Skip to main content
Data Infrastructure Insights
简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

配置 Active Directory ( AD )用户目录收集器

贡献者

可以将工作负载安全性配置为从Active Directory服务器收集用户属性。

开始之前
  • 您必须是Data Infrastructure Insight管理员或帐户所有者才能执行此任务。

  • 您必须具有托管 Active Directory 服务器的服务器的 IP 地址。

  • 在配置用户目录连接器之前,必须先配置代理。

配置用户目录收集器的步骤
  1. 在工作负载安全性菜单中,单击:收集器>用户目录收集器>+用户目录收集器,然后选择*Active Directory*

    系统将显示添加用户目录屏幕。

通过在下表中输入所需数据来配置用户目录收集器:

名称

说明

名称

用户目录的唯一名称。例如 GlobalADCollector

代理

从列表中选择一个已配置的代理

服务器 IP/ 域名

托管 Active Directory 的服务器的 IP 地址或完全限定域名( FQDN )

林名称

目录结构的林级别。林名称支持以下两种格式: x.y.z ⇒ SVM 上的直接域名。例如: hq.companyname.com] dc=x , DC=y , DC=z ⇒ 相对可分辨名称(例如: DC=HQ , DC= CompanyName , DC=com ),或者您可以指定为以下内容: OU=engineering , DC=HQ , DC= CompanyName , DC=com 【按特定 OU engineering 进行筛选】 CN=username , OU=engineering , DC=CompanyName , DC=NetApp , DC=com 【仅从 OU <engineering>] 中获取具有 <username> 的特定用户, compcn=Acrobat 用户, CN=Users , DC=HQ , DC=com , DC=All Users ,

绑定 DN

允许搜索目录的用户。例如:username@companyname.com_或_username@domainname.com。此外、还需要"域只读"权限。用户必须是安全组_read-only Domain Controllers_的成员。

绑定密码

目录服务器密码(即绑定 DN 中使用的用户名的密码)

协议

LDAP , LDAPS , ldap-start-tls

端口

选择端口

如果已在 Active Directory 中修改默认属性名称,请输入以下目录服务器所需属性。大多数情况下,这些属性名称在 Active Directory 中都是 not 修改的,在这种情况下,您只需继续使用默认属性名称即可。

属性

目录服务器中的属性名称

显示名称

name

SID

对象 SID

用户名

sAMAccountName

单击包括可选属性以添加以下任何属性:

属性

目录服务器中的属性名称

电子邮件地址

邮件

电话号码

电话编号

角色

标题

国家/地区

CO

状态

state

部门

部门

照片

ThumbnailPhote.

ManagerDN

管理器

成员

测试用户目录收集器配置

您可以使用以下过程验证 LDAP 用户权限和属性定义:

  • 使用以下命令验证工作负载安全性LDAP用户权限:

    ldapsearch -o ldif-wrap=no -LLL -x -b "dc=netapp,dc=com" -h 10.235.40.29 -p 389 -D Administrator@netapp.com -W

  • 使用 AD 资源管理器导航 AD 数据库,查看对象属性和属性,查看权限,查看对象架构,执行复杂的搜索,您可以保存这些搜索并重新执行这些搜索。

    • 安装"AD 资源管理器"在可连接到AD服务器的任何Windows计算机上。

    • 使用 AD 目录服务器的用户名 / 密码连接到 AD 服务器。

AD 连接

对用户目录收集器配置错误进行故障排除

下表介绍了在收集器配置期间可能发生的已知问题和解决方法:

问题: 解决方法:

添加用户目录连接器会导致 ‘Error ' 状态。错误消息为 " 为 LDAP 服务器提供的凭据无效 " 。

提供的用户名或密码不正确。编辑并提供正确的用户名和密码。

添加用户目录连接器会导致 ‘Error ' 状态。错误显示: " 无法获取作为林名称提供的 DN=DC=HQ , DC=DOMAINNAME , DC=com 对应的对象。 "

