安全性
設定Active Directory(AD)使用者目錄收集器
建議變更
PDF
工作負載安全性可設定為從Active Directory伺服器收集使用者屬性。
-
您必須是Cloud Insights 管理員或帳戶擁有者才能執行此工作。
-
您必須擁有裝載Active Directory伺服器的伺服器IP位址。
-
在設定使用者目錄連接器之前、必須先設定代理程式。
-
在 Workload Security 功能表中、按一下:
-
收集器 > 使用者目錄收集器 >+ 使用者目錄收集器 * 、然後選取 * Active Directory*
系統會顯示Add User Directory(新增使用者目錄)畫面。
-
在下列表格中輸入所需的資料、以設定使用者目錄收集器:
名稱 |
說明 |
名稱 |
使用者目錄的唯一名稱。例如_GlobalADCollector_ |
代理程式 |
從清單中選取已設定的代理程式 |
伺服器IP/網域名稱 |
裝載作用中目錄之伺服器的IP位址或完整網域名稱(FQDN) |
樹系名稱 |
目錄結構的樹系層級。樹系名稱允許使用下列兩種格式:x.y.z⇒直接網域名稱、如同您在SVM上的名稱一樣。DC=x、DC=y、DC=z⇒相對辨別名稱[範例:DC=HQ、DC=公司名稱、DC=com]、您也可以指定下列項目: OU=Engineering、DC=HQ、DC=公司名稱、DC=com[依特定OU工程篩選]CN=UserName、OU=Engineering、DC=companyname、DC=NetApp、DC=com[僅從OU <Engineering取得特定使用者]_CN=acrooms使用者、CN=Users、DC=HQ、DC=companyname、DC=useals=公司名稱、DC=com、DC、DC、DC =公司名稱、DC =公司名稱、DC =公司名稱、DC =公司名稱、DC =、DC =、DC =公司名稱、DC =、DC =、DC、DC =、DC =公司名稱、DC =、DC =、 |
連結DN |
允許使用者搜尋目錄。例如:username@companyname.com_或_username@domainname.com |
連結密碼 |
目錄伺服器密碼(即用於Bind DN的使用者名稱密碼) |
傳輸協定 |
LDAP、LDAPS、LDAP-start-TLS |
連接埠 |
選取連接埠 |
如果Active Directory中已修改預設屬性名稱、請輸入下列Directory Server必要屬性。在Active Directory中、這些屬性名稱通常是「_not」修改、在這種情況下、您只需繼續使用預設屬性名稱即可。
屬性 |
目錄伺服器中的屬性名稱 |
顯示名稱 |
名稱 |
SID |
objectSid |
使用者名稱 |
SamAccountName |
按一下「包含選用屬性」以新增下列任何屬性:
屬性 |
目錄伺服器中的屬性名稱 |
電子郵件地址 |
郵件 |
電話號碼 |
電話號碼 |
角色 |
標題 |
國家/地區 |
合作夥伴 |
州/省 |
州/省 |
部門 |
部門 |
相片 |
thumbnailPhoto |
ManagerDN |
經理 |
群組 |
成員 |
測試使用者目錄收集器組態
您可以使用下列程序來驗證LDAP使用者權限和屬性定義:
-
使用下列命令來驗證工作負載安全性LDAP使用者權限:
"ldapsearch -o ldim-wap=no -ll -x -b "dc=netapp、dc=com"-h 10.235.40.29 -p 389-D Administrator@netapp.com -w"
-
使用AD Explorer瀏覽AD資料庫、檢視物件內容和屬性、檢視權限、檢視物件架構、執行精密的搜尋、您可以儲存並重新執行。
-
安裝 "廣告資源管理器" 可連線至AD伺服器的任何Windows機器上。
-
使用AD目錄伺服器的使用者名稱/密碼連線至AD伺服器。
-
疑難排解使用者目錄收集器組態錯誤
下表說明收集器組態期間可能發生的已知問題和解決方法:
| 問題: | 解決方法: |
|---|---|
新增使用者目錄連接器會導致「錯誤」狀態。錯誤顯示「LDAP伺服器提供的認證無效」。 |
提供的使用者名稱或密碼不正確。編輯並提供正確的使用者名稱和密碼。 |
新增使用者目錄連接器會導致「錯誤」狀態。錯誤顯示:「無法取得對應於DN=DC=HQ、DC=domainname、DC=com的物件做為樹系名稱。」 |
提供的樹系名稱不正確。編輯並提供正確的樹系名稱。 |
