安全性
設定LDAP目錄伺服器收集器
建議變更
PDF
您可以設定工作負載安全性、從LDAP目錄伺服器收集使用者屬性。
-
您必須是Cloud Insights 管理員或帳戶擁有者才能執行此工作。
-
您必須擁有裝載LDAP目錄伺服器的伺服器IP位址。
-
在設定LDAP目錄連接器之前、必須先設定代理程式。
-
在 Workload Security 功能表中、按一下:
-
收集器 > 使用者目錄收集器 >+ 使用者目錄收集器 * 、然後選取 * LDAP 目錄伺服器 *
系統會顯示Add User Directory(新增使用者目錄)畫面。
-
在下列表格中輸入所需的資料、以設定使用者目錄收集器:
名稱 |
說明 |
名稱 |
使用者目錄的唯一名稱。例如_GlobalLDAPCollector |
代理程式 |
從清單中選取已設定的代理程式 |
伺服器IP/網域名稱 |
裝載LDAP目錄伺服器之伺服器的IP位址或完整網域名稱(FQDN) |
搜尋基礎 |
LDAP伺服器搜尋庫的搜尋庫可同時使用下列兩種格式:x.y.z=您在SVM上擁有的直接網域名稱。DC=x、DC=y、DC=z⇒相對辨別名稱[範例:DC=HQ、DC=公司名稱、DC=com]、您也可以指定下列項目: OU=Engineering、DC=HQ、DC=公司名稱、DC=com[依特定OU工程篩選]CN=UserName、OU=Engineering、DC=companyname、DC=NetApp、DC=com[僅從OU <Engineering取得特定使用者]_CN=acrooms使用者、CN=Users、DC=HQ、DC=companyname、DC=useals=公司名稱、DC=acrokams=公司名稱、DC、DC、DC =公司名稱、DC =公司名稱、DC =公司名稱、DC =公司名稱、DC =、DC =、DC =、DC、DC =公司名稱、DC = |
連結DN |
允許使用者搜尋目錄。例如:UID=LDAPUser,CN=user,CN=accounts,DC=domain,DC=companyname,DC=com uid=john,CN=user,CN=accounts,DC=dorp,DC=company,DC=com(適用於使用者john@dorp.company.com)。dorp.company.com |
-帳戶 |
使用者 |
-John |
-Anna |
連結密碼 |
目錄伺服器密碼(即用於Bind DN的使用者名稱密碼) |
傳輸協定 |
LDAP、LDAPS、LDAP-start-TLS |
連接埠 |
選取連接埠 |
如果LDAP Directory Server中的預設屬性名稱已修改、請輸入下列Directory Server必要屬性。在LDAP目錄伺服器中、這些屬性名稱通常是「_not」修改、在這種情況下、您只需繼續使用預設屬性名稱即可。
屬性 |
目錄伺服器中的屬性名稱 |
顯示名稱 |
名稱 |
UNIX ID |
uidNumber |
使用者名稱 |
UID |
按一下「包含選用屬性」以新增下列任何屬性:
屬性 |
目錄伺服器中的屬性名稱 |
電子郵件地址 |
郵件 |
電話號碼 |
電話號碼 |
角色 |
標題 |
國家/地區 |
合作夥伴 |
州/省 |
州/省 |
部門 |
部門編號 |
相片 |
相片 |
ManagerDN |
經理 |
群組 |
成員 |
測試使用者目錄收集器組態
您可以使用下列程序來驗證LDAP使用者權限和屬性定義:
-
使用下列命令來驗證工作負載安全性LDAP使用者權限:
ldapsearch -D "uid=john ,cn=users,cn=accounts,dc=dorp,dc=company,dc=com" -W -x -LLL -o ldif-wrap=no -b "cn=accounts,dc=dorp,dc=company,dc=com" -H ldap://vmwipaapp08.dorp.company.com * 使用LDAP檔案總管瀏覽LDAP資料庫、檢視物件內容和屬性、檢視權限、檢視物件架構、執行精密的搜尋、您可以儲存並重新執行。
-
安裝LDAP檔案總管 或Java LDAP Explorer 可連線至LDAP伺服器的任何Windows機器上。
-
使用LDAP目錄伺服器的使用者名稱/密碼連線至LDAP伺服器。
-
疑難排解LDAP目錄收集器組態錯誤
下表說明收集器組態期間可能發生的已知問題和解決方法:
| 問題: | 解決方法: |
|---|---|
新增LDAP目錄連接器會導致「錯誤」狀態。錯誤顯示「LDAP伺服器提供的認證無效」。 |
提供的綁定DN或綁定密碼或搜尋庫不正確。編輯並提供正確的資訊。 |
新增LDAP目錄連接器會導致「錯誤」狀態。錯誤顯示:「無法取得對應於DN=DC=HQ、DC=domainname、DC=com的物件做為樹系名稱。」 |
