配置 Active Directory (AD) 用户目录收集器
建议更改
PDF
可以配置工作负载安全以从 Active Directory 服务器收集用户属性。
-
您必须是Data Infrastructure Insights管理员或帐户所有者才能执行此任务。
-
您必须拥有托管 Active Directory 服务器的服务器的 IP 地址。
-
在配置用户目录连接器之前,必须先配置代理。
-
在“工作负载安全”菜单中,单击:收集器 > 用户目录收集器 > + 用户目录收集器,然后选择*Active Directory*
系统显示添加用户目录屏幕。
通过在下表中输入所需数据来配置用户目录收集器:
名称 |
描述 |
名称 |
用户目录的唯一名称。例如_GlobalADColector_ |
代理人 |
从列表中选择一个已配置的代理 |
服务器IP/域名 |
托管活动目录的服务器的 IP 地址或完全限定域名 (FQDN) |
森林名称 |
目录结构的森林级别。森林名称允许以下两种格式:x.y.z ⇒ 直接域名,与您在 SVM 上的一样。 [示例:hq.companyname.com] DC=x,DC=y,DC=z ⇒ 相对可分辨名称 [示例:DC=hq,DC= companyname,DC=com] 或者您可以指定如下: OU=engineering,DC=hq,DC= companyname,DC=com [按特定 OU engineering 过滤] CN=username,OU=engineering,DC=companyname, DC=netapp, DC=com [从 OU <engineering> 获取具有 <username> 的特定用户] CN=Acrobat Users,CN=Users,DC=hq,DC=companyname,DC=com,O= companyname,L=Boston,S=MA,C=US [获取该组织内的用户内的所有 Acrobat 用户] 还支持受信任的 Active Directory 域。 |
绑定 DN |
允许用户搜索目录。例如:username@companyname.com 或 username@domainname.com 此外,还需要域只读权限。用户必须是安全组“只读域控制器”的成员。 |
绑定密码 |
目录服务器密码(即绑定 DN 中使用的用户名的密码) |
协议 |
ldap、ldaps、ldap-start-tls |
端口 |
选择端口 |
如果在 Active Directory 中修改了默认属性名称,请输入以下 Directory Server 所需的属性。大多数情况下,这些属性名称在 Active Directory 中不会被修改,在这种情况下,您可以简单地使用默认属性名称。
属性 |
目录服务器中的属性名称 |
显示名称 |
name |
SID |
对象标识符 |
用户名 |
sAM账户名称 |
单击“包括可选属性”以添加以下任意属性:
属性 |
目录服务器中的属性名称 |
电子邮件地址 |
邮件 |
电话号码 |
电话号码 |
角色 |
标题 |
国家/地区 |
公司 |
状态 |
状态 |
部门 |
部门 |
照片 |
缩略图 |
经理DN |
经理 |
组 |
成员 |
测试您的用户目录收集器配置
您可以使用以下步骤验证 LDAP 用户权限和属性定义:
-
使用以下命令验证 Workload Security LDAP 用户权限:
ldapsearch -o ldif-wrap=no -LLL -x -b "dc=netapp,dc=com" -h 10.235.40.29 -p 389 -D Administrator@netapp.com -W -
使用 AD Explorer 浏览 AD 数据库、查看对象属性和特性、查看权限、查看对象的模式、执行可以保存和重新执行的复杂搜索。
-
安装"AD 浏览器"在任何可以连接到 AD 服务器的 Windows 机器上。
-
使用 AD 目录服务器的用户名/密码连接到 AD 服务器。
-
排除用户目录收集器配置错误
下表描述了收集器配置期间可能出现的已知问题和解决方法:
| 问题: | 解决: |
|---|---|
添加用户目录连接器会导致“错误”状态。错误提示“为 LDAP 服务器提供的凭据无效”。 |
提供的用户名或密码不正确。编辑并提供正确的用户名和密码。 |
添加用户目录连接器会导致“错误”状态。错误提示:“无法获取与作为林名称提供的 DN=DC=hq,DC=domainname,DC=com 对应的对象。” |
提供的森林名称不正确。编辑并提供正确的森林名称。 |
域用户的可选属性未出现在工作负载安全用户配置文件页面中。 |
