設定 LDAP 目錄伺服器收集器
建議變更
PDF
您設定工作負載安全性以從 LDAP 目錄伺服器收集使用者屬性。
-
您必須是Data Infrastructure Insights管理員或帳戶所有者才能執行此任務。
-
您必須擁有託管 LDAP 目錄伺服器的伺服器的 IP 位址。
-
在設定 LDAP 目錄連接器之前,必須先設定代理程式。
-
在工作負載安全性選單中,按一下:收集器 > 使用者目錄收集器 > + 使用者目錄收集器,然後選擇*LDAP 目錄伺服器*
系統顯示新增使用者目錄畫面。
透過在下表中輸入所需資料來設定使用者目錄收集器:
Name |
描述 |
Name |
使用者目錄的唯一名稱。例如 GlobalLDAPCollector |
代理人 |
從清單中選擇一個已配置的代理 |
伺服器IP/域名 |
託管 LDAP 目錄伺服器的伺服器的 IP 位址或完全限定網域名稱 (FQDN) |
搜尋基礎 |
LDAP 伺服器的搜尋基礎搜尋基礎允許以下兩種格式:x.y.z ⇒ 直接域名,就像您在 SVM 上擁有的那樣。 [範例:hq.companyname.com] DC=x,DC=y,DC=z ⇒ 相對可分辨名稱 [範例:DC=hq,DC= companyname,DC=com] 或您可以指定如下: OU=engineering,DC=hq,DC= companyname=DC=com [按特定 name eng DC=netapp, DC=com_ [從 OU <engineering> 取得具有 <username> 的特定使用者] CN=Acrobat Users,CN=Users,DC=hq,DC=companyname,DC=com,O= companyname,L=Boston,S=MA,C=US [取得該組織內使用者的所有 Acroanyname,L=Boston,S=MA,C=US_ [取得該組織內使用者的所有 Acroanyname, Bcroston,S=MA,C=US_ [取得該組織內使用者的所有 Acroanyname, Bcroston,S=MA,C=US_ [取得該組織內使用者的所有 Acroanyname, 4croston,S=MAs] |
綁定 DN |
允許使用者搜尋目錄。例如:uid=ldapuser,cn=users,cn=accounts,dc=domain,dc=companyname,dc=com uid=john,cn=users,cn=accounts,dc=dorp,dc=company,dc=com 給使用者 john@dorp.company.com。 dorp.company.com |
--帳戶 |
--用戶 |
--約翰 |
--安娜 |
綁定密碼 |
目錄伺服器密碼(即綁定 DN 中使用的使用者名稱的密碼) |
協定 |
ldap、ldaps、ldap-start-tls |
連接埠 |
選擇連接埠 |
如果 LDAP 目錄伺服器中的預設屬性名稱已被修改,請輸入下列目錄伺服器所需的屬性。大多數情況下,這些屬性名稱在 LDAP 目錄伺服器中不會被修改,在這種情況下,您可以簡單地使用預設屬性名稱。
屬性 |
目錄伺服器中的屬性名稱 |
顯示名稱 |
姓名 |
UNIXID |
uid 號 |
使用者名稱 |
uid |
按一下「包括可選屬性」以新增下列任意屬性:
屬性 |
目錄伺服器中的屬性名稱 |
電子郵件 |
郵件 |
電話號碼 |
電話號碼 |
角色 |
標題 |
國家 |
公司 |
狀態 |
狀態 |
部門 |
部門編號 |
照片 |
照片 |
經理DN |
主管 |
團體 |
成員 |
測試您的使用者目錄收集器配置
您可以使用下列步驟驗證 LDAP 使用者權限和屬性定義:
-
使用下列指令驗證 Workload Security LDAP 使用者權限:
ldapsearch -D "uid=john ,cn=users,cn=accounts,dc=dorp,dc=company,dc=com" -W -x -LLL -o ldif-wrap=no -b "cn=accounts,dc=dorp,dc=company,dc=com" -H ldap://vmwipaapp08.dorp.company.com * 使用 LDAP Explorer 瀏覽 LDAP 資料庫、檢視物件屬性和特性、檢視權限、檢視物件的模式、執行可以儲存和重新執行的複雜搜尋。
-
安裝 LDAP Explorer(http://ldaptool.sourceforge.net/ )或 Java LDAP 資源管理器(http://jxplorer.org/) 在任何可以連接到 LDAP 伺服器的 Windows 機器上。
-
使用 LDAP 目錄伺服器的使用者名稱/密碼連線到 LDAP 伺服器。
-
排除 LDAP 目錄收集器設定錯誤
下表描述了收集器配置期間可能出現的已知問題和解決方法:
| 問題: | 解決: |
|---|---|
新增 LDAP 目錄連接器會導致「錯誤」狀態。錯誤提示「為 LDAP 伺服器提供的憑證無效」。 |
提供的綁定 DN、綁定密碼或搜尋基礎不正確。編輯並提供正確的資訊。 |
