1)结合AD域认证时LDAP对接不成功的可能原因和排除思路概述
问题描述
一、适用场景
本文适用于AC对接LDAP认证服务器异常问题:
1、对接LDAP,组织结构不显示LDAP下的组用户
2、对接LDAP,组织结构显示的组/用户名称不对
二、基本原则:
以优先恢复客户业务为第一要务,在业务恢复后在进行问题原因的排查
告警信息
一、业务恢复
1、登录控制台,进入【系统管理】-【系统诊断】-【上网故障排除】中 设置并开启,在弹出来页面,勾选数据直通,并且把拦截日志过滤条件、及开启数据直通下面的输入框中都输入需要放通的地址(故障的地址),通过直通放通来恢复业务。
开启方式如下图所示。
2、若以上操作无法帮助您快速恢复客户业务,请及时收集下列解决方案中的信息找技术支持;
二、可能原因
第三方产品&环境问题
1、AC和ldap服务器通信异常
2、业务同步组织结构的太大导致同步超时(建议修改超时时间观察)
3、AD域不支持过滤通配符
功能配置问题
1、管理员账号密码错误2、过滤条件配置错误3、AC和AD域对接时加密协议不一致导致(AD域开启SSL或TLS加密时,AC也需要同步开启)
有效排查步骤
排查思路
1、检查管理员账号格式是不是正确的,正确的格式是:账号@域名,示例:administrator@sangfor.com.cn;
2、检查检查LDAP的具体参数配置是否正确,管理员密码是不是正确的;
3、检查第一步中所填写的AD域管理员是否有读取组织结构的权限或者切换administrator测试;
4、建议选择最大的BaseDN;
5、检查AC与域服务器通信是否正常(ping域IP地址可以成功),路由是否对称(路由的来回路径),AC和AD域交互是否存在第三方设备拦截管控
解决方案
联系技术支持建议提供以下信息
1、故障现象描述:
2、故障发生时间:
3、故障影响范围:
4、故障前做过的操作:
5、设备部署模式及网络拓扑:
6、设备详细版本信息:
7、排查过程的配置截图:
8、如果抓取了数据包提供对应抓包条件和相关数据包文件:
2)排查步骤
步骤一、检查AC和AD域服务器通讯是否正常
问题描述
ldap对接不成功,用户无法缓存到组织结构
ldap密码认证不成功
解决方案
1、在AC上telnet ldap的端口,看能否通,一般情况是389端口。
配置路径【系统管理】-【系统诊断】-【命令控制台】
2、ldap配置界面测试有效性,看具体提示什么,如果有报错,可以抓包,看域服务器回包的代码是什么。根据具体的提示去确认帐号情况,以下是常见报错配置路径【系统管理】-【系统诊断】-【抓包工具】
3、可以使用第三方工具ldapauthen来测试帐号,确认信息无误,再填写到AC上使用
4、如果帐号没问题,网络也没拦截,可以用第三方工具去登录ldap,看能否正常登录和获取到组织结构和用户,确保帐号权限没问题。
5、检查AD域是否有安装杀毒软件
已知案例:EDR开启了暴力激活成功教程的情况,会拒绝AC发的数据包。
AC做AD域密码认证,经常会出现AC无法访问AD域的情况,ping AD域也不通,抓包看就是AD域不回包。
通过排查EDR管理端的日志,发现是EDR开启了暴力激活成功教程功能,拦截了AC。
解决办法:在EDR的管理端对AC的IP加白名单
步骤二、检查参数是否配置正确
问题描述
先通过ldap admin工具连接客户的域,然后核对参数。如果处理非AD域的问题,必须要进行这一步排查
ldapbroswer工具使用方法
http://tskb.sangfor.com/forum.php?mod=viewthread&tid=19371&is_note=1
解决方案
1、组织单位过滤检查
(|(objectClass=organizationalUnit)(objectClass=organization)(objectClass=domain)(objectClass=domainDNS)(objectClass=container))
以上是默认的参数,如果客户域上的组织结构属性是其他参数,那么就需要手动修改了
2、用户过滤检查
用户过滤默认是根据user和person去对应的,如果客户的域用户属性是其他的,就需要手动添加或者修改。
例如客户的域用户属性是objectClass=fixuser,那么就可以把AC对应的参数改成
(objectClass=fixuser)
3、安全组同理。
具体内容可以看以下文档
https://bbs.sangfor.com.cn/forum.php?mod=attachment&aid=MTA3OTkwNXw5MDU3MjMzZHwxNjgzMzUxNjk1fDB8MjIxOTM3
详情查看:
https://bbs.sangfor.com.cn/plugin.php?id=case_databases:note_detail¬e_id=25147
2024最新激活全家桶教程,稳定运行到2099年,请移步至置顶文章:https://sigusoft.com/99576.html
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。 文章由激活谷谷主-小谷整理,转载请注明出处:https://sigusoft.com/17227.html