提供的林名称不正确。编辑并提供正确的林名称。

域用户的可选属性未显示在工作负载安全用户配置文件页面中。

这可能是因为在 CloudSecure 中添加的可选属性名称与 Active Directory 中的实际属性名称不匹配。编辑并提供正确的可选属性名称。

数据收集器处于错误状态,并显示 "Failed to retrieve LDAP users.失败原因:无法在服务器上连接,连接为空 "

单击 Restart 按钮重新启动收集器。

添加用户目录连接器会导致 ‘Error ' 状态。

确保为所需字段(服务器,林名称,绑定 DN ,绑定密码)提供了有效值。确保绑定 DN 输入始终以 ‘Administrator@ <domain_for林 _name> ' 或具有域管理员权限的用户帐户的形式提供。

添加用户目录连接器会导致出现 ‘retrying ' 状态。显示错误 " 无法定义收集器的状态,原因 TCP 命令 Connect ( localhost : 35012 , None , List (), some (, seconds ), true ) ] 失败,因为 java.net.ConnectionException:Connection 被拒绝。 "

为 AD 服务器提供的 IP 或 FQDN 不正确。编辑并提供正确的 IP 地址或 FQDN 。

添加用户目录连接器会导致 ‘Error ' 状态。错误消息为 " 无法建立 LDAP 连接 " 。

为 AD 服务器提供的 IP 或 FQDN 不正确。编辑并提供正确的 IP 地址或 FQDN 。

添加用户目录连接器会导致 ‘Error ' 状态。错误显示: " 无法加载设置。原因:数据源配置出错。具体原因: /connector/conf/application.conf : 70 : ldap.ldap-port has type string rather than number "

提供的端口值不正确。尝试使用默认端口值或正确的 AD 服务器端口号。

我先从必备属性入手,然后它便可正常运行。添加可选属性后,无法从 AD 提取可选属性数据。

这可能是因为在 CloudSecure 中添加的可选属性与 Active Directory 中的实际属性名称不匹配。编辑并提供正确的必填或可选属性名称。

重新启动收集器后,何时会进行 AD 同步?

收集器重新启动后,将立即进行 AD 同步。提取大约 30 万个用户的用户数据大约需要 15 分钟,并且每 12 小时自动刷新一次。

用户数据已从 AD 同步到 CloudSecure 。何时删除数据?

如果不刷新,用户数据将保留 13 个月。如果删除租户,则数据将被删除。

User Directory 连接器会导致 ‘Error ' 状态。" 连接器处于错误状态。服务名称: usersLdap 。失败原因:无法检索 LDAP 用户。失败原因: 80090308 : LdapErr : DSID-0C090453 ,注释: AcceptSecurityContext 错误,数据 52e , v3839"

提供的林名称不正确。请参见上文,了解如何提供正确的林名称。

未在用户配置文件页面中填充电话号码。

这很可能是由于 Active Directory 存在属性映射问题。1.编辑要从Active Directory中提取用户信息的特定Active Directory收集器。2.请注意,在可选属性下,有一个字段名称“‘电话号码”映射到Active Directory属性“电话号码”。4.现在、请按照上述说明使用Active Directory资源管理器工具浏览Active Directory并查看正确的属性名称。3.‘Active Directory中有一个名为“Telephonenumber”的属性,该属性确实包含用户的电话号码。5.‘在Active Directory中,它已被修改为“电话号码”。6.然后编辑CloudSecure用户目录收集器。在可选属性部分中,将 ‘telphonenumber ' 替换为 ‘phonenumber ' 。7.保存Active Directory收集器、收集器将重新启动并获取用户的电话号码、并在用户配置文件页面中显示相同的号码。

如果在Active Directory (AD)服务器上启用了加密证书(SSL)、则工作负载安全用户目录收集器无法连接到AD服务器。

在配置用户目录收集器之前禁用 AD 服务器加密。提取用户详细信息后,该详细信息将在 13 个月内显示。如果在提取用户详细信息后 AD 服务器断开连接,则不会提取 AD 中新添加的用户。要重新提取、需要将用户目录收集器连接到AD。

来自Active Directory的数据存在于CloudInsights Security中。希望从CloudInsights中删除所有用户信息。

不能只从CloudInsights Security中删除Active Directory用户信息。要删除此用户、需要删除整个租户。