这可能是由于 CloudSecure 中添加的可选属性名称与 Active Directory 中的实际属性名称不匹配造成的。编辑并提供正确的可选属性名称。 |
数据收集器处于错误状态,显示“无法检索 LDAP 用户。失败原因:无法连接到服务器,连接为空” |
单击“重新启动”按钮重新启动收集器。 |
添加用户目录连接器会导致“错误”状态。 |
确保您已为必填字段(服务器、林名称、绑定 DN、绑定密码)提供了有效值。确保 bind-DN 输入始终以“Administrator@<domain_forest_name>”或具有域管理员权限的用户帐户的形式提供。 |
添加用户目录连接器会导致“重试”状态。显示错误“无法定义收集器的状态,原因 Tcp 命令 [Connect(localhost:35012,None,List(),Some(,seconds),true)] 因 java.net.ConnectionException:Connection 被拒绝而失败。” |
为 AD 服务器提供的 IP 或 FQDN 不正确。编辑并提供正确的 IP 地址或 FQDN。 |
添加用户目录连接器会导致“错误”状态。错误提示“无法建立 LDAP 连接”。 |
为 AD 服务器提供的 IP 或 FQDN 不正确。编辑并提供正确的 IP 地址或 FQDN。 |
添加用户目录连接器会导致“错误”状态。错误提示:“无法加载设置。原因:数据源配置错误。具体原因:/connector/conf/application.conf: 70: ldap.ldap-port 的类型为 STRING 而不是 NUMBER” |
提供的端口值不正确。尝试使用 AD 服务器的默认端口值或正确的端口号。 |
我从强制属性开始,并且它起作用了。添加可选项后,可选属性数据不会从 AD 中获取。 |
这可能是由于 CloudSecure 中添加的可选属性与 Active Directory 中的实际属性名称不匹配造成的。编辑并提供正确的强制或可选属性名称。 |
重新启动收集器后,AD 同步何时发生? |
收集器重启后,AD 同步将立即发生。获取约30万用户的用户数据大约需要15分钟,并且每12小时自动刷新一次。 |
用户数据从 AD 同步到 CloudSecure。数据何时会被删除? |
如果没有刷新,用户数据将保留13个月。如果租户被删除,那么数据也将被删除。 |
用户目录连接器导致“错误”状态。 “连接器处于错误状态。服务名称:usersLdap。失败原因:无法检索 LDAP 用户。失败原因:80090308:LdapErr:DSID-0C090453,注释:AcceptSecurityContext 错误,数据 52e,v3839” |
提供的森林名称不正确。请参阅上文,了解如何提供正确的森林名称。 |
用户资料页面中未填写电话号码。 |
这很可能是由于 Active Directory 的属性映射问题造成的。1.编辑从 Active Directory 获取用户信息的特定 Active Directory 收集器。2.请注意,在可选属性下,有一个字段名称“电话号码”映射到 Active Directory 属性“telephonenumber”。4.现在,请使用上面描述的 Active Directory Explorer 工具浏览 Active Directory 并查看正确的属性名称。3.确保 Active Directory 中有一个名为“telephonenumber”的属性,其中确实包含用户的电话号码。5.假设在 Active Directory 中它已被修改为“电话号码”。6.然后编辑 CloudSecure 用户目录收集器。在可选属性部分,将“telephonenumber”替换为“phonenumber”。7.保存 Active Directory 收集器,收集器将重新启动并获取用户的电话号码,并将其显示在用户个人资料页面中。 |
如果在 Active Directory (AD) 服务器上启用了加密证书 (SSL),则 Workload Security User Directory Collector 无法连接到 AD 服务器。 |
在配置用户目录收集器之前禁用 AD 服务器加密。一旦获取用户详细信息,它将保留 13 个月。如果 AD 服务器在获取用户详细信息后断开连接,则不会获取 AD 中新添加的用户。要再次获取,用户目录收集器需要连接到 AD。 |
CloudInsights Security 中存在来自 Active Directory 的数据。想要从 CloudInsights 中删除所有用户信息。 |
无法仅从 CloudInsights Security 中删除 Active Directory 用户信息。为了删除用户,需要删除整个租户。 |