本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

設定LDAP目錄伺服器收集器

貢獻者

您可以設定Cloud Secure 使用此功能、從LDAP目錄伺服器收集使用者屬性。

開始之前
  • 您必須是Cloud Insights 管理員或帳戶擁有者才能執行此工作。

  • 您必須擁有裝載LDAP目錄伺服器的伺服器IP位址。

  • 在設定LDAP目錄連接器之前、必須先設定代理程式。

設定使用者目錄收集器的步驟
  1. 在「支援」功能表中、按一下Cloud Secure :管理>資料收集器>使用者目錄收集器>+使用者目錄收集器、然後選取* LDAP目錄伺服器*

    系統會顯示Add User Directory(新增使用者目錄)畫面。

在下列表格中輸入所需的資料、以設定使用者目錄收集器:

名稱

說明

名稱

使用者目錄的唯一名稱。例如_GlobalLDAPCollector

代理程式

從清單中選取已設定的代理程式

伺服器IP/網域名稱

裝載LDAP目錄伺服器之伺服器的IP位址或完整網域名稱(FQDN)

搜尋基礎

LDAP伺服器搜尋庫的搜尋庫可同時使用下列兩種格式:x.y.z=您在SVM上擁有的直接網域名稱。DC=x、DC=y、DC=z⇒相對辨別名稱[範例:DC=HQ、DC=公司名稱、DC=com]、您也可以指定下列項目: OU=Engineering、DC=HQ、DC=公司名稱、DC=com[依特定OU工程篩選]CN=UserName、OU=Engineering、DC=companyname、DC=NetApp、DC=com[僅從OU <Engineering取得特定使用者]_CN=acrooms使用者、CN=Users、DC=HQ、DC=companyname、DC=useals=公司名稱、DC=acrokams=公司名稱、DC、DC、DC =公司名稱、DC =公司名稱、DC =公司名稱、DC =公司名稱、DC =、DC =、DC =、DC、DC =公司名稱、DC =

連結DN

允許使用者搜尋目錄。例如:UID=LDAPUser,CN=user,CN=accounts,DC=domain,DC=companyname,DC=com uid=john,CN=user,CN=accounts,DC=dorp,DC=company,DC=com(適用於使用者john@dorp.company.com)。dorp.company.com

-帳戶

使用者

-John

-Anna

連結密碼

目錄伺服器密碼(即用於Bind DN的使用者名稱密碼)

傳輸協定

LDAP、LDAPS、LDAP-start-TLS

連接埠

選取連接埠

如果LDAP Directory Server中的預設屬性名稱已修改、請輸入下列Directory Server必要屬性。在LDAP目錄伺服器中、這些屬性名稱通常是「_not」修改、在這種情況下、您只需繼續使用預設屬性名稱即可。

屬性

目錄伺服器中的屬性名稱

顯示名稱

名稱

UNIX ID

uidNumber

使用者名稱

UID

按一下「包含選用屬性」以新增下列任何屬性:

屬性

目錄伺服器中的屬性名稱

電子郵件地址

郵件

電話號碼

電話號碼

角色

標題

國家/地區

合作夥伴

州/省

州/省

部門

部門編號

相片

相片

ManagerDN

經理

群組

成員

測試使用者目錄收集器組態

您可以使用下列程序來驗證LDAP使用者權限和屬性定義:

  • 使用下列命令來驗證Cloud Secure 《LDAP使用者權限:

     ldapsearch -D "uid=john ,cn=users,cn=accounts,dc=dorp,dc=company,dc=com" -W -x -LLL -o ldif-wrap=no -b "cn=accounts,dc=dorp,dc=company,dc=com" -H ldap://vmwipaapp08.dorp.company.com
    * 使用LDAP檔案總管瀏覽LDAP資料庫、檢視物件內容和屬性、檢視權限、檢視物件架構、執行精密的搜尋、您可以儲存並重新執行。

LDAP連線

疑難排解LDAP目錄收集器組態錯誤

下表說明收集器組態期間可能發生的已知問題和解決方法:

問題: 解決方法:

