設定 Active Directory (AD) 使用者目錄收集器
建議變更
PDF
可以設定工作負載安全性以從 Active Directory 伺服器收集使用者屬性。
-
您必須是Data Infrastructure Insights管理員或帳戶所有者才能執行此任務。
-
您必須擁有託管 Active Directory 伺服器的伺服器的 IP 位址。
-
在配置使用者目錄連接器之前,必須先配置代理程式。
-
在「工作負載安全」功能表中,按一下:收集器 > 使用者目錄收集器 > + 使用者目錄收集器,然後選擇*Active Directory*
系統顯示新增使用者目錄畫面。
透過在下表中輸入所需資料來設定使用者目錄收集器:
Name |
描述 |
Name |
使用者目錄的唯一名稱。例如_GlobalADColector_ |
代理人 |
從清單中選擇一個已配置的代理 |
伺服器IP/域名 |
託管活動目錄的伺服器的 IP 位址或完全限定網域名稱 (FQDN) |
森林名稱 |
目錄結構的森林層級。森林名稱允許以下兩種格式:x.y.z ⇒ 直接域名,與您在 SVM 上的一樣。 [範例:hq.companyname.com] DC=x,DC=y,DC=z ⇒ 相對可分辨名稱 [範例:DC=hq,DC= companyname,DC=com] 或您可以指定如下: OU=engineering,DC=hq,DC= companyname=DC=com [按特定 name eng DC=netapp, DC=com_ [從 OU <engineering> 取得具有 <username> 的特定使用者] _CN=Acrobat Users,CN=Users,DC=hq,DC=companyname,DC=com,O= companyname,L=Boston,Scro=MA 的 |
綁定 DN |
允許使用者搜尋目錄。例如:username@companyname.com 或 username@domainname.com 另外,還需要網域唯讀權限。使用者必須是安全性群組「只讀網域控制站」的成員。 |
綁定密碼 |
目錄伺服器密碼(即綁定 DN 中使用的使用者名稱的密碼) |
協定 |
ldap、ldaps、ldap-start-tls |
連接埠 |
選擇連接埠 |
如果在 Active Directory 中修改了預設屬性名稱,請輸入下列 Directory Server 所需的屬性。大多數情況下,這些屬性名稱在 Active Directory 中不會被修改,在這種情況下,您可以簡單地使用預設屬性名稱。
屬性 |
目錄伺服器中的屬性名稱 |
顯示名稱 |
姓名 |
SID |
物件標識符 |
使用者名稱 |
sAM帳戶名稱 |
按一下「包括可選屬性」以新增下列任意屬性:
屬性 |
目錄伺服器中的屬性名稱 |
電子郵件 |
郵件 |
電話號碼 |
電話號碼 |
角色 |
標題 |
國家 |
公司 |
狀態 |
狀態 |
部門 |
部門 |
照片 |
縮圖 |
經理DN |
主管 |
團體 |
成員 |
測試您的使用者目錄收集器配置
您可以使用下列步驟驗證 LDAP 使用者權限和屬性定義:
-
使用下列指令驗證 Workload Security LDAP 使用者權限:
ldapsearch -o ldif-wrap=no -LLL -x -b "dc=netapp,dc=com" -h 10.235.40.29 -p 389 -D Administrator@netapp.com -W -
使用 AD Explorer 瀏覽 AD 資料庫、查看物件屬性和特性、檢視權限、檢視物件的模式、執行可以儲存和重新執行的複雜搜尋。
-
安裝"AD 瀏覽器"在任何可以連接到 AD 伺服器的 Windows 機器上。
-
使用 AD 目錄伺服器的使用者名稱/密碼連線到 AD 伺服器。
-
排除使用者目錄收集器配置錯誤
下表描述了收集器配置期間可能出現的已知問題和解決方法:
| 問題: | 解決: |
|---|---|
新增使用者目錄連接器會導致「錯誤」狀態。錯誤提示「為 LDAP 伺服器提供的憑證無效」。 |
提供的使用者名稱或密碼不正確。編輯並提供正確的使用者名稱和密碼。 |
新增使用者目錄連接器會導致「錯誤」狀態。錯誤提示:“無法取得與作為林名稱提供的 DN=DC=hq,DC=domainname,DC=com 對應的物件。” |
提供的森林名稱不正確。編輯並提供正確的森林名稱。 |
網域使用者的選用屬性未出現在工作負載安全使用者設定檔頁面中。 |
這可能是由於 CloudSecure 中新增的可選屬性名稱與 Active Directory 中的實際屬性名稱不符所造成的。編輯並提供正確的可選屬性名稱。 |
