本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定Active Directory(AD)使用者目錄收集器

貢獻者

可設定為從Active Directory伺服器收集使用者屬性。Cloud Secure

開始之前
  • 您必須是Cloud Insights 管理員或帳戶擁有者才能執行此工作。

  • 您必須擁有裝載Active Directory伺服器的伺服器IP位址。

  • 在設定使用者目錄連接器之前、必須先設定代理程式。

設定使用者目錄收集器的步驟
  1. 在功能表中、按一下Cloud Secure :管理>資料收集器>使用者目錄收集器>+使用者目錄收集器、然後選取* Active Directory *

    系統會顯示Add User Directory(新增使用者目錄)畫面。

在下列表格中輸入所需的資料、以設定使用者目錄收集器:

名稱

說明

名稱

使用者目錄的唯一名稱。例如_GlobalADCollector_

代理程式

從清單中選取已設定的代理程式

伺服器IP/網域名稱

裝載作用中目錄之伺服器的IP位址或完整網域名稱(FQDN)

樹系名稱

目錄結構的樹系層級。樹系名稱允許使用下列兩種格式:x.y.z⇒直接網域名稱、如同您在SVM上的名稱一樣。DC=x、DC=y、DC=z⇒相對辨別名稱[範例:DC=HQ、DC=公司名稱、DC=com]、您也可以指定下列項目: OU=Engineering、DC=HQ、DC=公司名稱、DC=com[依特定OU工程篩選]CN=UserName、OU=Engineering、DC=companyname、DC=NetApp、DC=com[僅從OU <Engineering取得特定使用者]_CN=acrooms使用者、CN=Users、DC=HQ、DC=companyname、DC=useals=公司名稱、DC=com、DC、DC、DC =公司名稱、DC =公司名稱、DC =公司名稱、DC =公司名稱、DC =、DC =、DC =公司名稱、DC =、DC =、DC、DC =、DC =公司名稱、DC =、DC =、

連結DN

允許使用者搜尋目錄。例如:username@companyname.com_或_username@domainname.com

連結密碼

目錄伺服器密碼(即用於Bind DN的使用者名稱密碼)

傳輸協定

LDAP、LDAPS、LDAP-start-TLS

連接埠

選取連接埠

如果Active Directory中已修改預設屬性名稱、請輸入下列Directory Server必要屬性。在Active Directory中、這些屬性名稱通常是「_not」修改、在這種情況下、您只需繼續使用預設屬性名稱即可。

屬性

目錄伺服器中的屬性名稱

顯示名稱

名稱

SID

objectSid

使用者名稱

SamAccountName

按一下「包含選用屬性」以新增下列任何屬性:

屬性

目錄伺服器中的屬性名稱

電子郵件地址

郵件

電話號碼

電話號碼

角色

標題

國家/地區

合作夥伴

州/省

州/省

部門

部門

相片

thumbnailPhoto

ManagerDN

經理

群組

成員

測試使用者目錄收集器組態

您可以使用下列程序來驗證LDAP使用者權限和屬性定義:

  • 使用下列命令來驗證Cloud Secure 《LDAP使用者權限:

    "ldapsearch -o ldim-wap=no -ll -x -b "dc=netapp、dc=com"-h 10.235.40.29 -p 389-D Administrator@netapp.com -w"

  • 使用AD Explorer瀏覽AD資料庫、檢視物件內容和屬性、檢視權限、檢視物件架構、執行精密的搜尋、您可以儲存並重新執行。

    • 安裝 "廣告資源管理器" 可連線至AD伺服器的任何Windows機器上。

    • 使用AD目錄伺服器的使用者名稱/密碼連線至AD伺服器。

AD連線

疑難排解使用者目錄收集器組態錯誤

下表說明收集器組態期間可能發生的已知問題和解決方法:

問題: 解決方法:

