配置 LDAP 目录服务器收集器
建议更改
PDF
您配置工作负载安全以从 LDAP 目录服务器收集用户属性。
-
您必须是Data Infrastructure Insights管理员或帐户所有者才能执行此任务。
-
您必须拥有托管 LDAP 目录服务器的服务器的 IP 地址。
-
在配置 LDAP 目录连接器之前,必须先配置代理。
-
在工作负载安全菜单中,单击:收集器 > 用户目录收集器 > + 用户目录收集器,然后选择*LDAP 目录服务器*
系统显示添加用户目录屏幕。
通过在下表中输入所需数据来配置用户目录收集器:
名称 |
描述 |
名称 |
用户目录的唯一名称。例如 GlobalLDAPCollector |
代理人 |
从列表中选择一个已配置的代理 |
服务器IP/域名 |
托管 LDAP 目录服务器的服务器的 IP 地址或完全限定域名 (FQDN) |
搜索基础 |
LDAP 服务器的搜索基础搜索基础允许以下两种格式:x.y.z ⇒ 直接域名,就像您在 SVM 上拥有的那样。 [示例:hq.companyname.com] DC=x,DC=y,DC=z ⇒ 相对可分辨名称 [示例:DC=hq,DC= companyname,DC=com] 或者您可以指定如下: OU=engineering,DC=hq,DC= companyname,DC=com [按特定 OU engineering 过滤] CN=username,OU=engineering,DC=companyname, DC=netapp, DC=com [从 OU <engineering> 获取具有 <username> 的特定用户] CN=Acrobat Users,CN=Users,DC=hq,DC=companyname,DC=com,O= companyname,L=Boston,S=MA,C=US [获取该组织内用户的所有 Acrobat 用户] |
绑定 DN |
允许用户搜索目录。例如:uid=ldapuser,cn=users,cn=accounts,dc=domain,dc=companyname,dc=com uid=john,cn=users,cn=accounts,dc=dorp,dc=company,dc=com 对于用户 john@dorp.company.com。dorp.company.com |
--账户 |
--用户 |
--约翰 |
--安娜 |
绑定密码 |
目录服务器密码(即绑定 DN 中使用的用户名的密码) |
协议 |
ldap、ldaps、ldap-start-tls |
端口 |
选择端口 |
如果 LDAP 目录服务器中的默认属性名称已被修改,请输入以下目录服务器所需的属性。大多数情况下,这些属性名称在 LDAP 目录服务器中不会被修改,在这种情况下,您可以简单地使用默认属性名称。
属性 |
目录服务器中的属性名称 |
显示名称 |
name |
UNIXID |
uid 号 |
用户名 |
uid |
单击“包括可选属性”以添加以下任意属性:
属性 |
目录服务器中的属性名称 |
电子邮件地址 |
邮件 |
电话号码 |
电话号码 |
角色 |
标题 |
国家/地区 |
公司 |
状态 |
状态 |
部门 |
部门编号 |
照片 |
照片 |
经理DN |
经理 |
组 |
成员 |
测试您的用户目录收集器配置
您可以使用以下步骤验证 LDAP 用户权限和属性定义:
-
使用以下命令验证 Workload Security LDAP 用户权限:
ldapsearch -D "uid=john ,cn=users,cn=accounts,dc=dorp,dc=company,dc=com" -W -x -LLL -o ldif-wrap=no -b "cn=accounts,dc=dorp,dc=company,dc=com" -H ldap://vmwipaapp08.dorp.company.com * 使用 LDAP Explorer 浏览 LDAP 数据库、查看对象属性和特性、查看权限、查看对象的模式、执行可以保存和重新执行的复杂搜索。
-
安装 LDAP Explorer(http://ldaptool.sourceforge.net/ )或 Java LDAP 资源管理器(http://jxplorer.org/) 在任何可以连接到 LDAP 服务器的 Windows 机器上。
-
使用 LDAP 目录服务器的用户名/密码连接到 LDAP 服务器。
-
排除 LDAP 目录收集器配置错误
下表描述了收集器配置期间可能出现的已知问题和解决方法:
| 问题: | 解决: |
|---|---|
添加 LDAP 目录连接器会导致“错误”状态。错误提示“为 LDAP 服务器提供的凭据无效”。 |
提供的绑定 DN、绑定密码或搜索基础不正确。编辑并提供正确的信息。 |
添加 LDAP 目录连接器会导致“错误”状态。错误提示:“无法获取与作为林名称提供的 DN=DC=hq,DC=domainname,DC=com 对应的对象。” |