資料收集器處於錯誤狀態,顯示「無法檢索 LDAP 使用者。失敗原因:無法連接到伺服器,連接為空” |
點選“重新啟動”按鈕重新啟動收集器。 |
新增使用者目錄連接器會導致「錯誤」狀態。 |
確保您已為必填欄位(伺服器、林名稱、綁定 DN、綁定密碼)提供了有效值。確保 bind-DN 輸入始終以「Administrator@<domain_forest_name>」或具有網域管理員權限的使用者帳戶的形式提供。 |
新增使用者目錄連接器會導致「重試」狀態。顯示錯誤“無法定義收集器的狀態,原因 Tcp 命令 [Connect(localhost:35012,None,List(),Some(,seconds),true)] 因 java.net.ConnectionException:Connection 被拒絕而失敗。” |
為 AD 伺服器提供的 IP 或 FQDN 不正確。編輯並提供正確的 IP 位址或 FQDN。 |
新增使用者目錄連接器會導致「錯誤」狀態。錯誤提示「無法建立 LDAP 連線」。 |
為 AD 伺服器提供的 IP 或 FQDN 不正確。編輯並提供正確的 IP 位址或 FQDN。 |
新增使用者目錄連接器會導致「錯誤」狀態。錯誤提示:「無法載入設定。原因:資料來源配置錯誤。具體原因:/connector/conf/application.conf: 70: ldap.ldap-port 的類型為 STRING 而非 NUMBER” |
提供的連接埠值不正確。嘗試使用 AD 伺服器的預設連接埠值或正確的連接埠號碼。 |
我從強制屬性開始,並且它起作用了。新增可選項後,可選屬性資料不會從 AD 中取得。 |
這可能是由於 CloudSecure 中新增的可選屬性與 Active Directory 中的實際屬性名稱不符所造成的。編輯並提供正確的強製或可選屬性名稱。 |
重新啟動收集器後,AD 同步何時發生? |
收集器重新啟動後,AD 同步將立即發生。取得約30萬用戶的用戶資料大約需要15分鐘,並且每12小時自動刷新一次。 |
使用者資料從 AD 同步到 CloudSecure。數據何時會被刪除? |
如果沒有刷新,用戶資料將保留13個月。如果租戶被刪除,那麼資料也將被刪除。 |
使用者目錄連接器導致“錯誤”狀態。 「連接器處於錯誤狀態。服務名稱:usersLdap。失敗原因:無法檢索 LDAP 使用者。失敗原因:80090308:LdapErr:DSID-0C090453,註:AcceptSecurityContext 錯誤,資料 52e,v3839” |
提供的森林名稱不正確。請參閱上文,了解如何提供正確的森林名稱。 |
用戶資料頁面中未填寫電話號碼。 |
這很可能是由於 Active Directory 的屬性對映問題所造成的。1.編輯從 Active Directory 取得使用者資訊的特定 Active Directory 收集器。2.請注意,在選用屬性下,有一個欄位名稱「電話號碼」會對應到 Active Directory 屬性「telephonenumber」。4.現在,請使用上述所述的 Active Directory Explorer 工具瀏覽 Active Directory 並查看正確的屬性名稱。3.確保 Active Directory 中有一個名為「telephonenumber」的屬性,其中確實包含使用者的電話號碼。5.假設在 Active Directory 中它已被修改為「電話號碼」。6.然後編輯 CloudSecure 使用者目錄收集器。在可選屬性部分,將“telephonenumber”替換為“phonenumber”。7.儲存 Active Directory 收集器,收集器將重新啟動並取得使用者的電話號碼,並將其顯示在使用者個人資料頁面中。 |
如果在 Active Directory (AD) 伺服器上啟用了加密憑證 (SSL),則 Workload Security User Directory Collector 無法連線到 AD 伺服器。 |
在設定使用者目錄收集器之前停用 AD 伺服器加密。一旦獲取用戶詳細信息,它將保留 13 個月。如果 AD 伺服器在取得使用者詳細資訊後斷開連接,則不會取得 AD 中新新增的使用者。要再次獲取,用戶目錄收集器需要連接到 AD。 |
CloudInsights Security 中存在來自 Active Directory 的資料。想要從 CloudInsights 中刪除所有使用者資訊。 |
無法僅從 CloudInsights Security 中刪除 Active Directory 使用者資訊。為了刪除用戶,需要刪除整個租戶。 |