Cloud Insights ワークロードセキュリティアクティビティフォレンジックのユーザーアカウントがLDAP: domain.com:s-X-X-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXX?のように表示されるのはなぜですか

環境

• Cloud Insights （ CI ）
• インサイトワークロードセキュリティ 

回答

特定のドメインのユーザーを解決するようにユーザーディレクトリコレクタが正しく設定されていても、Cloud Insights ワークロードセキュリティ内のユーザープロファイルまたはアクティビティフォレンジックエントリでは、ユーザーを解決できない場合があります。これらのエントリには、「 ldap ： domain.com:s-X-X-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXX 」のような名前またはユーザ名が表示されることがあります。

これは、アプリケーションが次のクエリに基づいてドメインユーザーを取得するためです。

"(&(objectCategory=person)(objectClass=user))"

LDAP エンティティの objectCategory が「 person 」と等しくない場合、アプリケーションによって取得されず、解決されません。エントリの objectCategory 値を確認するには、 SSH でエージェントに接続し、 LDAP サーバにユーザを照会します。

例：
ldapsearch -o ldif-wrap=no -LLL -x -b "DC=domain,DC=com" -h ldap.domain.com -p 389 -D "CN=bindAccount,OU=Accounts,DC=domain,DC=com" -W "ObjectSID=s-X-X-XX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXX"

これにより、バインドアカウントのパスワードの入力を求められ、指定した objectSID のエンティティデータが返されます。objectCategory 値を探して、「 person 」であるかどうかを確認します。そうでない場合は、 User Directory Collector によって取得されません。

追加情報

コンピュータおよびサービスアカウントの場合、 LDAP エンティティの objectCategory が「 person 」と等しくないため、これらの SID は解決されません。