提供的搜尋基礎不正確。編輯並提供正確的樹系名稱。 |
「工作負載安全性使用者設定檔」頁面不會顯示網域使用者的選用屬性。 |
這可能是因為CloudSecure中新增的選用屬性名稱與Active Directory中的實際屬性名稱不相符。欄位區分大小寫。編輯並提供正確的選用屬性名稱。 |
資料收集器處於錯誤狀態、並顯示「無法擷取LDAP使用者。故障原因:無法連線至伺服器、連線為null |
按一下「Restart」按鈕、重新啟動收集器。 |
新增LDAP目錄連接器會導致「錯誤」狀態。 |
請確定您已提供必要欄位(伺服器、樹系名稱、綁定DN、綁定密碼)的有效值。確保始終以uid=LDAPUser,CN=user,CN=accounts,DC=domain,DC=companyname,DC=com的形式提供Bind-DN輸入。 |
新增LDAP目錄連接器會導致「重試」狀態。顯示錯誤「無法判斷收集器的健全狀況、因此請重新嘗試」 |
確保提供正確的伺服器IP和搜尋基礎/// |
在新增LDAP目錄時、會顯示下列錯誤:「無法在2次重試中判斷收集器的健全狀況、請再次嘗試重新啟動收集器(錯誤代碼:AGENT008)」 |
確保提供正確的伺服器IP和搜尋基礎 |
新增LDAP目錄連接器會導致「重試」狀態。顯示錯誤「無法定義收集器的狀態、TCP命令[Connect(localhost:35012,None,List(),sents(,seconds,true)]失敗、因為java.net.ConnectionException:Connection拒絕。」 |
針對AD伺服器提供不正確的IP或FQDN。編輯並提供正確的IP位址或FQDN。/// |
新增LDAP目錄連接器會導致「錯誤」狀態。錯誤顯示「無法建立LDAP連線」。 |
提供給LDAP伺服器的IP或FQDN不正確。編輯並提供正確的IP位址或FQDN。或提供的連接埠值不正確。請嘗試使用LDAP伺服器的預設連接埠值或正確的連接埠號碼。 |
新增LDAP目錄連接器會導致「錯誤」狀態。錯誤顯示:「無法載入設定。原因:資料來源組態發生錯誤。具體原因:/connector / conf/application.conf:70:LDAP.LDAP連接埠具有類型字串而非數字」 |
提供的連接埠值不正確。請嘗試使用AD伺服器的預設連接埠值或正確的連接埠號碼。 |
我從必備屬性開始著手、就能順利運作。新增選用的屬性之後、就無法從AD擷取選用的屬性資料。 |
這可能是因為CloudSecure中新增的選用屬性與Active Directory中的實際屬性名稱不相符。編輯並提供正確的必要或選用屬性名稱。 |
重新啟動收集器之後、LDAP同步何時會發生? |
LDAP同步會在收集器重新啟動後立即進行。擷取使用者資料約30萬名使用者約需15分鐘、每12小時自動重新整理一次。 |
使用者資料會從LDAP同步至CloudSecure。資料何時會刪除? |
如果沒有更新、使用者資料會保留13個月。如果刪除租戶、資料將會刪除。 |
LDAP目錄連接器會導致「錯誤」狀態。"連接器處於錯誤狀態。服務名稱:usersLdap。失敗原因:無法擷取LDAP使用者。失敗原因:80090308: LdapErr:DSID-0C90453、註解:AcceptSecurityConttext錯誤、資料52e、v3839 |
提供的樹系名稱不正確。請參閱上述內容、瞭解如何提供正確的樹系名稱。 |
電話號碼未填入使用者設定檔頁面。 |
這很可能是因為Active Directory的屬性對應問題所致。1.編輯從Active Directory擷取使用者資訊的特定Active Directory收集器。2.注意在選用屬性下、會有一個欄位名稱「電話號碼」對應至Active Directory屬性「電話號碼」。4.現在、請依照上述說明使用Active Directory Explorer工具來瀏覽LDAP目錄伺服器、並查看正確的屬性名稱。3.確保在LDAP目錄中有一個名爲「電話號碼」的屬性、該屬性確實具有使用者的電話號碼。5、讓我們在LDAP目錄中說、它已改為「電話網路電話」。6.然後編輯CloudSecure User Directory收集器。在選用屬性區段中、將「電話號碼」取代為「電話號碼」。7.儲存Active Directory收集器、收集器將重新啟動、取得使用者的電話號碼、並在使用者設定檔頁面中顯示相同的號碼。 |
如果Active Directory(AD)伺服器上已啟用加密憑證(SSL)、則工作負載安全性使用者目錄收集器將無法連線至AD伺服器。 |
在設定使用者目錄收集器之前、請先停用AD伺服器加密。擷取使用者詳細資料後、將會保留13個月。如果擷取使用者詳細資料後AD伺服器中斷連線、則不會擷取AD中新增的使用者。若要再次擷取、使用者目錄收集器必須連線至AD。 |