設定Active Directory(AD)使用者目錄收集器
建議變更
PDF
工作負載安全性可設定為從Active Directory伺服器收集使用者屬性。
-
您必須是 Data Infrastructure Insights 管理員或帳戶擁有者、才能執行此工作。
-
您必須擁有裝載Active Directory伺服器的伺服器IP位址。
-
在設定使用者目錄連接器之前、必須先設定代理程式。
-
在 Workload Security 功能表中,按一下: * Collectors > User Directory Collectors > + User Directory Collector* ,然後選取 * Active Directory*
系統會顯示Add User Directory(新增使用者目錄)畫面。
在下列表格中輸入所需的資料、以設定使用者目錄收集器:
名稱 |
說明 |
名稱 |
使用者目錄的唯一名稱。例如_GlobalADCollector_ |
代理程式 |
從清單中選取已設定的代理程式 |
伺服器IP/網域名稱 |
裝載作用中目錄之伺服器的IP位址或完整網域名稱(FQDN) |
樹系名稱 |
目錄結構的樹系層級。樹系名稱允許使用下列兩種格式:x.y.z⇒直接網域名稱、如同您在SVM上的名稱一樣。DC=x、DC=y、DC=z⇒相對辨別名稱[範例:DC=HQ、DC=公司名稱、DC=com]、您也可以指定下列項目: OU=Engineering、DC=HQ、DC=公司名稱、DC=com[依特定OU工程篩選]CN=UserName、OU=Engineering、DC=companyname、DC=NetApp、DC=com[僅從OU <Engineering取得特定使用者]_CN=acrooms使用者、CN=Users、DC=HQ、DC=companyname、DC=useals=公司名稱、DC=com、DC、DC、DC =公司名稱、DC =公司名稱、DC =公司名稱、DC =公司名稱、DC =、DC =、DC =公司名稱、DC =、DC =、DC、DC =、DC =公司名稱、DC =、DC =、 |
連結DN |
允許使用者搜尋目錄。例如: username@companyname.com 或 username@domainname.com 此外,還需要網域唯讀權限。使用者必須是安全性群組 _ 唯讀網域控制站 _ 的成員。 |
連結密碼 |
目錄伺服器密碼(即用於Bind DN的使用者名稱密碼) |
傳輸協定 |
LDAP、LDAPS、LDAP-start-TLS |
連接埠 |
選取連接埠 |
如果Active Directory中已修改預設屬性名稱、請輸入下列Directory Server必要屬性。在Active Directory中、這些屬性名稱通常是「_not」修改、在這種情況下、您只需繼續使用預設屬性名稱即可。
屬性 |
目錄伺服器中的屬性名稱 |
顯示名稱 |
名稱 |
SID |
objectSid |
使用者名稱 |
SamAccountName |
按一下「包含選用屬性」以新增下列任何屬性:
屬性 |
目錄伺服器中的屬性名稱 |
電子郵件地址 |
郵件 |
電話號碼 |
電話號碼 |
角色 |
標題 |
國家/地區 |
合作夥伴 |
州/省 |
州/省 |
部門 |
部門 |
相片 |
thumbnailPhoto |
ManagerDN |
經理 |
群組 |
成員 |
測試使用者目錄收集器組態
您可以使用下列程序來驗證LDAP使用者權限和屬性定義:
-
使用下列命令來驗證工作負載安全性LDAP使用者權限:
ldapsearch -o ldif-wrap=no -LLL -x -b "dc=netapp,dc=com" -h 10.235.40.29 -p 389 -D Administrator@netapp.com -W -
使用AD檔案總管瀏覽AD資料庫、檢視物件內容和屬性、檢視權限、檢視物件架構、執行精密的搜尋、您可以儲存並重新執行。
-
安裝"廣告資源管理器"在任何可連線到 AD 伺服器的 Windows 機器上。
-
使用AD目錄伺服器的使用者名稱/密碼連線至AD伺服器。
-
疑難排解使用者目錄收集器組態錯誤
下表說明收集器組態期間可能發生的已知問題和解決方法:
| 問題: | 解決方法: |
|---|---|
新增使用者目錄連接器會導致「錯誤」狀態。錯誤顯示「LDAP伺服器提供的認證無效」。 |
提供的使用者名稱或密碼不正確。編輯並提供正確的使用者名稱和密碼。 |
新增使用者目錄連接器會導致「錯誤」狀態。錯誤顯示:「無法取得對應於DN=DC=HQ、DC=domainname、DC=com的物件做為樹系名稱。」 |