新增 LDAP 目錄連接器會導致「錯誤」狀態。錯誤提示:“無法取得與作為林名稱提供的 DN=DC=hq,DC=domainname,DC=com 對應的物件。” |
提供的搜尋基礎不正確。編輯並提供正確的森林名稱。 |
網域使用者的選用屬性未出現在工作負載安全使用者設定檔頁面中。 |
這可能是由於 CloudSecure 中新增的可選屬性名稱與 Active Directory 中的實際屬性名稱不符所造成的。字段區分大小寫。編輯並提供正確的可選屬性名稱。 |
資料收集器處於錯誤狀態,顯示「無法檢索 LDAP 使用者。失敗原因:無法連接到伺服器,連接為空” |
點選“重新啟動”按鈕重新啟動收集器。 |
新增 LDAP 目錄連接器會導致「錯誤」狀態。 |
確保您已為必填欄位(伺服器、林名稱、綁定 DN、綁定密碼)提供了有效值。確保綁定 DN 輸入始終為 uid=ldapuser,cn=users,cn=accounts,dc=domain,dc=companyname,dc=com。 |
新增 LDAP 目錄連接器會導致「重試」狀態。顯示錯誤“無法確定收集器的健康狀況,因此請重試” |
確保提供正確的伺服器 IP 和搜尋庫 //// |
新增 LDAP 目錄時顯示下列錯誤:“無法在 2 次重試內確定收集器的健康狀況,請嘗試重新啟動收集器(錯誤代碼:AGENT008)” |
確保提供正確的伺服器 IP 和搜尋庫 |
新增 LDAP 目錄連接器會導致「重試」狀態。顯示錯誤“無法定義收集器的狀態,原因 Tcp 命令 [Connect(localhost:35012,None,List(),Some(,seconds),true)] 因 java.net.ConnectionException:Connection 被拒絕而失敗。” |
為 AD 伺服器提供的 IP 或 FQDN 不正確。編輯並提供正確的 IP 位址或 FQDN。 //// |
新增 LDAP 目錄連接器會導致「錯誤」狀態。錯誤提示「無法建立 LDAP 連線」。 |
為 LDAP 伺服器提供的 IP 或 FQDN 不正確。編輯並提供正確的 IP 位址或 FQDN。或提供的連接埠值不正確。嘗試使用 LDAP 伺服器的預設連接埠值或正確的連接埠號碼。 |
新增 LDAP 目錄連接器會導致「錯誤」狀態。錯誤提示:「無法載入設定。原因:資料來源配置錯誤。具體原因:/connector/conf/application.conf: 70: ldap.ldap-port 的類型為 STRING 而非 NUMBER” |
提供的連接埠值不正確。嘗試使用 AD 伺服器的預設連接埠值或正確的連接埠號碼。 |
我從強制屬性開始,並且它起作用了。新增可選項後,可選屬性資料不會從 AD 中取得。 |
這可能是由於 CloudSecure 中新增的可選屬性與 Active Directory 中的實際屬性名稱不符所造成的。編輯並提供正確的強製或可選屬性名稱。 |
重新啟動收集器後,LDAP 同步何時發生? |
收集器重新啟動後,LDAP 同步將立即發生。取得約30萬用戶的用戶資料大約需要15分鐘,並且每12小時自動刷新一次。 |
使用者資料從 LDAP 同步到 CloudSecure。數據何時會被刪除? |
如果沒有刷新,用戶資料將保留13個月。如果租戶被刪除,那麼資料也將被刪除。 |
LDAP 目錄連接器導致「錯誤」狀態。 「連接器處於錯誤狀態。服務名稱:usersLdap。失敗原因:無法檢索 LDAP 使用者。失敗原因:80090308:LdapErr:DSID-0C090453,註:AcceptSecurityContext 錯誤,資料 52e,v3839” |
提供的森林名稱不正確。請參閱上文,了解如何提供正確的森林名稱。 |
用戶資料頁面中未填寫電話號碼。 |
這很可能是由於 Active Directory 的屬性對映問題所造成的。1.編輯從 Active Directory 取得使用者資訊的特定 Active Directory 收集器。2.請注意,在選用屬性下,有一個欄位名稱「電話號碼」會對應到 Active Directory 屬性「telephonenumber」。4.現在,請使用上面描述的 Active Directory Explorer 工具瀏覽 LDAP 目錄伺服器並查看正確的屬性名稱。3.確保 LDAP 目錄中有一個名為「telephonenumber」的屬性,其中確實包含使用者的電話號碼。5.假設在 LDAP 目錄中它已被修改為「電話號碼」。6.然後編輯 CloudSecure 使用者目錄收集器。在可選屬性部分,將“telephonenumber”替換為“phonenumber”。7.儲存 Active Directory 收集器,收集器將重新啟動並取得使用者的電話號碼,並將其顯示在使用者個人資料頁面中。 |
如果在 Active Directory (AD) 伺服器上啟用了加密憑證 (SSL),則 Workload Security User Directory Collector 無法連線到 AD 伺服器。 |
在設定使用者目錄收集器之前停用 AD 伺服器加密。一旦獲取用戶詳細信息,它將保留 13 個月。如果 AD 伺服器在取得使用者詳細資訊後斷開連接,則不會取得 AD 中新新增的使用者。若要再次取得使用者目錄收集器,需要連接到 AD。 |