新增LDAP目錄連接器會導致「錯誤」狀態。錯誤顯示「LDAP伺服器提供的認證無效」。

提供的綁定DN或綁定密碼或搜尋庫不正確。編輯並提供正確的資訊。

新增LDAP目錄連接器會導致「錯誤」狀態。錯誤顯示:「無法取得對應於DN=DC=HQ、DC=domainname、DC=com的物件做為樹系名稱。」

提供的搜尋基礎不正確。編輯並提供正確的樹系名稱。

網域使用者的選用屬性不會出現在Cloud Secure 「無法使用者設定檔」頁面上。

這可能是因為CloudSecure中新增的選用屬性名稱與Active Directory中的實際屬性名稱不相符。欄位區分大小寫。編輯並提供正確的選用屬性名稱。

資料收集器處於錯誤狀態、並顯示「無法擷取LDAP使用者。故障原因:無法連線至伺服器、連線為null

按一下「Restart」按鈕、重新啟動收集器。

新增LDAP目錄連接器會導致「錯誤」狀態。

請確定您已提供必要欄位(伺服器、樹系名稱、綁定DN、綁定密碼)的有效值。確保始終以uid=LDAPUser,CN=user,CN=accounts,DC=domain,DC=companyname,DC=com的形式提供Bind-DN輸入。

新增LDAP目錄連接器會導致「重試」狀態。顯示錯誤「無法判斷收集器的健全狀況、因此請重新嘗試」

確保提供正確的伺服器IP和搜尋基礎///

在新增LDAP目錄時、會顯示下列錯誤:「無法在2次重試中判斷收集器的健全狀況、請再次嘗試重新啟動收集器(錯誤代碼:AGENT008)」

確保提供正確的伺服器IP和搜尋基礎

新增LDAP目錄連接器會導致「重試」狀態。顯示錯誤「無法定義收集器的狀態、TCP命令[Connect(localhost:35012,None,List(),sents(,seconds,true)]失敗、因為java.net.ConnectionException:Connection拒絕。」

針對AD伺服器提供不正確的IP或FQDN。編輯並提供正確的IP位址或FQDN。///

新增LDAP目錄連接器會導致「錯誤」狀態。錯誤顯示「無法建立LDAP連線」。

提供給LDAP伺服器的IP或FQDN不正確。編輯並提供正確的IP位址或FQDN。或提供的連接埠值不正確。請嘗試使用LDAP伺服器的預設連接埠值或正確的連接埠號碼。

新增LDAP目錄連接器會導致「錯誤」狀態。錯誤顯示:「無法載入設定。原因:資料來源組態發生錯誤。具體原因:/connector / conf/application.conf:70:LDAP.LDAP連接埠具有類型字串而非數字」

提供的連接埠值不正確。請嘗試使用AD伺服器的預設連接埠值或正確的連接埠號碼。

我從必備屬性開始著手、就能順利運作。新增選用的屬性之後、就無法從AD擷取選用的屬性資料。

這可能是因為CloudSecure中新增的選用屬性與Active Directory中的實際屬性名稱不相符。編輯並提供正確的必要或選用屬性名稱。

重新啟動收集器之後、LDAP同步何時會發生?

LDAP同步會在收集器重新啟動後立即進行。擷取使用者資料約30萬名使用者約需15分鐘、每12小時自動重新整理一次。

使用者資料會從LDAP同步至CloudSecure。資料何時會刪除?

如果沒有更新、使用者資料會保留13個月。如果刪除租戶、資料將會刪除。

LDAP目錄連接器會導致「錯誤」狀態。"連接器處於錯誤狀態。服務名稱:usersLdap。失敗原因:無法擷取LDAP使用者。失敗原因:80090308: LdapErr:DSID-0C90453、註解:AcceptSecurityConttext錯誤、資料52e、v3839

提供的樹系名稱不正確。請參閱上述內容、瞭解如何提供正確的樹系名稱。

電話號碼未填入使用者設定檔頁面。

這很可能是因為Active Directory的屬性對應問題所致。1.編輯從Active Directory擷取使用者資訊的特定Active Directory收集器。2.注意在選用屬性下、會有一個欄位名稱「電話號碼」對應至Active Directory屬性「電話號碼」。4.現在、請依照上述說明使用Active Directory Explorer工具來瀏覽LDAP目錄伺服器、並查看正確的屬性名稱。3.確保在LDAP目錄中有一個名爲「電話號碼」的屬性、該屬性確實具有使用者的電話號碼。5、讓我們在LDAP目錄中說、它已改為「電話網路電話」。6.然後編輯CloudSecure User Directory收集器。在選用屬性區段中、將「電話號碼」取代為「電話號碼」。7.儲存Active Directory收集器、收集器將重新啟動、取得使用者的電話號碼、並在使用者設定檔頁面中顯示相同的號碼。

如果Active Directory(AD)伺服器上已啟用加密憑證(SSL)、Cloud Secure 則無法連接到AD伺服器。

在設定使用者目錄收集器之前、請先停用AD伺服器加密。擷取使用者詳細資料後、將會保留13個月。如果擷取使用者詳細資料後AD伺服器中斷連線、則不會擷取AD中新增的使用者。若要再次擷取、使用者目錄收集器必須連線至AD。