新增使用者目錄連接器會導致「錯誤」狀態。錯誤顯示「LDAP伺服器提供的認證無效」。

提供的使用者名稱或密碼不正確。編輯並提供正確的使用者名稱和密碼。

新增使用者目錄連接器會導致「錯誤」狀態。錯誤顯示:「無法取得對應於DN=DC=HQ、DC=domainname、DC=com的物件做為樹系名稱。」

提供的樹系名稱不正確。編輯並提供正確的樹系名稱。

網域使用者的選用屬性不會出現在Cloud Secure 「無法使用者設定檔」頁面上。

這可能是因為CloudSecure中新增的選用屬性名稱與Active Directory中的實際屬性名稱不相符。編輯並提供正確的選用屬性名稱。

資料收集器處於錯誤狀態、並顯示「無法擷取LDAP使用者。故障原因:無法連線至伺服器、連線為null

按一下「Restart」按鈕、重新啟動收集器。

新增使用者目錄連接器會導致「錯誤」狀態。

請確定您已提供必要欄位(伺服器、樹系名稱、綁定DN、綁定密碼)的有效值。確保始終以「Administrator @」(系統管理員@)的形式提供Bind-DN輸入、或以具有網域管理員權限的使用者帳戶提供。

新增使用者目錄連接器會導致「重試」狀態。顯示錯誤「無法定義收集器的狀態、TCP命令[Connect(localhost:35012,None,List(),sents(,seconds,true)]失敗、因為java.net.ConnectionException:Connection拒絕。」

針對AD伺服器提供不正確的IP或FQDN。編輯並提供正確的IP位址或FQDN。

新增使用者目錄連接器會導致「錯誤」狀態。錯誤顯示「無法建立LDAP連線」。

針對AD伺服器提供不正確的IP或FQDN。編輯並提供正確的IP位址或FQDN。

新增使用者目錄連接器會導致「錯誤」狀態。錯誤顯示:「無法載入設定。原因:資料來源組態發生錯誤。具體原因:/connector / conf/application.conf:70:LDAP.LDAP連接埠具有類型字串而非數字」

提供的連接埠值不正確。請嘗試使用AD伺服器的預設連接埠值或正確的連接埠號碼。

我從必備屬性開始著手、就能順利運作。新增選用的屬性之後、就無法從AD擷取選用的屬性資料。

這可能是因為CloudSecure中新增的選用屬性與Active Directory中的實際屬性名稱不相符。編輯並提供正確的必要或選用屬性名稱。

重新啟動收集器之後、何時會進行AD同步?

收集器重新啟動後、廣告同步將立即進行。擷取使用者資料約30萬名使用者約需15分鐘、每12小時自動重新整理一次。

使用者資料會從AD同步至CloudSecure。資料何時會刪除?

如果沒有更新、使用者資料會保留13個月。如果刪除租戶、資料將會刪除。

使用者目錄連接器會導致「錯誤」狀態。"連接器處於錯誤狀態。服務名稱:usersLdap。失敗原因:無法擷取LDAP使用者。失敗原因:80090308: LdapErr:DSID-0C90453、註解:AcceptSecurityConttext錯誤、資料52e、v3839

提供的樹系名稱不正確。請參閱上述內容、瞭解如何提供正確的樹系名稱。

電話號碼未填入使用者設定檔頁面。

這很可能是因為Active Directory的屬性對應問題所致。1.編輯從Active Directory擷取使用者資訊的特定Active Directory收集器。2.注意在選用屬性下、會有一個欄位名稱「電話號碼」對應至Active Directory屬性「電話號碼」。4.現在、請依照上述說明使用Active Directory Explorer工具來瀏覽Active Directory、並查看正確的屬性名稱。3.確定Active Directory中有一個名為「電話號碼」的屬性、其中確實有使用者的電話號碼。5、讓我們在Active Directory中說、它已改為「電話網路電話」。6.然後編輯CloudSecure User Directory收集器。在選用屬性區段中、將「電話號碼」取代為「電話號碼」。7.儲存Active Directory收集器、收集器將重新啟動、取得使用者的電話號碼、並在使用者設定檔頁面中顯示相同的號碼。

如果Active Directory(AD)伺服器上已啟用加密憑證(SSL)、Cloud Secure 則無法連接到AD伺服器。

在設定使用者目錄收集器之前、請先停用AD伺服器加密。擷取使用者詳細資料後、將會保留13個月。如果擷取使用者詳細資料後AD伺服器中斷連線、則不會擷取AD中新增的使用者。若要再次擷取、使用者目錄收集器必須連線至AD。