提供的樹系名稱不正確。編輯並提供正確的樹系名稱。 |
「工作負載安全性使用者設定檔」頁面不會顯示網域使用者的選用屬性。 |
這可能是因為CloudSecure中新增的選用屬性名稱與Active Directory中的實際屬性名稱不相符。編輯並提供正確的選用屬性名稱。 |
資料收集器處於錯誤狀態、並顯示「無法擷取LDAP使用者。故障原因:無法連線至伺服器、連線為null |
按一下「Restart」按鈕、重新啟動收集器。 |
新增使用者目錄連接器會導致「錯誤」狀態。 |
請確定您已提供必要欄位(伺服器、樹系名稱、綁定DN、綁定密碼)的有效值。確保始終以「Administrator @」(系統管理員@)的形式提供Bind-DN輸入、或以具有網域管理員權限的使用者帳戶提供。 |
新增使用者目錄連接器會導致「重試」狀態。顯示錯誤「無法定義收集器的狀態、TCP命令[Connect(localhost:35012,None,List(),sents(,seconds,true)]失敗、因為java.net.ConnectionException:Connection拒絕。」 |
提供給AD伺服器的IP或FQDN不正確。編輯並提供正確的IP位址或FQDN。 |
新增使用者目錄連接器會導致「錯誤」狀態。錯誤顯示「無法建立LDAP連線」。 |
提供給AD伺服器的IP或FQDN不正確。編輯並提供正確的IP位址或FQDN。 |
新增使用者目錄連接器會導致「錯誤」狀態。錯誤顯示:「無法載入設定。原因:資料來源組態發生錯誤。具體原因:/connector / conf/application.conf:70:LDAP.LDAP連接埠具有類型字串而非數字」 |
提供的連接埠值不正確。請嘗試使用AD伺服器的預設連接埠值或正確的連接埠號碼。 |
我從必備屬性開始著手、就能順利運作。新增選用的屬性之後、就無法從AD擷取選用的屬性資料。 |
這可能是因為CloudSecure中新增的選用屬性與Active Directory中的實際屬性名稱不相符。編輯並提供正確的必要或選用屬性名稱。 |
重新啟動收集器之後、AD同步何時會發生? |
收集器重新啟動後、廣告同步將立即進行。擷取使用者資料約30萬名使用者約需15分鐘、每12小時自動重新整理一次。 |
使用者資料會從AD同步至CloudSecure。資料何時會刪除? |
如果沒有更新、使用者資料會保留13個月。如果刪除租戶、資料將會刪除。 |
使用者目錄連接器會導致「錯誤」狀態。"連接器處於錯誤狀態。服務名稱:usersLdap。失敗原因:無法擷取LDAP使用者。失敗原因:80090308: LdapErr:DSID-0C90453、註解:AcceptSecurityConttext錯誤、資料52e、v3839 |
提供的樹系名稱不正確。請參閱上述內容、瞭解如何提供正確的樹系名稱。 |
電話號碼未填入使用者設定檔頁面。 |
這很可能是因為Active Directory的屬性對應問題所致。1.編輯從 Active Directory 擷取使用者資訊的特定 Active Directory 收集器。2.請注意,在選用屬性下,會有一個欄位名稱「電話號碼」對應至 Active Directory 屬性「 telephonenumber 」。4.現在,請使用上述 Active Directory 檔案總管工具來瀏覽 Active Directory ,並查看正確的屬性名稱。3.請確定 Active Directory 中有一個名為「 telephonenumber 」的屬性,該屬性確實具有使用者的電話號碼。5.我們在 Active Directory 中說,它已被修改為「電話編號」。6.然後編輯 CloudSecure 使用者目錄收集器。在選用屬性區段中、將「電話號碼」取代為「電話號碼」。7.儲存 Active Directory 收集器,收集器將重新啟動並取得使用者的電話號碼,並在使用者設定檔頁面中顯示相同的電話號碼。 |
如果Active Directory(AD)伺服器上已啟用加密憑證(SSL)、則工作負載安全性使用者目錄收集器將無法連線至AD伺服器。 |
在設定使用者目錄收集器之前、請先停用AD伺服器加密。擷取使用者詳細資料後、將會保留13個月。如果擷取使用者詳細資料後AD伺服器中斷連線、則不會擷取AD中新增的使用者。若要再次擷取、使用者目錄收集器必須連線至AD。 |
CloudInsights Security中有來自Active Directory的資料。想要刪除CloudInsights中的所有使用者資訊。 |
不可能只從CloudInsights Security刪除Active Directory使用者資訊。若要刪除使用者、必須刪除完整的租戶。 |