「工作負載安全性使用者設定檔」頁面不會顯示網域使用者的選用屬性。 |
這可能是因為CloudSecure中新增的選用屬性名稱與Active Directory中的實際屬性名稱不相符。編輯並提供正確的選用屬性名稱。 |
資料收集器處於錯誤狀態、並顯示「無法擷取LDAP使用者。故障原因:無法連線至伺服器、連線為null |
按一下「Restart」按鈕、重新啟動收集器。 |
新增使用者目錄連接器會導致「錯誤」狀態。 |
請確定您已提供必要欄位(伺服器、樹系名稱、綁定DN、綁定密碼)的有效值。確保始終以「Administrator @」(系統管理員@)的形式提供Bind-DN輸入、或以具有網域管理員權限的使用者帳戶提供。 |
新增使用者目錄連接器會導致「重試」狀態。顯示錯誤「無法定義收集器的狀態、TCP命令[Connect(localhost:35012,None,List(),sents(,seconds,true)]失敗、因為java.net.ConnectionException:Connection拒絕。」 |
針對AD伺服器提供不正確的IP或FQDN。編輯並提供正確的IP位址或FQDN。 |
新增使用者目錄連接器會導致「錯誤」狀態。錯誤顯示「無法建立LDAP連線」。 |
針對AD伺服器提供不正確的IP或FQDN。編輯並提供正確的IP位址或FQDN。 |
新增使用者目錄連接器會導致「錯誤」狀態。錯誤顯示:「無法載入設定。原因:資料來源組態發生錯誤。具體原因:/connector / conf/application.conf:70:LDAP.LDAP連接埠具有類型字串而非數字」 |
提供的連接埠值不正確。請嘗試使用AD伺服器的預設連接埠值或正確的連接埠號碼。 |
我從必備屬性開始著手、就能順利運作。新增選用的屬性之後、就無法從AD擷取選用的屬性資料。 |
這可能是因為CloudSecure中新增的選用屬性與Active Directory中的實際屬性名稱不相符。編輯並提供正確的必要或選用屬性名稱。 |
重新啟動收集器之後、何時會進行AD同步? |
收集器重新啟動後、廣告同步將立即進行。擷取使用者資料約30萬名使用者約需15分鐘、每12小時自動重新整理一次。 |
使用者資料會從AD同步至CloudSecure。資料何時會刪除? |
如果沒有更新、使用者資料會保留13個月。如果刪除租戶、資料將會刪除。 |
使用者目錄連接器會導致「錯誤」狀態。"連接器處於錯誤狀態。服務名稱:usersLdap。失敗原因:無法擷取LDAP使用者。失敗原因:80090308: LdapErr:DSID-0C90453、註解:AcceptSecurityConttext錯誤、資料52e、v3839 |
提供的樹系名稱不正確。請參閱上述內容、瞭解如何提供正確的樹系名稱。 |
電話號碼未填入使用者設定檔頁面。 |
這很可能是因為Active Directory的屬性對應問題所致。1.編輯從Active Directory擷取使用者資訊的特定Active Directory收集器。2.注意在選用屬性下、會有一個欄位名稱「電話號碼」對應至Active Directory屬性「電話號碼」。4.現在、請依照上述說明使用Active Directory Explorer工具來瀏覽Active Directory、並查看正確的屬性名稱。3.確定Active Directory中有一個名為「電話號碼」的屬性、其中確實有使用者的電話號碼。5、讓我們在Active Directory中說、它已改為「電話網路電話」。6.然後編輯CloudSecure User Directory收集器。在選用屬性區段中、將「電話號碼」取代為「電話號碼」。7.儲存Active Directory收集器、收集器將重新啟動、取得使用者的電話號碼、並在使用者設定檔頁面中顯示相同的號碼。 |
如果Active Directory(AD)伺服器上已啟用加密憑證(SSL)、則工作負載安全性使用者目錄收集器將無法連線至AD伺服器。 |
在設定使用者目錄收集器之前、請先停用AD伺服器加密。擷取使用者詳細資料後、將會保留13個月。如果擷取使用者詳細資料後AD伺服器中斷連線、則不會擷取AD中新增的使用者。若要再次擷取、使用者目錄收集器必須連線至AD。 |
CloudInsights Security中有來自Active Directory的資料。想要刪除CloudInsights中的所有使用者資訊。 |
不可能只從CloudInsights Security刪除Active Directory使用者資訊。若要刪除使用者、必須刪除完整的租戶。 |