端口值或正确的端口号。

我先从必备属性入手,然后它便可正常运行。添加可选属性后,无法从 AD 提取可选属性数据。

这可能是因为在 CloudSecure 中添加的可选属性与 Active Directory 中的实际属性名称不匹配。编辑并提供正确的必填或可选属性名称。

重新启动收集器后,何时会进行 LDAP 同步?

收集器重新启动后,将立即进行 LDAP 同步。提取大约 30 万个用户的用户数据大约需要 15 分钟,并且每 12 小时自动刷新一次。

用户数据已从 LDAP 同步到 CloudSecure 。何时删除数据?

如果不刷新,用户数据将保留 13 个月。如果删除租户,则数据将被删除。

LDAP 目录连接器会导致 ‘Error ' 状态。" 连接器处于错误状态。服务名称: usersLdap 。失败原因:无法检索 LDAP 用户。失败原因: 80090308 : LdapErr : DSID-0C090453 ,注释: AcceptSecurityContext 错误,数据 52e , v3839"

提供的林名称不正确。请参见上文,了解如何提供正确的林名称。

未在用户配置文件页面中填充电话号码。

这很可能是由于 Active Directory 存在属性映射问题。1. 编辑从 Active Directory 提取用户信息的特定 Active Directory 收集器。请注意,在可选属性下,字段名称 " 电话号码 " 映射到 Active Directory 属性 ‘电话号码 ' 。4. 现在,请使用上述 Active Directory 资源管理器工具浏览 LDAP 目录服务器并查看正确的属性名称。3. 确保 LDAP 目录中有一个名为 ‘telphonenumber ' 的属性,该属性确实包含用户的电话号码。5. ‘在 LDAP 目录中将其修改为 "phonenumber" 。6. 然后编辑 CloudSecure 用户目录收集器。在可选属性部分中,将 ‘telphonenumber ' 替换为 ‘phonenumber ' 。7. 保存 Active Directory 收集器后,收集器将重新启动并获取用户的电话号码,并在用户配置文件页面中显示相同的电话号码。

如果在Active Directory (AD)服务器上启用了加密证书(SSL)、则工作负载安全用户目录收集器无法连接到AD服务器。

在配置用户目录收集器之前禁用 AD 服务器加密。提取用户详细信息后,该详细信息将在 13 个月内显示。如果在提取用户详细信息后 AD 服务器断开连接,则不会提取 AD 中新添加的用户。要重新提取,需要将用户目录收集器连接到 AD 。