提供的搜索基础不正确。编辑并提供正确的森林名称。 |
域用户的可选属性未出现在工作负载安全用户配置文件页面中。 |
这可能是由于 CloudSecure 中添加的可选属性名称与 Active Directory 中的实际属性名称不匹配造成的。字段区分大小写。编辑并提供正确的可选属性名称。 |
数据收集器处于错误状态,显示“无法检索 LDAP 用户。失败原因:无法连接到服务器,连接为空” |
单击“重新启动”按钮重新启动收集器。 |
添加 LDAP 目录连接器会导致“错误”状态。 |
确保您已为必填字段(服务器、林名称、绑定 DN、绑定密码)提供了有效值。确保绑定 DN 输入始终为 uid=ldapuser,cn=users,cn=accounts,dc=domain,dc=companyname,dc=com。 |
添加 LDAP 目录连接器会导致“重试”状态。显示错误“无法确定收集器的健康状况,因此请重试” |
确保提供正确的服务器 IP 和搜索库 //// |
添加 LDAP 目录时显示以下错误:“无法在 2 次重试内确定收集器的健康状况,请尝试重新启动收集器(错误代码:AGENT008)” |
确保提供正确的服务器 IP 和搜索库 |
添加 LDAP 目录连接器会导致“重试”状态。显示错误“无法定义收集器的状态,原因 Tcp 命令 [Connect(localhost:35012,None,List(),Some(,seconds),true)] 因 java.net.ConnectionException:Connection 被拒绝而失败。” |
为 AD 服务器提供的 IP 或 FQDN 不正确。编辑并提供正确的 IP 地址或 FQDN。 //// |
添加 LDAP 目录连接器会导致“错误”状态。错误提示“无法建立 LDAP 连接”。 |
为 LDAP 服务器提供的 IP 或 FQDN 不正确。编辑并提供正确的 IP 地址或 FQDN。或者提供的端口值不正确。尝试使用 LDAP 服务器的默认端口值或正确的端口号。 |
添加 LDAP 目录连接器会导致“错误”状态。错误提示:“无法加载设置。原因:数据源配置错误。具体原因:/connector/conf/application.conf: 70: ldap.ldap-port 的类型为 STRING 而不是 NUMBER” |
提供的端口值不正确。尝试使用 AD 服务器的默认端口值或正确的端口号。 |
我从强制属性开始,并且它起作用了。添加可选项后,可选属性数据不会从 AD 中获取。 |
这可能是由于 CloudSecure 中添加的可选属性与 Active Directory 中的实际属性名称不匹配造成的。编辑并提供正确的强制或可选属性名称。 |
重新启动收集器后,LDAP 同步何时发生? |
收集器重启后,LDAP 同步将立即发生。获取约30万用户的用户数据大约需要15分钟,并且每12小时自动刷新一次。 |
用户数据从 LDAP 同步到 CloudSecure。数据何时会被删除? |
如果没有刷新,用户数据将保留13个月。如果租户被删除,那么数据也将被删除。 |
LDAP 目录连接器导致“错误”状态。 “连接器处于错误状态。服务名称:usersLdap。失败原因:无法检索 LDAP 用户。失败原因:80090308:LdapErr:DSID-0C090453,注释:AcceptSecurityContext 错误,数据 52e,v3839” |
提供的森林名称不正确。请参阅上文,了解如何提供正确的森林名称。 |
用户资料页面中未填写电话号码。 |
这很可能是由于 Active Directory 的属性映射问题造成的。1.编辑从 Active Directory 获取用户信息的特定 Active Directory 收集器。2.请注意,在可选属性下,有一个字段名称“电话号码”映射到 Active Directory 属性“telephonenumber”。4.现在,请使用上面描述的 Active Directory Explorer 工具浏览 LDAP 目录服务器并查看正确的属性名称。3.确保 LDAP 目录中有一个名为“telephonenumber”的属性,其中确实包含用户的电话号码。5.假设在 LDAP 目录中它已被修改为“电话号码”。6.然后编辑 CloudSecure 用户目录收集器。在可选属性部分,将“telephonenumber”替换为“phonenumber”。7.保存 Active Directory 收集器,收集器将重新启动并获取用户的电话号码,并将其显示在用户个人资料页面中。 |
如果在 Active Directory (AD) 服务器上启用了加密证书 (SSL),则 Workload Security User Directory Collector 无法连接到 AD 服务器。 |
在配置用户目录收集器之前禁用 AD 服务器加密。一旦获取用户详细信息,它将保留 13 个月。如果 AD 服务器在获取用户详细信息后断开连接,则不会获取 AD 中新添加的用户。要再次获取用户目录收集器,需要连接到 AD。 |